21.04.2009 21:45, Murat D. Kadirov пишет: > 21:37 Tue 21 Apr, Alexander GQ Gerasiov wrote:
>> Когда к нам приходит коннект, мы смотрим, куда он направлен (до >> ната/редиректа), подключаемся к удаленному узлу, получаем с него >> сертификат, выдираем оттуда subject, вставляем в свой >> сертификат-заготовку, подписываем его локальным CA, после чего >> заворачиваем TCP сессию клиента на наш локальный прокси с заданным >> сертификатом. Клиент ни о чем не догадывается. Можно еще локальный CA >> назвать VeryVerySign. Для правдоподобности. Естественно, что всё это >> прокатывает только с подконтрольной сетью, где мы можем внедрить свои >> сертификаты. У остальных пользователей будет выскакивать "Unknown CA". > > Мм.. это вроде последняя демонстрация нападения на сертификаты не помню > кто демонитрировал на какой-то конфе по безопасносте с месяц тому назад, > не? Последняя - это скорее всего более сложный вариант, основанный на найденной возможности довольно быстро находить/строить коллизии в md5 и, соответственно, сделать поддельный сертификат, который будет валиден с точки зрения любого браузера без внедрения своего CA. Но это уже даже близко не реалтаймовый путь, да и работает только с теми кто еще использует md5. -- With MBR Max CCSA/CCSE -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org