Le 13/04/2016 09:25, Solarus Lumenor a écrit : > > > Le 2016-04-12 17:07, Edouard Chamillard a écrit : > >> sérieux compromettent carrément la session complète sur tout internet au >> lieu de la compromettre en interne sur un seul équipement, et pire, >> rendent impossible la connexion aux sites qui utilisent HSTS ? ce genre >> de gens sérieux ? on est déja trolldi ? > Va falloir m'expliquer comment compromettre une «session complète sur > tout internet» avec simplement un proxy d'entreprise, parce que ça à > l'air intéressant comme faille.
on interdit une connexion sur le port 443 tout en autorisant une connexion sur le port 80 quelque part sur le trajet entre le client et le reste des tuyaux du monde ? effectivement c'est passionant... > Oui, la plupart des boites sérieuses ont un proxy avec un filtrage sur > les FQDN. > > -Demande de connexion HTTPS au site d'une banque : OK > -Demande de connexion HTTPS à Facebook : KO donc la plupart des boites serieuses ont un proxy en MITM, capable de lire un en tete SNI ou un champ Server: (et pas un FQDN, a part si ton proxy fait aussi la résolution dns (ce que certains font)). effectivement ça méritait de parler de deux types d'équipement. > > > Si tu a le droit d'accéder au site, tu y accède, si le site n'a pas > d'intérêt professionnel ou présente un danger (webmail, fishing etc) ben > tu reçois un joli code HTTP 403 t'interdisant d'y accéder. > C'est aussi simple que ça et ça permet de protéger le réseau > d'entreprise sans mettre en œuvre de solutions qui ELLES seraient > dangereuses pour la confiance que peuvent avoir les utilisateurs envers > le modèle X.509/TLS au niveau global. donc. dans une session https. tu peux injecter un 403. ok. ou alors encore mieux. le client se connecte en http sur ton proxy (et le reste du réseau qui est manifestement ~de confiance~ voit le contenu en clair) et le proxy fait le handshake. non parce que y'a littéralement aucun moyen de faire ce que tu viens de dire faire sans etre en MITM, et vu que tu es en MITM... aucun commentaire sur l'argument bloquer/lire le flux. c'est une pure question de PSSI qui doit etre prise par des gens mieux payés que moi. > > > Au delà de l'aspect technique, je considère à titre personnel et éthique > que toute volonté d'interception (contrairement au blocage) n'a pour but > que d'espionner les salariés et les utilisateurs de manière > disproportionnée. > Et j'attends encore la preuve du contraire. > > Solarus > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/
signature.asc
Description: OpenPGP digital signature
