dollar
@dollar

Возмжно ли перехватить пароли через HTTPS?

Предположим, я указал сторонний (левый) DNS. Он может подменять реальный ip на свой. Вопрос - могут ли перехватить пароли, если сайт работает через HTTPS?
Более общий вопрос - может ли левый хост подменить весь сайт при подключении через HTTPS?
  • Вопрос задан
  • 841 просмотр
Решения вопроса 2
Jump
@Jump
Системный администратор со стажем.
Да, это возможно.
Хотя и непросто.
Безопасность зависит в основном от вашей внимательности.
Перехватывается HTTPS трафик так же легко как и HTTP, только его еще и расшифровать надо.
Для дешифровки нужны ключи - но в открытом виде идут только публичные ключи, они годятся для шифрования, для дешифровки нужен приватный.
Поэтому перехватить ключ у вас не получится - но вы можете просто подсунуть им свою пару ключей, вклинившись посередине канала.
И спокойно будете читать весь трафик.
Только вот внимательный пользователь увидит подмену сертификата - и прервет связь.
А если пользователь невнимательный - без проблем.

Более общий вопрос - может ли левый хост подменить весь сайт при подключении через HTTPS?
Допустим у вас есть сайт vasyapupkin.com вы получили сертификат от доверенного центра, привязанный к домену vasyapupkin.com.
Я хочу перехватить ваш трафик.
Для этого я регистрирую домен vasyapubkin.com получаю сертификат от доверенного центра на этот домен.
После чего ставлю прокси сервер и заворачиваю перехваченный трафик на него.
Я подсовываю вам ссылку на vasyapubkin.com вы не замечаете что название немного не совпадает, ваш браузер подтверждает что все отлично, все зашифровано.

Хотя затратно это, и не гарантирован результат, но если информация очень ценная сделать можно.
Ответ написан
nursultanya
@nursultanya
Увлекаюсь программированием
При отправке формы, на стороне браузера всё шифруется публичным ключем. Потому провайдер не видит что отправляется, он видит бессмысленные символы. На сервере всё расшифровывается и уже используется. То же самое и при отправке данных с сервера, они все зашифрованы.
При изменении сайта на фейковый, браузер не сможет ничего отобразить, так как сервер сертификации ему даёт определенный публичный ключ для расшифровки и он очевидно не будет подходить к фейковому сайту.
Ответ написан
Пригласить эксперта
Ответы на вопрос 2
xmoonlight
@xmoonlight Куратор тега Информационная безопасность
https://sitecoder.blogspot.com
Кратко: Возможно.
Шифруйте свой трафик своим протоколом внутри SSL.
Ответ написан
CityCat4
@CityCat4
Если я чешу в затылке - не беда!
Возможно.

Непросто, требует некоторых предварительных шагов, но возможно. Если перехватить сессионный ключ, то сессию можно расшифровать. И тогда весь трафик внутри туннеля видно.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы