Tue, 21 Apr 2009 23:45:07 +0600 "Murat D. Kadirov" <[email protected]> wrote:
> > > The monkey in the middle? В dsniff какая-то приблуда была... > > Там это на более примитивном уровне, насколько я могу судить. Он > > всегда представляется заданным сертификатом. А можно сделать > > красивее: > > Да дофига этих методов обхода, через днс запросы, к примеру, мало ли. > Суть в том, что нереально заблокировать всё и вся, чего желает > топикстартер, от человека даже просто со знаниями сетевых технологий > ниже среднего. Реально. Если у тебя знания на порядок выше. Правда мы сейчас немножко про другое. > > Когда к нам приходит коннект, мы смотрим, куда он направлен (до > > ната/редиректа), подключаемся к удаленному узлу, получаем с него > > сертификат, выдираем оттуда subject, вставляем в свой > > сертификат-заготовку, подписываем его локальным CA, после чего > > заворачиваем TCP сессию клиента на наш локальный прокси с заданным > > сертификатом. Клиент ни о чем не догадывается. Можно еще локальный > > CA назвать VeryVerySign. Для правдоподобности. Естественно, что всё > > это прокатывает только с подконтрольной сетью, где мы можем > > внедрить свои сертификаты. У остальных пользователей будет > > выскакивать "Unknown CA". > > Мм.. это вроде последняя демонстрация нападения на сертификаты не > помню кто демонитрировал на какой-то конфе по безопасносте с месяц > тому назад, не? > Нет, речь о другом. -- Best regards, Alexander GQ Gerasiov Contacts: e-mail: [email protected] Jabber: [email protected] Homepage: http://gq.net.ru ICQ: 7272757 PGP fingerprint: 0628 ACC7 291A D4AA 6D7D 79B8 0641 D82A E3E3 CE1D -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
