Заметил, что система управлениями счетами в адресной строке (как параметр) переадет номер моей карты в открытом виде.
Насколько я знаю, при HTTPS все в адресной строке, кроме домена шифруется.
Проверил в Зпрокси - действительно, только домен.
Вопросы:
1. "только домены" - это честность прокси? или действительно криптуется?
2. Надежность от снифинга?
https - это обычный http по ssl-каналу13.03.07 17:47 Автор: amirul <Serge> Статус: The Elderman
> Заметил, что система управлениями счетами в адресной строке > (как параметр) переадет номер моей карты в открытом виде. > Насколько я знаю, при HTTPS все в адресной строке, кроме > домена шифруется.
Домен (в смысле HTTP-header "Host:") тоже шифруется, другое дело, что перед этим надо с кем то установить SSL. А вот это можно отследить
> Проверил в Зпрокси - действительно, только домен.
> Вопросы: > 1. "только домены" - это честность прокси? или > действительно криптуется?
Сначала устанавливается SSL канал. И уже по нему шлется http трафик. Все шифруется.
> 2. Надежность от снифинга?
MiM возможен, если есть возможность подменить (так чтобы ты его принял) сертификат сервера. А такая возможность есть. У многих CA (в том числе и среди тех, которые прописаны доверенными корневыми) можно купить сертификат на тот же домен без проверок действительно ли ты имеешь отношение к этому домену. Дальнейшая подмена - лишь дело техники.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
