Nach dem DigiNotar-Vorfall begannen die großen Browser-Anbieter damit , die Zertifikate oder öffentlichen Schlüssel bestimmter "hochkarätiger" Websites (die auf jeden Fall Facebook sind) zu pinnen, um die Verwendung betrügerischer Zertifikate zu verhindern. Mir ist keine Aussage von Microsoft bekannt, ob IE das auch tut, aber sie haben ein ähnliches Konzept namens Certifiacte Reputation
Warum sind manche Websites scheinbar gegen selbstsignierte MitM-Angriffe geschützt?
452
Pierrot
Ich habe kürzlich ein Experiment mit MitM durchgeführt, um beim Zugriff auf Websites Kontoinformationen (Benutzername und Passwort) zu erhalten. Ich habe zwei PCs in dem Szenario verwendet; eines als Ziel, das Internet Explorer ausführt, und eines als Angreifer, der Eettercap ausführt. Ein Versuch (der vorgab Steamcommunity.com zu sein) lieferte Informationen; Das Ziel akzeptierte das gefälschte CA-Zertifikat des Angreifers, das über den MitM-Angriff präsentiert wurde. Der andere Versuch (der sich als "facebook.com" ausgab) erlaubte mir nicht einmal, eine Ausnahme für das selbstsignierte Zertifikat auf dem Zielcomputer hinzuzufügen. Die Frage ist also, warum erlaubte es mir eine Website, eine Ausnahme hinzuzufügen, während die andere nicht war.
Wenn ich schätze, wäre es, weil das SteamCommunity.com-Zertifikat kein EV-Zertifikat ist. Aber ich lasse Sie die Forschung darüber machen.
Ramhound vor 7 Jahren
0
Mein erster Gedanke war HTTP Public Key Pinning (HPKP), aber es scheint nicht, als würde Internet Explorer dies unterstützen. HPKP ist ein Versuch, zu verhindern, dass Browser von falschen Mitzählern von MitM-Angreifern getäuscht werden, selbst wenn das Zertifikat von einer Zertifizierungsstelle ausgestellt wurde, der der Browser bereits vertraut.
Spiff vor 7 Jahren
1
Das Zertifikat von * steamcommunity.com * ist ein perfekt gültiges EV-Zertifikat. Ich habe es gerade getestet. Https://www.ssllabs.com/ssltest/analyze.html?d=steamcommunity.com&latest Von dieser Seite scheint keine Schwäche zu sein. eigentlich besser als Facebooks Seite. ** Grundstück verdickt **. Aber sind Sie sicher, dass Sie diese Frage nicht besser auf http://crypto.stackexchange.com/questions veröffentlichen könnten?
MariusMatutiae vor 7 Jahren
1
Danke für die Antworten und die Korrektur. Ich werde versuchen, die gleiche Frage auf crypto.stackexchange.com/questions zu stellen.
Pierrot vor 7 Jahren
0
1 Antwort auf die Frage
0
mat
Verwandte Probleme
-
4
Welche Software sollte ich verwenden, um meine Festplatte zu verschlüsseln?
-
2
Erinnert sich Windows 7 Home Premium an Netzwerkfreigaben-Passwörter?
-
3
Kann die vorhandene drahtlose Netzwerkverschlüsselung ein Netzwerk wirklich schützen?
-
2
Welche Sicherheitsprobleme hat ein Computer, der direkt an ein Modem angeschlossen ist?
-
2
Wie kann ich mein drahtloses Netzwerk für höchste Sicherheit konfigurieren?
-
2
Wie kann ich meinen Computer am besten vor Viren und Bildschirmlesern schützen?
-
2
Sicherung meines drahtlosen Netzwerks
-
1
Wie kann ich die Sicherheit meines Portals erhöhen?
-
2
RootKit Hunter-Warnungen unter Mac OS X
-
4
Vor- und Nachteile eines ungesicherten drahtlosen Netzwerks?