https в принципе можно подслушать в среде active directory, переподписывая пакеты корпоративным CA (т. к. внутри домена ему доверяют все члены домена: доменный ca политиками домена вносится в trusted всех браузеров, не уверен только насчет оперы)
Евгений Степанищев (bolknote.ru)
2012
Комментарий для vladon.ru:
Атака MiM, ага. В AD приватный ключ CA доступен всем?
vladon (vladon.ru)
2012
Комментарий для Евгения Степанищева:
нет конечно. тут другое: шлюз tmg (ex-isa) может переподписывать пакеты в обе стороны, это стандартная функция причем. приватный ключ CA делается известным только шлюзу.
Неуч
2012
Хоть убей не пойму почему из 16^54 получаем 3^(24*54). Help :)
Евгений Степанищев (bolknote.ru)
2012
Комментарий для vladon.ru:
Почему вы все ответы ставите цитатами?
Denis Poloudin (poluden.livejournal.com)
2012
Комментарий для Неуч:
a^b mod x === ((a mod x) ^ b ) mod x
vladon (vladon.ru)
2012
Комментарий для Евгения Степанищева:
я не ставлю пишу обычно, но почему-то у тебя при потере фокуса в форме ввода спереди добавляется знак больше. можешь проверить сам: андроид + опера мобайл. вот сейчас вручную удалил.
Евгений Степанищев (bolknote.ru)
2012
Комментарий для vladon.ru:
А! Мобильное устройство.
Надо посмотреть что там такое.
Moriarty
2012
Diffie-Hellman, кстати, к MITM уязвим, так что «почему нельзя подслушать HTTPS-трафик» к видео довольно опосредованное отношение имеет.
Диктор забавный — 46 читает как «forty two».
Евгений Степанищев (bolknote.ru)
2012
Комментарий для Moriarty:
Хм. Действительно же уязвим, дал маху.
Евгений Степанищев (bolknote.ru)
2012
Комментарий для Moriarty:
Поправил текст.
invalidCCIE (blog.invalid.org.ua)
2012
в ssl/https используется не diffie-hellman а rsa.
оба алгоритма уязвимы к атакам mitm.
для https это решается тем что стороны проверяют друг друга с помощью сертификатов x509.
для dh это решается использованием x509 сертфикатов или psk ключей для генерации nonce.
перехват https на корпоративном шлюзе требует не просто доверия к сертификату. он требует что б совпал subject name. для этого для шлюза выполняющего перехват создают сертификат с subject name=*, и если приложение не забракует такой subject name, то оно примет сертификат при условии доверия к корпоративному ca.
так что есть несколько «если», но технически это не только реализуемо, но и реализуется...
Евгений Степанищев (bolknote.ru)
2012
Комментарий для blog.invalid.org.ua:
в ssl/https используется не diffie-hellman, а rsa.
Принцип-то тот же.
vladon (vladon.ru)
2012
Комментарий для blog.invalid.org.ua:
не вижу трудностей в подстановке в subject name конкретного хоста. выпускается и подписывается-то он все равно центром сертификации, которому клиент доверяет.
Комментарий для vladon.ru:
Атака MiM, ага. В AD приватный ключ CA доступен всем?
Комментарий для Евгения Степанищева:
Хоть убей не пойму почему из 16^54 получаем 3^(24*54). Help :)
Комментарий для vladon.ru:
Почему вы все ответы ставите цитатами?
Комментарий для Неуч:
a^b mod x === ((a mod x) ^ b ) mod x
Комментарий для Евгения Степанищева:
я не ставлю пишу обычно, но почему-то у тебя при потере фокуса в форме ввода спереди добавляется знак больше. можешь проверить сам: андроид + опера мобайл. вот сейчас вручную удалил.
Комментарий для vladon.ru:
А! Мобильное устройство.
Надо посмотреть что там такое.
Diffie-Hellman, кстати, к MITM уязвим, так что «почему нельзя подслушать HTTPS-трафик» к видео довольно опосредованное отношение имеет.
Диктор забавный — 46 читает как «forty two».
Комментарий для Moriarty:
Хм. Действительно же уязвим, дал маху.
Комментарий для Moriarty:
Поправил текст.
в ssl/https используется не diffie-hellman а rsa.
оба алгоритма уязвимы к атакам mitm.
для https это решается тем что стороны проверяют друг друга с помощью сертификатов x509.
для dh это решается использованием x509 сертфикатов или psk ключей для генерации nonce.
перехват https на корпоративном шлюзе требует не просто доверия к сертификату. он требует что б совпал subject name. для этого для шлюза выполняющего перехват создают сертификат с subject name=*, и если приложение не забракует такой subject name, то оно примет сертификат при условии доверия к корпоративному ca.
так что есть несколько «если», но технически это не только реализуемо, но и реализуется...
Комментарий для blog.invalid.org.ua:
Принцип-то тот же.
Комментарий для blog.invalid.org.ua: