|
Вопрос о защите по https
|
||
|---|---|---|
Участник
Откуда: Загрузочный сектор Москвы (AutoPOI.ru)
Сообщения: 39 476 |
||
| 12.09.2014, 16:34 |
|
|
|
|
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вопрос простой: от чего защищает https и от чего не защиает? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 06:58 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
там я не нашел ответа. смущает вот это Эта система также может использоваться для аутентификации клиента, чтобы обеспечить доступ к серверу только авторизованным пользователям. Для этого администратор обычно создаёт сертификаты для каждого пользователя и загружает их в браузер каждого пользователя. если б это выполнялось... но FF может сделать исключение безопасности и администратор идет лесом. т.е. любой может получить сертификат. и иметь подключение. атака «человек посередине» в данном случае не интересует - затраты и квалификация должны быть слишком большие. наличие сертификата не даёт никакой защиты, идентификации. или нужен специфический сертификат? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 09:20 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
т.е. это служит в основном для защиты от фишинга? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 09:24 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадя, Теоретически это служит защитой от человека по середине, который не может получить валидный (с точки вашего browser) приватный ключ на подпись сайта с таким же именем. Т.е. если в строке browser Вы набираете https://mail.ru, то сервер Вам должен ответить показав такой сертификат и на его основе должен произойти обмен ключами, который не позволит потом влезть кому-нибудь в протокол. Грубо говоря (на самом деле все гораздо сложнее и не так) сервер сетрификат, клиент свой ключ им шифрует и отправляет серверу, про дороге его никто не видит. Поэтому не может подделать. Возможнать самому подделать сертификат позволяет сделать фишинг (подмену) или просто просматривать содержимое трафика. Например антивирус может вставлять свои ключи в доверенную зону и тем самым перехватывать и проверять трафик на предмет есть ли в трафике вирусы и пр. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 09:40 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Https шифрует соединение между клиентом и сервером. Как минимум это самоподписанный сертификат который удостоверяет самого себя и браузер покажет ворнинг. Максимум сертификат от CA например twaite, comodo, semantec там есть сертификаты и очень дорогие и тот кому он будет выдаваться(юрлицо) будут проверять что оно именно то за кого себя выдает. Сертификаты могут проверяться онлайн браузером по спец протоколу и у firefox по умолчанию галочка если online проверка не удалась считать сертификат невалидным выключена. так что включите галочку и администратор из леса вернется на свое рабочее место. Только будте готорвы это проверка может занимать время и многие https сайту будут грузиться очень медленнее и вообще не грузиться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 09:44 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
авторВозможнать самому подделать сертификат позволяет сделать фишинг (подмену) или просто просматривать содержимое трафика. что значит подделать сертификат? от того же mail.ru сертификат есть на любом компе - значит я могу просматривать трафик любоко компа подключенного к mail.ru, просто находясь в локальной сети? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 09:49 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяавторВозможнать самому подделать сертификат позволяет сделать фишинг (подмену) или просто просматривать содержимое трафика. что значит подделать сертификат? от того же mail.ru сертификат есть на любом компе - значит я могу просматривать трафик любоко компа подключенного к mail.ru, просто находясь в локальной сети? не совсем так есть серитфикат авторизационного центра у которого мэйл ру получил свой сертификат и который утверждает что мэйл ру это мэйл ру ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 10:23 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
можно почитать про цепочки сертификатов. у мэйл ру счас проверил от геотраст. корневый сертификаты поставляются с мозилой вместе. мозилла хранит сертификат в своем отдельном хранилище а хром пользуется хранилищем предоставляемым ОС я вот не знаю если хром пользуется сертификатами из хранилища ОС то при установке он добавляет туда свои сертификаты или нет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 10:27 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
т.е. только защита от фишинга? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 11:22 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Это еще защита от "соседа по ВиФи", которому интересны Ваши пароли и содержимое переписки через выше упомянутую mail.ru. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 11:40 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяот того же mail.ru сертификат есть на любом компе - значит я могу просматривать трафик любоко компа подключенного к mail.ru, просто находясь в локальной сети? если я не ошибаюсь, это вам не удастся т.к. при соединении сервер и клиент обмениваться public ключами, которыми и шифруется весь дальнейший траффик. ключи у всех разные(клиентские) и расшифровать сообщение от другого компа своим ключём не получиться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 14:02 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадятам я не нашел ответа. смущает вот это Эта система также может использоваться для аутентификации клиента, чтобы обеспечить доступ к серверу только авторизованным пользователям. Для этого администратор обычно создаёт сертификаты для каждого пользователя и загружает их в браузер каждого пользователя. если б это выполнялось... но FF может сделать исключение безопасности и администратор идет лесом. т.е. любой может получить сертификат. и иметь подключение. атака «человек посередине» в данном случае не интересует - затраты и квалификация должны быть слишком большие. наличие сертификата не даёт никакой защиты, идентификации. или нужен специфический сертификат? реализуйте two-way ssl и будет вам счастье :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 14:08 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяесли б это выполнялось... но FF может сделать исключение безопасности и администратор идет лесом. Вы путаете теплое с мягким. То о чем вы пишете, это FF предупреждает, что сертификат не соответствует домену и не выдан доверенным регистратором, поэтому он не рекомендует заходить на этот сайт. А при аутентификации, сервер просто пошлет клиент с невалидным сертификатом, сколько там исключений в FF не прописывай. Это вообще не одно и то же. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 14:11 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадя, Вы с ассимитричным шифрованием знакомы? Судя по коментариям, не очень. Советую ознакомиться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 14:14 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Blazkowicz, Diffie-Hellman используется для установления зашифрованного соединения без использования сертификатов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 14:52 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Андрей Панфилов, Сертификаты для установления соединения на основе публичных ключей не нужны. Сертификат это способ подтвердить, что присланный ключ от того сервера, с которым Вы общаться надумали. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 15:02 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Андрей ПанфиловDiffie-Hellman используется для установления зашифрованного соединения без использования сертификатов. Это основны ассимитричного шифрования. База для понимания SSL. http://en.wikipedia.org/wiki/Transport_Layer_Security http://en.wikipedia.org/wiki/Public-key_cryptography ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 15:14 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Сергей Арсеньев, Естественно, только при чем здесь HTTPS в котором для обмена ключами преимущественно используется RSA? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 15:14 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Андрей Панфилов, Да чего там только не используется, вон сколько шуму было всвязи с ошибкой в не использующемся Heartbleed. А собственно RSA, AES и пр. сути не играет - важен сам смысл обмена публичными ключами. В кино оно наглядно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 15:27 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Сергей Арсеньев Да чего там только не используется, вон сколько шуму было всвязи с ошибкой в не использующемся Heartbleed. Heart beat . Heartbleed это имя самой уязвимости. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 15:30 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Blazkowicz, уж и пошутить нельзя ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 15:32 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Сергей Арсеньев А собственно RSA, AES и пр. сути не играет Вы сейчас TC еще больше запутаете, вот в java chiphers для SSL: SSL_DH_anon_WITH_DES_CBC_SHA TLS_RSA_WITH_AES_256_CBC_SHA кто здесь кто? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 15:43 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вот если почитать http://dev64.wordpress.com/2013/06/19/configure-https-at-apache-tomcat-and-https-test-client/ два фрагмента 1 Код: java 1. 2. 3. 4. 5. 6. 7. 2 Код: plaintext таким образом - чтоб произошла верификация клиента необходима "двусторонняя аутентификация", тогда нет необходимости вводить логин и пароль (как в mail.ru), логин и пароль вшиты в сертификат, сертификат генерится для каждого клиента свой? в остальных случаях - простая защита от фишинга и Код: plaintext ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 16:24 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадятогда нет необходимости вводить логин и пароль (как в mail.ru) где там нет пароля? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 16:34 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяв остальных случаях - простая защита от фишинга?Каким образом? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 16:43 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Petro123вадятогда нет необходимости вводить логин и пароль (как в mail.ru) где там нет пароля? в mail.ru пароль вводится только для входа в личнуюю почту, это было и раньше, когда они работали по http. в данном случае можно назвать "защита от фишинга и "соседа по ВиФи"" 2Андрей Панфилов третья сторона (выдавшая сертификат) гарантирует, что сервер истинный. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 16:53 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Андрей Панфиловкто здесь кто? Фиг с ними с версиями TLS, SSL и у кого из них алгоритмы дырявее. Я про то, что Blazkowicz привел кино наглядно объясняющее суть обмена публичными ключами, а что формула не (x mod 17) это уже не важно. В кино не рассказывается, что если третий, может не только слушать но и разговаривать вместо респондентов, то он и может подорвать процесс обмена ключами. Чтобы этого не произошло надо быть уверенным, что ключ пришел именно от адресата и тут нужен еще обин - неподвластный тертьему канал связи. Вот и придумали сертификаты. По сути являющиеса бумажкой, на которой написано: Я Иванов подтверждаю, что ключ от mail.ru четыре нуля. (Подпись) Я нотариус Сидорова подпись Иванова удостоверяю. (Подпись) Ну а браузер (или система) имеют образец подписи Сидоровой. Проблема заключается когда приходит бумажка от Петрова, чья подпись заверена Васильевым (его образец у браузера тоже есть), это считается нормальным используется новый ключ. Поскольку узнать кого на самом деле просил подписать хозяин mail.ru возможности нет, как и механизма препятсвующего получать разные бумажки на один и тот же адрес. И даже общего реестра выданных не существует. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 17:07 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадятретья сторона (выдавшая сертификат) гарантирует, что сервер истинный. фишинг - это атака на пользователя, заключающаяся в том, что пользователю подсовываются ссылки на сайты, похожие на настоящие (и ссылки похожи и сайты), от того что злодей сделат сайт mаil.ru и даст вам ссылку http://mаil.ru или https://mаil.ru https вас не спасет. SSL/TLS предназначены для шифрования трафика: если злоумышленник может просмотреть ваш/сервера/транзитный трафик, данные (логины, пароли, куки, конф. информацию) он оттуда вытянуть не может. PKI предназначена для защиты от mitm-аттак. Двухфактораная SSL-аутентификация - приятный бонус к SSL, по факту без соблюдения дополнительных правил куда безопаснее вводить логины и пароли. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 17:14 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
тогда вернёмся к началу вопрос простой: от чего защищает https и от чего не защиает? просто перечилите ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 17:31 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяот чего защищает https Правильно настроенный и с соблюдением всех базовых правил (ну к примеру, если у вас задеплоенное приложение умеет читать конфиги томката, а в самом приложении есть hijacking дыры, то ключ можно банально увести, точно также, если приложение принудительно не перенаправляет на защищенный порт, то печаль): от прослушки трафика (в т.ч. mitm, ну кроме того, то что сама по себе инфраструктура KPI оставляет желать лучшего, и фиг его знает есть бэкдоры в алгоритмах шифрования или нет), от dns-спуфинга с некоторой натяжкой (тут уже пользователи должны сами смотреть что передают данные по защищенному каналу) вадяот чего не защищаетот всего остального ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 18:30 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяно FF может сделать исключение безопасности и администратор идет лесом. т.е. любой может получить сертификат. и иметь подключение. атака «человек посередине» в данном случае не интересует - затраты и квалификация должны быть слишком большие. наличие сертификата не даёт никакой защиты, идентификации. или нужен специфический сертификат?HTTPS обеспечивает шифрацию или/и подписание трафика. Очень грубо: Основная шифрация идёт на обычном симметричном алгоритме. Для каждого подключения сервер создаёт временный (эфемерный) сеансовый ключ и, соответственно, возникает задача защищённой передачи ключа клиенту. Вокруг этого и "наверчен" протокол. Клиент подключается к серверу и "узнаёт" его возможности и требования. Если сервер не требует аутенификации клиента, то клиент создаёт эфемерную (и "самопальную") пару "открытый-закрытый ключи" с согласованными параметрами. Открытый ключ сервера у него уже есть. Клиент передаёт серверу свой открытый ключ, сервер шифрует сеансовый ключ своим закрытым ключом на открытом ключе клиента. Клиент расшифровывает сеансовый ключ своим закрытым ключом на открытом ключе сервера и начинается шифрование данных на сеансовом ключе, который есть у обоих сторон и не передавался по каналу связи в открытом виде. Теперь о "диверсанте-в-цепочке". Любой, кто включает в своём антивирусе проверку HTTPS-трафика - использует эту уязвимость. Всё, что требуется - контроль канала между клиентом и сервером. Простейший способ борьбы - априорное знание сертификатов, используемых тем или иным сервером. Например, "mozilla-based" браузеры "знают", какие сертификаты использует сеть обновления Mozilla Foundation. При двусторонней аутенификации можно представить ситуацию, когда сервер доверяет "самопальным" сертификатам, но сложно представить ситуацию, когда у него нет связки "клиент-сертификат". Т.е. man-in-middle - идёт лесом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 21:39 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадято в браузере нельзя получить двустороннюю аутентификацию ?Если у сервера нет списка клиентских сертфикатов - конечно нельзя. Чтобы это список появился, а у сервера была возможность с ним работать, простого "clientAuth=true" - недостаточно.вадятаким образом - чтоб произошла верификация клиента необходима "двусторонняя аутентификация", тогда нет необходимости вводить логин и пароль (как в mail.ru), логин и пароль вшиты в сертификат, сертификат генерится для каждого клиента свой?Нет. Есть P(ublic)K(ey)I(nfrastructure), которая опирается на доверие к корневым центрам сертификации. У каждого центра есть самоподписанный сертификат, который как-то публикуется и как-то добавляется в хранилище доверенных корневых центров каждого, кто желает работать с сертификатами этого центра. "Как-то" - ключевое и принципиальное свойство Более-менее публичные корневые центры не работают с конечными клиентами напрямую - они создают сеть промежуточных центров сертификации, которые уже и работают с клиентами. Или напрямую или через свою сеть промежуточных центров сертификации. Каждый клиент обращается к какому-то "конечному" центру сертификации, предоставляет ему документы, требуемые регламентом этого центра и получает клиентский сертификат. В таком сертификате может быть прописано много чего. Например, ФИО с электронной почтой человека или список доменных имён, используемых веб-сервером. В "технической части" сертификата есть "цепочка доверия", где указана иерархия сертификатов удостоверяющих центров. Целостность цепочки может быть проверена вне зависимости от наличия или отсутствия корневого сертификата в том или ином хранилище доверенных корневых сертификатов. Доверие клиентскому сертификату определяется каждым индивидуально, на основании имеющихся в его распоряжении хранилищ доверенных корневых сертификатов. Таким образом, чтобы работала клиентская аутенификация требуется, как минимум, чтобы у сервера был надёжный канал получения клиентских сертификатов. Чтобы, грубо говоря, не мог Барак Обама предоставить сертификат Ангелы Меркель. Ну и наоборот ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 22:01 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
авторHTTPS обеспечивает шифрацию или/и подписание трафика. Очень грубо: Основная шифрация идёт на обычном симметричном алгоритме. Для каждого подключения сервер создаёт временный (эфемерный) сеансовый ключ и, соответственно, возникает задача защищённой передачи ключа клиенту. Вокруг этого и "наверчен" протокол. Клиент подключается к серверу и "узнаёт" его возможности и требования. Если сервер не требует аутенификации клиента, то клиент создаёт эфемерную (и "самопальную") пару "открытый-закрытый ключи" с согласованными параметрами. Открытый ключ сервера у него уже есть. Клиент передаёт серверу свой открытый ключ, сервер шифрует сеансовый ключ своим закрытым ключом на открытом ключе клиента. Клиент расшифровывает сеансовый ключ своим закрытым ключом на открытом ключе сервера и начинается шифрование данных на сеансовом ключе, который есть у обоих сторон и не передавался по каналу связи в открытом виде. очень краткое описание. но в инете я не нашел подробного . можешь дать ссылку? авторЕсли у сервера нет списка клиентских сертфикатов - конечно нельзя. Чтобы это список появился, а у сервера была возможность с ним работать, простого "clientAuth=true" - недостаточно. и об этом тоже. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 23:06 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяочень краткое описание. но в инете я не нашел подробного . можешь дать ссылку?Так чтобы одну - нет. Так, чтобы пачку - вряд ли подберу. Тем более, что кое-что читалось в книжках, доках и хелпах Тем не менее, в статье из вики есть ссылка на SSL где, среди прочего, описан и (анонимный) обмен ключами и протокол рукопожатия. автори об этом тоже. Importing the Certificate и, заметьте - описывается импорт в конкретное хранилище. Ну и на этой же страничке - Realms and AAA . ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 23:31 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяочень краткое описание. но в инете я не нашел подробного . можешь дать ссылку? http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html Посмотрите еще лог подключения по протоколу https с -Djavax.net.debug=all - возможно многое прояснится. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 00:12 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
В Крипто Про JCP есть целый каталог с примерами и тестами, один из которых (кроме прочего) поднимает (локальный) https-сервер, к которому обращается клиент. При знакомстве с Крипто Про JCP надо учитывать следующее: 1. Временная лицензия действует месяц от первой установки; 2. Временная лицензия не годится, если у вашей системы более четырёх ядер; 3. Серверный TLS требует лицензии на серверный JCP, что, мягко говоря, не дёшево, если закончился льготный период или у вашего процессора более четырёх ядер. По всем этим причинам рекомендую "для посмотреть" Крипто Про JCP использовать (исключительно) пробирку - Virtual Box или то, что вам больше нравится. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 00:23 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Basil A. Sidorov1. Временная лицензия действует месяц от первой установки;Три месяца, но это не принципиально - время летит быстро ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 00:42 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
мне достаточно и самоподписанного сертификата, просто надо четко знать ганицы возможного и допустимого. авторТак чтобы одну - нет. Так, чтобы пачку - вряд ли подберу. Тем более, что кое-что читалось в книжках, доках и хелпах Тем не менее, в статье из вики есть ссылка на SSL где, среди прочего, описан и (анонимный) обмен ключами и протокол рукопожатия. вот это и жаль. в твоём "грубо" описано самое интересное, основа, которая конкретно нигде не прописана, а жаль. крипто про и подобные - хоть и защита, но несколько другая, требует дополнительного софта. за ссылки спасибо буду изучать. если что-то попадется по теме, не сочти за труд, выложи здесь или на мыло. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 09:48 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
вадяЗЫ для генераци и прочей работы с сертификатами пользуюсь http://portecle.sourceforge.net/ вот еще ничего вещица http://keystore-explorer.sourceforge.net/ ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 09:32 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
DDiverт.к. при соединении сервер и клиент обмениваться public ключами, которыми и шифруется весь дальнейший траффик. ключи у всех разные(клиентские) и расшифровать сообщение от другого компа своим ключём не получиться. А как насчет перехвата самих этих ключей? тогда все последующее шифрование летит к черту ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:16 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
JudoDDiverт.к. при соединении сервер и клиент обмениваться public ключами, которыми и шифруется весь дальнейший траффик. ключи у всех разные(клиентские) и расшифровать сообщение от другого компа своим ключём не получиться. А как насчет перехвата самих этих ключей? тогда все последующее шифрование летит к черту ) тут описано подробнее 16570629 в открытом виде ключи которыми шифруется трафик не передаются ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:26 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
JudoА как насчет перехвата самих этих ключей? тогда все последующее шифрование летит к черту ) Походу в теории никто не врубается. По открытому каналу передают только публичные ключи. А приватные оставляют у себя. Расшифровать и подписать можно только приватным ключем. Его у man-in-the-middle нет. Публичный ключ есть у всех. Им можно зашифровать и проверить подпись. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:27 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
DDiverв открытом виде ключи которыми шифруется трафик не передаются Передаются в "закрытом" виде? Или что? :D ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:27 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
BlazkowiczJudoА как насчет перехвата самих этих ключей? тогда все последующее шифрование летит к черту ) Походу в теории никто не врубается. По открытому каналу передают только публичные ключи. А приватные оставляют у себя. Расшифровать и подписать можно только приватным ключем. Его у man-in-the-middle нет. Публичный ключ есть у всех. Им можно зашифровать и проверить подпись. А как насчет если я первый раз захожу с мобилки на этот сайт ? и типа у меня нет еще ключа ? ) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:31 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
BlazkowiczDDiverв открытом виде ключи которыми шифруется трафик не передаются Передаются в "закрытом" виде? Или что? :D имел ввиду, что основной трафик шифруется, как правильно сказал Basil A. Sidorov , симметричным алгоритмом, открытый/закрытый ключи используются для передачи именно этого ключа. Т.е. ключ которым шифруется трафик, в открытом виде не пролетает по сети. Насколько я знаком с этой темой. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:34 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
DDiverимел ввиду, что основной трафик шифруется, как правильно сказал Basil A. Sidorov , симметричным алгоритмом, открытый/закрытый ключи используются для передачи именно этого ключа. Т.е. ключ которым шифруется трафик, в открытом виде не пролетает по сети. Насколько я знаком с этой темой. Теперь понял. Спасибо. В википедии, кстати, все основные атаки на SSL расписаны. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:36 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
JudoА как насчет если я первый раз захожу с мобилки на этот сайт ? и типа у меня нет еще ключа ? ) тыц ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:36 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
DDiverJudoА как насчет если я первый раз захожу с мобилки на этот сайт ? и типа у меня нет еще ключа ? ) тыц Да это все понятно... Я имею ввиду самый начальный момент установки соединения, когда все открыто как лист бумаги и с устройства это делается первый раз. Когда еще можно что-то перехватить. Ясно что пооотом вклиниваться в зашифрованный трафик сложновато ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:44 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
JudoА как насчет если я первый раз захожу с мобилки на этот сайт ? и типа у меня нет еще ключа ? ) Посмотрите видео. Правда. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:52 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Judo, всё-таки прочтите статью на хабре внимательнее, там есть ответ на ваш вопрос. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:53 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
DDiverJudo, всё-таки прочтите статью на хабре внимательнее, там есть ответ на ваш вопрос. Вот нет у Алисы на мобилке закрытого ключа для ассиметричного. А для симметрии еще хуже там вначале обмен в открытую происходит: хабр1) Асиметричное шифрование .... Напомним, что и у Алисы, и у Боба есть собственные закрытые ключи (из более чем 100 цифр), которые никогда не передаются по каналам связи. Симметричное шифрование Обмен ключами происходит всего один раз за сессию, во время установления соединения. Когда же стороны уже договорились о секретном ключе, клиент-серверное взаимодействие происходит с помощью симметричного шифровани ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 17:08 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Judo, всё у Алисы есть. Эти ключи генеряться самим клиентом. Возможно на основе каких-то вшитых ключей, возможно просто рандомом. ЗЫ называется, смотрю в книгу, вижу китайско-индийский словарь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 17:42 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
позволю себе сделать предположение(знающие пусть поправят) есть 3 назначения защиты: 1)шифрование трафика - простейший вид защиты, т.е. защита от прослушивания. 2)шифрование трафика + идентификация сервера - пример mail.ru, защищает от прослушивания и от фишинга. 3)шифрование трафика + идентификация сервера + идентификация клиента - при этом доступ к серверу может получить только клиент имеющий сертификат полученный с сервера (варианты а:сертификат для юзера на данном клиенте и/или б:сертификат для машины и любогог юзера). (электоронные подписи не рассматириваются) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 18:21 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
JudoВот нет у Алисы на мобилке закрытого ключа для ассиметричногоНет - создаст. Ключевое слово "ephemeral". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2014, 04:49 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Люди, объясните тупому, а зачем применять симметричное шифрование, если уже обменялись публичными ключами? Есть же самое простое средство - сшачала шифруешь своим приватным, затем чужим публичным (расшифровываешь наоборот). Соответственно для шифровки или дешифровки надо знать приватный ключ - без него не напишешь в поток ни считаешь. Одна проблема - как узнать что ключ действительно от сервера - ну для этого есть цепочка доверия сертификата. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2014, 08:39 |
|
||
|
Вопрос о защите по https
|
|||
|---|---|---|---|
|
#18+
Сергей Арсеньев, симметричные алгоритмы проще, следовательно быстрее. меньше ресурсов на обработку. когда игрался с RSA в жаве, алгоритм не позволяет шифровать большие объемы данных авторthe maximum size of data which can be encrypted with RSA is 245 bytes. No more. When you "encrypt data with RSA", in practice, you are actually encrypting a random symmetric key with RSA, and then encrypt the data with a symmetric encryption algorithm, which is not limited in size. This is how it works in SSL, S/MIME, OpenPGP... Regularly, some people suggest doing "RSA only" by splitting the input message into 245-byte chunks and encrypting each of them more or less separately. This is a bad idea because: - There can be substantial weaknesses in how the data is split and then rebuilt. There is no well-studied standard for that. - Each chunk, when encrypted, grows a bit (with a 2048-bit key, the 245 bytes of data become 256 bytes); when processing large amounts of data, the size overhead becomes significant. - Decryption of a large message may become intolerably expensive. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.09.2014, 08:44 |
|
||
|
|
start [/forum/topic.php?all=1&fid=59&tid=2126596]: |
0ms |
get settings: |
9ms |
get forum list: |
18ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
187ms |
get topic data: |
12ms |
get forum data: |
3ms |
get page messages: |
98ms |
get tp. blocked users: |
1ms |
| others: | 212ms |
| total: | 546ms |
| 0 / 0 |
