Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
https - это обычный http по ssl-каналу 13.03.07 17:47 Число просмотров: 3636
Автор: amirul <Serge> Статус: The Elderman
|
> Заметил, что система управлениями счетами в адресной строке
> (как параметр) переадет номер моей карты в открытом виде.
> Насколько я знаю, при HTTPS все в адресной строке, кроме
> домена шифруется.
Домен (в смысле HTTP-header "Host:") тоже шифруется, другое дело, что перед этим надо с кем то установить SSL. А вот это можно отследить
> Проверил в Зпрокси - действительно, только домен.
> Вопросы:
> 1. "только домены" - это честность прокси? или
> действительно криптуется?
Сначала устанавливается SSL канал. И уже по нему шлется http трафик. Все шифруется.
> 2. Надежность от снифинга?
MiM возможен, если есть возможность подменить (так чтобы ты его принял) сертификат сервера. А такая возможность есть. У многих CA (в том числе и среди тех, которые прописаны доверенными корневыми) можно купить сертификат на тот же домен без проверок действительно ли ты имеешь отношение к этому домену. Дальнейшая подмена - лишь дело техники.
|
|
<hacking>
|
Https: безопасность в адресной строке. 13.03.07 17:16
Автор: Garick <Yuriy> Статус: Elderman
|
Заметил, что система управлениями счетами в адресной строке (как параметр) переадет номер моей карты в открытом виде.
Насколько я знаю, при HTTPS все в адресной строке, кроме домена шифруется.
Проверил в Зпрокси - действительно, только домен.
Вопросы:
1. "только домены" - это честность прокси? или действительно криптуется?
2. Надежность от снифинга?
|
|
https - это обычный http по ssl-каналу 13.03.07 17:47
Автор: amirul <Serge> Статус: The Elderman
|
> Заметил, что система управлениями счетами в адресной строке
> (как параметр) переадет номер моей карты в открытом виде.
> Насколько я знаю, при HTTPS все в адресной строке, кроме
> домена шифруется.
Домен (в смысле HTTP-header "Host:") тоже шифруется, другое дело, что перед этим надо с кем то установить SSL. А вот это можно отследить
> Проверил в Зпрокси - действительно, только домен.
> Вопросы:
> 1. "только домены" - это честность прокси? или
> действительно криптуется?
Сначала устанавливается SSL канал. И уже по нему шлется http трафик. Все шифруется.
> 2. Надежность от снифинга?
MiM возможен, если есть возможность подменить (так чтобы ты его принял) сертификат сервера. А такая возможность есть. У многих CA (в том числе и среди тех, которые прописаны доверенными корневыми) можно купить сертификат на тот же домен без проверок действительно ли ты имеешь отношение к этому домену. Дальнейшая подмена - лишь дело техники.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
