?

Log in

No account? Create an account
SSL MITM proxy: a benevolent dictator - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

SSL MITM proxy: a benevolent dictator [Mar. 9th, 2010|04:18 am]
ArkanoiD
[Tags|, ]

Я не только пишу софт, который раздражает Кику, но и написал статью с объяснением, зачем это нужно.
linkReply

Comments:
[User Picture]From: juan_gandhi
2010-03-09 04:49 am (UTC)
Omg (pls excuse my english, this dumb vista stopped switching); so, not only my company, but anybody at all, any cafe, any gas station can have this "transparent https proxy", right? So... what's the solution? 3g?
(Reply) (Thread)
[User Picture]From: cdplayer
2010-03-09 05:09 am (UTC)
У них должен быть контроль за сертификатами, установленными на вашем компутере. Это легко в корпорации, которой принадлежит ваш лаптоп, но практически невозможно, когда вы "в гостях" у кого-то.
(Reply) (Parent) (Thread)
[User Picture]From: oldmann
2010-03-09 07:18 am (UTC)
nu i pishi togda translitom, ili virtualnuyu klaviaturu ispolzui, huli ti vyebyvaeshsya?
(Reply) (Parent) (Thread) (Expand)
From: (Anonymous)
2010-03-09 05:15 am (UTC)
продолжаем физическое самоубийство, дрочим блядям караванкиной, нечаевой, хуюлечке, жопируше,
наслаждаемся гипертоническим кризом, ушибом головного мозга, ускоряем мою физическую смерть прослушкой, подставами, сливами, контролем надо мной наслаждаемся ушибом головного мозга с неменьшим наслаждением дрочим на осложнения, в знаметаньный день ответряночки писателшь, дрочим катеринке, трепем ей пизденку, ебем и сандалим ей на диване
ускоряй мою физическую смерть, ты уже близок к тому чтобы втои якобы детки меня добили, вперед пелевин перекидывайся в футбол моей смертью, отдрочи всем,высоконцентрированным
дрочи хуи вовику, валечке, максику, владику, лешику
(Reply) (Thread)
[User Picture]From: arkanoid
2010-03-09 05:35 am (UTC)
Кто все эти люди?!
(Reply) (Parent) (Thread)
[User Picture]From: oldmann
2010-03-09 07:19 am (UTC)
весна-с. и в метро Они, что ни день, на рельсы взялись сигать, и до жежешечки вот добрались.
(Reply) (Parent) (Thread) (Expand)
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
(no subject) - (Anonymous) Expand
[User Picture]From: aamonster
2010-03-09 07:25 am (UTC)
А есть разница, зачем это нужно? Оно уже есть, и это следует учитывать.
(Reply) (Thread)
[User Picture]From: aamonster
2010-03-09 07:36 am (UTC)
Кстати, вопрос про софт: он обеспечивает чёткое и внятное уведомление пользователя о том, что его трафик анализируется?
Да, я понимаю, что даже если такое уведомление есть - злые дяди могут взять исходники и отломать его. Мне интересно, предусмотрено ли это отродясь.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: irsi_ro
2010-03-09 07:43 am (UTC)
http://www.rg.ru/2006/07/29/personaljnye-dannye-dok.html
Вкури арк, очень серьезно вкури... Кстати срок приведения хозяйства в норму продлили на год, до 1го января 2011 года и вот после этого начнется веселуха.
(Reply) (Thread)
[User Picture]From: arkanoid
2010-03-09 08:31 am (UTC)
Ну ты, чувак, дал джазу.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: mastodont
2010-03-09 09:34 am (UTC)
Это уже какбе боян.
Для полного счастья фкуривайте
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=97942
(Reply) (Parent) (Thread)
[User Picture]From: ico
2010-03-09 07:51 am (UTC)
А как же прайваси? Или в конторах это должно быть отменено? :)
(Reply) (Thread)
[User Picture]From: arkanoid
2010-03-09 08:29 am (UTC)
Вопрос expectation of privacy, по моему мнению, имеет очень мало отношения к наличию SSL при соединении. Как именно анализируется трафик и что можно и что нельзя, это на совести IT-отдела, естественно. Сам софт этически нейтрален: несмотря на то, что я рассматриваю конфигурации, которые не вторгаются в частную жизнь, я не могу запретить кому-либо использовать его для неэтичных и даже незаконных (что в большинстве законодательно оговоренных случаях есть одно и то же) целей. Это технологически невозможно: нельзя сделать видеокамеру, которая перестанет работать, если ее поставить подглядывать в сортире. Особенно, если используется opensource и открытая архитектура.
(Reply) (Parent) (Thread)
[User Picture]From: _winnie
2010-03-09 08:30 am (UTC)
Я по умолчанию предполагаю, что всё что я делаю в офисе не по работе - может стать доступно работодателю.
Вот я тут ответ в ЖЖ написал, есть некоторый шанс что мой начальник его увидит, и напомнит, что я должен баги из багтрекера чинить, а не в ЖЖ сидеть.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: 109
2010-03-09 09:28 am (UTC)
поэтому надо ходить домой ремот десктопом, а оттуда уже куда угодно.
(Reply) (Thread)
[User Picture]From: mastodont
2010-03-09 09:41 am (UTC)
Я таки замечу, что киковская софтина пытается все это обойти. И у беты это даже получалось.
(Reply) (Thread)
[User Picture]From: arkanoid
2010-03-09 09:45 am (UTC)
Как именно? Обойти-то понятно, что что угодно можно ;-) Оно не за этим..
(Reply) (Parent) (Thread) (Expand)
From: pustota1
2010-03-09 10:16 am (UTC)
По ходу, банк который полагается только на postoqnnyj пароль без TAN (однократный пароль) -- надо убивать сразу.
(Reply) (Thread)
[User Picture]From: arkanoid
2010-03-09 10:18 am (UTC)
Ну это само собой. Но в моей хреновине легко конфигурируются исключения, в какой трафик не лазать.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: stimur
2010-03-09 10:17 am (UTC)

Возможно я не совсем въехал

насколько я понял - транспарентный SSL прокси открывает два соединения, до клиента и до сервера, каждое шифруется своей парой ключей. Если нужно подтверждать валидность такого проксированного соединения на прокси устанавливаются ключи того сервера.
а как быть с сайтами которые не просто шифруют трафик до клиента (тот же gmail),
а ещё и авторизуют его клиентским сертификатом ? Ведь если на проксе не стоит серверный сертификат - не сработает цепочка.
(Reply) (Thread)
[User Picture]From: arkanoid
2010-03-09 10:21 am (UTC)

Re: Возможно я не совсем въехал

В данной версии авторизация по клиентским сертификатам не поддерживается - можно только исключения прописать. Но вообще, планируется возможность держать на прокси копию клиентского сертификата, если очень нужно - клиент авторизуется на прокси, прокси откапывает его сертификат и авторизуется на сервере. Просто не сейчас - клиентские сертификаты на самом деле очень мало кто использует, так что это пока несрочная задача.
(Reply) (Parent) (Thread)
[User Picture]From: stimur
2010-03-09 10:26 am (UTC)

Re: Возможно я не совсем въехал

я к тому, что без ведома _опытного_ пользователя такой перехват получается сложноосуществим (добавление сертификатов, исключений и прочее).
Подобное же использовано в решении Cisco IronPort, та же MITM "атака" для проксирования HTTPS и такие же исключения для серверов и клиентов.

(Reply) (Parent) (Thread) (Expand)
[User Picture]From: dil
2010-03-09 01:18 pm (UTC)
о, я давно говорил, что такая фиговина вполне реализуема, если есть возможность на ходу выписывать сертификаты, заверенные чем-то, которое клиент считает доверенным.
таки не ошибся :)
(Reply) (Thread)
[User Picture]From: serge_ivanov
2010-03-09 08:16 pm (UTC)
Прочитав статью мы видим очень знакомые картинки, ибо многим конторам почему-то лениво продлить сертификаты...
(Reply) (Thread)
From: (Anonymous)
2010-05-23 11:53 am (UTC)
Всегда, когда я пользуюсь чужим компьютером(и часто, пользуясь своим), я размышляю о том, что у меня нет 100% уверенности, что не запущен кейлоггер.

А вы говорите, сертификаты...
(Reply) (Thread)