После инцидента с DigiNotar крупные поставщики браузеров начали прикреплять сертификаты или открытые ключи определенных «высококлассных» сайтов (что определенно является Facebook), чтобы предотвратить использование поддельных сертификатов. Я не в курсе заявления от Microsoft, если IE тоже это делает, но у них есть похожая концепция, называемая Certifiacte Reputation.
Почему некоторые сайты кажутся невосприимчивыми к самозаверяющим атакам MitM на сертификаты?
327
Pierrot
Недавно я провел эксперимент с использованием MitM для получения информации об учетной записи (имя пользователя и пароль) при доступе к веб-сайтам. Я использовал два компьютера в сценарии; один в качестве цели, использующий Internet Explorer, и один в качестве атакующего, использующий ettercap. Одна попытка (притворяясь steamcommunity.com) дала информацию; цель приняла поддельный сертификат СА, подписанный злоумышленником, представленный через атаку MitM. Другая попытка (притворяясь facebook.com) даже не позволила мне добавить исключение для самозаверяющего сертификата на целевом компьютере. Итак, вопрос в том, почему один сайт позволил мне добавить исключение, а другой - нет?
Если бы я догадался, это было бы потому, что сертификат SteamCommunity.com не является сертификатом EV. Но я позволю вам провести исследование по этому вопросу.
Ramhound 7 лет назад
0
Моей первой мыслью было закрепление открытого ключа HTTP (HPKP), но не похоже, что Internet Explorer поддерживает это. HPKP - это попытка не дать браузерам обмануть поддельные сертификаты, представленные злоумышленниками MitM, даже если сертификат был выдан центром сертификации, которому браузер уже доверяет.
Spiff 7 лет назад
1
Сертификат * steamcommunity.com * является совершенно действительным сертификатом EV, я только что проверил его, https://www.ssllabs.com/ssltest/analyze.html?d=steamcommunity.com&latest На этой странице, похоже, нет слабых мест, на самом деле лучше, чем сайт в фейсбуке. ** Участок сгущается **. Но вы уверены, что не будете лучше обслуживать, разместив этот вопрос на http://crypto.stackexchange.com/questions?
MariusMatutiae 7 лет назад
1
спасибо за ответы и исправления, я постараюсь задать тот же вопрос на crypto.stackexchange.com/questions.
Pierrot 7 лет назад
0
1 ответ на вопрос
0
mat
Похожие вопросы
-
4
Какое программное обеспечение я должен использовать для шифрования моего жесткого диска?
-
2
Windows 7 Home Premium запоминает пароли общего доступа к сети?
-
3
Может ли существующее шифрование беспроводной сети реально защитить сеть?
-
-
2
Каковы проблемы безопасности компьютера, подключенного напрямую к модему?
-
2
Как я могу настроить свою беспроводную сеть для максимальной безопасности?
-
2
Как лучше всего защитить мой компьютер от вирусов и программ чтения с экрана?
-
2
Защита моей беспроводной сети
-
1
Как я могу повысить безопасность своего портала?
-
2
Предупреждения RootKit Hunter в Mac OS X
-
4
Плюсы и минусы незащищенной беспроводной сети?