TARANTINO OBNAL SERVICE №1 на рынке теневых услуг.
Депозит 1 млн.

✔️ Профессиональное сопровождение любых финансовых операций.
✔️ Россия, СНГ Европа:

  • ➢ Физ лица
  • ➢ Юр лица
  • ➢ APK, QR-коды
  • ➢ СДП
  • ➢ Белый обнал
ПЕРЕЙТИ К ТЕМЕ
Telegram: https://t.me/TJQ_DM_25
У форума есть зеркало в Тор http://darkmonn6oy55o7kgmwr4jny2gi2zj6hyalzcjgl444dvpalannl5jid.onion
Официальный канал Darkmoney в Телеграм https://t.me/+k1c69d6xQsswYzU0
NEW! 🔥 Чат Darkmoney в Телеграм https://t.me/+q40pcoHjSRVmNTE0

HTTPS

  • Автор темы Автор темы n00b
  • Дата начала Дата начала
N

n00b

.
06.11.13
9
Почему сайт с такой тематикой не поддерживает протокол HTTPS?

Если сюда зайти через публичный прокси-сервер, то теоретически его владелец сможет зайти под этим аккаунтом и например прочитать личную переписку: в http-заголовке передаются данные, которых достаточно чтобы залогиниться:

Cookie: bbpassword=84afa4bde981daccea98469521f78XXX; bbuserid=16900

Также как и владельцу ВПН-сервиса, которым вы пользуетесь, теоретически ничего не мешает видеть эти данные.
 
⚠️ Автор объявления — непроверенный пользователь. Используйте гарант-сервис форума, чтобы избежать рисков.
Внимание: этот пользователь заблокирован! Настоятельно рекомендуем воздержаться от любого сотрудничества с ним!
ТС,это правда?
 
VCC, что именно? что все данные по http передаются открытыми? да, это правда.
теоретически, любое третье лицо, участвующее в передаче данных от твоего ПК до сервера с сайтом (включая провайдера) может видеть всё, что передаётся. от данных сессии, до текста, что ты отправил в посте, темы, которые смотришь и т.п.. теоретически, может не просто прочитать а ещё и изменить. поэтому и придумали HTTPS. почему этот протокол не поддерживается здесь - не понятно
 
Внимание: этот пользователь заблокирован! Настоятельно рекомендуем воздержаться от любого сотрудничества с ним!
Очень интересное замечание,надеюсь обратят внимание на это.Действительно,а почему у форума нет сертификата защищённого протокола?Так мысли вслух..
 
Последнее редактирование:
Внимание: этот пользователь заблокирован! Настоятельно рекомендуем воздержаться от любого сотрудничества с ним!
Форум год назад перешел на SSL -
Чтобы видеть ссылки, необходимо зарегистрироваться.


Недавно я тоже заметил, что не заходит под
Чтобы видеть ссылки, необходимо зарегистрироваться.


Хорошо что вы подняли эту тему, меня данный факт тоже интересует.

В чем проблема Лука ?
 
Примечательно, что на соседних форумах тоже не поддерживается HTTPS
Чтобы видеть ссылки, необходимо зарегистрироваться.

Чтобы видеть ссылки, необходимо зарегистрироваться.

Чтобы видеть ссылки, необходимо зарегистрироваться.

Чтобы видеть ссылки, необходимо зарегистрироваться.

Как-то это странно.
 
Люди ! Вы чего прикалываетесь или реально Вас это волнует ????
по http данные передаются не закодировано ... ипать как удивил, давайте все перейдем на https !
Вы хоть тему по курите прежде чем такое писать.
Ладно, сейчас я вам кое что страшное приватное расскажу, только не описайтесь.
Итак, начнем с того, что сайт перешел на https и все успокоились но давайте будем откровенны и вспомним, что httpS - где S = безопасное это всего навсего потоковое шифрование по SSL с помощью сертификата. Но, есть еще такое понятие как класс сертификата, в зависимости от которого, данные в адресной строке отличаются.
Вот смотрите:
Чтобы видеть изображения, необходимо зарегистрироваться.

и вот так
Чтобы видеть изображения, необходимо зарегистрироваться.

Что дальше ? да вот что, зачем биться яйцами об стену и атаковать https сессию и удаленный сайт, когда цель атаки Вы и Ваш компьютер.
Вот так вот:
Чтобы видеть изображения, необходимо зарегистрироваться.


Что же получится да очень просто надо принимать у Вас запросы, отправлять их по ssl к серверу, Для простоты будем заменять в потоке данных от сервера к клиенту все вхождения подстроки https на http, без какого-либо анализа кода страницы.
вот как то так.
def replaceSecureLinks(self, data):
data = DataShuffler.replaceSecureLinks(self, data)
data = self.replaceSecureCookies(data)
data = self.replaceCssLinks(data)
data = self.replaceSecureFavicon(data)
iterator = re.finditer(self.linkExpression, data, re.IGNORECASE)

for match in iterator:
link = match.group(9)

if not link.startswith('http'):
logging.d***g("Found relative link in secure transmission: " + link)

absoluteLink = "http://"+self.serverHost+link
absoluteLink = absoluteLink.replace('&', '&')
self.secureLinkListener.addLink(absoluteLink);

return data
Нажмите для раскрытия...
Для того чтобы сервер не волновался по поводу того, что клиент подключается к нему по открытому каналу – все соединения с ним будет осуществлять по SSL. Вот такой вот не приятный момент, если хакер нацелен на вас, все, что ему нужно - это встроить что бы запросы шли через его "переделанный прокси", а это делается уже атаками на DNS.

И все, вы передаете данные думая, что канал защищен, но, на самом деле, данные легко декодируются и Вам браузер предательски об этом молчит.
Чтобы видеть изображения, необходимо зарегистрироваться.


А что мы видим на стороне хакера, а вот такой поток данных
Чтобы видеть ссылки, необходимо зарегистрироваться.

Что хотим с ним делать ? хотим парсируем, хотим видоизменяем.

В случае же всяких страшных отделов К и прочего им ни чего не стоит в случае реальной необходимости приехать к провайдеру и завернуть весь поток идущий на определенный адрес через себя. ну, я так думаю
Так что https не фига не панацея ! думайте головой, когда пишите в личку сайта с человеком. Используйте жаберы с отр и пгп. всячески скрывайте Ваш реальный ip. Надо заботиться о себе, пока, о Вас не по заботились другие.

Всем мира !
 
Последнее редактирование:
ubivi написал(а):
Люди ! Вы чего прикалываетесь или реально Вас это волнует ????
по http данные передаются не закодировано ... ипать как удивил, давайте все перейдем на https !
Вы хоть тему по курите прежде чем такое писать.
Ладно, сейчас я вам кое что страшное приватное расскажу, только не описайтесь.
Итак, начнем с того, что сайт перешел на https и все успокоились но давайте будем откровенны и вспомним, что httpS - где S = безопасное это всего навсего потоковое шифрование по SSL с помощью сертификата. Но, есть еще такое понятие как класс сертификата, в зависимости от которого, данные в адресной строке отличаются.
Вот смотрите:
Чтобы видеть изображения, необходимо зарегистрироваться.

и вот так
Чтобы видеть изображения, необходимо зарегистрироваться.

Что дальше ? да вот что, зачем биться яйцами об стену и атаковать https сессию и удаленный сайт, когда цель атаки Вы и Ваш компьютер.
Вот так вот:
Чтобы видеть изображения, необходимо зарегистрироваться.


Что же получится да очень просто надо принимать у Вас запросы, отправлять их по ssl к серверу, Для простоты будем заменять в потоке данных от сервера к клиенту все вхождения подстроки https на http, без какого-либо анализа кода страницы.
вот как то так.

Для того чтобы сервер не волновался по поводу того, что клиент подключается к нему по открытому каналу – все соединения с ним будет осуществлять по SSL. Вот такой вот не приятный момент, если хакер нацелен на вас, все, что ему нужно - это встроить что бы запросы шли через его "переделанный прокси", а это делается уже атаками на DNS.

И все, вы передаете данные думая, что канал защищен, но, на самом деле, данные легко декодируются и Вам браузер предательски об этом молчит.
Чтобы видеть изображения, необходимо зарегистрироваться.


А что мы видим на стороне хакера, а вот такой поток данных
Чтобы видеть ссылки, необходимо зарегистрироваться.

Что хотим с ним делать ? хотим парсируем, хотим видоизменяем.

В случае же всяких страшных отделов К и прочего им ни чего не стоит в случае реальной необходимости приехать к провайдеру и завернуть весь поток идущий на определенный адрес через себя. ну, я так думаю
Так что https не фига не панацея ! думайте головой, когда пишите в личку сайта с человеком. Используйте жаберы с отр и пгп. всячески скрывайте Ваш реальный ip. Надо заботиться о себе, пока, о Вас не по заботились другие.

Всем мира !
Нажмите для раскрытия...

Только вот чтоб перехватывать ССЛ трафик нужно подсунуть левый сертификат. В burp suite это делается установкой CA в доверенные, но как быть с удаленной машиной, о которой не знаешь вообще ничего?
HTTPS очень нужная вещь все-таки хоть и не панацея.
 
ubivi, всё о чём ты написал возможно именно в том случае, если не использовать HTTPS.

>В случае же всяких страшных отделов К и прочего им ни чего не стоит в случае реальной необходимости приехать к провайдеру и завернуть весь поток идущий на определенный адрес через себя.

Наверное, да - им ничего не стоит. только в том то всё и дело, что если сервер настроен правильно и данные передаются через SSL, то прочитать их не удасться даже отделу К.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

S
Куплю Е СИМ, МТС КОННЕКТ тг для свзяи https://t.me/sprt1312
Ответы
1
Просмотры
166
Soitiro Honda
Soitiro Honda
Axiopoinos
Настройка Tor + Privoxy: HTTP и SOCKS5 proxy для домашней сети через Tor
Ответы
0
Просмотры
206
Axiopoinos
Axiopoinos
S
  • Закрыта
Swoftproxy.net | $0.7/GB | HTTP(S) и SOCKS5 | Более 90 миллионов чистых резидентных прокси
Ответы
1
Просмотры
278
Shark Service
Shark Service
H
https://nistp.ru/ надо взломать БД и положить. Сайт на 1с Битрикс
Ответы
2
Просмотры
249
Алексеев С.И
Алексеев С.И
G
Претензия к АГ https://w98.darkmoney.in/
Ответы
1
Просмотры
508
Mr-Green
Mr-Green
Назад
Сверху