Заги

чтобы сделать MITM я должен выписать сертифкат на домен трафик к которому хочу слушать, выписать сертификат может каждый (это self-signed), браузер сразу скажет что это очень плохо но если пользователь явно даст согласие то тогда можно да если я не согласен то слушать мой трафик невозможно

Заги

ну почитай елы палы)

это же SNI блин, имя хоста открытое передается

«Прозрачный» Squid с фильтрацией HTTPS ресурсов без подмены сертификатов Название это подчеркивает же

ты можешь фильтровать HTTPS по имени домена, он специально вынесен в нешифрованный кусок, остальное расшифровать ты не сможешь, это и есть смысл https, он надежен очень

Не разобрался значит я до конца. Хотя не совсем пока понимаю вот если я например не знаю сертификата что мне мешает проделать те же действия что пользователь

Почему я могу стороны не могу поймать момента обмена ключами

The TLS+SNI workflow is identical to Host header advertisement in HTTP, where the client indicates the hostname of the site it is requesting: the same IP address may host many different domains, and both SNI and Host are required to disambiguate between them.

там нет обмена ключами, на сколько я знаю

Не разобрался значит я до конца. Хотя не совсем пока понимаю вот если я например не знаю сертификата что мне мешает проделать те же действия что пользователь

проделай, сервер тебе поверит, а для браузера ты будешь сервером, и пользователь легко просечет что ты мошенник и если он не хочет то ты его не убедишь

щаща. где-то было объяснение на красках

там нет обмена ключами, на сколько я знаю

какой обмен? это же асинхронное шифрование, открытые ключи же

очень рекомендую https://hpbn.co/transport-layer-security-tls/

мало кто даже среди девопсов нормально знает как построен tls

https://www.youtube.com/watch?v=5d8yniGL2G0

https://www.youtube.com/watch?v=5d8yniGL2G0

отличное видео, надо всем программерам показывать

отличное видео, надо всем программерам показывать

я после него понял магию шифрования )

я после него понял магию шифрования )

очень хорошая метафора там , она решает в обучении сложным вещам

+

Так что мешает перехватить сертификат?

Так что мешает перехватить сертификат?

так хватай, чем поможет?

Ну вы имеете оба ключ а и читаете

Переписку

Да, в видео не рассказано как защититься от подмены сервера

ты сможешь можешь договориться с сервером и сказать что ты браузер, ему похер правда это или нет, если он может с тобой общаться то ему ок, теперь тебе нужно сказать браузеру что сервер это ты и заставить его в это поверить, установить с тобой TLS никакой проблемы не возникнет, а вот проверка кто ты и за кого себя выдаешь выдаст тебя, тебе поверят только если ты авторитетный центр, списки которых известны и доступны всем, попасть туда мошеннику невозможно

Зачем мне это? Я не хочу ничего писать

Я хочу читать

Зачем мне это? Я не хочу ничего писать

ты прочтешь только если встанешь вместо сервера

ты прочтешь только если встанешь вместо сервера

Если я знаю ключи и стою в пути то просто читаю трафик

просто пассивно слушать и читать можно только эксплуатируя TLS уязвимости и быстро посчитать одностроннюю функцию в обратную сторону

надо второй видос про то, почему проблематично притвориться серваком ))

Если я знаю ключи и стою в пути то просто читаю трафик

ключи открытые, закрытых ты не зненшь

Зачем мне закрытые?

надо второй видос про то, почему проблематично притвориться серваком ))

да, притвориться можно, заставить поверить в это нельзя

Зачем мне закрытые?

без них ты ничего не прочитаешь)

Зачем мне закрытые?

чтобы иметь "секретный цвет" из видео

октрытые ключи нужны чтобы шифровать, это не секрет

а вот расшифровать зашифрованный им контент могу только я

так работает ssh, tls и вообще все

ОК то есть я наоборот могу послать в канал любой бред?

ОК то есть я наоборот могу послать в канал любой бред?

ну шли, его никто не поймет

Почему не поймет если я имею ключи для шифрования?

открытые

они не дадут тебе возможность правильно зашифровать

Почему не поймет если я имею ключи для шифрования?

ты можешь зашифровать только, но расшифровать ответ ты не сможешь

ты можешь зашифровать только, но расшифровать ответ ты не сможешь

блин, наверно я чото не понимаю ещё )

ты можешь зашифровать только, но расшифровать ответ ты не сможешь

Ну оно мне не всегда надо. Там чтобы Куки жсом записать и себе на сервер отправить хватит

надо дальше читать

на сколько я понимаю, имея открытые ключи ты ничего не сможешь делать

интересного

слать нечитаемый спам в обе стороны )

Ну оно мне не всегда надо. Там чтобы Куки жсом записать и себе на сервер отправить хватит

ну подделай ты запрос клиента, ок

сервер ответит, в чем прикол-то?

ты все равно не узнаешь что он ответил

и за него ответить не сможешь

ты все равно не узнаешь что он ответил

можно не читать, а сделать drop table :D

Всегда ли это на до знать? Многие сервисы уязвимы к любой атаке

можно не читать, а сделать drop table :D

что мешает слать дроп самому?

Всегда ли это на до знать? Многие сервисы уязвимы к любой атаке

к какой?

что мешает слать дроп самому?

наверно, я вас не понимаю

наверно, я вас не понимаю

ну от имени кого ты пошлешь дроп?

от перехватчика, притворившись браузером. но по моей логике не должно выйти ничего, тк сервер получит абракадабру

Ну отправить клиенту запрос на то чтобы он Куки тебе отослал

Если это https кажется очень просто пушнуть

Http2

Ну отправить клиенту запрос на то чтобы он Куки тебе отослал

он вообще с чего тебе их отправит? он тебя вычислит что ты обманщик

ERROR: S client not available

он вообще с чего тебе их отправит? он тебя вычислит что ты обманщик

Как?

Http2

в http/2 валидный https обязателен

Как?

так, он должен сделать TLS-handshake и проверить что твой сертификат выписан авторитетным центром, до этого обмен данными не идет, если ты сам выписал сертификат то тебя пошлет клиент

клиент не шлет данных пока не убедится что ты тот за кого себя выдаешь и это подтверждает надежное третье лицо (CA)

крч, вся соль в том, что у клиента есть сертификаты, которые в итоге говорят тебе, ок парень на том конце или хз

крч, вся соль в том, что у клиента есть сертификаты, которые в итоге говорят тебе, ок парень на том конце или хз

центры, которым можно доверять, при проверке подписи

вот РКН хочет поднять свой центр и выписывать сертификаты на все сайты самостоятельно и заставить ему доверять в РФ, тогда он сможет слушать трафик и все будет валидно

так, он должен сделать TLS-handshake и проверить что твой сертификат выписан авторитетным центром, до этого обмен данными не идет, если ты сам выписал сертификат то тебя пошлет клиент

Все таки клиент как то читает же содержимое

Откуда он берет ключ на чтение?

Все таки клиент как то читает же содержимое

да, он знает как расшифровать то что ему послали, а ты не знаешь

Откуда он берет ключ на чтение?

он пару генерирует

ты же ssh используешь? приватный часто светишь?

а публичный?

Если клиент генерит пару то должен серверу отдать ключ

Откуда он берет ключ на чтение?

ключ получается общий у сервака и у тебя, после математических махинаций из видео выше

Если клиент генерит пару то должен серверу отдать ключ

видос посмотри

https://www.facebook.com/MongoDB/videos/10158824001025557/

Если клиент генерит пару то должен серверу отдать ключ

И, на сколько я понимаю, если бы не было возможности мошеннику притвориться сервером, то не пришлось бы и третье лицо привлекать для пруфов

знайте какой нибуть framework чтобы время делал бы как то так ? Yesterday at 10:40 pm , 10 min ago

moment.js не умеет?

знайте какой нибуть framework чтобы время делал бы как то так ? Yesterday at 10:40 pm , 10 min ago

Фреймворк для работы со временем - это круто) MomentJS.

framework о боже мой

а что не библиотека?

И, на сколько я понимаю, если бы не было возможности мошеннику притвориться сервером, то не пришлось бы и третье лицо привлекать для пруфов

да

global.Intl

а что не библиотека?

именно что библиотека а фреймворк

Вообще вопрос про библиотеку и фреймворк — довольно риторический

И в целом это просто особенности позиционирования авторов

Завтра запилю запись в бложик.

И вброшу сюда.

Ой, а чего это вы тут ботнеты обсуждаете?

@klond90 ты зачем ботнет принёс? =)