В прочем, SSL-Strip не отменяется - теперь еще сложнее понять по значку, что страница зашифрована.

Во время самого первого запроса.
Если что-то не понимаешь - это еще не значит, что невозможно. Сама атака SSL-Strip существует и есть реализации.

А есть и такой типа атак. Яндекс, Рамблер и многие другие крупные сайты имеют такие дырки.

Добавлено 02-11-2012 00:16:15
http://habrahabr.ru/post/134517/, но там обсуждения.

Отредактировано Keepun (02-11-2012 00:19:28)

Есть еще такое:
http://habrahabr.ru/post/112860/
http://habrahabr.ru/post/114974/

Добавлено 02-11-2012 00:55:20

"страшных и чудовищных" нет, если поглядывать на адресную строку.

Но когда ты - выходной нод, то это значительно облегчает дело, чем править файл hosts на компах.

"Социальная инженерия" всегда была главным инструментом.

Вообще в рамках этой темы желательно бы найти расширение, которое более ярко предоставляет инфу от SSL в адресной строке (как до 15-16 версии).

Добавлено 02-11-2012 01:05:39
Что-то типа такого

Отредактировано Keepun (02-11-2012 01:05:39)

Keepun

Зачем, если «через GUI не настроить»?

-

Только я вижу здесь противоречия? Или я всё-таки что-то не так понял?

Rosenfeld

Возможно, имеется ввиду вот это?

Keepun

Это что, чтобы вредоносный код заработал, его ещё и самому собирать надо? Прямо как вирусы в Linux.

Zaycoff

Ну, видимо, там будет SVG-картинка, в которой будет скрипт, который будет при запуске выдавать сообщение вроде «Здравствуйте, я вирус из далёкой страны, чтобы я смог запуститься, пожалуйста, откройте меня Оперой…»

Keepun

Это расширение а) «Недоступно для вашей платформы», б) «Недоступно для Firefox 16.0».

Подсветка цветом всей адресной строки пойдёт? Вот есть такой стиль:

/*yellow ssl colour*/
#urlbar[level="high"] { background-color: #ffffbb !important; }
#urlbar[level="broken"] {
 background-image: -moz-repeating-linear-gradient(left -45deg, 
 #ffffff,
 #ffffff 5%,
 #ffffbb 6%,
 #ffffbb 10%
 );
}

Добавлено 02-11-2012 01:16:26

Только у тех, кто не использует отличную от стандартной тему оформления.

Отредактировано MySh (02-11-2012 01:16:26)

А нечего картинки со сторонних ресурсов вставлять.
Все правильно показывает. Там еще и примечание есть:

Есть же вменяемое расширение показывающие насколько безопасно безопасное соединение https://addons.mozilla.org/en-US/firefox/addon/calomel-ssl-validation/

Это не вирус и не троян вообще-то, чтобы его распространять.
Это - модификация выходного нода. Качаешь исходники, модифицируешь, встаешь выходным нодом и собираешь пароли, куки и т.п. интересную инфу.
Что ты распространять собрался? Модифицированный Тор, чтоб другие тоже могли "порыбачить"? наверняка уже распространяют.

Часто можно встретить заблуждение:
"Да кому нужны куки и пароли, если не известно от кого они?" - самое бредовое заблуждение. Как будь-то спамеру важно знать твой жилой адрес, чтобы рассылать с твоей почты или ака социальной сети спам твоим друзьям
Только правоохранительные органы могут запрашивать настоящие данные о человеке по IP у провайдера.

=======================
Кстати, если есть спутниковая тарелка за окном (типа НТВ+ и других - не важно), то покупаете DVB-карту в комп за 2-3т.р., качаете прогу SkyNET (наверняка еще жива) и начинаете настоящую рыбалку. Оплачивать спутниковый Инет не нужно. Достаточно поймать сигнал любого спутника в округе и найти по нему частоты в Инете... эх... было у меня такое время... куки, пароли, личные документы, порно...

С Тором тоже самое...

А еще спутниковое ТВ на халяву... как со спутником повезет...

Отредактировано Keepun (04-11-2012 03:00:10)

В Опере может.
Не про все баги сразу сообщают разработчикам. Сначала эти баги интенсивно используют. И реакция разработчиков тоже бывает неадекватная.

HSTS - идея хорошая (главное, чтоб админы знали*), но список (отсюда ссылка) предопределенных сайтов мал.

* врядли про такое новшество много админов знают. А те, кто знает, могут просто забыть об этом при настройке сервера второпях.

Что вычислить? Твое будущее по этим числам? Так это к гадалке за углом.
Хакеру нужен твой логин и пароль, а не IP.

А если конкретно по IP жилой адрес, чтоб только фейс юзеру начистить - так для этого нужно знакомому в конкретном провайдере (чей IP) проставить ящик пива. Но это уже не хакеры, а гопники или менты.

Вот это собирают хакеры, а не бессмысленные IP.

Скрываясь от властей нарываетесь на "рыбаков". И если властям обычно наплевать на Вас, то "рыбаки" будут только рады.

Keepun
Им нужно то, что им закажут. Например, моё местонахождение пытались вычислить те, кто недоволен подпиской — рекламная сеть одна. Боюсь, что не только в IT-технологиях они могли его применить.

Отредактировано Пандёнок (06-11-2012 18:10:37)

А хакеры тут причем? Это запрос в ментуру был.
Да и данных мало. Чаще можно данные владельца домена запросить...

От законов в самой стране это зависит.
Может скоро и русские в анонимные сети попрутся, как азиаты.

Добавлено 06-11-2012 20:26:09
Может реально знает кто, как без [судебного] запроса к провайдеру вычислить личность с динамическим IP или за NAT? Это только в фильмах про "хакеров" возможно...

Отредактировано Keepun (06-11-2012 20:26:09)

Tarn
Из готовых анонимайзеров можно рассматривать только Tor или i2p. Остальные или в зачаточном состоянии, или с закрытым кодом (анонимайзер!!!), или уже были взломаны и доверие к ним подорвано.