Új hozzászólás Aktív témák
-
dqdb
nagyúr
Nem, a direkt kliens-szerver TCP kapcsolat helyett eltéríti a TCP kapcsolat végét és két kapcsolat jött létre: egy kliens-vírusirtó és egy vírusirtó-szerver kapcsolatot. Ez HTTP esetében nem probléma, de HTTPS esetében az SSL/TLS kapcsolat megtörésével jár, te a kliensen már csak a vírusirtó dinamikusan generált tanúsítványát látod, nem az eredeti kapcsolatét, és esélyed nincsen arra, hogy kiderüljön, tényleg azzal kommunikálsz-e, mint szeretnéd.
És így jönnek képbe az elmúlt évek során kibukott olyan implementációs "apróságok", mint
1. a vírusirtó elfelejtett OCSP és/vagy CRL ellenőrzést végezni a túloldal tanúsítványán, és ez számodra sosem derült ki, mert az eredeti tanúsítvány rejtve maradt
2. a vírusirtó saját "CA"-ja, amiből kibocsátotta az oldalak számára tanúsítványokat, mindenkinél ugyanazt az RSA kulcsot használta
3. sokkal gyengébb algoritmusokat támogatott a vírusirtó, mint a böngésző támogatott volna, így hiába volt titkosított a kapcsolat a szerver felé, sokkal gyengébb változat épült volna fel, mint ha nem lett volna vírusirtó (valamint az új böngészőkben aktív adatátviteli feature-ök, mint SPDY, HTTP/2 vagy QUIC is később kerülnek be a vírusirtóba, ha egyáltalán bekerülnek)Valamint bónuszként próbálj meg használni certificate pinninget.
Egy jó vírusirtó megoldja a hatékony védelmet SSL szűrés nélkül is, de az ebben a routerben szállított vírusirtó nyilván csak így tud működni.
[ Szerkesztve ]
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
dqdb
nagyúr
Plusz egy elem a feature listán, aminek a felhasználó örül, hogy ilyet is tud a szoftvere, mert nem tud a biztonsági és teljesítménybeli* mellékhatásokról.
* amikor legutoljára a Kaspersky topik környékén jártam, akkor az volt az egyik nagy fejlesztésük az SSL szűrésben, hogy már nem kellett 4c8t processzor a gigabites internet teljes sebességének kihasználásához, hanem elég volt "csak" 4c4t is, azonban 2c4t CPU-val még mindig 200-300 Mb/s környékére esett vissza az elérhető sebesség.
[ Szerkesztve ]
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
dqdb
nagyúr
válasz Gargouille #17 üzenetére
Körülbelül 3 évvel ezelőtt ilyen relációban állt a bizalom és a valóság, azóta remélem, hogy rengeteget fejlődtek ezen a téren. Amúgy ez a tanulmány azután készült, hogy már előtte is többször kiborult a bili az SSL szűrések miatt, szóval a gyártók már addigra is tanulhattak volna azokból az esetekből.
[ Szerkesztve ]
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
dqdb
nagyúr
Helyes a gondolatmenetem?
Igen, helyes. A helyzetet súlyosbítja, hogy korábban akadt olyan gyártó, ami nem telepítéskor generált RSA kulcsot adott gépre, hanem mindenhol ugyanazt használta. Azaz te magadnál kinyerted a kulcsot, és a vírusirtó többi felhasználójánál vissza tudtál élni vele.Pontosan az SSL lényegét vágja tarkón ez a technika, mert a NOD32 látja a plain adatforgalmat, akár bele is nyúlhat. Ki tudja mit csinál az adatokkal, ki(k)nek mi(ke)t küld el, stb.
Ez így van, és ez csak a kisebbik probléma. A nagyobbik a gyártól implementációs hibái és azok biztonságot továbbgyengítő mellékhatásai.E.Kaufmann: Én tudom, hogy egy se, de pl a HUP-on pont ezt vágták a fejemhez egy hasonló vitában, hogy böngészőből csekkolható a turpisság
Fejlesztő vagyok, tele van a tanúsítványtáram gyengén védett teszt és fejlesztői CA-kkal, így a kényesebb oldalakon általában figyelem, hogy van-e EV tanúsítvány (ha nincsen, megnézem a láncot), netbankolásnál pedig minden belépéskor megnézem magát a láncot is (tudom, paranoia). Mivel a fontosabb oldalak szinte mindegyike bír EV tanúsítvánnyal, a böngészők pedig kódban fehérlistázzák azokat a CA-kat, amelyek ilyen tanúsítványokat bocsáthatnak ki (például Chromium és származékai), ezért a zöld lakat melletti zöld cégnév láttán gyorsan nyugtázható és megfelelő jele annak, hogy tényleg azzal a szerverrel beszélget a böngésződ, amelyikkel kell, és nincsen MITM folyamatban.tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
-
dqdb
nagyúr
ESET helyett szerencsésebb megnevezés lenne a SSL szűrést támogató vírusirtó, mert mindenki így csinálja.
Javítana a biztonságon, mert így a CA kulcsa nincsen nálad a kliensen, azonban a dinamikusan kiállított tanúsítványokban használt kulcs még mindig ott marad (szóval még így is megvalósítható az átverés.,ha sikerül kinyerni a kulcsot). Emellett valamennyit lassít a folyamaton, mert minden új site-hoz a gyártó szerveréhez kell fordulni aláírásra.
Az is javíthat valamennyit a biztonságon, ha a vírusirtót 1-2 óránként új RSA kulcsot generál, amit a dinamikusan kiállított tanúsítványokhoz használ, így megszerzett kulcs esetében a lehetséges átverés időablaka lényegesen lerövidül (a "CA" tanúsítványát sajnos nem tudja cserélgetni a fehérlistázás miatt, azon a te ötleted segíthet).
[ Szerkesztve ]
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
Új hozzászólás Aktív témák
- OLED TV topic
- Genshin Impact (PC, PS4, Android, iOS)
- NBA és kosárlabda topic
- Telekom mobilszolgáltatások
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- Autós topik
- Kerékpárosok, bringások ide!
- Intel Core i5 / i7 / i9 "Alder Lake-Raptor Lake/Refresh" (LGA1700)
- Samsung Galaxy A54 - türelemjáték
- Villanyszerelés
- További aktív témák...
- APPLE MacBook Air 2020 13" Retina - M1 / 8GB / 256 GB SSD / MAGYAR / 96% akku, 81 ciklus / Garancia
- LG NanoCell 55NANO766QA Halvány píxel csík
- Philips 58PUS8545/12 1 ÉV GARANCIA Játék üzemmód
- Tyű-ha! HP EliteBook 850 G7 Fémházas Szuper Strapabíró Laptop 15,6" -65% i7-10610U 32/512 FHD HUN
- Bomba ár! HP EliteBook 840 G5 - i5-8G I 8GB I 128GB SSD I 14" FHD I HDMI I Cam I W10 I Gari!