1. घर
  2. सवाल और जवाब
  3. क्या एचटीटीपीएस कनेक्शन को मैन-इन-द-बीच हमले से अपहरण कर लिया जा सकता है?

क्या एचटीटीपीएस कनेक्शन को मैन-इन-द-बीच हमले से अपहरण कर लिया जा सकता है?

2010-05-22 14 views
14

मैं काम से जीमेल का उपयोग कर रहा हूं, लेकिन पहले वेब पेज को accesing करते समय मुझे प्रॉक्सी के लिए पासवर्ड दर्ज करना होगा। ब्राउजर के अंदर से पासवर्ड पूछा जाता है। मुझे प्रॉक्सी से प्रमाण पत्र प्राप्त होता है जिसे मुझे इंटरनेट कनेक्शन काम करने के लिए स्वीकार करना होगा।क्या एचटीटीपीएस कनेक्शन को मैन-इन-द-बीच हमले से अपहरण कर लिया जा सकता है?

क्या मेरे एचटीटीपीएस कनेक्शन, जीमेल और ब्राउज़र के बीच, इस स्थिति में ट्रैक किया जा सकता है?

स्रोत

2010-05-22 INS

+2

सुपरसुरर इस प्रश्न के लिए एक बेहतर मंच हो सकता है हालांकि मुझे लगता है कि यह https साइटों को विकसित करने वाले किसी के लिए रूचि रखता है। और सिर्फ एक प्रश्न उपसर्ग का उल्लेख करने के लिए "बहस:" शायद इसे व्यक्तिपरक और तर्कवादी के रूप में बंद करने का एक निश्चित अग्नि तरीका है! –

+0

@ मार्टिन स्मिथ वह एक प्रोग्रामर से बेहतर जवाब पाने जा रहा है। – rook

+0

क्या प्रॉक्सी सर्वर आपको gmail.com के लिए फर्जी प्रमाणपत्र प्रस्तुत करता है जिसे आपको स्वीकार करने के लिए मजबूर किया जाता है? मुझे लगता है कि आप प्रॉक्सी सर्वर के लिए एक SSL प्रमाणपत्र स्वीकार कर रहे हैं, न कि अंतिम वेबसाइट के लिए जो आप जा रहे हैं। क्या आप इसकी पुष्टि कर सकते हैं? –

उत्तर

11

Fiddler इस तरह यह वर्णन करता है:

प्रश्न: HTTPS प्रोटोकॉल यातायात देखने और छेड़छाड़ को रोकने के लिए डिजाइन किया गया था। यह देखते हुए कि Fiddler2 HTTPS ट्रैफ़िक को कैसे डिबग कर सकता है?

ए: फिडलर 2 एचटीटीपीएस अवरोध के लिए "मैन-इन-द-बीच" दृष्टिकोण पर निर्भर करता है। अपने वेब ब्राउज़र में, फिडलर 2 का दावा है कि सुरक्षित वेब सर्वर और वेब सर्वर पर, Fiddler2 वेब ब्राउज़र की नकल करता है। वेब सर्वर होने का नाटक करने के लिए, फिडलर 2 गतिशील रूप से एक HTTPS प्रमाण पत्र उत्पन्न करता है।

फिडलर का प्रमाणपत्र आपके वेब ब्राउज़र द्वारा विश्वसनीय नहीं है (चूंकि फिडलर एक विश्वसनीय रूट प्रमाणन प्राधिकरण नहीं है), और इसलिए फिडलर 2 आपके ट्रैफ़िक को रोक रहा है, तो आपको अपने ब्राउज़र में एक HTTPS त्रुटि संदेश दिखाई देगा, जैसे:

स्रोत

2010-05-22 17:04:13 tangens

+1

+1। और निश्चित रूप से यदि आप फिडलर प्रमाण पत्र स्वीकार करते हैं तो आपको HTTPS त्रुटि संदेश नहीं दिखाई देगा। –

+1

फिडलर ब्राउज़र को एक त्रुटि फेंकने का कारण बनता है और वह https का बिंदु है। हालांकि ** sslstrip ** त्रुटि को फेंकने के बिना https को बाईपास कर सकता है। आपको मेरी पोस्ट पढ़नी चाहिए। – rook

+0

@Rook - पूरी तरह से आपसे सहमत हैं। मैंने पारोस प्रॉक्सी और एमआईटीएम प्रॉक्सी का उपयोग करके अविश्वसनीय एसएसएल प्रमाणपत्र चेतावनी को दबाने की कोशिश करने में काफी समय बिताया, लेकिन अंत में इसे केवल एसएसएलस्ट्रिप का उपयोग करके हासिल किया। – Myxtic

2

हां वे कर सकते हैं। आप इसे फिडलर डाउनलोड करके और https ट्रैफ़िक को डिक्रिप्ट करने के लिए इसका उपयोग करके अपने लिए देख सकते हैं। फिडलर अपना प्रमाण पत्र जारी करता है और बीच में एक आदमी को कार्य करता है। आपको यह देखने के लिए कि क्या यह वास्तव में जीमेल द्वारा जारी किया गया है, आपको अपने ब्राउज़र में प्रमाण पत्र देखना होगा।

स्रोत

2010-05-22 16:45:07

+0

यह प्रमाण नहीं देता है कि आप बीच में एक व्यक्ति को https पर कर सकते हैं, शायद फिडलर ऐसा कर सकता है क्योंकि यह ब्राउज़र के अंदर रहता है। उस स्थिति में इसे अब मैन-इन-द-बीच हमले नहीं कहा जाता है, लेकिन एक मैन-इन-द-ब्राउज़र हमला (कोई मजाक नहीं)। यदि फिडलर ब्राउज़र में रहने पर निर्भर नहीं है, तो क्या आप कृपया यह कैसे कर सकते हैं इसके बारे में अधिक जानकारी प्रदान कर सकते हैं? और यह कैसे fidler यह करता है – Henri

+0

@ हेनरी - अपने उत्तर पर मेरी टिप्पणी देखें। –

+0

हां, लेकिन फिडरल का हमला एक चेतावनी फेंकता है ताकि एचटीपीएस अपना काम कर रहा हो। sslstrip सभी को एक साथ इस चेतावनी को बाईपास कर सकते हैं। – rook

1

ऐसा लगता है कि टीएसएलवी 1 में रीनेगोएशन एक कमजोर जगह है (TLS renegotiation attack. More bad news for SSL देखें)।

स्रोत

2010-05-22 16:48:04 Gumbo

+0

यह है, लेकिन यह वास्तव में यहां प्रासंगिक नहीं है। – Henri

+0

फिडलर की तुलना में बहुत ठंडा हमला +1। sslstrip गधा kicks! मैंने पिछले साल ब्लैकहाट में अपनी बात देखी थी। – rook

+0

@ हेनरी आपको मोक्सी मार्लेन्सपीक की बात देखने की ज़रूरत है और फिर अपनी टिप्पणी हटा दें। – rook

-1

इसे जीमेल वेबसर्वर और आपके पीसी के बीच ट्रैक नहीं किया जा सकता है, लेकिन एक बार जब यह पीसी के अंदर होता है, तो इसे ट्रैक किया जा सकता है। मैं समझ नहीं पा रहा हूं कि दो लोग दावा करते हैं कि https को एमआईटीएम के साथ ट्रैक किया जा सकता है क्योंकि https के पूरे उद्देश्य ऐसे हमलों को रोकने के लिए है।

बिंदु यह है कि सभी HTTP स्तर संदेश एन्क्रिप्ट किए जाते हैं, और मैक-एड। सर्टिफिकेट ट्रस्ट चेन के कारण, आप एक प्रमाण पत्र नकली नहीं कर सकते हैं, इसलिए मध्य में एक आदमी को निष्पादित करना संभव नहीं होना चाहिए।

जो लोग दावा करते हैं, वे संभव है, क्या आप कृपया यह बता सकते हैं कि यह कैसे और क्यों संभव है और मौजूदा प्रतिवादों को कैसे रोक दिया जाता है?

स्रोत

2010-05-22 16:52:43 Henri

+2

ओपी का कहना है, "मुझे प्रॉक्सी से एक प्रमाण पत्र प्राप्त होता है जिसे मुझे इंटरनेट कनेक्शन काम करने के लिए स्वीकार करना चाहिए।" मुझे लगता है कि ब्राउज़र -> प्रॉक्सी उस प्रमाणपत्र का उपयोग करके एन्क्रिप्ट किया गया है। * नहीं * जीमेल है। इसके बाद प्रॉक्सी पर डिक्रिप्ट किया जाता है और जीमेल को https अनुरोध करते समय एन्क्रिप्ट किया जाता है। हालांकि इसे पैडलॉक आइकन पर क्लिक करके और प्रमाण पत्र देखकर देखना संभव होना चाहिए। –

0

जैसा कि अन्य उत्तरों द्वारा इंगित किया गया है (here पढ़ें) इसके लिए वास्तव में "बीच में" काम करने के लिए (यानी उन मामलों को छोड़कर जिनमें कैप्चरिंग अंत बिंदुओं में से एक पर, ब्राउज़र के अंदर या अंदर वेब सर्वर), किसी प्रकार की प्रॉक्सी सेट की जानी चाहिए, जो आपके ब्राउज़र और सर्वर से बात करती है, दोनों तरफ होने का नाटक करती है। लेकिन आपका ब्राउज़र (और एसएसएल) यह समझने के लिए काफी समझदार है कि प्रॉक्सी आपको प्रमाणित करता है ("कह रहा है: मैं जीमेल हूं") अवैध है, यानी एक विश्वसनीय रूट प्रमाणन प्राधिकरण द्वारा हस्ताक्षरित नहीं है। फिर, यह केवल तभी काम करेगा यदि उपयोगकर्ता स्पष्ट रूप से उस अविश्वसनीय प्रमाणपत्र को स्वीकार करता है, या यदि प्रॉक्सी द्वारा उपयोग किया गया CA अपने ब्राउज़र में विश्वसनीय CA रजिस्ट्री में डाला गया था।

संक्षेप में, यदि उपयोगकर्ता एक स्वच्छ/भरोसेमंद ब्राउज़र स्थापना का उपयोग कर रहा है, और यदि वह अविश्वसनीय अधिकारियों द्वारा जारी प्रमाणपत्रों को मना कर देता है, तो "मध्य में" एक व्यक्ति एक https संचार को डिक्रिप्ट नहीं कर सकता है।

स्रोत

2010-05-22 17:37:23 leonbloy

+0

प्रश्न से: "मुझे प्रॉक्सी से एक प्रमाण पत्र प्राप्त होता है जिसे मुझे इंटरनेट कनेक्शन काम करने के लिए स्वीकार करना होगा।" SSL12rip के लिए –

11

ट्रैक किया गया? भले ही https यातायात को एन्क्रिप्ट करता है फिर भी आप दोनों पक्षों (जीमेल और ब्राउज़र) के आईपी पते को जानते हैं।एचटीटीपीएस इस समस्या को हल नहीं करता है, लेकिन क्रिप्टो के एक अलग मिश्रण ने The Onion Router(TOR) बनाया है जो सर्वर और ग्राहकों दोनों को खोजने के लिए असंभव बनाता है।

"सामान्य" स्थितियों के तहत जब कोई हमलावर एमआईटीएम HTTPS की कोशिश कर रहा है तो आपके ब्राउज़र को प्रमाणपत्र त्रुटि फेंकनी चाहिए। यह पीकेआई द्वारा समर्थित एसएसएल का पूरा बिंदु है। 200 9 में में मोक्सी मार्लेंस्पीक ने एक हत्यारा ब्लैकहाट टॉक दिया जिसमें वह चेतावनी के बिना एमआईटीएम एचटीटीपीएस में सक्षम था। उनके उपकरण को SSLStrip कहा जाता है, और मैं अत्यधिक वीडियो देखने की सलाह देता हूं।

एसएसएलस्ट्रिप का एक अच्छा समाधान Google द्वारा विकसित किया गया था। इसे STS कहा जाता है, और आपको इसे पर अपने वेब अनुप्रयोगों के सभी पर सक्षम करना चाहिए। वर्तमान में एसटीएस केवल क्रोम द्वारा समर्थित है, लेकिन फ़ायरफ़ॉक्स इस सुविधा का समर्थन करने पर काम कर रहा है। आखिरकार सभी ब्राउज़रों इसे समर्थन देना चाहिए।

स्रोत

2010-05-22 18:28:25 rook

+0

रूक +1। यह 99% बार काम करेगा, लेकिन यदि उपयोगकर्ता * सीधे * ब्राउज़र में https: // में प्रवेश करता है, तो यह काम नहीं करेगा। SSLStrip केवल तभी काम करता है जब सर्वर का पहला अनुरोध http से अधिक हो। –

संबंधित मुद्दे

 संबंधित मुद्दे