Как прятать \ шифровать HTTPS трафик от сниффера? Имеет ли смысл использовать HTTPS?

Question

[Serg T.]

Всем доброго времени суток! Сразу к делу.

Есть приложение которое выполняет некие вычисления. За данными приложение обращается на веб-сервер посредством json, шлет переменные - в ответ получает данные. В последнее время на сервер возросла нагрузка т.к. кто-то пытается получить ВСЕ данные подстановкой переменных.
Как решение пытаемся перейти на HTTPS чтобы спрятать адрес: настроили NGINX, браузер показывает соединение TLSv1.2 (пока пробуем с самоподписанными сертификатами) и ожидаем, что трафик будет шифрованным! А как оказалось, трафик умеет прятать только Google Chrome (win), т.е. никакой активности в снифферах нет, FireFox вместо адреса показывает * ( https://*), но трафик уже виден. Все другие браузеры и приложения слушаются на ура и показывают весь входящий и исходящий трафик!

Собственно вопрос:
Как Google Chrome прячет https от сниффера и как вообще спрятаться от снифера? Либо подскажите как прятать если не трафик, то хотя бы адрес и содержимое?

Пока видим как:
а) Собственное шифрование на клиенте.
б) Поднимать приложением ssh\vpn соединение.

Приму любые доки \ ссылки на доки!
Заранее благодарю за помощь.

Answer 1

[Назар Мокринский]

Магия у вас какая-то, так просто сниффить HTTPS. У вас HTTP полностью закрыт, исключительно HTTPS? А ещё что за сниффер, может он свой самоподписанный сертификат вам подсовывает?
Вы пробовали другие сайты с HTTPS? Google, Twitter, Facebook и некоторые другие крупные работают через sertificates pinning, то есть браузер изначально знает что за сертификат должен быть, и подменить не получится, а вот на других сайтах можете попробовать.

Comments

[Serg T.]

С HTTP идет редирект на HTTPS. Другие сайты конечно пробовали, тот же Google.ru также сниффится. Сертификат по любому подсовывает, к примеру wireshark даже разрешения спрашивает. Про certificate pinning сейчас почитаю!

[Назар Мокринский]

Serg T.: Сертификат подсовывает??? Если сертификат подсовывает - то и сниффит, в том то и соль использования не самоподписанных сертификатов, а проверенных (либо добавить свой CA в браузер, но это только для тестов).
А то получается, что у вас спрашивают - "можно сниффить?", вы говорите "да, конечно!", а потом пишете здесь и жалуетесь на сниффер.
На счёт HTTP и редиректа - по хорошему нужно отказаться от HTTP, и использовать https://en.wikipedia.org/wiki/HTTP_Strict_Transpor...
Иначе всегда можно будет сделать downgrade до HTTP и смотреть всё что угодно.

[Serg T.]

https://en.wikipedia.org/wiki/HTTP_Strict_Transpor...

Всё так и сделано.

А то получается, что у вас спрашивают - "можно сниффить?", вы говорите "да, конечно!", а потом пишете здесь и жалуетесь на сниффер.

Тут не совсем понял.. Получается что все сайты так разрешают? Я же не только себя могу сниффить. Я что то недопонимаю.

[Назар Мокринский]

Serg T.: Может я недопонял ваш комментарий, что значит "Сертификат по любому подсовывает, к примеру wireshark даже разрешения спрашивает"?

[Serg T.]

Если снифить HTTPS, wireshark предлагает внедрять свой сертификат.

[Назар Мокринский]

Serg T.: Каким образом и куда?

[Serg T.]

Я так понимаю в исходящие запросы.

[Назар Мокринский]

Serg T.: Нет, я о другом. У вас в браузере устанавливается что-то, что генерирует wireshark? Вы добавляете в исключения самоподписанный сертификат, который сгенерировал wireshark?
Какие действия соответствуют "предлагает внедрять свой сертификат"?

[Serg T.]

Да, видимо сниффер подкладывает сертификат в браузер. Ваше предложение про certificate pinning видимо наше решение! Будем обрывать коннект если проверка сертификата не прошла.

Answer 2

[Николай Корабельников]

Если вы сделали аутентификацию сервера по TLS, то это не значит, что злоумышленник не может точно так же подбирать параметры в запросе к серверу.
Вам надо научится вычислять и блокировать подобных пользователей.
Так же вы можете настроить аутентификацию клиентов (ну или в вашем случае - приложения). А запросы на сервер принимать только после проверки клиентского сертификата или другого аутентификатора.

Comments

[Serg T.]

Если злоумышленник не знает адреса для подключения, то никакого подбора не получится. Я предполагал, что TLS зашифрует трафик, т.к. в запросе присутствуют ключи, а получается, что снифферы его расшифровывают. Я повторю, что мне надо спрятать пусть если не адрес, то хотя бы зашифровать трафик так, чтобы злоумышленники не смогли видеть и подбирать к ним ключи.

[Николай Корабельников]

Serg T.: Сниферы не умеют расшифровывать TLS трафик, если им специально не указать ключи шифрования. Это точно.
Теперь дальше:
Данные об IP адресе, с которым идет соединение все-равно будут доступны в сниффере. Так же можно будет найти в трафике и url сервера, так как DNS запрос не шифруется. Таким образом спрятать IP/имя_сервера у вас не получится. А вот спрятать весь трафик между клиентом и сервером можно. И это делает TLS. То есть, если злоумышленник уже знает формат запросов (и вы не планируете менять его), то продолжить формировать запросы он все-равно сможет, даже если вы смените IP/имя_сервера.
Наверное, будет проще, если вы опишите подробнее, ваш стенд: где находится сниффер, какие действия вы производите, что именно вы видите из того, что по вашему мнению должно быть зашифровано и т.д.

[Serg T.]

Сниферы не умеют расшифровывать TLS трафик, если им специально не указать ключи шифрования. Это точно.

Заходим на _https://google.ru, браузер показывает, что используется протокол TLS 1.2, но при этом я вижу исходный текст страницы в сниффере. Что я недопонимаю?

То есть, если злоумышленник уже знает формат запросов (и вы не планируете менять его)

Именно планируется поменять и спрятать\зашифровать.

Наверное, будет проще, если вы опишите подробнее, ваш стенд

Весть тестовый проект в локальной сети.
Машина 1: Веб сервер nginx, настроен по рекомендациям с хабра, конфиги типа А+. Выпущены самоподписанные сертификаты, в конфиг добавлены. Пусть адрес 192.168.0.100
Машина 2: Приложение, которое ходит на адрес https. Снифферы HTTPAnalyzer, WireShark. Приложение использует Indy, в компоненте указано использовать протокол TLS 1.2.
Действия: Запускаем Сниффер(ы), после приложение идет по адресу _https://192.168.0.100/addres . Вот тут я ожидаю в сниффере увидеть абракатабру, а вижу весь исходящий и входящий трафик как есть.

[Николай Корабельников]

Serg T.: wireshark показывает протокол для каждого пакета. У вас там должно быть TLSv1.2. Это так?

[Serg T.]

Посмотрел, TLSv1.2 показывает только в первых пакетах, потом перевод на http. Fiddler делает также. Наверно в браузер подсовывается сертификат от сниффера, поэтому всё видно. Из-за нехватки знаний сам запутался. Будем использовать certificate pinning.