Может ли один и тот же сайт принадлежать разным владельцам?
Как известно, когда пользователь открывает сайт, то идёт обращение к dns-серверу для того, чтобы узнать ip адрес сайта и открыть его(работает как телефонная книга).
И вот здесь возникает интересный вопрос:
Допустим я хочу на своём уникальном ip адресе, занять популярный сайт(это может быть,например habr.ru) а также создать персональный dns-сервер. Чтобы при обращении к этому dns-серверу, при запросе сайта habr.ru открывался мой сайт.
Если пользователь у себя в настройках пропишет этот персональный dns-сервер, то тогда тот же сайт будет открываться по другому, и отображаться будет то, что хочет владелец этого сайта на этом DNS или нет?
Или работать это так не будет?
Это называется dns spoofing. Если вы заставите комп жертвы делать запросы к вашему DNS-серверу или сможете взломать используемый жертвой DNS-сервер, то можете подменить web-сервер, откликающийся на некоторой имя. Но как подметил Alexey Dmitriev, большинство сайтов сейчас используют https и браузер жертвы начнёт предупреждать о недействительном сертификате.
FinerLife, именно.
Только не нужно, а можно, и это будет работать. Достаточно в hosts-файл вписать IP и доменное имя, через пробел - и компьютер будет считать, что указанное доменное имя работает на указанном IP-адресе.
P.S. В Windows файл hosts находится по пути: C:\Windows\System32\drivers\etc\hosts, и нужны права администратора для редактирования файла.
Кот Абсолютный, а разве сертификаты как-то привязаны к IP сайта? А пользователь может согласиться на работу с самоподписанным сертификатом? А у автора вопроса может быть на руках полноценный сертификат сайта-оригинала?
Иногда. Но общесистемных я таких не видел, толькол самодельные. Я например для vpn вписываю туда IP - иначе винда строит козью морду.
А пользователь может согласиться на работу с самоподписанным сертификатом?
Да, но обычно если это не собственный сайт, сайт конторы или сайт друга - это повод здорово напрячься - скорее всего сейчас тебя найопывают
А у автора вопроса может быть на руках полноценный сертификат сайта-оригинала?
Нет. Тут даже за грузовик денег - нет (хотя конечно зависит от того, какой сайт - по политическим мотивам или если сайт мелкой сошки за грузовик денег пожалуй и проканает). Но для обычного юзера - никак.
Ziptar, IPSec. Эксперименты показали, что винда делает дополнительную проверку. Когда указываешь в качестве адреса сервера VPN имя, например blabla.zhopa.ru, винда проверяет наличие в SAN IP адреса сервера, где работает blabla.zhopa.ru и если там не находит нифига или он отличается - говорит про то, что не прошла проверка безопасности, иди нафиг, гумно твой vpn.
Вычитал про это где-то на сайте M$, подтвердил экспериментально. Это должно быть в серверном сертификате, не в клиентских. Правда в клиентских свой дэнс - там непременно должны быть EKU serverAuth, ipsecEndSystem, ipsecTunnel, 1.3.6.1.5.5.8.2.2, clientAuth. Впрочем, возможно они должны быть не все, но мне лениво заниматься выяснением - есть ли лишние - это надо выпускать тестовые сертификаты, а оттого что я налеплю пару лишних EKU нихрена не будет
Кот Абсолютный, ну ипсек то специфическая штука, он вообще для работы по доменному имени не предназначен так то; я уж было подумал, что для сстп в какой-нить вин11 опять накрутили чего то ни с того ни с сего
Ziptar, Мне хотелось чтобы vpn в винде был искаропки и чтобы никаких логинов-паролей, тык-мык и все работает. При некоторых допущениях IPSec такое позволяет (из которых самое серьезное - сертификат принадлежит не юзеру, а компьютеру)
Будет. Но Вам нужно:
- прописать в настройках целевого компа Ваш dns
- установить на целевом компе сертификаты всех сайтов, которые Вы собираетесь таким образом "перенаправить" в доверенные