![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
midzenisК предыдущему посту.
Ноучно:
Метод перехвата представляет собой классическую МiTM-атаку: при установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом. Данный сертификат будет помечен браузером как достоверный, только если пользователь добавит в хранилище корневых сертификатов дополнительный сертификат, связанный цепочкой доверия с подменённым сертификатом. Навязываемый корневой сертификат нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик.
Человечески:
Происходит перехват всего HTTPS трафика путем подмены адресов в DNS на собственный прокси, который будет изображать из себя целевой сервер. Поскольку у этого прокси не может быть ключей от настоящего сертификата он будет подписывать трафик самодельным сертификатом, который нормальный браузер не примет. Чтобы он понял левый сертификат, нужно установить в систему государственный корневой сертификат. И тут на сцену выходит Яндекс.Браузер, в котором судя по письму этот сертификат уже установлен.
Совсем на пальцах:
По середине соединения подсовывается левый SSL сертификат (иконка с закрытым замком перед адресной строкой) с помощи которого можно украсть пароль с которым вы залогинились на данном сайте.
Такое уже пробовали в Казахстане 2016 году, но обломались.
Что делать?
НЕ СТАВИТЬ YANDEX БРАУЗЕР. И не из за Алисы которая подслушивает (хотя и это тоже) а из за того что оно как минимум подтягивает левые мусорные виджеты и слабые компютеры начинают жутко тормозить.
С Chrome на такой сайт зайти невозможно, с FireFox - можно, добавляя фальшивый сертификат в исключениях. Чтобы не рисковать сохранёнными паролями (дада, все же мы их сохраняем) - ставим Mozilla Firefox, Portable Edition и работаем с ним. Есть конечно более тонкие способы, но там сложна сложна пачему так сложна. Его можно запускать параллельно с стандартным ФФ, копируем ссылку с закладок - вставляем в Portable version. Не забываем закрыть его после окончанием работы с скомпрометированным сайтом, иначе можно запутаться.
Еще можно поставить Tor, но не факт что он будет работать в наши то времена.
Как то так “¯\_(ツ)_/¯“.
Upd.
Пишут что для Андроида - Habit Browser. Есть реклама, но да ладно. Выглядит как клон ФФ, то есть прилично, авторы - поляки. Единственное что напрягает - хомячок проекта сдох.
Главное что судя по описание разрешений - не лезет в камеру/микрофон. GPS лезет, но если при инсталляции запретить - думаю что будет работать.
Ноучно:
Метод перехвата представляет собой классическую МiTM-атаку: при установке TLS-соединения реальный сертификат целевого сайта подменяется сгенерированным на лету новым сертификатом. Данный сертификат будет помечен браузером как достоверный, только если пользователь добавит в хранилище корневых сертификатов дополнительный сертификат, связанный цепочкой доверия с подменённым сертификатом. Навязываемый корневой сертификат нарушает схему проверки удостоверяющих центров, так как сгенерировавший данный сертификат орган не проходил аудит безопасности, не соглашался с требованиями к удостоверяющим центрам и не обязан следовать установленным правилам, т.е. может сформировать сертификат для любого сайта под любым предлогом и полностью контролировать трафик.
Человечески:
Происходит перехват всего HTTPS трафика путем подмены адресов в DNS на собственный прокси, который будет изображать из себя целевой сервер. Поскольку у этого прокси не может быть ключей от настоящего сертификата он будет подписывать трафик самодельным сертификатом, который нормальный браузер не примет. Чтобы он понял левый сертификат, нужно установить в систему государственный корневой сертификат. И тут на сцену выходит Яндекс.Браузер, в котором судя по письму этот сертификат уже установлен.
Совсем на пальцах:
По середине соединения подсовывается левый SSL сертификат (иконка с закрытым замком перед адресной строкой) с помощи которого можно украсть пароль с которым вы залогинились на данном сайте.
Такое уже пробовали в Казахстане 2016 году, но обломались.
Что делать?
НЕ СТАВИТЬ YANDEX БРАУЗЕР. И не из за Алисы которая подслушивает (хотя и это тоже) а из за того что оно как минимум подтягивает левые мусорные виджеты и слабые компютеры начинают жутко тормозить.
С Chrome на такой сайт зайти невозможно, с FireFox - можно, добавляя фальшивый сертификат в исключениях. Чтобы не рисковать сохранёнными паролями (дада, все же мы их сохраняем) - ставим Mozilla Firefox, Portable Edition и работаем с ним. Есть конечно более тонкие способы, но там сложна сложна пачему так сложна. Его можно запускать параллельно с стандартным ФФ, копируем ссылку с закладок - вставляем в Portable version. Не забываем закрыть его после окончанием работы с скомпрометированным сайтом, иначе можно запутаться.
Еще можно поставить Tor, но не факт что он будет работать в наши то времена.
Как то так “¯\_(ツ)_/¯“.
Upd.
Пишут что для Андроида - Habit Browser. Есть реклама, но да ладно. Выглядит как клон ФФ, то есть прилично, авторы - поляки. Единственное что напрягает - хомячок проекта сдох.
Главное что судя по описание разрешений - не лезет в камеру/микрофон. GPS лезет, но если при инсталляции запретить - думаю что будет работать.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2022-03-10 09:23 am (UTC)