HTTPS Bezpečnost a Spoofing - Člověk v Middle Attack

HTTP znamená protokol Hyper Text Transfer Protocol a je široce používán na internetu. Během počátečních let internetu byl tento protokol v pořádku v pořádku a požádal o přihlašovací údaje atd., Protože nebylo příliš nebezpečné, aby lidé čuchali vaše datové pakety a ukradli vaše přihlašovací údaje pro různé webové stránky. Když lidé cítili nebezpečí, byla vynalezena HTTPS (HTTP Secure), která zašifruje výměnu dat mezi vámi (klientem) a webem, se kterým komunikujete.

Čtení : Rozdíl mezi HTTP a

Před několika lety bylo HTTPS považováno za bezpečné, dokud osoba s názvem Moxie neprokázala, že je špatná HTTPS. Toto bylo provedeno zachycením datových paketů uprostřed komunikace někým, kdo spoofed bezpečnostní klíč HTTPS, aby se domníval, že spojení je stále šifrováno. Tento článek zkoumá HTTPS spoofing , kdy dokonce i známé společnosti používaly techniku, aby vás sledovala a sledovala vaše aktivity. Než budete rozumět muži ve středním útoku , budete potřebovat vědět o certifikátu HTTPS, který je falešný, aby vás uvěřil, že se nic nestalo.

Co je klíč certifikátu

Certifikační autority, které nabízejí certifikáty "fitness" na webových stránkách. Existuje mnoho faktorů určujících faktor "fitness": šifrované připojení, stahování bez viru a několik dalších věcí. HTTPS znamená, že vaše data jsou při transakcích bezpečná. HTTPS je především využíván obchody elektronického obchodování a weby, které obsahují data / informace, které jsou pro vás soukromé - například e-mailové stránky. Místa sociálních sítí, jako je Facebook a Twitter, používají

S každým certifikátem existuje klíč, který je pro danou webovou stránku jedinečný. Klíč certifikátu webu můžete zobrazit klepnutím pravým tlačítkem na jeho webovou stránku a výběrem stránky INFO INFO. Na základě prohlížeče získáte různé typy dialogových oken. Podívejte se na CERTIFIKÁT a poté na THUMBPRINT nebo FINGERPRINT. To bude jedinečný klíč webového certifikátu.

HTTPS Security and Spoofing

Vrátit se k bezpečí, že jste s HTTPS, klíč certifikátu může být spoofed třetími stranami uprostřed klienta a webových stránek. Tato technika přitahování vašich konverzací se nazývá člověk ve středu.

Zde je váš prohlížeč odeslán na Buď kliknete na tlačítko LOGIN / link nebo zadáte adresu URL. V prvním případě jste odesláni přímo na stránku HTTPS. Ve druhém případě zadáte URL, pokud nezadáte HTTPS, DNS se vyřeší na stránku, která vás přesměruje na stránku HTTPS pomocí automatického přesměrování (302).

Man in Middle má určité metody, jak chytit první požadavek na přístup k webu, i když jste zadali HTTPS. Muž ve středu může být vaším prohlížečem sám. Prohlížeče Opera Mini a BlackBerry to dokáží zachytit komunikaci od začátku a dešifrovat ji tak, aby mohla být komprimována pro rychlejší procházení. Tato technika je podle mého názoru špatná, neboť usnadňuje odposlouchávání, ale pak společnosti říkají, že nic není zaznamenáno.

Když zadejte adresu URL, klikněte na odkaz nebo záložku, požádejte prohlížeč o připojení (nejlépe) se zabezpečenou verzí webové stránky. Muž ve středu vytvoří falešný certifikát, který je těžké být označen jako chybný, protože certifikáty webových stránek mají stejný formát bez ohledu na úřad vydávající certifikáty. Man in Middle úspěšně spoofs certifikát a vytvoří THUMBPRINT, který je kontrolován proti "certifikační autority, které váš prohlížeč již důvěřuje". To znamená, že certifikát byl vydán společností, která je přidána do seznamu vašich důvěryhodných certifikačních autorit prohlížečů. Tím se stává, že klíč certifikátu je platný a poskytuje šifrovací data člověku ve středu. Takže člověk ve středu má nyní klíč k dešifrování informací, které přes toto spojení odesíláte. Všimněte si, že člověk ve středu také pracuje na druhé straně odesláním informací na web - upřímně, ale tak, aby si je mohl přečíst.

To vysvětluje webové stránky HTTPS spoofing a jak to funguje. Označuje také, že protokol HTTPS není plně zabezpečený. Existuje několik nástrojů, které by nám daly najevo, že existuje člověk na středu, pokud není vysoce kvalifikovaný počítačový odborník. Pro běžného člověka webová stránka GRC nabízí způsob získání THUMBPRINTu. Můžete ověřit certifikát THUMBPRINT v GRC a pak jej shodit s tím, který jste získali pomocí PAGE INFO. Pokud se shodují, je to v pořádku. Pokud tomu tak není, je to člověk ve středu.