19.07.2013, 12:25
Na IE8 nie działa, ale to nie znaczy, że nie działa na IE w ogóle:
[attachment=1] <!-- ia1 -->ie-grc.png<!-- ia1 -->[/attachment]
Używanie tej przeglądarki w tej wersji jest już niebezpieczne i moim zdaniem nie powinno się w jej kontekście wspominać o czymś takim, tylko od razu sugerować zmianę na coś innego. Jeżeli nie chcemy / nie możemy ruszać z miejsca Windows XP, to nadal możemy skorzystać z Firefoksa czy Chrome.
Na podanej stronie kwestia użycia proxy z SSL jest określana dosłownie jako kłamstwo. Nieco nie rozumiem dlaczego, skoro to bywa naprawdę przydatna usługa. Wymienione Opera Mini czy Nokia (chodzi zapewne o Xpress dla Windows Phone) muszą kierować ruch na swoje serwery i stosować swoje certyfikaty, bo inaczej byłyby bezużyteczne (brak możliwości odszyfrowania a co za tym idzie i kompresowania). Podobnie ma się sprawa z niektórymi innymi usługami, za przykład dam popularny Cloudflare, który umożliwia włączenie SSL:
[attachment=0] <!-- ia0 -->SSL Options.png<!-- ia0 -->[/attachment]
Pierwszą część pomińmy, bo tam nie ma szyfrowania. Druga, ich model elastyczny, oznacza użycie ich certyfikatu. Użytkownik wtedy sądzi, że ruch jest szyfrowany. I to prawda, ruch pomiędzy nim, a proxy jest szyfrowany, tyle że certyfikatem Cloudflare. Dalej, do docelowej strony już nie. Model pełny, dla witryn z własnym SSL obejmuje użycie dwóch certyfikatów - pomiędzy użytkownikiem a proxy tego z Cloudflare, a pomiędzy CF a serwerem docelowym tego z witryny. Jest to jak najbardziej normalne. Co więcej, to również wymaga potwierdzenia aby wystawić odpowiedni certyfikat i samo się nie zrobi.
Oczywiście ktoś może wykupić sobie domenę, zrobić certyfikat i tam posadzić proxy do usług typu facebook, gmail, paypal, ebay itd. Niemniej, nadal nie będzie miał certyfikatu zgodnego z serwisem. Jeżeli zrobi go sam, przeglądarka zgłosi błąd. Nie pomoże tu nawet spoofing DNS, bo certyfikat nie będzie wystawiony przez zaufany urząd certyfikacji (chyba, że atakujący wgra go na komputer ofiary jako zaufany jak już wspominałem), a ten po prostu nikomu nie wystawi takiego certyfikatu bez weryfikacji.
Moim zdaniem można się co najwyżej doszukiwać problemu w naruszaniu prywatności tj. stosowanie "zaufanych" proxy, które mają oficjalnie za zadanie kompresować / sprawdzać / filtrować, a w praktyce nie zawsze wiadomo co robią. Jako że w części drogi stosowany jest inny certyfikat, można ruch "podsłuchać" (złe określenie, bo jak podsłuchiwać może ktoś, kto sprawuje kontrole, on po prostu ma ruch w ręku). Przy atakach typowo "złośliwych" sprawa jest o wiele trudniejsza dla strony atakującej przy HTTPS.
[attachment=1] <!-- ia1 -->ie-grc.png<!-- ia1 -->[/attachment]
Używanie tej przeglądarki w tej wersji jest już niebezpieczne i moim zdaniem nie powinno się w jej kontekście wspominać o czymś takim, tylko od razu sugerować zmianę na coś innego. Jeżeli nie chcemy / nie możemy ruszać z miejsca Windows XP, to nadal możemy skorzystać z Firefoksa czy Chrome.
Na podanej stronie kwestia użycia proxy z SSL jest określana dosłownie jako kłamstwo. Nieco nie rozumiem dlaczego, skoro to bywa naprawdę przydatna usługa. Wymienione Opera Mini czy Nokia (chodzi zapewne o Xpress dla Windows Phone) muszą kierować ruch na swoje serwery i stosować swoje certyfikaty, bo inaczej byłyby bezużyteczne (brak możliwości odszyfrowania a co za tym idzie i kompresowania). Podobnie ma się sprawa z niektórymi innymi usługami, za przykład dam popularny Cloudflare, który umożliwia włączenie SSL:
[attachment=0] <!-- ia0 -->SSL Options.png<!-- ia0 -->[/attachment]
Pierwszą część pomińmy, bo tam nie ma szyfrowania. Druga, ich model elastyczny, oznacza użycie ich certyfikatu. Użytkownik wtedy sądzi, że ruch jest szyfrowany. I to prawda, ruch pomiędzy nim, a proxy jest szyfrowany, tyle że certyfikatem Cloudflare. Dalej, do docelowej strony już nie. Model pełny, dla witryn z własnym SSL obejmuje użycie dwóch certyfikatów - pomiędzy użytkownikiem a proxy tego z Cloudflare, a pomiędzy CF a serwerem docelowym tego z witryny. Jest to jak najbardziej normalne. Co więcej, to również wymaga potwierdzenia aby wystawić odpowiedni certyfikat i samo się nie zrobi.
Oczywiście ktoś może wykupić sobie domenę, zrobić certyfikat i tam posadzić proxy do usług typu facebook, gmail, paypal, ebay itd. Niemniej, nadal nie będzie miał certyfikatu zgodnego z serwisem. Jeżeli zrobi go sam, przeglądarka zgłosi błąd. Nie pomoże tu nawet spoofing DNS, bo certyfikat nie będzie wystawiony przez zaufany urząd certyfikacji (chyba, że atakujący wgra go na komputer ofiary jako zaufany jak już wspominałem), a ten po prostu nikomu nie wystawi takiego certyfikatu bez weryfikacji.
Moim zdaniem można się co najwyżej doszukiwać problemu w naruszaniu prywatności tj. stosowanie "zaufanych" proxy, które mają oficjalnie za zadanie kompresować / sprawdzać / filtrować, a w praktyce nie zawsze wiadomo co robią. Jako że w części drogi stosowany jest inny certyfikat, można ruch "podsłuchać" (złe określenie, bo jak podsłuchiwać może ktoś, kto sprawuje kontrole, on po prostu ma ruch w ręku). Przy atakach typowo "złośliwych" sprawa jest o wiele trudniejsza dla strony atakującej przy HTTPS.