Может ли провайдер перехватывать пароли к скайпу, банковскому счёту, хостерам итд?
===
vovney
Apr. 15th, 2010 02:32 pm (UTC)
да, конечно. это элеметарно.
Link | Reply | Thread
_steppenwolf
Apr. 15th, 2010 02:38 pm (UTC)
То есть если я владелец ресурса, который стоит скажем лимон баксов, то какой-то потный мент с задрющенска теперь сможет увести у меня домен?
Link | Reply | Parent | Thread
vovney
Apr. 15th, 2010 05:10 pm (UTC)
элементарно, если ты хостишься в России.
Link | Reply | Parent | Thread
_steppenwolf
Apr. 15th, 2010 02:44 pm (UTC)
Кстати я видел разработки, вроде Safe mail, они присылают ключ к энкриптингу, чуть ли не по почте, и после этого уже вся почта внутри группы идёт зашифрованная.
Теперь вопрос в том, что мешает ставить скажем програмку на комп, к ней присылать ключ на телефон и шифровать пароли и логины перед отправкой, смешивая с датой, а в сервисах помечать галочкой на использование такого шифрования.
Вся програмка наверное стоит копейки, смс, если сервис платный, можно включить в счёт.
Link | Reply | Parent | Thread
vovney
Apr. 15th, 2010 05:11 pm (UTC)
все что зашифровано человеком – элементарно расшифровывается человеком.
Link | Reply | Parent | Thread
_steppenwolf
Apr. 15th, 2010 05:12 pm (UTC)
если есть ключ или ресурсы
Link | Reply | Parent | Thread
p_a_s_h_a
Apr. 15th, 2010 03:42 pm (UTC)
Ну и как это перехватывать в случае https:?
Конечно, если перед этим пароль пришлют на email ящика провайдера или на какой-то yandex.ru, который пользователь будет смотреть через простой http: все открыто, и не только провайдеру. Но ничто не мешает использовать почту с web-интерфейсом https: или поменять пароль, присланный по почте уже на сайте банка, работающем по https:
Link | Reply | Parent | Thread
_steppenwolf
Apr. 15th, 2010 03:48 pm (UTC)
https ключа не пересылает перед сессией?
Link | Reply | Parent | Thread
p_a_s_h_a
Apr. 15th, 2010 04:08 pm (UTC)
там протокол именно на то и рассчитан (с помощью хитрых взаимных обменов ключами/сертификатами), чтобы никто, кроме сервера и клиента не мог влезть в данные, даже если имеет перехватчик траффика. Т.е. насколько я представляю, ключ шифрования уже пакетов с данными составляется на основе хитрого предварительного взаимодействия клиентского софта и сервера, и сам уже пересылается как-то зашифрованным.
Link | Reply | Parent | Thread
_steppenwolf
Apr. 15th, 2010 04:11 pm (UTC)
У нас провайдер по определению может перехватить всю предвариловку, а не только саму сессию.
Link | Reply | Parent | Thread
p_a_s_h_a
Apr. 15th, 2010 04:21 pm (UTC)
Все равно, даже с этой предвариловкой ключ он не получит. В перехваченном траффике будут только зашифрованные данные и не будет ключа и нет способа получить из этих данных ключ.
The main idea of HTTPS is to create a secure channel over an insecure network. This ensures reasonable protection from eavesdroppers ( http://en.wikipedia.org/wiki/Eavesdropping ) and man-in-the-middle attacks ( http://en.wikipedia.org/wiki/Man-in-the-middle_attack ) , provided that adequate cipher suites are used and that the server certificate is verified and trusted.
Link | Reply | Parent | Thread
_steppenwolf
Apr. 15th, 2010 04:31 pm (UTC)
Проблема в том, что провайдер может получить как мой сертификат, так и мой IP на который может быть завязан сертификат.
Link | Reply | Parent | Thread
p_a_s_h_a
Apr. 15th, 2010 04:39 pm (UTC)
Не может, если в браузере нет дырок (а если бы в каком то распространенном браузере они бы обнаружились, был бы шухер на весь инет). “мой сертификат” как-то генерируется случайным образом, на сервер передается не сертификат, а уже что-то зашифрованное.
Даже если провайдер будет перехватывать _каждый_ байт, _передаваемый_ по линии связи к провайдеру, он все равно не сможет влезть, т.к. есть софт на клиентском компе, действующий для провайдера непредсказуемо.
…Поищу чтобы и самому почитать “SSL/TLS для чайников”…
Link | Reply | Parent | Thread
_steppenwolf
Apr. 15th, 2010 04:47 pm (UTC)
Да, надо почитать и простую табличку составить:
что получаем (сертификат, сессию, hash), кто может перехватить для использования,
а то я например не пойму, что безопасно использовать с чужим роутером. Вроде знакомый владелец крупного ресурса его с работы не админит по каким-то причинам.
Link | Reply | Parent | Thread
vovney
Apr. 15th, 2010 05:12 pm (UTC)
в любых подобных случаях всё на порядок проще. к вам просто придут с паяльником.
Link | Reply | Parent | Thread
_steppenwolf
Apr. 15th, 2010 05:13 pm (UTC)
С паяльником не жалко и отдать, хотя можно и шмальнуть из травматики в глаз.
Обидно, когда без паяльника прыщавый козёл получит доступ.
Link | Reply | Parent | Thread
p_a_s_h_a
Apr. 15th, 2010 05:17 pm (UTC)
Но уже ко _мне_, а не к провайдеру, так что к проблеме собственно поста это уже отношения не имеет. Новость да – по новости провайдер не скрывает IP-шника, по нему берется адрес. Но прямо в офисе провайдет дать “пароль к банковскому счету” не может