Как перехватывается HTTP трафик в рамках web-сайтов?

Question

[Гермес]

Считается необходимой практикой безопасности использование SSL-сертификата в рамках сайта. Если работать через HTTP - браузер передаёт информацию на сервер в открытом виде(например: банковские карты), и её могут перехватить злоумышленники.

Но при поиске нигде не нашел информацию, как это может быть реализовано.Как злоумышленник может "влезть" в наше взаимодействие с сервером?

Answer 1

[Владимир Коротенко]

Например мегафон билайн и Ростелеком вставляют свой баннер. По факту этим занимается железка dpi , конечно не только этим. Физически на уровне L7 osi работает парсер который вставляет свои данные. Впрочем dpi работает и на более низких уровнях и может менять пакеты. Как сделано смотрите устройство ipchains и руководств типа transparent proxy

Answer 2

[Vindicar]

Влезть злоумышленник может, если он может вклиниться физически или логически в ваше сетевое соединение.

Со стороны провайдеров - это DPI (deep packet inspection), который занимается анализом пакетов и может делать разное, от блокировки страницы до вклинивания баннеров.
Со стороны злоумышленников - это атаки вроде "бесплатный вайфай тут" (поднимаем точку доступа, сниффаем трафик через неё).
Также есть логические варианты - т.е. так или иначе заставить жертву использовать прокси злоумышленника. От атак на существующие сети (например ARP Poisoning), через взлом и перешивку домашних роутеров, и до социалочки вроде "от хакеров можно защититься одним кликом, достаточно только..."

Answer 3

[cicatrix]

Как злоумышленник я могу:
1. Внедрить зловреда тебе на машину
2. Хакнуть твой роутер
3. Если ты в локальной сети, могу слушать твой трафик на пути к шлюзу
4. Если ты через Wi-Fi это сделать ещё проще
5. Прислать тебе фишинговую ссылку
6. Перехват можно осуществить на провайдере
...
ещё 100500 способов
Пакет от твоей машины до веб-сервера может проходить через десятки соединений и на каждом звене в этой цепочке можно перехватить / перенаправить / видоизменить незашифрованный трафик.

P.S. Правда, если зловред на твоей машине, то уже поздно пить боржоми.

Comments

[Дядька Серёжа]

Добавлю: неверная конфигурация сервера, то есть использование слабых параметров, проверить конфигурацию сервера можно так: https://www.ssllabs.com/ssltest/analyze.html?d=habr.com
Например, зная что сервер использует слабые алгоритмы, злоумышленник может попытаться заставить клиента при работе с сайтом заставить перейти на слабый алгоритм, например, на SSL 3.0, а дальше реализовать атаки направленные на уязвимости протокола или его реализации.
Пример: атака POODLE. Впервые об атаке POODLE стало известно в 2014 году. Уязвимость в протоколе SSL 3.0 обнаружил специалист по ИБ Бодо Мёллер (Bodo Möller) с коллегами из Google.

Ее суть заключается в следующем: хакер вынуждает клиента выполнить подключение по SSL 3.0, эмулируя разрывы связи. Затем он ищет в зашифрованном в CBC-режиме трафике специальные сообщения-метки. С помощью серии подставных запросов злоумышленник получает возможность реконструировать содержимое интересующих его данных, например cookies.