OpenForum RSS: Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... https://www.opennet.me/openforum/vsluhforumID3/116974.html В каталоге дополнений Mozilla опубликован (https://addons.mozilla.org/en-US/firefox/addon/anti-mitm-tlscaptcha-poc/) прототип дополнения, позволяющего использовать ответы на CAPTCHA для обнаружения подмены TLS-сертификатов на стороне сайтов, невзирая на то, что JavaScript не предоставляет доступ данным TLS-сертификата.<br><br><br><br><br>Дополнение в специально помеченном поле обнаруживает ответ пользователя на CAPTCHA, присоединяет его к отпечатку TLS-сертификата посещаемого сайта, и записывает хеш полученного результата в Cookies, которые затем передаются на сайт при последующих запросах. Для реализации проверки на стороне сервера требуется выполнить аналогичные действия по вычислению хеша и сверить его с полученным от пользователя. Несовпадение хешей будет означать, что пользователь ввёл неверный ответ, либо что TLS-сертификат подменён.<br><br><br><br>URL: https://addons.mozilla.org/ru-RU/firefox/addon/anti-mitm-tlscaptcha-poc/<br>Новость: https://www.opennet.ru/opennews/art.shtml?num=50429<br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/116974.html#45 Tue, 02 Apr 2019 16:18:51 GMT Наставят себе дополнений и сидят, капчи разгадывают<br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/116974.html#44 Tue, 02 Apr 2019 15:33:17 GMT &gt;старательно зачисткой поляны от неправильных CA<br><br>Это никак не вписывается в предложенную теорию заговора, так как иметь один подконтрольный CA среди тысячи мусорных менее палевно, чем среди десятка с certificate transparency<br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/116974.html#43 Tue, 02 Apr 2019 08:59:02 GMT (ворчит) Наставят себе дополнений, а потом пишу в саппорт: у меня ваш поганый браузер память жрёт, как не в себя и запускается 15 минут!<br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (Gannet) https://www.opennet.me/openforum/vsluhforumID3/116974.html#42 Tue, 02 Apr 2019 01:43:51 GMT Дурдом. Даже не смешно. Эти капчи в печёнках сидят давно.<br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (Kuromi) https://www.opennet.me/openforum/vsluhforumID3/116974.html#41 Mon, 01 Apr 2019 14:30:36 GMT Вообще-то судя по https://addons.mozilla.org/en-US/firefox/addon/anti-mitm-tlscaptcha-poc/versions/ - почти полгода уже сабжу. Активности правда с тех пор не видно.<br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (Remote_Code_Execution) https://www.opennet.me/openforum/vsluhforumID3/116974.html#39 Mon, 01 Apr 2019 09:40:26 GMT С 1 апреля<br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (Аноним) https://www.opennet.me/openforum/vsluhforumID3/116974.html#38 Mon, 01 Apr 2019 09:32:13 GMT Цена ошибки при настройке вебсервера тоже высока, давайте теперь все вебсервера выключим. <br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (КО) https://www.opennet.me/openforum/vsluhforumID3/116974.html#37 Mon, 01 Apr 2019 08:12:41 GMT &gt;Чем плох старый добрый certificate-pinning?<br><br>Тем, что в случае чего мешает отозвать сертификат. И позволяет легким движением руки превратить имя сайта в тыкву.<br> Дополнение к Firefox, позволяющее сайтам обнаруживать подмен... (КО) https://www.opennet.me/openforum/vsluhforumID3/116974.html#36 Mon, 01 Apr 2019 08:11:22 GMT &gt;Далее распознаём капчу плохим, но достаточно хорошим OCRом,<br><br> Занафига? У нас же mitm. Просто заставляем пройти юзера капчу с этими картинками и далее генерим ответ на нее спрашивающему серверу и хеш от капчи. И каким там алгоритмом это все подписывается - таким и подписываем.<br>