( zrubi | 2021. 04. 13., k – 16:24 )

A téma megértéséhez szükség lesz erős TCP/IP alapismeretekre, különös tekintettel a NAT-olás, és TCP header-ek alapos ismeretére.

Ezek segítenek megérteni, hogy miért lehet könnyedén és "büntetlenül" (értsd: észrevétlenül) MITM jellegű támadásokat végrehajtani.

Könnyedén, ha te vagy a proxy/router/ISP.

Igen - többek között - ez ellen találták ki a TLS-t, amit a HTTPS protokol is használ.

De ennek gyakorlati kivitelezése sajnálatos módon több sebből vérzik - és most nem csak a heartbleed-re gondolok :D

 

Nagyon röviden és pongyolán - az érthetőség kedvéért:

A zöld lakat attól lesz, hogy a BÖNGÉSZŐD által végzett ellenőrzések alapján minden rendben van.

 

Tehát innentől  a kérdés, hogy mi alapján lesz zöld az a lakat... De mivel ez sem egy rövid téma, íg maradjuk az SSL inspection releváns részeknél.

a böngésződ megbízik MINDEN aláíró tanúsítványban (CA) amit az operációs rendszer vagy maga a böngésző annak ítél.

Igen, sajnos neked mint user gyakorlatilag nincs beleszólásod ebbe.

Ha megnézed szép nagy a lista, és ezek a CA-k vagy profit orientált szervezetek, vagy politikai befolyás alatt álló "non-profit" intézmények, vagy épp a saját országod/céged által irányított szervezeti egységek. De vannak köztük éppen egymással háborúban álló entitások is...

A röviden összefoglalt végeredmény, hogy te azok MINDEGYIKÉBEN  101%-ig megbízol. Mert a Microsoft, a Google, a Mozilla, USA, vagy épp Kína, stb ezt "mondta".

a CA-k pedig egymástol függetlenül kiállíthatnak ugyan arra a URL-re szóló tanúsítványt :)

(Természetesen a CA-k "komoly" auditokon kell hogy átmenjenek, de a mai kapitalista világban a gyakorlatban csak pénz kell hozzá)

 

Innentől lehet máris érthető miért marad zöld a lakat akkor is, ha közben valaki - jogosan, vagy jogellenesen - azt feltörte, elemezte/módosította, majd újra csomagolva továbbította feléd...

 

 

(És persze vannak ezt a problémát kiszűrő "workaround" megoldások is, de egyik sem kötelező, és egyik sem elegendő önmagában)