HTTPS

[n00b]

Почему сайт с такой тематикой не поддерживает протокол HTTPS?

Если сюда зайти через публичный прокси-сервер, то теоретически его владелец сможет зайти под этим аккаунтом и например прочитать личную переписку: в http-заголовке передаются данные, которых достаточно чтобы залогиниться:

Cookie: bbpassword=84afa4bde981daccea98469521f78XXX; bbuserid=16900

Также как и владельцу ВПН-сервиса, которым вы пользуетесь, теоретически ничего не мешает видеть эти данные.

 

[VCC]

ТС,это правда?

 

[n00b]

VCC, что именно? что все данные по http передаются открытыми? да, это правда.
теоретически, любое третье лицо, участвующее в передаче данных от твоего ПК до сервера с сайтом (включая провайдера) может видеть всё, что передаётся. от данных сессии, до текста, что ты отправил в посте, темы, которые смотришь и т.п.. теоретически, может не просто прочитать а ещё и изменить. поэтому и придумали HTTPS. почему этот протокол не поддерживается здесь - не понятно

 

[VCC]

Очень интересное замечание,надеюсь обратят внимание на это.Действительно,а почему у форума нет сертификата защищённого протокола?Так мысли вслух..

 

[mestniy007]

Форум год назад перешел на SSL - http://darkmoney.cc/novosti-proekta-11/forum-pereshel-na-ssl-3272/

Недавно я тоже заметил, что не заходит под https://darkmoney.cc

Хорошо что вы подняли эту тему, меня данный факт тоже интересует.

В чем проблема Лука ?

 

[Forum services]

Уточню

 

[n00b]

Примечательно, что на соседних форумах тоже не поддерживается HTTPS
https://forum.kriminala.net
https://dublikat.org/
https://migalki.org/
https://ksivi.co/
Как-то это странно.

 

[ubivi]

Люди ! Вы чего прикалываетесь или реально Вас это волнует ????
по http данные передаются не закодировано ... ипать как удивил, давайте все перейдем на https !
Вы хоть тему по курите прежде чем такое писать.
Ладно, сейчас я вам кое что страшное приватное расскажу, только не описайтесь.
Итак, начнем с того, что сайт перешел на https и все успокоились но давайте будем откровенны и вспомним, что httpS - где S = безопасное это всего навсего потоковое шифрование по SSL с помощью сертификата. Но, есть еще такое понятие как класс сертификата, в зависимости от которого, данные в адресной строке отличаются.
Вот смотрите:

и вот так

Что дальше ? да вот что, зачем биться яйцами об стену и атаковать https сессию и удаленный сайт, когда цель атаки Вы и Ваш компьютер.
Вот так вот:

Что же получится да очень просто надо принимать у Вас запросы, отправлять их по ssl к серверу, Для простоты будем заменять в потоке данных от сервера к клиенту все вхождения подстроки https на http, без какого-либо анализа кода страницы.
вот как то так.

def replaceSecureLinks(self, data):
data = DataShuffler.replaceSecureLinks(self, data)
data = self.replaceSecureCookies(data)
data = self.replaceCssLinks(data)
data = self.replaceSecureFavicon(data)
iterator = re.finditer(self.linkExpression, data, re.IGNORECASE)

for match in iterator:
link = match.group(9)

if not link.startswith('http'):
logging.d***g("Found relative link in secure transmission: " + link)

absoluteLink = "http://"+self.serverHost+link
absoluteLink = absoluteLink.replace('&', '&')
self.secureLinkListener.addLink(absoluteLink);

return data

Для того чтобы сервер не волновался по поводу того, что клиент подключается к нему по открытому каналу – все соединения с ним будет осуществлять по SSL. Вот такой вот не приятный момент, если хакер нацелен на вас, все, что ему нужно - это встроить что бы запросы шли через его "переделанный прокси", а это делается уже атаками на DNS.

И все, вы передаете данные думая, что канал защищен, но, на самом деле, данные легко декодируются и Вам браузер предательски об этом молчит.

А что мы видим на стороне хакера, а вот такой поток данных

Что хотим с ним делать ? хотим парсируем, хотим видоизменяем.

В случае же всяких страшных отделов К и прочего им ни чего не стоит в случае реальной необходимости приехать к провайдеру и завернуть весь поток идущий на определенный адрес через себя. ну, я так думаю
Так что https не фига не панацея ! думайте головой, когда пишите в личку сайта с человеком. Используйте жаберы с отр и пгп. всячески скрывайте Ваш реальный ip. Надо заботиться о себе, пока, о Вас не по заботились другие.

Всем мира !

 

[oc3rof3s]

Люди ! Вы чего прикалываетесь или реально Вас это волнует ????
по http данные передаются не закодировано ... ипать как удивил, давайте все перейдем на https !
Вы хоть тему по курите прежде чем такое писать.
Ладно, сейчас я вам кое что страшное приватное расскажу, только не описайтесь.
Итак, начнем с того, что сайт перешел на https и все успокоились но давайте будем откровенны и вспомним, что httpS - где S = безопасное это всего навсего потоковое шифрование по SSL с помощью сертификата. Но, есть еще такое понятие как класс сертификата, в зависимости от которого, данные в адресной строке отличаются.
Вот смотрите:

и вот так

Что дальше ? да вот что, зачем биться яйцами об стену и атаковать https сессию и удаленный сайт, когда цель атаки Вы и Ваш компьютер.
Вот так вот:

Что же получится да очень просто надо принимать у Вас запросы, отправлять их по ssl к серверу, Для простоты будем заменять в потоке данных от сервера к клиенту все вхождения подстроки https на http, без какого-либо анализа кода страницы.
вот как то так.

Для того чтобы сервер не волновался по поводу того, что клиент подключается к нему по открытому каналу – все соединения с ним будет осуществлять по SSL. Вот такой вот не приятный момент, если хакер нацелен на вас, все, что ему нужно - это встроить что бы запросы шли через его "переделанный прокси", а это делается уже атаками на DNS.

И все, вы передаете данные думая, что канал защищен, но, на самом деле, данные легко декодируются и Вам браузер предательски об этом молчит.

А что мы видим на стороне хакера, а вот такой поток данных

Что хотим с ним делать ? хотим парсируем, хотим видоизменяем.

В случае же всяких страшных отделов К и прочего им ни чего не стоит в случае реальной необходимости приехать к провайдеру и завернуть весь поток идущий на определенный адрес через себя. ну, я так думаю
Так что https не фига не панацея ! думайте головой, когда пишите в личку сайта с человеком. Используйте жаберы с отр и пгп. всячески скрывайте Ваш реальный ip. Надо заботиться о себе, пока, о Вас не по заботились другие.

Всем мира !

Только вот чтоб перехватывать ССЛ трафик нужно подсунуть левый сертификат. В burp suite это делается установкой CA в доверенные, но как быть с удаленной машиной, о которой не знаешь вообще ничего?
HTTPS очень нужная вещь все-таки хоть и не панацея.

 

[n00b]

ubivi, всё о чём ты написал возможно именно в том случае, если не использовать HTTPS.

>В случае же всяких страшных отделов К и прочего им ни чего не стоит в случае реальной необходимости приехать к провайдеру и завернуть весь поток идущий на определенный адрес через себя.

Наверное, да - им ничего не стоит. только в том то всё и дело, что если сервер настроен правильно и данные передаются через SSL, то прочитать их не удасться даже отделу К.

 

[Ilgur Ata]

То есть htpps не будет?