Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / Java [игнор отключен] [закрыт для гостей] / Вопрос о защите по https / 25 сообщений из 59, страница 1 из 3
  1  все
12.09.2014, 06:58
    #38744796
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вопрос простой: от чего защищает https и от чего не защиает?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 08:42
    #38744826
Basil A. Sidorov
Basil A. Sidorov
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
wiki
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 09:20
    #38744841
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
там я не нашел ответа.
смущает вот это
Эта система также может использоваться для аутентификации клиента, чтобы обеспечить доступ к серверу только авторизованным пользователям. Для этого администратор обычно создаёт сертификаты для каждого пользователя и загружает их в браузер каждого пользователя.
если б это выполнялось...
но FF может сделать исключение безопасности и администратор идет лесом.
т.е. любой может получить сертификат. и иметь подключение.
атака «человек посередине» в данном случае не интересует - затраты и квалификация должны быть слишком большие.
наличие сертификата не даёт никакой защиты, идентификации.
или нужен специфический сертификат?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 09:24
    #38744842
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
т.е. это служит в основном для защиты от фишинга?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 09:40
    #38744853
Сергей Арсеньев
Сергей Арсеньев
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вадя,

Теоретически это служит защитой от человека по середине, который не может получить валидный (с точки вашего browser) приватный ключ на подпись сайта с таким же именем.

Т.е. если в строке browser Вы набираете https://mail.ru, то сервер Вам должен ответить показав такой сертификат и на его основе должен произойти обмен ключами, который не позволит потом влезть кому-нибудь в протокол.

Грубо говоря (на самом деле все гораздо сложнее и не так) сервер сетрификат, клиент свой ключ им шифрует и отправляет серверу, про дороге его никто не видит. Поэтому не может подделать.

Возможнать самому подделать сертификат позволяет сделать фишинг (подмену) или просто просматривать содержимое трафика.

Например антивирус может вставлять свои ключи в доверенную зону и тем самым перехватывать и проверять трафик на предмет есть ли в трафике вирусы и пр.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 09:44
    #38744858
lleming
lleming
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Https шифрует соединение между клиентом и сервером. Как минимум это самоподписанный сертификат который удостоверяет самого себя и браузер покажет ворнинг. Максимум сертификат от CA например twaite, comodo, semantec там есть сертификаты и очень дорогие и тот кому он будет выдаваться(юрлицо) будут проверять что оно именно то за кого себя выдает.

Сертификаты могут проверяться онлайн браузером по спец протоколу и у firefox по умолчанию галочка если online проверка не удалась считать сертификат невалидным выключена. так что включите галочку и администратор из леса вернется на свое рабочее место. Только будте готорвы это проверка может занимать время и многие https сайту будут грузиться очень медленнее и вообще не грузиться.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 09:49
    #38744868
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
авторВозможнать самому подделать сертификат позволяет сделать фишинг (подмену) или просто просматривать содержимое трафика.
что значит подделать сертификат?
от того же mail.ru сертификат есть на любом компе - значит я могу просматривать трафик любоко компа подключенного к mail.ru, просто находясь в локальной сети?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 10:23
    #38744909
lleming
lleming
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вадяавторВозможнать самому подделать сертификат позволяет сделать фишинг (подмену) или просто просматривать содержимое трафика.
что значит подделать сертификат?
от того же mail.ru сертификат есть на любом компе - значит я могу просматривать трафик любоко компа подключенного к mail.ru, просто находясь в локальной сети?

не совсем так есть серитфикат авторизационного центра у которого мэйл ру получил свой сертификат и который утверждает что мэйл ру это мэйл ру
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 10:27
    #38744911
lleming
lleming
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
можно почитать про цепочки сертификатов.

у мэйл ру счас проверил от геотраст.

корневый сертификаты поставляются с мозилой вместе.
мозилла хранит сертификат в своем отдельном хранилище а хром пользуется хранилищем предоставляемым ОС

я вот не знаю если хром пользуется сертификатами из хранилища ОС то при установке он добавляет туда свои сертификаты или нет.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 11:22
    #38744977
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
т.е. только защита от фишинга?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 11:40
    #38744998
olexande
olexande
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Это еще защита от "соседа по ВиФи", которому интересны Ваши пароли и содержимое переписки через выше упомянутую mail.ru.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 14:02
    #38745119
DDiver
DDiver
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вадяот того же mail.ru сертификат есть на любом компе - значит я могу просматривать трафик любоко компа подключенного к mail.ru, просто находясь в локальной сети?
если я не ошибаюсь, это вам не удастся
т.к. при соединении сервер и клиент обмениваться public ключами, которыми и шифруется весь дальнейший траффик.
ключи у всех разные(клиентские) и расшифровать сообщение от другого компа своим ключём не получиться.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 14:08
    #38745126
MOHAX777
MOHAX777
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вадятам я не нашел ответа.
смущает вот это
Эта система также может использоваться для аутентификации клиента, чтобы обеспечить доступ к серверу только авторизованным пользователям. Для этого администратор обычно создаёт сертификаты для каждого пользователя и загружает их в браузер каждого пользователя.
если б это выполнялось...
но FF может сделать исключение безопасности и администратор идет лесом.
т.е. любой может получить сертификат. и иметь подключение.
атака «человек посередине» в данном случае не интересует - затраты и квалификация должны быть слишком большие.
наличие сертификата не даёт никакой защиты, идентификации.
или нужен специфический сертификат?

реализуйте two-way ssl и будет вам счастье :)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 14:11
    #38745130
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вадяесли б это выполнялось...
но FF может сделать исключение безопасности и администратор идет лесом.

Вы путаете теплое с мягким.
То о чем вы пишете, это FF предупреждает, что сертификат не соответствует домену и не выдан доверенным регистратором, поэтому он не рекомендует заходить на этот сайт.
А при аутентификации, сервер просто пошлет клиент с невалидным сертификатом, сколько там исключений в FF не прописывай.
Это вообще не одно и то же.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 14:14
    #38745133
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вадя,

Вы с ассимитричным шифрованием знакомы? Судя по коментариям, не очень. Советую ознакомиться.
YouTube Video
YouTube Video
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 14:52
    #38745206
Андрей Панфилов
Андрей Панфилов
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Blazkowicz,

Diffie-Hellman используется для установления зашифрованного соединения без использования сертификатов.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 15:02
    #38745230
Сергей Арсеньев
Сергей Арсеньев
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Андрей Панфилов,

Сертификаты для установления соединения на основе публичных ключей не нужны.
Сертификат это способ подтвердить, что присланный ключ от того сервера, с которым Вы общаться надумали.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 15:14
    #38745247
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Андрей ПанфиловDiffie-Hellman используется для установления зашифрованного соединения без использования сертификатов.

Это основны ассимитричного шифрования. База для понимания SSL.
http://en.wikipedia.org/wiki/Transport_Layer_Security
http://en.wikipedia.org/wiki/Public-key_cryptography
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 15:14
    #38745249
Андрей Панфилов
Андрей Панфилов
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Сергей Арсеньев,

Естественно, только при чем здесь HTTPS в котором для обмена ключами преимущественно используется RSA?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 15:27
    #38745274
Сергей Арсеньев
Сергей Арсеньев
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Андрей Панфилов,

Да чего там только не используется, вон сколько шуму было всвязи с ошибкой в не использующемся Heartbleed.

А собственно RSA, AES и пр. сути не играет - важен сам смысл обмена публичными ключами. В кино оно наглядно.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 15:30
    #38745280
Blazkowicz
Blazkowicz
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Сергей Арсеньев Да чего там только не используется, вон сколько шуму было всвязи с ошибкой в не использующемся Heartbleed.
Heart beat . Heartbleed это имя самой уязвимости.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 15:32
    #38745286
Сергей Арсеньев
Сергей Арсеньев
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Blazkowicz,

уж и пошутить нельзя
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 15:43
    #38745309
Андрей Панфилов
Андрей Панфилов
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
Сергей Арсеньев А собственно RSA, AES и пр. сути не играет
Вы сейчас TC еще больше запутаете, вот в java chiphers для SSL:

SSL_DH_anon_WITH_DES_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

кто здесь кто?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 16:24
    #38745354
вадя
вадя
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вот если почитать http://dev64.wordpress.com/2013/06/19/configure-https-at-apache-tomcat-and-https-test-client/
два фрагмента
1
Код: java
1.
2.
3.
4.
5.
6.
7.
<Connector
   protocol="org.apache.coyote.http11.Http11Protocol"
   port="8443" maxThreads="200"
   scheme="https" secure="true" SSLEnabled="true"
   keystoreFile="C:\java\apache-tomcat-6.0.29\conf\tomcat.jks" keystorePass="tomcat"
   truststoreFile="C:\java\apache-tomcat-6.0.29\conf\tomcattrust.jks" truststorePass="tomcat"
   clientAuth="true" sslProtocol="TLS" />


2
Код: plaintext
Если убрать двустороннюю аутентификацию в конфиге Tomcat, т.е. clientAuth="false", тогда коннект проходит из браузера.
то в браузере нельзя получить двустороннюю аутентификацию ?

таким образом - чтоб произошла верификация клиента необходима "двусторонняя аутентификация", тогда нет необходимости вводить логин и пароль (как в mail.ru), логин и пароль вшиты в сертификат, сертификат генерится для каждого клиента свой?

в остальных случаях - простая защита от фишинга и
Код: plaintext
Это еще защита от "соседа по ВиФи", которому интересны Ваши пароли и содержимое переписки
?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
12.09.2014, 16:34
    #38745358
Petro123
Petro123
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Вопрос о защите по https
вадятогда нет необходимости вводить логин и пароль (как в mail.ru)
где там нет пароля?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
  1  все
Форумы / Java [игнор отключен] [закрыт для гостей] / Вопрос о защите по https / 25 сообщений из 59, страница 1 из 3
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 486ms
Закрыть
start [/forum/topic.php?fid=59&tablet=1&tid=2126596]:
 0ms
get settings:
 8ms
get forum list:
 17ms
check forum access:
 3ms
check topic access:
 3ms
track hit:
 158ms
get topic data:
 11ms
get forum data:
 2ms
get page messages:
 73ms
get tp. blocked users:
 1ms
others: 210ms
total:  486ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]