URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 88189
[ Назад ]

Исходное сообщение
"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."

Отправлено opennews , 11-Янв-13 15:33 
Один из индийских экспертов по безопасности заинтересовался (http://www.theregister.co.uk/2013/01/11/nokia_decrypts_says_.../) фактом перенаправления трафика на транзитных сервер при попытке обращения к сайтом со штатного браузера (Nokia Browser 2.2.0.0.31)) мобильных телефонов Asha (Series 40) от компании Nokia. В итоге было выявлено (http://gaurangkp.wordpress.com/2013/01/09/nokia-https-mitm/), что компания осуществляет транзитную дешифровку HTTPS-трафика на своём прокси сервере.


Метод основан на подмене IP-адреса DNS-сервером Nokia, из-за чего  запроса клиента перенаправлялся на прокси-сервер комапании, от имени которого с SSL-сертификатом Nokia возвращается ответ, в котором транслировалось содержимое HTTPS-сеанса, установленного с запрошенным клиентом сайтом (в эксперименте фигурировали запросы к https://www.google.com). Никаких предупреждений о нарушении безопасности у клиента не выводилось, так как в на телефон был добавлен SSL-сертификат, доверяющий данным с домена cloud1.browser.ovi.com, который фигурировал в сеансах с прокси.

Компания Nokia заверила, что указанная техника используется исключительно для ускорения доступа к сайтам, никакие данные не оседают и не анализируются на серверах компании. Кроме того, в выпущенном сегодня обновлении мобильного браузера Nokia акселерация HTTPS-трафика прекращена и прокси Nokia теперь не вклинивается в подобный трафик.


URL: http://www.theregister.co.uk/2013/01/11/nokia_decrypts_says_.../
Новость: http://www.opennet.me/opennews/art.shtml?num=35810


Содержание

Сообщения в этом обсуждении
"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 15:33 
Откровенный обман, как и вся политика Ноклы и ее продукция.

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено wS , 11-Янв-13 15:44 
Нокия! не путай с прекрасной фирмой Нокла

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 16:05 
За что вы так не любите NOKLA? Фирме NOKIA скоро придется их подделывать, потому что они себе таких обсираков не позволяют :)

P.S. да, сразу видно - подружились с MS -> началось западлостроение во все поля.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Aleks Revo , 13-Янв-13 17:07 
> P.S. да, сразу видно - подружились с MS -> началось западлостроение во все поля.

Возможно Вы путаете причину и следствие. Достойная компания не подружилась бы с МС ))))


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 12-Янв-13 00:02 
Даже обидно, раньше хорошие телефоны делали, n900, например.

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 12-Янв-13 03:03 
Ну так пришел троян из редмонда - элоп.

"Компанию Nokia уличили в транзитной дешифровке..."
Отправлено arisu , 14-Янв-13 00:39 
> Даже обидно, раньше хорошие телефоны делали, n900, например.

всё верно —  за вычетом того, что N900 не телефон. это tablet с кое-как привинченой функцией звонилки.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Nokia RIP , 11-Янв-13 15:37 
Интересно, кому Элоп сливает инфу о владельцах девайсов Nokia?

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 16:06 
> Интересно, кому Элоп сливает инфу о владельцах девайсов Nokia?

Для майкрософта не впервой фишингом заниматься. Они вон в ынтырнет эксплорерах шлют посещаемые урлы на свои сервера. "Для защиты от фишинга", угу...


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено анонимус , 11-Янв-13 22:00 
>>Они вон в ынтырнет эксплорерах шлют посещаемые урлы на свои сервера. "Для защиты от фишинга", угу...

FF и Opera шлют на Google Analytics


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 22:29 
> FF и Opera шлют на Google Analytics

Файрфокс сам по себе на Google Analytics вообще ничего не шлет. В чем можно убедиться тупо взяв сниффер и посмотрев что и куда летает. На гугл аналитикс может слать лишь конкретный сайт, если он впендюрил себе этот аналитикс на страницу. Тогда вообще все браузеры пойдут на этот аналитикс, поскольку так попросила страничка на которую вы зашли, заявив что это потребно для ее отображения. И даже так оно лечится адблокплюсом, 1 вилдкардом буквально :)

Защита от фишинга в лисе сделана умнее - они не шлют урлы на проверку. Они держат локальную базу проблемных урлов по типу того как антивирусы хранят базы вирусных сигнатур. Гугл из этого знает лишь то что некто, один из 100500 миллионов тоже пользуется их услугой защиты от фишинга. А куда именно вы ходили - гугл не знает. Это не больно какие ценные сведения. Заодно при такой схеме нет тормозов от отсылки урлы на побочный сервер - локальная проверка проходит куда быстрее чем проверка на каком-то там ремотном серваке.

Разница - как между кем-то кто поднял через полчаса потерянные вами 10 копеек vs нагло обчистил ваши карманы невзирая на бурный протест.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено YetAnotherOnanym , 11-Янв-13 17:56 
Тем же, кому Опера сливает инфу об использующих турбо-режим.

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 18:16 
В опере же отключается. А тут нет. В том и разница

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 19:17 
> Тем же, кому Опера сливает инфу об использующих турбо-режим.

http://www.opera.com/browser/turbo/

Надежная защита конфиденциальности

Даже при использовании функции Opera Turbo серверы Opera не участвуют в установке безопасных соединений. Это означает, что при работе с банковским приложением или при пересылке конфиденциальных данных вы взаимодействуете напрямую с веб-сайтом.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 15:38 
А еще телефонные звонки прослушиваются, записываются и анализируются американской системой "эшелон".
ку!

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 16:03 
> А еще телефонные звонки прослушиваются, записываются и анализируются американской системой
> "эшелон".
> ку!

Раньше их провайдеры сливают СОРМу. Прикинь - без предупреждения! И, кстати, прокси не имеют в протоколе фенечки, позволяющей уведомить юзверя, что его бдят! Особенно транспарентные, приколись!


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 16:08 
> Особенно транспарентные, приколись!

А приколись, есть такая штука - секурные туннели. Вот бдит прокся, бдит, а там какой-то хлам летает. Ну и чего? Или уж камон и предъвляйте обвиения, если уверены что есть что предъявить, или уж GTFO из частной жизни, ибо нефиг.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Андрей , 11-Янв-13 17:08 
расскажите, как в анальном аппарате прикрутить туннель?

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено rshadow , 11-Янв-13 18:10 
Берешь голубя, кусочек бумаги, веревочку и ручку .... остальное по RFC...

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 18:39 
> Берешь голубя, кусочек бумаги, веревочку и ручку .... остальное по RFC...

А если голубя прикормили "большой брат" и ко, и он по дороге еще и к ним залетит?


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено XoRe , 11-Янв-13 18:53 
>> Берешь голубя, кусочек бумаги, веревочку и ручку .... остальное по RFC...
> А если голубя прикормили "большой брат" и ко, и он по дороге
> еще и к ним залетит?

Новая атака голубь-in-the-middle :)
Реквестую proof-of-concept!


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 19:50 
> расскажите, как в анальном аппарате прикрутить туннель?

Вот конкретно в этом фуфле от нокии - вероятно путем приколачивания аппарата на стенку и покупкой нормального смарта.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено прохожий , 11-Янв-13 21:12 
>нормального смарта

Список - в студию, пожалуйста!


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 22:10 
> Список - в студию, пожалуйста!

Как ни странно, N900 от нокии, например (благо выпущен до того как они скурвились). Или что-нибудь на ведроиде из списка поддерживаемых цианоген-модом, например (вот так - потому что мало ли что там западлостроители-производители напихали в свои блобы без сорсов).

А потом пикрутить хоть тот же openvpn до своего хоста где-нить в забугорье. Получится весьма неудобная для любителей вуайеризма схемка. Ну видят они что была какая-то коннекция. А чего ради как оно какой смысл - кто ж его знает то? Ну и потом не видно соответственно во что развернулся секурный туннель. Другое дело что если вы будете логиниться на сервера - они тоже ведут логи.

В таком варианте это не то чтобы полная анонимность, скорее защита канала от всех желающих внего вклиниться: что от вынюхивающих сормовщиков, что от хакерья вытаскивающего пароли на открытых точках доступа, что от зело борзых админов с упомянутыми железками вклинивающимися в такой траффик, что от опсосов желающих тарифицировать что-то по конским "премиум" ценам, что кого там еще. Ну, оно или уж работает от всех вообще, или уж декоративная-показушная хрень. По другому в криптографии не бывает.

Если надо именно анонимность - есть штуки типа TOR, например. Имеют смысл в паре с privoxy, дабы ваш браузер не очень мусорил. Да, privacy в интернете не совсем просто. Но можно, если понимаете как работают протоколы и что именно вас идентифицирует. Но знание о стеке протоколов который применяется повсеместно вообще достаточно полезная штука, имхо.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено prokoudine , 11-Янв-13 22:19 
> А приколись, есть такая штука - секурные туннели. Вот бдит прокся, бдит, а там какой-то хлам летает. Ну и чего? Или уж камон и предъвляйте обвиения, если уверены что есть что предъявить, или уж GTFO из частной жизни, ибо нефиг.

Термин "ректальный криптоанализ" появился не просто так.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 22:31 
> Термин "ректальный криптоанализ" появился не просто так.

Ну как бы у него есть важный бонус: его довольно сложно произвести втихаря и оно доступно не всем и только по очень некоторым поводам.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 23:40 
желаю тебе его

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 15:39 
>Один из индийских экспертов по безопасности

Если вспомнить, кто нынче составляет основной контингент разрабов и манагеров M$, то вроде как все понятно.
Хотя, с другой стороны, ну купили вы контору вместе с потрохами, зарывать в дерьмо то ее зачем?


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 15:54 
потому-что МС - компания-паразит, доказано всеми её "партнёрами"

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 16:09 
> зарывать в дерьмо то ее зачем?

Как-то так получается что после партнерства мухи с пауком, в паутине неизбежно остаются высушенные трупики.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено wS , 11-Янв-13 15:43 
айЯболко делало тоже самое! не?

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Crazy Alex , 11-Янв-13 15:46 
много кто такое делает. Но обычно всё же предупреждают

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 16:02 
Не обязаны, прикинь! И ОпСоСы не предупреждают 72м шрифтом в контрактах, что ВЕСЬ твой трафик сливают СОРМу! (иначе лицензию не дадут на услуги публичной связи - ни-ко-му)

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено hizel , 11-Янв-13 16:05 
Зеркалят трафик и не дешифруют. Пусть СОРМ копается, чо.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Xasd , 11-Янв-13 16:16 
> И ОпСоСы не предупреждают 72м шрифтом в контрактах, что ВЕСЬ твой трафик сливают СОРМу

что-то я пока ещё НЕ замечал чтобы при подключении к httpS-сайту [через ОпСоСа] -- Firefox показывал бы мне TLS/SSL-сертификат с модифицированным значением Fingerprint :-)

так-что утверждение о том что они сливают трафик -- это как-то спорно... больше похоже на то что они сливают мусор :-D :-D

[как обычно всё делается для галочки, в нашей рашке]..


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 16:17 
> ВЕСЬ твой трафик сливают СОРМу!

Пусть сливают SSL сессии, мне не жалко. А что они с ней делать будут? В общем случае активный сниффинг (MITM) SSL может детектировать а пассивный - не позволит расшифровать сессию.

Сама по себе основа SSL в общем то не настолько уж и плоха. Плоха затея вокруг оного с кучей "доверяемых по дефолту" ауторитей в браузерах. При том что каждая ауторити может выписать сертификат на все. Вплоть до того что Вася Пупкин - это гугл, мамой клянусь!  


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Ytch , 11-Янв-13 21:41 
> Вплоть до того что Вася Пупкин - это гугл, мамой клянусь!  

Только браузер ругнется все равно (хоть и не строго) если vasyapupkin-supersite.com дает  сертификат хоть и вроде валидный, но выписаный на google.com. А их встроенный браузер, безо всяких предупреждений жрет сертификат от одного сайта, хотя он и выписан на другой. Цитата:

One more thing that should be noticed here is that the DNS request was send for “cloud13.browser.ovi.com” where as certificate (middle one) says it was issued to “cloud1.browser.ovi.com”, and still there was no security warning thrown on the phone.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 21:53 
> Только браузер ругнется все равно (хоть и не строго) если vasyapupkin-supersite.com дает
>  сертификат хоть и вроде валидный, но выписаный на google.com.

Вы не поняли.

1) Вы заходите на google.com. Гуглком отдал один серт...Васе Пупкину! Который вклинился посередине. Вася его радостно получил со своей стороны. И установил секурное соединение с гуглем. Но вам этот серт ясен фиг не отдал совсем.

2) Вася присылает вам другой сертификат. Васин. Где тем не менее, какая-то ауторити (скорее всего другая) из списка доверяемых ауторитей браузера просто мамой клянется что вот именно этот вот Вася и его хост - google.com и все тут.

3) Поскольку Вася прислал вполне валидный на вид сертификат "якобы гуглокома" - для вас все выглядит как будто бы вы просто зашли на гуглоком.

Тем не менее, посередине линка сидит Вася. Он получает данные по SSL от вас, расшифровывает их, делает с ними все что сочтет нужным, перешифровавывает и закидывает гуглю (если посчитает нужным). В обратную сторону аналогично.

Тем не менее, подобная схема в принципе детектабельна.
1) Айпишник будет не из числа обычно принадлежащих данной конторе.
2) Сертификат, ясен хрен, другой. Если вы ранее юзали этот сервис и у вас есть старый серт, можно сравнить сертификат и если он существенно изменился с того момента - это уже должно вызывать вопросы. В принципе, может быть сертификат и просто перевыпущен. А может быть там наглый MITM орудует. Вариантов два.

Собственно основная проблема SSL в том виде как это сделано в браузере - в том что он никак не отслеживает такие фокусы с выпиской некоей ауторити сертификата который уже был выписан на тот же объект другой ауторити. Что позволяет постороннему закосить под этот объект, если одна из ауторитей облажается или обнаглеет.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено nyt , 12-Янв-13 12:12 
Ты упорот. MITM для SSL работает по другому и для этого нужно много условий.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено anonymous , 12-Янв-13 13:25 
> Ты упорот. MITM для SSL работает по другому и для этого нужно
> много условий.

Опишите тогда более точную схему, пожалуйста.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Andrew Kolchoogin , 14-Янв-13 15:04 
Да вот как раз-таки нет: MITM для SSL работает именно так, как описал товаристч. И проблему он правильно обозначил: всё, что для браузеров Builtin Security Token, является абсолютно доверенным.
Поэтому если скомпрометировать закрытый ключ корневой CA, тогда можно выписывать себе сертификаты (валидные!) от любого HTTPS-сервера, посещаемого пользователем, буквально-таки на лету.
И такие случаи, как ни странно, бывали: посмотрите в FireFox'е список ревокнутых сертификатов корневых CA, вы таки очень удивитесь.
Это фундаментальный design flaw всей модели доверия SSL: есть мнение, что правильней был бы регулируемый кворум (например, сертификат должен быть подписан тремя разными корневыми CA -- или любым другим числом, в зависимости от параноидальности пользователя), но это всё теория.
Пока же для того, чтобы стать Builtin Security Token'ом в браузере, надо просто пройти сертификацию на соответствие тем-то и тем-то требованиям -- но человеческий фактор в них учесть довольно сложно.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Ytch , 12-Янв-13 12:33 
Да понял я это, понял. Они говорят о том, что кроме этого (плюс к этому, дополнительно), не выводится никаких предупреждений даже если сертификат выдан на другое имя.  Идешь на один сайт, тебе суют сертификат от другого и никаких предупреждений. В этом случае ауторити клянется, что это vasyapupkin-supersite.com (и так оно и есть!), хотя вы изначально шли-то на google.com, но браузер решил не беспокоить вас по столь незначительному поводу.
Тут даже не нужны шаманства с ауторити и встраиванием сомнительных сертификатов. Может быть, конечно, такой трюк работает только на их собственные сайты, но какая уже разница (если есть в одном случае - будет и в других).

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Crazy Alex , 11-Янв-13 16:50 
Опсосы - они по дефолту внешние и недоверенные, SSL - в том числе для защиты от них. А если не знаешь, что от своего устройства ждать - то на кой оно такое нужно.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 19:54 
> своего устройства ждать - то на кой оно такое нужно.

Некотрые не учат историю. И поэтому не знают чем закончилась любовь к стремным девайсам у жителей города Троя.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 12-Янв-13 12:46 
>> своего устройства ждать - то на кой оно такое нужно.
> Некотрые не учат историю. И поэтому не знают чем закончилась любовь к
> стремным девайсам у жителей города Троя.

(наивно) А в этом лучшем из миров, в области публичной связи, есть нестремные девайсы? Вообще - в природе существуют? Огласите весь список, пжалста!


"Компанию Nokia уличили в дешифровке HTTPS-трафика с..."
Отправлено arisu , 14-Янв-13 00:46 
> (наивно) А в этом лучшем из миров, в области публичной связи, есть
> нестремные девайсы?

ham radio.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 16:01 
Они открыли SSL-bump! На прокси-серверах! :))))))))))))))))))))))))))

Они убили Кенни! (С) :))))))))))

А это ничо, что до Ноклы весь траф снимается с коммутаторов СОРМом? Вас это не смущает, джентльмены?

"Как американский гражданин я требую, чтобы за мной следило ЦРУ - и больше никто!" (С) :)))))))))))))))

Скажите, открытие века сделали.....


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 16:14 
> А это ничо, что до Ноклы весь траф снимается с коммутаторов СОРМом?

Ну, слили вы себе SSL сессию. И чего? Пассивный сниффинг SSL неэффективен. А активный MITMинг - по задумке детектабелен. В конкретно той реализации что в веб браузерах тем не менее проблема в том что изменения сертификата никто не отслеживает и кто угодно из обладателей сертификата из списка доверяемых ауторитей может выпустить кому угодно сертификат на что угодно без какого либо палива.

Ясен хрен что нокия которая производит свои телефоны уж наверное может сунуть свой сертификат в свой браузер. Только вот какое оно trusted authority после таких выходок, ась?


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Мимо проходил , 11-Янв-13 16:20 
> А это ничо, что до Ноклы весь траф снимается с коммутаторов СОРМом?
> Вас это не смущает, джентльмены?

Во-первых, сорм запоминает время, адреса, количество пакетов, мегобайты. С какого перепуга это должно смущать кого-то?
Во-вторых, обычный прокси прозрачно пропускает через себя ссл, а в этом случае, прокся в полной мере реализует атаку MITM.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 16:28 
> прокся в полной мере реализует атаку MITM.

При том для ее реализации в браузере должен быть заранее подпихан скомпрометированный доверяемый сертификат. Нокия тупо воткнула бэкдор. Пи...ц.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено XoRe , 11-Янв-13 19:07 
> Во-вторых, обычный прокси прозрачно пропускает через себя ссл

Обычный - да.
А с опцией ssl_bump - нет.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 19:23 
>> Во-вторых, обычный прокси прозрачно пропускает через себя ссл
> Обычный - да.
> А с опцией ssl_bump - нет.

Если о ssl_bump не предупреждается в лицензии то она незаконна, поскольку занимается мошеннической подменой сертификата безопасности чужого сайта.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 12-Янв-13 12:47 
>>> Во-вторых, обычный прокси прозрачно пропускает через себя ссл
>> Обычный - да.
>> А с опцией ssl_bump - нет.
> Если о ssl_bump не предупреждается в лицензии то она незаконна, поскольку занимается
> мошеннической подменой сертификата безопасности чужого сайта.

Расскажи это Амосу Джеффрису. Угу? И - да, ссылку на нарушенный закон, пжалста - в студию. Хоть по какому законодательству хоть какой Гурундувайю.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено ЕЕ , 12-Янв-13 23:19 
Ну и чаво толку этому СОРМУ с зашифрованного траффика?
Замахали уже с этим СОРМом

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Anonim , 11-Янв-13 16:38 
Я 1 думал,что транзитный сервер не может расшифровать https трафик? Так и любой прокси может данные спереть?

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Ordu , 11-Янв-13 16:50 
Нет, не любой. Только тот, который сможет убедить браузер в том, что сертификат, который прокси суёт браузеру, является подлинным сертификатом сайта на который нацелился браузер. Это не так просто сделать. Просто в случае нокии, прокси и браузер дело рук одних и тех же разработчиков, естественно, что браузер верит проксе беспрекословно.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Anonim , 12-Янв-13 13:12 
Сертификат привязывается к домену и возможно сгененерировать 2 и более сертификатов на 1 домен, которые будут корректно восприняты клиентом?

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Crazy Alex , 11-Янв-13 16:53 
Не может. Но здесь вендор заботливо оставил в устройстве для себя дыру, сунув свой сертификат в корневые. В результате трафик мирно расшифровывался не серверре Нокии, зашифровываля уже её сертификатом и шел к пользователю. А тот не замечал ничего, потому что трафик зашифрован доверяемым ключом.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 17:44 
В одной известной компании софт с погонялом TMG имеет фичу ssl inspection из коробки. Интересно чем проксировали нокивцы трафик.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 19:57 
> В одной известной компании софт с погонялом TMG имеет фичу ssl inspection

А кем фэйк-серт выдан? Это как раз теми турками или это кто-то другой отличился? Ну, собственно, ауторитя подписавшая серт то всяко указана, куда ж она денется?


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено ООО_171Майкрософт_Рус187 , 11-Янв-13 22:43 
>> В одной известной компании софт с погонялом TMG имеет фичу ssl inspection
> А кем фэйк-серт выдан? Это как раз теми турками или это кто-то
> другой отличился? Ну, собственно, ауторитя подписавшая серт то всяко указана, куда
> ж она денется?

больше никогда не старайся показатся умнее, чем ты есть :)
Церт у нас выпускает, прикин, админ в CA enterprise  ну gpo  по юзерам - куда же они
денутся из AD .


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 12-Янв-13 03:09 
> Церт у нас выпускает, прикин, админ в CA enterprise  

Ыгыгы, понятно все с вами. Моему файрфоксу к счастью подобные инициативы сильно перпендикулярны. Короче лохоразвод для тупых хомячков, которые не в курсе что винда может некисло поднрср@ть :)


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено mr_gfd , 13-Янв-13 02:40 
>> Церт у нас выпускает, прикин, админ в CA enterprise
> Ыгыгы, понятно все с вами. Моему файрфоксу к счастью подобные инициативы сильно
> перпендикулярны. Короче лохоразвод для тупых хомячков, которые не в курсе что
> винда может некисло поднрср@ть :)

Хомячки - они дома. А энтерпрайз админ - админит энтерпрайз, как это не банально звучит.

BTW: FirefoxADM + GPO и лисе протолкнут, что нужно на доменную тачку.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 12-Янв-13 12:47 
> Я 1 думал,что транзитный сервер не может расшифровать https трафик? Так и
> любой прокси может данные спереть?

Индюк тоже думал. Гуглить SSL_BUMP До просветления.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с..."
Отправлено arisu , 14-Янв-13 00:50 
> Гуглить SSL_BUMP До просветления.

и что? браузер заорёт.

натурально, идиотов, у которых в браузере есть «безусловно довереные authority» не считаем: им что угодно протолкнуть можно, они слопают.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено serg1224 , 11-Янв-13 17:06 
>...запроса клиента
> перенаправлялся на прокси-сервер комапании, от имени которого с SSL-сертификатом Nokia
> возвращается ответ, в котором транслировалось содержимое HTTPS-сеанса, установленного

Nokia открыла для себя Opera Mini?! :-)
Правда похоже забыла пользователей об этом предупредить.

А вообще, где ещё наивные остались? Какая приватность в сети?! Вы что?! Забудьте о ней или о сетевых девайсах.


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 17:24 
При соблюдении совсем несложных правил анонимность есть. Ни разу не заливал своё фото в сеть? Молодец, +1 к анонимности.

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено anonymous , 11-Янв-13 18:01 
Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные базы утекут.

"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 18:49 
> Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные
> базы утекут.

<sarcasm>
Т.е. по принципу: опереди знакомых/родственников - залей свои фото сам (все равно ведь зальют).
Тогда уж можно и так: опереди смерть - убей себя сейчас (все равно ведь умрешь, все умрут)
</sarcasm>


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 20:00 
> Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные базы утекут.

Правда они никак не коррелируют с вон тем сферическим анонимом в вакууме. А родственникам не лишне бы объяснить какие данные являются конфиденциальными по закону. Лучше всего просто показать из самых лучших побуждений соответствующий закон, дабы потом не возникало непониманий и трений. А то вот так заливаешь, заливаешь, а потом бац и судебный иск на ровном месте. Казалось бы - за что?!


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 12-Янв-13 12:49 
>> Ты не залил - знакомые/родственники зальют из самых благих побуждений, или паспортные базы утекут.
> Правда они никак не коррелируют с вон тем сферическим анонимом в вакууме.

И ты ошибаешься. Немцы намедни разработали программу, эффективно вычисляющую дыры в социалках. Ты не поверишь, анон - то, что отсутствует, но явно должно быть - видно точно так же, как и присутствующее. Аналитиками сей факт был известен еще до рождения Винта Сёрфа.

> А родственникам не лишне бы объяснить какие данные являются конфиденциальными по
> закону. Лучше всего просто показать из самых лучших побуждений соответствующий закон,
> дабы потом не возникало непониманий и трений. А то вот так
> заливаешь, заливаешь, а потом бац и судебный иск на ровном месте.
> Казалось бы - за что?!

Ну, попробуй (С) Анакен Скайуокер.

Потом расскажешь, как успехи - на почве просвещения своего ближнего и дальнего окружения - в кибербезопасности.



"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Аноним , 11-Янв-13 19:58 
> Забудьте о ней или о сетевых девайсах.

Действительно, зачем мыть руки и заботиться о гигиене?! Все равно ведь рано или поздно умрешь!


"Компанию Nokia уличили в транзитной дешифровке HTTPS-трафика..."
Отправлено Crazy Alex , 11-Янв-13 21:01 
Ну так об идеальной защите, да ещё из коробки никто и не говорит. Но сделать стоимость доступа неподъёмной для большинства заинтересованных сторон не так уж сложно, если подобных Нокиевскому фокусов не допускать.

И, кстати, не путайте приватность в идентификации вероятного автора контента (часто даже без знания контента - те самые IP) и возможность просмотра самих данных. А уж MITM с возможностью подмены - это вообще отдельная песня.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Maresias , 11-Янв-13 20:09 
Значит, Нокии — бойкот. Не покупать, не пользоваться.  Вот и все дела.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 20:16 
> Значит, Нокии — бойкот. Не покупать, не пользоваться.  Вот и все дела.

Давно пора. Они в г@вно скатились.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Сергей , 11-Янв-13 21:43 
Блин, никому верить нельзя, кругом одни враги...

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 22:16 
>  Блин, никому верить нельзя, кругом одни враги...

Акулы бизнеса же. Дадите палец - отхватят всю руку по локоть.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено robux , 11-Янв-13 21:50 
А мама говорила:
- Не играй с Болмером!

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено haku , 11-Янв-13 21:50 
Шпионаж отныне называется "акселерация HTTPS-трафика". Спасибо, нокла.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 11-Янв-13 22:18 
> Шпионаж отныне называется "акселерация HTTPS-трафика". Спасибо, нокла.

Борман шёл по коридору рейхсканцелярии и увидел возле одной из дверей Штирлица, подглядывающего в замочную скважину.

- "Что вы здесь делаете, Штирлиц?" - спросил Борман.
- "Трамвая жду", - ответил Штирлиц.

Борман пожал плечами и пошёл дальше. Когда через 5 минут он шёл назад, Штирлица не было. "Наверное, трамвай пришёл", - подумал Борман и пошёл дальше.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 12-Янв-13 12:50 
> Шпионаж отныне называется "акселерация HTTPS-трафика". Спасибо, нокла.

Начнем с того, что факт - факт, а не домыслы упоротых анонов - именно шпионажа - тупо не доказан. Есть измышления аналистов с опеннета. Не более того.


"Компанию Nokia уличили в дешифровке HTTPS-трафика с..."
Отправлено arisu , 14-Янв-13 00:56 
а в данном случае не важно, доказан или нет. налицо mitm-атака с использованием бэкдоров. всё, дальше не надо «доказывать, что был шпионаж»: подобные действия в security считаются однозначно вредительскими.

"Компанию Nokia уличили в дешифровке HTTPS-трафика с..."
Отправлено arisu , 14-Янв-13 00:38 
https — это надёжно и безопасно!

"Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильны..."
Отправлено Аноним , 14-Янв-13 10:27 
на gmail.com зайдите и на содержимое адресной строки посмотрите -цепочка вида https://accounts.gmail.com/blablabla=http://mail.google.com
зачему гуглу http если вы используете https