Népszerű lehallgatás https
Tehát számos alapvető pontokat.
1. HTTPS - HTTP, mely a „biztonságos csatornát.” Technika, amelyek nélkülözhetetlenek létrehozása az ilyen csatorna HTTPS, az úgynevezett TLS (SSL). TLS használata nem csak a HTTPS. Ez általában feltételezik, hogy a forgalom továbbított az említett csatorna érhető el egy harmadik fél, amely azonban nem lehet tudni, hogy felfedjék magukat az átvitt adatok ( „hallgat védelem”, amelyet a titkosítást azonban megjegyezni, hogy a HTTPS lehet elhelyezni titkosítás nélkül, de hiba lenne).
3. SSL-tanúsítványokat nem kapcsolódik a tényleges HTTPS titkosítást. de lehetővé teszi, hogy hozzon létre egy titkosított csatornán. Azonban egy ilyen csatorna lehet létrehozni használata nélkül a tanúsítványt. SSL tanúsítvány-funkció tekintetében HTTPS, csak abban áll, az identitás egy kötegnév az erőforrás és a nyilvános kulcsot. A domain név (: dxdt.ru példa) általában működik az erőforrás nevét. Azaz, az SSL-tanúsítvány szerver, a kliens (általában - böngésző), biztos lehet benne, hogy ez összefügg a jogosult a privát kulcs a pár, a nyitott része, amely szerepel a tanúsítványban. Ez a folyamat gyakran nevezik kiszolgáló hitelesítését. Hacsak nem kér, ez könnyen megvalósítható TLS-kapcsolat az SSL-vizsgálati bizonyítvány, de titkosítás nélkül.
4. A titkosított kommunikációs csatorna az ügyfél és a kiszolgáló a session kulcsot, ez a kulcs - a titkos és szimmetrikus, azaz, hogy tudja, mind a kliens és a szerver. Közös ülés generált kulcs a legtöbb esetben kerül sor, a nyilvános kulcsot a szerver SSL-tanúsítvány. Attól függően, hogy az alkalmazott algoritmus, a szerver egy kulccsal titkosítja az adatokat létrehozásához szükséges a session kulcsot, vagy ellenőrizni az aláírást az adatokat.
5. TLS (és következésképpen a HTTPS) végrehajtásához alkalmazott a biztonságos csatornán, hogy a különböző készletek kriptográfiai algoritmusok (titkosítás, aláírás, hitelesítés kódok, emésztett, és így tovább). Ha bármely részének készlet választott rosszul, a kapcsolat lesz sérülékeny, függetlenül attól, melyik kulcsokat, és az SSL-tanúsítványokat. Ha a készülék kiválasztott rendesen, de átmeneti ülésszak kulcsot generálunk, majd ismét a kapcsolat érzékeny, függetlenül attól, hogy milyen kódok és SSL-tanúsítványokat.
6. nagy osztálya erős, ellenálló titkosító széles körben használják ma a TLS a gyakorlatban lehetséges, hogy visszaszerezze a munkamenet kulcsot a rögzített forgalom, feltéve, hogy a támadó rendelkezésére álló titkos szerver kulcsot (a kulcs, hogy pár, a nyitott része, amely kimondja, a szerver tanúsítványt). Ez azt jelenti, hogy ha egyszer megkapta a titkos kulcsot a szerver (nem ülés!) Valaki tudja megfejteni a korábban felhalmozódott rögzíti a HTTPS-ülések között a kliens és a szerver között. Az említett kulcsfontosságú lehet nyitni különböző módon: például meg lehet másolni a szerver, ha van kapcsolat, vagy talán csak instabil (ez megtörténik, nem olyan ritka, mint gondolnád).
7. Ha a termelés a titkos esemény kulcsot tartott DiffieHellman-, a jelenléte a szerver privát kulcs nem segít helyreállítani a rögzített forgalom. A gyakorlatban azonban, nem minden szerver TLS kapcsolatos algoritmusok.
8. Ha a támadó oldalon megkapta a megfelelő session kulcsot, hogy felfedi a HTTPS-forgalom. Titkos szerver kulcsa vagy az SSL-tanúsítvány erre nincs szükség.
9. Az a képesség, hogy kiadja az SSL-tanúsítványt a támadott domain nem segít dekódolni HTTPS-forgalmat. Fogok, hogy a domain, akkor is, ha a forgalom van rögzítve. Ez azért van így, mert az SSL-tanúsítvány nem tartalmazza a titkos kulcsot a szerver (és természetesen a munkamenet-kulcsok). Sőt, a tanúsítvány kiadásának eljárás nem igényel továbbítására egy titkos kulcsot hitelesítésszolgáltató (továbbítása csak a nyilvános kulcs), így a személyazonosságát a titkos kulcs nem a központban.
10. Azonban az érvényes SSL-tanúsítvánnyal kibocsátott megtámadta domain, lehetővé teszi a zökkenőmentes a felhasználó a támadás típus "man in the middle". Ez megköveteli, hogy a támadott a felhasználó és a szerver által vezérelt támadó létezett csomópont aktívan elfogó forgalmat. Ez a csomópont megszemélyesítése a jogos felhasználót kiszolgáló, amely azonos érvényes tanúsítványt. Passzív hallgatja a csatorna nem tárt HTTPS-forgalom ezen a módon - igazolás vagy a CA privát kulcs itt nem segít.
11. lehallgatás, a HTTPS kapcsolatot lehet automatizálni - vannak speciális egységek proxy (SSL-proxy), amely ezt elfogás on the fly, beleértve megteremtve a szükséges igazolásokat. Ilyen proxy kell letölteni tanúsítvány és személyi kulcs, lehetővé teszi a bejelentkezést egyéb igazolások (pl illeszkedik az úgynevezett köztes tanúsítványt CA ki erre a célra).
12. Attack „man in the middle” nem lehet elvégezni kapcsolatban szerverek (és szolgáltatások), a forgalom irányába, amely nem megy át lehallgató csomópont. Azaz, a támadás, definíció szerint, az aktív és egyéni.
13. „Az ember a közepén” nem működik HTTPS jelenlétében néhány további intézkedések: például a létesítmény a TLS-kapcsolatot igényel a kölcsönös hitelesítést, és lehallgatott csomópont nem érhető el az ügyfél titkos kulcs (vagy kulcs hitelességét tanúsító az ügyfél kulcs); vagy - a felhasználó böngészőjének vezeti ujjlenyomat nyilvántartó szerver nyilvános kulcs, amelyet bízik; vagy - a felhasználó érvényes további információforrások a megengedett kulcsokat és tanúsítványokat, hogy rendelkezésre állnak-cserét a hallgatózó csomópont (például a forrás szolgálhat például a DNS, vagy más adatbázis).
14. Minden (jól - a legtöbb), hogy egy tömeges szolgáltatások használják az úgynevezett SSL megszűnése: azaz, a felhasználó, a HTTPS forgalom titkosított jön csak a határ proxy, ami lefordítva a HTTP biztonságos, ami megy tovább a belföldi (a logikai nem pedig a technikai értelemben) szervizhálózatából egyértelmű. Általános gyakorlat, mivel a teljes HTTPS, egyre több ügyfél, rohamosan nagyon nehéz, rosszul skálázható technológia. Ha a közlekedési ellenőrzési rendszer a szolgáltató hálózatok ilyen határ SSL-proxy, nem HTTPS nem zavarja. A belső forgalom elosztott szolgáltatások könnyen sétál csomópontok között és az adatközpontok bérelt nagy piaci kommunikációs csatornák egyértelmű. a forgalom lehet hallani, de a felhasználó úgy néz ki, mint egy HTTPS-kapcsolaton keresztül.
15, a HTTPS is haszontalan, ha a felhasználó számítógépén van jelen trójai programot, amely hozzáférést biztosít a böngésző, így az adatok másolhatók kívül bukása előtt a titkosított csatornán.