Strict-Transport-Security

Discussion in 'Безопасность и Анонимность' started by Verbal, 14 Jan 2015.

  1. Verbal

    Verbal New Member

    Joined:
    8 Nov 2013
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    Вопрос простой. Есть ли какие-то методы что бы перехватить трафик с HTTP Strict Transport Security (HSTS). Или пока такого способа нет и с этих сайтов трафик не просканировать нормально?
     
  2. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    811
    Likes Received:
    1,070
    Reputations:
    17
    Сейчас вообще никак, любая подмена трафика палится браузером.
     
  3. Verbal

    Verbal New Member

    Joined:
    8 Nov 2013
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    т.е. уже как раньше атаки типа SSLStrip + (ettercap or artspoof) уже нету.
    И твой пароль ни кто не может перехватит если сайт использует HSTS ну и конечно ты видишь куда заходишь. Правильно?
     
  4. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    811
    Likes Received:
    1,070
    Reputations:
    17
    Да, правильно. SSL Strip не канает потому что браузер знает, что к сайту нужно подключаться только по https. Как только браузер увидит, что его заставляют подключиться к такому сайту по http он выбьет ошибку hsfs failed и не подключится никуда. А раз расшифровать трафик нельзя, значит и пароли не угнать.
     
    1 person likes this.
  5. Verbal

    Verbal New Member

    Joined:
    8 Nov 2013
    Messages:
    13
    Likes Received:
    0
    Reputations:
    0
    А существует ещё какие-нить способы узнать о паролях пользователей например youtybe. Не прибегая к клоном сайтов. Т.е. что бы атака оставалась MITM
     
  6. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    811
    Likes Received:
    1,070
    Reputations:
    17
    МИТМ не выйдет, так как браузер хочет видеть только https, причем подписанный именно тем сертификатом, который в него зашит. Может есть возможность атаковать через сторонние скрипты на сайте, но конкретно на трубе реклама от гугла, который наглухо вшит в список hsfs ресурсов. Это сделали для того, что бы не дать возможность атаковать митм-ом свежеустановленный браузер.
     
Loading...