A téma megértéséhez szükség lesz erős TCP/IP alapismeretekre, különös tekintettel a NAT-olás, és TCP header-ek alapos ismeretére.
Ezek segítenek megérteni, hogy miért lehet könnyedén és "büntetlenül" (értsd: észrevétlenül) MITM jellegű támadásokat végrehajtani.
Könnyedén, ha te vagy a proxy/router/ISP.
Igen - többek között - ez ellen találták ki a TLS-t, amit a HTTPS protokol is használ.
De ennek gyakorlati kivitelezése sajnálatos módon több sebből vérzik - és most nem csak a heartbleed-re gondolok :D
Nagyon röviden és pongyolán - az érthetőség kedvéért:
A zöld lakat attól lesz, hogy a BÖNGÉSZŐD által végzett ellenőrzések alapján minden rendben van.
Tehát innentől a kérdés, hogy mi alapján lesz zöld az a lakat... De mivel ez sem egy rövid téma, íg maradjuk az SSL inspection releváns részeknél.
a böngésződ megbízik MINDEN aláíró tanúsítványban (CA) amit az operációs rendszer vagy maga a böngésző annak ítél.
Igen, sajnos neked mint user gyakorlatilag nincs beleszólásod ebbe.
Ha megnézed szép nagy a lista, és ezek a CA-k vagy profit orientált szervezetek, vagy politikai befolyás alatt álló "non-profit" intézmények, vagy épp a saját országod/céged által irányított szervezeti egységek. De vannak köztük éppen egymással háborúban álló entitások is...
A röviden összefoglalt végeredmény, hogy te azok MINDEGYIKÉBEN 101%-ig megbízol. Mert a Microsoft, a Google, a Mozilla, USA, vagy épp Kína, stb ezt "mondta".
a CA-k pedig egymástol függetlenül kiállíthatnak ugyan arra a URL-re szóló tanúsítványt :)
(Természetesen a CA-k "komoly" auditokon kell hogy átmenjenek, de a mai kapitalista világban a gyakorlatban csak pénz kell hozzá)
Innentől lehet máris érthető miért marad zöld a lakat akkor is, ha közben valaki - jogosan, vagy jogellenesen - azt feltörte, elemezte/módosította, majd újra csomagolva továbbította feléd...
(És persze vannak ezt a problémát kiszűrő "workaround" megoldások is, de egyik sem kötelező, és egyik sem elegendő önmagában)