Сообщения без ответов | Активные темы


Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа




Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 12 
  Пред. тема | След. тема 
В случае проблем с отображением форума, отключите блокировщик рекламы
Автор Сообщение
  Boom

Member
Статус: Не в сети
Регистрация: 06.06.2006
Фото: 0
При использовании браузеров Chrome и Comodo Dragon захожу на сайт с https. У хрома соединение защищено (http://shot.qip.ru/00LtQk-1JqTa6Ytr/), а у драгона нет (http://shot.qip.ru/00LtQk-1JqTa6Ytp/)

В чем причина ?


Последний раз редактировалось Boom 21.02.2016 18:53, всего редактировалось 1 раз.

Реклама

Партнер
  silver63rus

Member
Статус: Не в сети
Регистрация: 06.09.2010
Откуда: Самара
Boom
Boom писал(а):
У хорма - avast


Стоит проверка соединений https + промежуточный сертификат от антивируса Avast.
Boom писал(а):
у драгона (см. скрин).


антивирус не смог поставить сертификат, да и сам TLS 1.2 - очень устаревший.
Firefox блокирует такие соединения, начиная с 38.0.5 ESR(43.0).
  Boom

Member
Статус: Не в сети
Регистрация: 06.06.2006
Фото: 0
Ой это я на другом компе смотрел хром.

На этом же компе chrome показывает такой же сертификат - http://shot.qip.ru/00LtQk-1JqTa6Ytr/

Только почему у хрома защищено соединение, а у драгона нет ?

#77 #77
  Boom

Member
Статус: Не в сети
Регистрация: 06.06.2006
Фото: 0
Еще такой вопрос: если у сайта самоподписанный сертификат, то он обеспечивает такую же защиту как и платный ?
  SmaSheR

Member
Статус: Не в сети
Регистрация: 13.12.2005
Фото: 6
Boom писал(а):
Еще такой вопрос: если у сайта самоподписанный сертификат, то он обеспечивает такую же защиту как и платный ?

Нет. Самоподписанные сертификаты уязвимы для MitM атак.
  Boom

Member
Статус: Не в сети
Регистрация: 06.06.2006
Фото: 0
Цитата:
Если клиент и сервер общаются по HTTPS — протоколу, поддерживающему шифрование — тоже может быть проведена атака «человек посередине». При таком виде соединения используется TLS или SSL для шифрования запросов, что, казалось бы, делает канал защищённым от сниффинга и MITM-атак. Атакующий может для каждого TCP-соединения создать две независимые SSL-сессии. Клиент устанавливает SSL-соединение с атакующим, тот в свою очередь создает соединение с сервером. Браузер в таких случаях обычно предупреждает о том, что сертификат не подписан доверенным центром сертификации, но рядовые пользователи устаревших браузеров легко обходят данное предупреждение. К тому же, у злоумышленника может оказаться сертификат, подписанный корневым центром сертификации (например, такие сертификаты иногда используются для DLP[5]) и не создающий предупреждений. Кроме того, существует ряд атак на HTTPS.[6] Таким образом, HTTPS протокол нельзя считать защищенным от MITM-атак у рядовых пользователей.Существует ряд мер, предотвращающих часть атак MITM на https сайты, в частности, HSTS, который запрещает использовать http соединение с сайтов, Certificate pinning и HTTP Public Key Pinning, запрещающие подмену сертификата.


SmaSheR mitm атака возможна только при самоподписанном сертификате ? Или платный тоже могут подменить (из текста выше я так понял что могут)

Где используется HSTS и как его задействовать ?
  SmaSheR

Member
Статус: Не в сети
Регистрация: 13.12.2005
Фото: 6
Boom писал(а):
Где используется HSTS и как его задействовать ?

На веб сервере, статический список есть в браузерах. Пользователю делать ничего не нужно.
Boom писал(а):
Или платный тоже могут подменить (из текста выше я так понял что могут)

Могут заменить на самоподписанный, но будет предупреждение в браузере о подозрительном сертификате.
Также однажды поймали доверенный корневой СА на выпуске дубликата сертификата google. Это был китайский государственный СА, соответственно так спецслужбы, используя mitm перехватывали трафик. Нынче этот СА в списке доверенных СА браузеров отсутствует.
В общем такие атаки возможны и при использовании подписанного доверенным СА сертификата, но только при условии невнимательности пользователя либо мошенничества на стороне, что - большая редкость.
Но, в связи с инициативой по созданию российского государственного СА, про казус с китайцами забывать не стоит.
  Boom

Member
Статус: Не в сети
Регистрация: 06.06.2006
Фото: 0
SmaSheR писал(а):
На веб сервере, статический список есть в браузерах. Пользователю делать ничего не нужно.

Как то можно узнать о его наличии при подключении с сайту ?

Добавлено спустя 5 минут 36 секунд:
Boom писал(а):
В общем такие атаки возможны и при использовании подписанного доверенным СА сертификата

А самоподписанный сертификат как то облегчает проведение mitm (вообщем в чем отличие от mitm с платным серт.)?
  SmaSheR

Member
Статус: Не в сети
Регистрация: 13.12.2005
Фото: 6
Boom писал(а):
А самоподписанный сертификат как то облегчает проведение mitm (вообщем в чем отличие от mitm с платным серт.)?

В случае с самоподписанным сертификатом всегда появляется предупреждение о сертификате, не заслуживающим доверия, если этот сертификат не был вручную добавлен в список доверенных, а добавить ты можешь и сертификат мошенника/спецслцужб. В случае, если в системе установлен заведомо достоверный сертификат, разницы с заверенным никакой не будет.
Boom писал(а):
Как то можно узнать о его наличии при подключении с сайту ?

В Linux:
curl -i https://url | grep Strict
Или воспользуйся расширением для браузера, которое позволяет просматривать заголовки.
Емнип хром умеет это делать и без расширения.
  Boom

Member
Статус: Не в сети
Регистрация: 06.06.2006
Фото: 0
SmaSheR вообщем я понял так, что в случае с платным серт. браузер выдает предупреждение если есть mitm (с подмена серт.), в случае с самоподписанным тоже есть предупреждение, но пользователь может продолжить работу с сайтом при mitm т.к. и раньше было предупреждение (получается чисто уязвимость со стороны пользователя). Верно ? Просто вы писали, что самоподписанные уязвимы, но и платные получается тоже. Получается уязвим не сам сертификат.

Кстати, добавить серт. в доверенные не все смогут. Его же еще нужно где то взять.
  SmaSheR

Member
Статус: Не в сети
Регистрация: 13.12.2005
Фото: 6
Boom писал(а):
в случае с самоподписанным тоже есть предупреждение, но пользователь может продолжить работу с сайтом при mitm т.к. и раньше было предупреждение (получается чисто уязвимость со стороны пользователя). Верно ?

Верно. Пользователь просто не замечает, что сертификат подменили.
Boom писал(а):
Кстати, добавить серт. в доверенные не все смогут. Его же еще нужно где то взять.

Он с того самого https сайта загружается в пару кликов ;) Нажми на замочек в адресной строке браузера, в конце концов найдешь там кнопку "экспорт".
Но тут надо помнить, что митм может быть уже в действии и добавляя таким образом самоподписанный сертификат ты рискуешь установить поддельный.
  Boom

Member
Статус: Не в сети
Регистрация: 06.06.2006
Фото: 0
Вопрос немного не по теме:

При подключении к общественным точкам доступа WI-FI пароль не требуется. При этом пишут, что точка доступа может использовать шифрование передаваемых данных. Это так ?
Если да, то как узнать, что открытая точка доступа использует шифрование ?

Перехватывать переданные данные по открытой сети WI-FI может только владелец точки или любой подключившийся в сети ?
Показать сообщения за:  Поле сортировки  
Начать новую тему Новая тема / Ответить на тему Ответить  Сообщений: 12 
-

Список форумов » Общекомпьютерные форумы » Локальные сети и Интернет

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 8

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB | Kolobok smiles © Aiwan