устойчивость https к прослушке

Discussion in 'Анонимность' started by GAiN, 15 Nov 2012.

  1. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    насколько защищено https соединение от прослушки со стороны интернет провайдера ?
    погут ли прехватить переписку, и другие данные передающиеся через ssl?
     
  2. PPatron

    PPatron New Member

    Joined:
    31 Oct 2012
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
  3. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    PPatron

    Вы вопрос прочитали и поняли? Человек спрашивал со стороны провайдера, а не со стороны хакеров, взломщиков и спецслужб. Ты провайдеру деньги платишь, по твоему в провайдере работают настолько больные люди чтобы специально ради прослушки SSL ставить на свое оборудование какую-то несертифицированную херню, рисковать всем своим имуществом чтобы посмотреть порно-картинки (или еще что-нибудь), что Gain качает по HTTPS?

    Нет способов прослушки со стороны провайдера и его рабочего персонала шифрованных протоколов.
     
  4. Империал

    Joined:
    11 Mar 2010
    Messages:
    1,224
    Likes Received:
    58
    Reputations:
    1
    А что трафик передающийся по http может быть прослушан провайдером?
     
  5. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    >по http
    давай, расстреляю?
    аккуратнее с 's - https.

    ОП, затея аттаки на https - не более чем POC/Proof Of Concept.

    реально, на этом протоколе работают все без исключения ларьки и вебшопы интернета.

    если очень хотеть - забери себе опен-сурс OpenSSL на посмотреть, как можно ускорить скорость брута.
     
    #5 altblitz, 15 Nov 2012
    Last edited: 15 Nov 2012
  6. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    к прослушке я имел ввиду перехват информации
    если между мной и моим дедиком связь через https
    интересует что может видеть провайдер (если их конечно же заставят это сделать)?
     
    #6 GAiN, 15 Nov 2012
    Last edited: 15 Nov 2012
  7. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    GAiN, подрочил сегодня на маленьких мальчиков или девочек?
    дело твоего вкуса, бесспорно.
    скинь линк, что тебе нра ))

    подрочим теперь на AATools,
    на твоих глазах - весь траффик, с точностью до пакета.
     
  8. GAiN

    GAiN Elder - Старейшина

    Joined:
    2 Apr 2011
    Messages:
    2,550
    Likes Received:
    172
    Reputations:
    99
    я спросил серьёзный вопрос, и надеюсь на адекватный ответ
    altblitz - троль, гулял бы лесом и дрочил на свою порнушку пока есть чем !!!
     
    #8 GAiN, 15 Nov 2012
    Last edited: 17 Nov 2012
  9. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,807
    Likes Received:
    18,388
    Reputations:
    377
    Провайдеру провести MitM и прокинуть Ваш траф с https на http (при помощи sslstrip например) не слишком проблематично. Соответственно вся Ваша "защищенная" информация может быть легко перехвачена провайдером.
     
    _________________________
    1 person likes this.
  10. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    no way.
    протоколу https пох на костыли и взломы изначально.
    потому что обмен данными идёт под контролем двух ключей - на стороне клиента и сервера.

    обмен без ключей - самообман, на который падок героический GAiN.
     
  11. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,807
    Likes Received:
    18,388
    Reputations:
    377
    а если так: https://forum.antichat.ru/thread345266.html
    провайдеру проще такое реализовать.
     
    _________________________
  12. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    Да вы что, совсем из ума выжили? Вы сами вообще не видите что херню несете оба? Один "просит" подтвердить что HTTPS ломается, очень просит, другой подтверждает и все расходятся с миром. У вас разум остался, хотя бы остатки? Сами не понимаете неадекватность ситуации или публику запугать пытаетесь что HTTPS ненадежен?

    Наверняка кто-то ломал сайты через HTTPS, через анонимайзер-хостинг, кто-то спамил через панельку по HTTPS, кто-то писал плохие письма через эту же панельку. И хотите сказать что провайдер настолько добрый, что видит все это и все вам это "прощает" потому что вы его клиент? Это бредятина. Провайдер ничего не видит иначе в противном случае если бы он увидел хотя бы 1 жалобу к своим IP-адресам, он бы сразу отключил вам Интернет и попросил объяснений почему с вашего компьютера делается что-то.

    P.S. Вообще для того чтобы что-то "увидеть" нужно либо быть любопытным шизофреником, либо сотрудником ФСБ. А они по умолчанию считают всех пользователей нарушителями и подключают логирование с момента активации договора чтобы в случае чего приобщить материалы к УД. Провайдеру и его сотрудникам, если они конечно не больные шизофреники, траффик не нужен. Провайдер понимает что пользователь Интернета знает про публичные форумы, Твиттеры, Фейсбуки и прочее и если провайдер, даже если директор страдает шизофренией, подключит дешифрацию SSL по личному усмотрению, провайдера кинут и круто кинут при первом же уголовном деле. У него клиентов не останется. Поэтому либо он молчать должен в тряпочку если что-то дешифрует, либо его кидают конкретно и бизнес его заканчивается для всех клиентов.
     
    #12 black_berry, 15 Nov 2012
    Last edited: 15 Nov 2012
  13. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    yet one more, blyat

    каждый пакет, пересылаемый по протоколу HTTPS,
    изначально предусматривает обмен пакетами лишь между ДВУХ сторон, и по согласию сторон - не более и не менее.

    if вы обсуждаете это, then присоединитесь к бабкам на лавочке, у подъезда.
     
  14. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,807
    Likes Received:
    18,388
    Reputations:
    377
    Провайдеру трафик юзеров не нужен, до того момента как к нему из компетентных органов не обратятся.А по закону об ОРМ он обязан все выложить людям в пргонах. Понято, что всех подряд провайдер снифать не будет. https был надежен где то до 2009 г. ,а его MitM пока никто не отменял.
     
    _________________________
  15. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    я его взял и отменил, специально для тебя.

    user100, скинь пожалуйста скриншоты со своега акка на PayPal или банка своего,
    с ясной иконкой HTTPS в строке адреса браузера.
     
  16. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,807
    Likes Received:
    18,388
    Reputations:
    377
    по моему никакой магии: http://www.xakep.ru/magazine/xa/125/026/1.asp
     
    _________________________
    #16 user100, 15 Nov 2012
    Last edited: 15 Nov 2012
  17. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    Как только клиент посылает запрос на соединение с защищенным URL, мы подсовываем ему липовую ссылку, а сами, тем временем, устанавливаем настоящее HTTPS-соединение, выполняя запрос от своего имени. Получив ответ от сервера и опять выполнив замены в линках, отдаем контент пользователю по обычному HTTP-соединению.

    вот о чём тебе сказано - "с ясной иконкой HTTPS в строке адреса браузера."

    и где скриншоты твои?

    PS. сраный ксакеп ему Библия - на все случаи жизни.
     
    3 people like this.
  18. black_berry

    black_berry Active Member

    Joined:
    1 May 2010
    Messages:
    641
    Likes Received:
    124
    Reputations:
    31
    А были ли случаи осуждения человека или предъявления к ним вменяемых претензий со стороны провайдера если тот использовал HTTPS? Я имею ввиду реальные последствия деятельности и информация от находящихся под следствием хакеров о том, что они использовали именно HTTPS, и что дешифровка которого сыграло первоочередную и главную роль в расследовании.

    Человек может использовать и OpenVPN, и SSH, а потом может зайти через все это в личный кошелек Webmoney, зарегистрированный на его Ф.И.О. и оплатить что-то и тогда ни OpenVPN, ни SSH ничего не стоят. Ситуация для примера приведена, на месте OpenVPN+SSH мог быть и HTTPS при других условиях.

    А информации от осужденных и находящихся под следствием хакеров нет. Но вот если лично моего друга зажмут с этим, у него есть способ как кидануть "компетентные органы" при первом же удобном случае - на дедике висит скрипт который реагирует на идентификацию по ложному логину и паролю в WAP. Если друг используя мобильный телефон на "зоне" зайдет через WAP-интернет по "критическому" логину и пассу, известному ему одному, значит скрипт сольет заранее заготовленный текст про то какие системы шифрования он использовал при работе на все публичные хакерские форумы и e-mail адреса доверенных людей. Сделать это легко, у нас ведь до сих пор на "зонах" сотовые есть, от которых не могут избавиться.
     
    1 person likes this.
  19. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,807
    Likes Received:
    18,388
    Reputations:
    377
    Уважаемый, если возможен принудительный даунгрейд HTTPS-сессии до HTTP, то это как бэ говорит о не надежности такого протокола и возможности перехвата трафа, или Вы с этим не согласны? А какой там заначек будет в браузере, не суть важно.
     
    _________________________
    #19 user100, 15 Nov 2012
    Last edited: 15 Nov 2012
  20. altblitz

    altblitz Elder - Старейшина

    Joined:
    5 Jun 2009
    Messages:
    3,694
    Likes Received:
    3,149
    Reputations:
    236
    кто же спорит с такими, с приветом в башке ))

    ещё раз - или скриншот твоего онлайн-банк-акка или пидарас навсегда.

    [​IMG]

    [​IMG]