The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от opennews (ok), 31-Мрт-19, 14:52 
В каталоге дополнений Mozilla опубликован (https://addons.mozilla.org/en-US/firefox/addon/anti-mitm-tls.../) прототип дополнения, позволяющего использовать ответы на CAPTCHA для обнаружения подмены TLS-сертификатов на стороне сайтов, невзирая на то, что JavaScript не предоставляет доступ данным TLS-сертификата.


Дополнение в специально помеченном поле обнаруживает ответ пользователя на CAPTCHA, присоединяет его к отпечатку TLS-сертификата посещаемого сайта, и записывает хеш полученного результата в Cookies, которые затем передаются на сайт при последующих запросах. Для реализации проверки на стороне сервера требуется выполнить аналогичные действия по вычислению хеша и сверить его с полученным от пользователя. Несовпадение хешей будет означать, что пользователь ввёл неверный ответ, либо что TLS-сертификат подменён.

URL: https://addons.mozilla.org/ru-RU/firefox/addon/anti-mitm-tls.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=50429

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


3. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +5 +/
Сообщение от Аноним (3), 31-Мрт-19, 15:25 
>let clientsideDigest = <Digest of TLS certificate that you get from website you're visiting>;
>let yourAnswer = <Your CAPTCHA answer>;
>let resultDigest = sha512(clientsideDigest + yourAnswer);

настоящий clientsideDigest известен атакующему. clientsideDigest подменённого сертификата - тоже. Хеш - тоже известен. Далее распознаём капчу плохим, но достаточно хорошим OCRом, например нейронками, после чего составляем план брутфорса, минимизируя α-guesswork, после брутим, сверяя по хешу.

=>

1. должна использоваться не хеш-функция, а KDF
2. сервер должен отвергать ответы после определённой задержки
3. этот дедлайн не должен дать времени даже комбайну "индус + нейросеть"
4. владелец сайта должен быть готов к тому, что анб или симулирует много фейковых проваленных попыток из-за латентности или просто замедлит соединение к его сайту, чтобы вынудить его увеличить дедлайн

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (-), 31-Мрт-19, 19:27 
> Далее распознаём капчу плохим, но достаточно хорошим OCRом

Полагаю, что расширение разрабатывалось против не индивидуального, а массового массового MITM https://habr.com/ru/post/303736/ , когда об использовании OCR не может быть и речи.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

19. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 31-Мрт-19, 21:15 
Если кое-комы было по-карману (по крайней мере команда djb  ,такое предположила) number field sieve, то OCR - точно не проблема.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 31-Мрт-19, 21:22 
Против массового применения - прослушиваться и расшифровываться будет всё, а кто не согласен - тот будет сидеть без интернета вообще. Это расширение тут не поможет никак.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

32. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +1 +/
Сообщение от Аноним (32), 01-Апр-19, 07:41 
Ну почему, можно например потролить подменяльщика, проверить скоко он подменить в секунду сможет.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

34. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 01-Апр-19, 09:26 
Он не будет валандаться с этим расширением. Он просто будет подменять, а кто не  огласен - те будут без интернета сидеть.
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

36. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +1 +/
Сообщение от КО (?), 01-Апр-19, 11:11 
>Далее распознаём капчу плохим, но достаточно хорошим OCRом,

Занафига? У нас же mitm. Просто заставляем пройти юзера капчу с этими картинками и далее генерим ответ на нее спрашивающему серверу и хеш от капчи. И  каким там алгоритмом это все подписывается - таким и подписываем.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от хотел спросить (?), 31-Мрт-19, 15:52 
Накой так сложно?
Чем плох старый добрый certificate-pinning?
Тем что гугл дрессированная обезьяна создает десятки новых сертификатов?
Ну так добавить их все.. либо отключить проверку для особо тупых доменов.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 31-Мрт-19, 16:52 
А вы уверены, что это гугл, а не АНБ?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от АНБ (?), 31-Мрт-19, 17:17 
нам что - за них работать, что-ли? Мы за них только есть планировали!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

18. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  –3 +/
Сообщение от Аноним (18), 31-Мрт-19, 20:38 
с точки зрения человека живущего в России это практически одно и то же. уверен они шарят необходимую информацию в реалтайме.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

27. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от хотел спросить (?), 01-Апр-19, 02:10 
> А вы уверены, что это гугл, а не АНБ?

Да это гугл. Он генерит собственные доверенные сертификаты, их сотни за балансером. Даже не утруждаются деплоить одинаковый на все сервера.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +2 +/
Сообщение от пох (?), 31-Мрт-19, 17:16 
> Чем плох старый добрый certificate-pinning?

мешает кому-надо сгенерить ваш сертификат у единственно-верного и кому-надо подконтрольного CA, если очень понадобится для борьбы с терраризьмом, или просто денег очень захочется.

Именно ради этого вся затея с CA, с отменой PKP в чроме (но не в телеметрии чрома, заметьте), со старательно зачисткой поляны от неправильных CA...

гугель честно отрабатывает кредитец под 0%.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

44. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (44), 02-Апр-19, 18:33 
>старательно зачисткой поляны от неправильных CA

Это никак не вписывается в предложенную теорию заговора, так как иметь один подконтрольный CA среди тысячи мусорных менее палевно, чем среди десятка с certificate transparency

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

26. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Ordu (ok), 31-Мрт-19, 22:07 
Тем чтобы припиннить сертификат, тебе сначала надо получить валидный.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

28. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от хотел спросить (?), 01-Апр-19, 02:13 
> Тем чтобы припиннить сертификат, тебе сначала надо получить валидный.

ломанись с разных гео-точек

автор сайта может проверить по SSH и опублкиовать фингерпринт где-нибудь

да вариантов тонна
но итог один - вносишь в плагин браузера или после первого посещения или вручную

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Ordu (ok), 01-Апр-19, 02:55 
>> Тем чтобы припиннить сертификат, тебе сначала надо получить валидный.
> ломанись с разных гео-точек
> автор сайта может проверить по SSH и опублкиовать фингерпринт где-нибудь

"расширение браузера"

Понятно, что есть много способов одоления проблемы. Можно встретится с автором сайта, и передать сертификат перемигиваясь в кафе. Но есть разные случаи, и некоторые не заслуживают того, чтобы лететь на другую полусферу земного шарика, и тренироваться в шпийонских методах передачи и валидации информации.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +1 +/
Сообщение от pda (?), 01-Апр-19, 02:35 
Его никто не хотел настраивать, потому что цена ошибки слишком высока.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

38. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (38), 01-Апр-19, 12:32 
Цена ошибки при настройке вебсервера тоже высока, давайте теперь все вебсервера выключим.
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

37. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от КО (?), 01-Апр-19, 11:12 
>Чем плох старый добрый certificate-pinning?

Тем, что в случае чего мешает отозвать сертификат. И позволяет легким движением руки превратить имя сайта в тыкву.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от anonymous (??), 31-Мрт-19, 20:22 
Может кто по проще объяснит в чем тут фишка ? Если у сайта левый сертификат то тот же Firefox сразу орет про это.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 31-Мрт-19, 21:17 
В компрометации CAи выдаче валидного сертификата. Только это нафиг не нужно - сказано же, детектится без всяких капч.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 31-Мрт-19, 21:20 
Ошибочка вышла - в первый раз не детектится.
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +1 +/
Сообщение от Чёртикemail (?), 31-Мрт-19, 21:20 
Нет, не орёт, если сертификат выдан верным СЦ (серт.центром), а их около 100 в браузере интегрирована, в каждой стране по 2-3 центра, в среднем. Вот они имеют право выписывать сертификаты кому надо и браузеры им слепо доверяют, даже если их попросили выписать всякие цру. Таким образом, цру получает возможность создать валидный сертификат на любой домен, подсунуть его тебе при tls/ssl, и твой браузер будет доволен, как и цру.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 31-Мрт-19, 21:27 
Поэтому все китайские и госудрственные центры помечаются как недоверенные. То что ломаются некие гос. сайты - пофиг, я в китае не живу и с ними дел не имею. Порталом госуслуг РФ тоже не пользуюсь. Нужно иметь возможность пиннить центры в конкретным сайтам.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 31-Мрт-19, 21:24 
Last updated: 5 months ago (Oct 23, 2018)

Не новость, в общем.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (29), 01-Апр-19, 02:16 
Я так понимаю, расчет на то, что даже если для MitM используется доверенный сертификат, выданный недобросовестным удостоверяющим центром (например, по требованию властей), анализатор трафика атакующего все равно не сможет автоматически разгадать капчу и подделать правильный ответ, таким образом клиент и сервер могут сверить сертификаты даже через скомпрометированный канал.

Но разгадывание капчи — вопрос наличия достаточных вычислительных ресурсов, т. е. капча просто делает *массовую* атаку неприемлемо дорогостоящей. Интересно, рассматривалась ли возможность вместо капчи использовать какой-нибудь алгоритм подтверждения работы, тем самым полностью автоматизировать проверку и не мучить пользователя.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (33), 01-Апр-19, 08:12 
Кто о чем, а фшивый о PoW
Дурацкий концепт который себя не оправдял
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (3), 01-Апр-19, 09:29 
Наоборот, капча дешевле PoW, так как инференс нейросети дешёв, дорога тренировка.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

39. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Remote_Code_Execution (?), 01-Апр-19, 12:40 
С 1 апреля
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Kuromi (ok), 01-Апр-19, 17:30 
Вообще-то судя по https://addons.mozilla.org/en-US/firefox/addon/anti-mitm-tls.../ - почти полгода уже сабжу. Активности правда с тех пор не видно.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

42. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Gannetemail (ok), 02-Апр-19, 04:43 
Дурдом. Даже не смешно. Эти капчи в печёнках сидят давно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

43. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +1 +/
Сообщение от Аноним (43), 02-Апр-19, 11:59 
(ворчит) Наставят себе дополнений, а потом пишу в саппорт: у меня ваш поганый браузер память жрёт, как не в себя и запускается 15 минут!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Дополнение к Firefox, позволяющее сайтам обнаруживать подмен..."  +/
Сообщение от Аноним (44), 02-Апр-19, 19:18 
Наставят себе дополнений и сидят, капчи разгадывают
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
MIRhosting
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру