08.10.2021, 13:33 | #151 | |
Думаю, что надо худеть
Академик
Регистрация: 22.06.2020
Сообщений: 1,791
Сказал(а) спасибо: 1,526
Получил(а) "Спасибо": 1,939
Нарушения: 0/0 (0)
Репутация: 632655
|
Re: Let's Encrypt 30 сентября
Цитата:
Какие нахер браузеры сливают пароли на мобиле юзера из твоей приложухи? Откуда браузер в твоем приложении берется. Или ты на сервере выложил код который обменивается данными с твоим ПК - а ты из своего софта (млять не из браузеров) делаешь запросы server.ru/page1.html?cccc=1 |
|
08.10.2021, 16:50 | #152 |
Senior Member
Доцент
Регистрация: 17.07.2020
Сообщений: 238
Сказал(а) спасибо: 601
Получил(а) "Спасибо": 609
Нарушения: 0/0 (0)
Репутация: 1115442
|
Re: Let's Encrypt 30 сентября
|
08.10.2021, 18:08 | #153 | |
Думаю, что надо худеть
Академик
Регистрация: 22.06.2020
Сообщений: 1,791
Сказал(а) спасибо: 1,526
Получил(а) "Спасибо": 1,939
Нарушения: 0/0 (0)
Репутация: 632655
|
Re: Let's Encrypt 30 сентября
Цитата:
А ежели бы верили на слово всем самописам - тока подавай, хацкеры зальют куда угодно за бабки, и всё что угодно.Сама архитектура конвейера проц-память-ос дырявая изначально. А в межпиринговый роутер залить еще проще, там вообще никто не следит за этим всем, пока оно работает. Вклинился ты в прошиву и всем проходящим запросам просто пишешь своим сертом нужный тебе обратный маршрут, чтобы они возвращались через твою подконтрольную точку в сети и на ней уже разруливаешь что куда. Если бы канальные файерволы не орали благим матом о несовпадении недоверенной подписи, можно было сидеть тихо годами до обнаружения, и потиху подтаскивать траф дорогой. А так, ща хацкеры так зальют, а через пару тройку часов уже вычистят всё на марщруте. |
|
08.10.2021, 18:14 | #154 |
Эксперд
Доцент
Регистрация: 28.07.2020
Сообщений: 199
Сказал(а) спасибо: 583
Получил(а) "Спасибо": 326
Нарушения: 0/0 (0)
Репутация: 243913
|
Re: Let's Encrypt 30 сентября
Мешает, наверное, то, что браузер пользователя будет спрашивать этот сертификат у сервера сбербанка, а не у тебя. Не скрою, что я деревянный в этих вопросах - но таким макаром уж лучше отдавать собственный сбербанк, с покупными за 100500 баксов сиртификатами, чо мелочиться то?
|
08.10.2021, 18:17 | #155 |
Думаю, что надо худеть
Академик
Регистрация: 22.06.2020
Сообщений: 1,791
Сказал(а) спасибо: 1,526
Получил(а) "Спасибо": 1,939
Нарушения: 0/0 (0)
Репутация: 632655
|
Re: Let's Encrypt 30 сентября
Васо Вчеразаши, не будет. Запрос идет с моего IP, и возвращается на мой IP - я мамой поклялся что я сбербанк.ru (сертификат ключом паблик сообщает что да - он для сбербанк.ru) - браузер мне верит
|
08.10.2021, 18:21 | #156 |
Думаю, что надо худеть
Академик
Регистрация: 22.06.2020
Сообщений: 1,791
Сказал(а) спасибо: 1,526
Получил(а) "Спасибо": 1,939
Нарушения: 0/0 (0)
Репутация: 632655
|
Re: Let's Encrypt 30 сентября
saanvi, а сегодня залить можешь если есть желание любому Васе любой код (не только серт) https://github.com/mm0r1/exploits/bl...ss/exploit.php
PHP 8 лет игнорит проблему, ты можешь на любом шареде хостера, где Вася сервак держит, этим эксплойтом запустить exec() любой код системный и что угодно исполнить, хоть у Васи, хоть у самого хостера |
08.10.2021, 18:22 | #157 |
Senior Member
Доцент
Регистрация: 17.07.2020
Сообщений: 238
Сказал(а) спасибо: 601
Получил(а) "Спасибо": 609
Нарушения: 0/0 (0)
Репутация: 1115442
|
Re: Let's Encrypt 30 сентября
Нет никакой проблемы, если браузер будет доверять самоподпису, скачанному ТОЛЬКО с самого сайта. Никакие "вклинивания в роутер" тут не помогут - это будет на раз обнаружено. Тут разве что летящий с сайта сертификат очень резко подменить. Но вообще, изначальная речь о том, что 90% информационных сайтов рунета абсолютно пофигу на шифрацию трафика вообще. Ладно там банк, ещё какая структура финансовая, госуслуги - тут базара нет. А какой-нить развлекательный сайт - ему нафига вообще эти сертификаты... Разве что защититься от подмены трафика и вставки рекламы в код, которая делается никакими не хакерами, а вполне себе говнопровайдерами (очень часто сотовыми).
|
08.10.2021, 18:27 | #158 |
Думаю, что надо худеть
Академик
Регистрация: 22.06.2020
Сообщений: 1,791
Сказал(а) спасибо: 1,526
Получил(а) "Спасибо": 1,939
Нарушения: 0/0 (0)
Репутация: 632655
|
Re: Let's Encrypt 30 сентября
saanvi, каким образом он узнает об этом без доверенной подписи?
Весь твой запрос идет через сотни роутеров, каждый роутер своим ключом подписывает запрос и передает на следующий роутер, и сообщает куда ответить. На любом роутере mitm сертификат твой самопис своей подписью подпишет и скажет что он источник. А то, что подпись твоя просто слова роутера - ну, так мы же верим самописам, да? |
08.10.2021, 18:37 | #159 |
Senior Member
Доцент
Регистрация: 17.07.2020
Сообщений: 238
Сказал(а) спасибо: 601
Получил(а) "Спасибо": 609
Нарушения: 0/0 (0)
Репутация: 1115442
|
Re: Let's Encrypt 30 сентября
Ещё раз вкрадчиво напоминаю: мысль о том, что любой трафик в вебе должен шифроваться - ущербна априори. Вебмастеры в большинстве своём срали на SSL, покуда не начала зловеще меняться инфраструктура - провайдеры начали сами активно применять MITM. За это, по идее, надо было расстреливать, но всё пошло привычным путём ("рыночек порешал").
|
08.10.2021, 18:37 | #160 |
Думаю, что надо худеть
Академик
Регистрация: 22.06.2020
Сообщений: 1,791
Сказал(а) спасибо: 1,526
Получил(а) "Спасибо": 1,939
Нарушения: 0/0 (0)
Репутация: 632655
|
Re: Let's Encrypt 30 сентября
О, кстати, дисклаймер и отказ от ответственности чуть что в пост https://se.guru/showpost.php?p=200834&postcount=157
Как для меня так и для владельцев форума. Это не является призывом к нелегальному использованию, это описывает возможность и ошибку PHP. Никто не указывает людям что делать и не дает никаких инструкций, выражая просто абстрактную возможность, что самая уязвимая точка для exec() - зная структуру папок разных панелей, назначить права 777 на всю папку домена и затем уже от имени системы записать файл в любое место - это просто абстрактная возможность, никаких призывов |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Главная интрига сентября | Chikk | Курилка | 34 | 11.10.2020 17:28 |
18 сентября массовое удаление страниц | sanek1991 | Яндекс | 52 | 02.10.2020 05:57 |
21 Сентября Яндекс прикрывает халяву с Коллекциями | XPraptor | Яндекс | 24 | 29.09.2020 11:18 |
11 сентября | Indexsa | Курилка | 17 | 11.09.2020 20:28 |
С 1 сентября всех! Век живи, век учись =) | ziliboba0213 | Курилка | 26 | 04.09.2020 05:50 |