>Форум Mozilla Россия http://forum.mozilla-russia.org/index.php >Firefox http://forum.mozilla-russia.org/viewforum.php?id=4 >SSL и тому подобное... http://forum.mozilla-russia.org/viewtopic.php?id=7868 |
Lo@d > 26-01-2006 02:08:15 |
Сижу на Лисе очень давно, но таким вопросом задался совсем недавно. Причиной всему - локалка и веселые ребята, так и наровящие стянуть пару-другую паролей от чего-угодно (и важное не проскочит мимо). Короче, я про что. В безопасности указано, что используются протоколы SSL 1.0, 2.0, 3.0. Так вот, они все время задействаваны или только при безопасном соединении? И еще, помогут ли они скрыть инфу от снифферов? |
ladserg > 26-01-2006 10:35:33 |
Lo@d пишет
SSL соединение должен поддерживать сервер, и настроен тоже на работу по протоколу HTTPS. Трафик при этом перехватить наверное можно, но он будет зашифрован, т.е. просмотреть мало чего можно. Ключи для шифрации создаются каждый сеанс и только на время сеанса. Действует безопасность до тех пор, пока ты сидишь на ресурсе вида https://чего-то. Для получения/отправки почты по зашифрованным каналам так же необходима поддержка SSL самими почтовыми серверами. Thunderbird нормально работает по зашифрованным протоколам, правда есть одно неудобство - антивирусы не могут проверять почту, отправляемую по зашифрованным протоколам. Так же необходимо знать, что чаще всего передача по зашифрованным каналам идёт на отдельных портах, что необходимо учитывать при настройке файервола. Данные в формах и пароли по зашифрованным каналам передаются тоже в зашифрованном виде. Сеанс по зашифрованному каналу выглядит примерно так: клиентская программа(в дальнейшем клиент) делает запрос на сервер, после чего сервер и клиент генерирую ключи (или сертификаты, зависит от вида канала), которыми обмениваются, после чего весь трафик перед передачей шифруется, передаётся, и после приёма расшифровывается. Есть доля вероятности перехвата ключей при подключении к зашифрованному каналу, и дальнейшей дешифровке сеанса, но эта вероятность мала, к тому же это трудоёмко и дорого. И если ваши весёлые ребята заинтересованы и очень богаты (или сильно умны) то могут попытаться перехватить сеансовые ключи. |
Lustermaf > 26-01-2006 11:27:04 |
ladserg пишет
Не так всё просто. Это очень кратко, подробнее см.: Имейте в виду, что некоторый материл устарел, т.к. экспортные ограничения США на крипто были сняты ещё в 2000 г., и шифрование сейчас весьма надёжное. ladserg пишет
Нет, совсем недорого. Но так просто подменить, чтобы браузер не предупредил о недоверенном сертификате довольно сложно. Проще говоря, подменить сертификат так, чтобы пользователь ничего не заметил, сложно. Нужна подпись одного из доверенных центров сертификации, прописанных в браузере. Они, как правило, направо-налево подписи не раздают, но и не стоит доверять их подписи безоговорочно. Подменить сеансовый ключ невозможно удалённо, но можно путём встраивания бэкдора в проприентарный продукт (IE, Opera). Достаточно сделать хитрый PRNG. ladserg пишет
Перехватить сеансовые ключи невозможно, они зашифрованными передаются. Всё-таки протокол SSL создавался не дураками. |
sentaus > 26-01-2006 13:24:07 |
|
Lo@d > 26-01-2006 15:10:09 |
А как насчет SSL прокси, если его заюзать, то нет необходимости в поддержке SSL сервером, как я понимаю. Я тут посмотрел немного, все время на платные прокси натыкаюсь. Вечерком еще гляну, найду может чего. А может кто что подскажет |
Lustermaf > 26-01-2006 16:53:53 |
sentaus пишет
А проверяю OpenPGP-подпись инсталляторов Firefox и Thunderbird. Однако в последнее время у MoCo наблюдается безответственное отношение к этому делу. Lo@d пишет
В таком случае на пути от прокси к сайту трафик всё равно будет нешифрованный. Lo@d пишет
Tor. |
Lo@d > 26-01-2006 20:41:00 |
|