информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Сетевые кракеры и правда о деле ЛевинаЗа кого нас держат?Все любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Https: безопасность в адресной строке. 13.03.07 17:16  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Заметил, что система управлениями счетами в адресной строке (как параметр) переадет номер моей карты в открытом виде.
Насколько я знаю, при HTTPS все в адресной строке, кроме домена шифруется.
Проверил в Зпрокси - действительно, только домен.

Вопросы:
1. "только домены" - это честность прокси? или действительно криптуется?
2. Надежность от снифинга?
https - это обычный http по ssl-каналу 13.03.07 17:47  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Заметил, что система управлениями счетами в адресной строке
> (как параметр) переадет номер моей карты в открытом виде.
> Насколько я знаю, при HTTPS все в адресной строке, кроме
> домена шифруется.

Домен (в смысле HTTP-header "Host:") тоже шифруется, другое дело, что перед этим надо с кем то установить SSL. А вот это можно отследить

> Проверил в Зпрокси - действительно, только домен.

> Вопросы:
> 1. "только домены" - это честность прокси? или
> действительно криптуется?

Сначала устанавливается SSL канал. И уже по нему шлется http трафик. Все шифруется.

> 2. Надежность от снифинга?

MiM возможен, если есть возможность подменить (так чтобы ты его принял) сертификат сервера. А такая возможность есть. У многих CA (в том числе и среди тех, которые прописаны доверенными корневыми) можно купить сертификат на тот же домен без проверок действительно ли ты имеешь отношение к этому домену. Дальнейшая подмена - лишь дело техники.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach