Перейти к содержимому


Фото
- - - - -

Проверять зашифрованный трафик?

https

  • Please log in to reply
15 ответов в этой теме

#1 Mongoose

Mongoose

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 12 Июнь 2016 - 20:10

Если активизировать опцию "Проверка зашифрованного трафика", то все защищенные сайты открываются без "зеленой" метки безопасности, знак замка раскрыт, если кликаю на него, идет сообщение типа передаваемая на сайт информация может быть доступна администратору, выдавшему вам сертификат. Сертификат от Вебера, он показывает, что всё ОК с сайтом. Но... неудобно - в браузере теперь не видно, защищена ли сессия с сайтом или нет. Как-то неуютно работать со Сбербанком онлайн без привычного зеленого цвета безопасности и с разомкнутым значком замка безопасного соединения... 

Вопрос - что лучше с точки зрения безопасности, оставить в Вебере опцию проверки зашифрованного  трафика или нет?

 

 



#2 ivsero

ivsero

    Newbie

  • Posters
  • 77 Сообщений:

Отправлено 12 Июнь 2016 - 20:37

С одной стороны, проверять защищенные соединения в общем-то не мешало бы - иной раз взламывают и начинают использовать для drive-by-download атак даже крупные интернет-ресурсы: в этом случае антивирус сможет обнаружить и заблокировать компонент экплоит-пака, который может быть и не дропнут на диск.

 

С другой стороны, проверка защищенных соединений является MITM-хаком и не позволяет однозначно отличить такой легитимный антивирусный митм от  нелегитимного (когда подмену сертификата осуществляют злоумышленники). В связи с этим, лично я считаю проверку защищенных соединений злом. Используйте Chromium-подобные браузеры, они сейчас практически непробиваемые. Плюс ко всему, Chrome сам обновляет Flash. В этом случае вам можно почти не бояться драйв-баев и отключать проверку защищенных соединений.

 

А вообще, я слышал, что ряд антивирусных вендоров начинает движуху по стандартизации такого MITM. Если это дело удастся провернуть, то и браузеры наверняка перестанут реагировать на сертификат антивирусов таким образом.



#3 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 14 Июнь 2016 - 09:47

По мимо включения опции необходимо добавить наш в сертификат в доверенные браузера, почтового клиента и т.п.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#4 Mongoose

Mongoose

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Июнь 2016 - 10:33

По мимо включения опции необходимо добавить наш в сертификат в доверенные браузера, почтового клиента и т.п.

Но где же опция экспорта сертификатов в 11.0? Не нашел сходу.



#5 VVS

VVS

    The Master

  • Moderators
  • 17 398 Сообщений:

Отправлено 15 Июнь 2016 - 10:36

Прикрепленный файл  2016-06-15_10-35-16.png   26,56К   2 Скачано раз


--
меня вот что возмутило.  что даже не начинают толком диалог сразу дампы...... © alehas777

 


#6 Mongoose

Mongoose

    Newbie

  • Posters
  • 13 Сообщений:

Отправлено 15 Июнь 2016 - 12:31

Установил сертификаты в яндекс-браузер, спасибо. Но всё равно он при включенной опции DrWeb проверки зашифрованного трафика опознаёт соединение как небезопасное. Наверное действительно придется выбирать между браузером и Вебером в этой ситуации.



#7 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 15 Июнь 2016 - 12:38

в браузерах типа хрома подобных есть привязка важных сайтов к их сертификатам, это не обойти. скорее всего в яндекс браузере тоже сделали пиннинг в своей "технологии"
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#8 Aleksandra

Aleksandra

    VIP

  • Helpers
  • 2 300 Сообщений:

Отправлено 09 Февраль 2017 - 11:46

https://www.opennet.ru/opennews/art.shtml?num=45996
Версия Сервера Dr.Web 12.00.0 (17-08-2019 05:00:00)
Linux 4.14.119-200.el7.x86_64 x86_64; ; glibc 2.17

#9 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 684 Сообщений:

Отправлено 09 Февраль 2017 - 11:58

Aleksandrahttps://forum.drweb.com/index.php?showtopic=326869#entry822366


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#10 Alexander Chinyakov

Alexander Chinyakov

    Member

  • Dr.Web Staff
  • 488 Сообщений:

Отправлено 09 Февраль 2017 - 12:49

На всякий случай уточню. НетФильтр транслирует невалидность сертификата: если ему не удалось валидировать (установить цепочку доверия) сертификат сервера, для MiTM будет использован другой, заведомо невалидный сертификат.



#11 S_Alex2017

S_Alex2017

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 14 Февраль 2017 - 14:44

Ниже цитата:

руппа ученых, включающая представителей ряда американских университетов, а также специалистов Mozilla, Google и CloudFlare, опубликовала  доклад, посвященный результатам анализа методов перехвата HTTPS-трафика и его влияния на сетевую безопасность.

Эксперты изучили влияние антивирусных решений и различных межсетевых экранов на безопасность HTTPS-трафика. Подобное защитное оборудование перехватывает TLS-соединения для контроля сетевого трафика. При этом процедура согласования параметров соединения (TLS-рукопожатие), в ходе которой прерывается и расшифровывается инициированная клиентом сессия TLS, анализируется внутреннее текстовое содержимое HTTP и устанавливается новое TLS-соединение с нужным web-сайтом в значительном числе случаев производится некорректно.

На основе анализа рукопожатий, связанных с браузерами, антивирусами и вредоносным ПО, исследователи разработали ряд эвристических методов, позволивших им обнаруживать перехват HTTPS-трафика и ответственный за него продукт. Созданные инструменты эксперты разместили на серверах обновлений Mozilla Firefox, нескольких популярных сайтах электронной коммерции и серверах Cloudflare CDN.

Проанализировав 8 млрд TLS-рукопожатий, исследователи выяснили, что 4% соединений с серверами обновлений Firefox, 6,2% соединений с сайтами электронной коммерции и 10,9% соединений с Cloudflare CDN были перехвачены. После перехвата 97% соединений Firefox, 32% соединений коммерческих сайтов и 54%соединений Cloudflare стали менее безопасными. Более того, значительная часть перехваченных соединений использовала слабые криптографические алгоритмы, причем 10-40% из них демонстрировали ранее взломанные шифры, что позволяет атакующему в позиции «человек посередине» перехватить соединение, произвести его деградацию и расшифровать. Как отмечают авторы доклада, после перехвата 58% соединений стали подвержены критическим уязвимостям.

В ходе исследования эксперты изучили работу популярных антивирусных продуктов, включая Avast для Windows и Mac, AVG, Bitdefender, Bullguard, CYBERsitter, Dr. Web, ESET, G DATA, Kaspersky, KinderGate, Net Nanny, PC Pandora и Qustodio. Из всех проанализированных решений высшей оценки удостоился только Avast, все остальные были отнесены к категории С (означает наличие известной TLS-уязвимости, такой как Logjam, CRIME и POODLE). "

Источники: 

русский: http://www.securitylab.ru/news/485293.php

оригинальный: https://jhalderm.com/pub/papers/interception-ndss17.pdf

Если у меня более 75% трафика идет по HTTPS, зачем мне тогда SpiderGate?



#12 SergSG

SergSG

    The Master

  • Posters
  • 12 133 Сообщений:

Отправлено 14 Февраль 2017 - 15:34

Если у меня более 75% трафика идет по HTTPS, зачем мне тогда SpiderGate?

Для оставшихся 25%. Проверку зашифрованного трафика можно отключить.

А вы уверены, что в этих 75% нет ничего зло-вредного?


Сообщение было изменено SergSG: 14 Февраль 2017 - 15:35


#13 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 14 Февраль 2017 - 16:40

>зачем мне тогда SpiderGate?

мы можем блочить домены и не разбирая SSL
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#14 S_Alex2017

S_Alex2017

    Newbie

  • Members
  • 2 Сообщений:

Отправлено 14 Февраль 2017 - 17:19

Ну хорошо. А по существу, читай - опубликованной проблеме снижения DrWebом стойкости защищенного соединения комментарии будут?  

"Мы можем не заморачиваясь отрубить вам все" ответом по существу считать сложно  :)


Сообщение было изменено S_Alex2017: 14 Февраль 2017 - 17:21


#15 SergSG

SergSG

    The Master

  • Posters
  • 12 133 Сообщений:

Отправлено 14 Февраль 2017 - 18:18

Ну хорошо. А по существу, читай - опубликованной проблеме снижения DrWebом стойкости защищенного соединения комментарии будут?  

"Мы можем не заморачиваясь отрубить вам все" ответом по существу считать сложно  :)

Блочить целые домены - это одна из функций Гейта.

А так, палка о двух концах - или проверяем, со всеми вытекающими, или не проверяем, со всеми вытекающими. Решать вам.


Сообщение было изменено SergSG: 14 Февраль 2017 - 18:20


#16 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 18 000 Сообщений:

Отправлено 14 Февраль 2017 - 18:27

Ну хорошо. А по существу, читай - опубликованной проблеме снижения DrWebом стойкости защищенного соединения комментарии будут?  
"Мы можем не заморачиваясь отрубить вам все" ответом по существу считать сложно  :)

эти данные не актуальны, как минимум их часть. это исследование делалось парк лет назад на 10 версии. мы работали с этим автором за долго до публикации.
With best regards, Konstantin Yudin
Doctor Web, Ltd.



Also tagged with one or more of these keywords: https

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых