Dnia czw, 02 sty 2003 at 08:15 GMT,
Adam Płaszczyca <_...@i...pl> napisał(a):
> Jurek Zielinski <j...@t...debica.pl> wrote:
>
>> Trzeba wierzyć certyfikatom - tylko one nam pozostają :)
>
> Taaak? A co jeśli maszynka podstawiona przeforwarduje zapytanie do
> właściwego serwisu?
>

Hurtem do poprzednich postów również bo się nie rozumiemy

Jak działa szyfrowanie ssl
Pierwszym etapem nawiązywania połączenia ssl jest ustalenie certyfikatu
serwera. Certyfikat nie wywoła alarmu przeglądarki jeśli będzie się
zgadzał url, okres ważności oraz WYSTAWCA. Standardowo Przeglądarki mają
dodanych kilka centrów certyfikujących (np Thawte). Tylko certfikaty
wystawione przez te Centra nie będą wywoływały alarmu zabezpieczeń.
Po porawnym zweryfikowanu certyfikatów transmisja jest szyfrowana.

Więc nie ma możliwości zaatakować takiego połączenia.
Maszynka forwardująca nic ci nie da bo -
albo forwarduje dane zaszyfrowane (jak proxy) i nie wie nawet co
transmituje
albo udaje serwer banku - ale nie ma prawidłowego certyfikatu - więc
zdradzi ją alarm przeglądarki
(pomijam IE z dziurą na certyfikatach bo tam się da podstawić lewy
certyfiakt - były nawet przykłady z obrazkami w sieci)

Na potwierdzenie spróbuj wejśc na jakąkolwiek strone z tzw
samopodpisanym certyfikatem, lub certyfikatem którego wystawca nie jest
dodany do przeglądarki. (któryś bank ma certyfikat certum - pko chyba)
Przeglądarka od razu pyszczy.

Dlaczego pewna przeglądarka?
Wyobrażmy sobie kafejkę. Uruchamiamy sobie własne centrum autoryzacyjne,
wystawiamy sobie certyfikat i równocześnie dodajemy do przeglądarek że
moje Centrum Autoryzacyjne jest jak najbardziej prawidłowe. Potem już
tylko trywialne podstawieni IP i DNS i .....
(nie wiem czy taki scenariusz sie powiedzie - nie jestem specjalistą od
ssli i certyfiaktów - ale IMHO ma szanse sie udać)

Podtrzymuje - tylko pewna przeglądarka może nas ochronić przed atakiem
na połączenie internetowe.
(ssla można za to pieknie rozłożyc z jego końców - dlatego nie mam
zaufania do kafejkowych komputerów - wolał bym to robic z komórki przez
wap - nie mam tego problemu bo zwykle biorę laptopa)

--
------------------------------
Jurek