Wie erzwingen Sie die Zuordnung von Domainnamen von https-Sites zu IP-Adressen von http-Sites, indem Sie die hosts-Datei in Windows 7 bearbeiten?

486
Ari

Ich bearbeite die hosts-Datei in Windows 7. Ich möchte den Domainnamen von Sites zuordnen, die https verwenden, um die IP-Adresse einer ungesicherten Site zu verwenden, die offensichtlich http verwendet. Zum Beispiel habe ich die IP-Adresse von 'pornhub.com', ich bearbeite die Hosts-Datei und weise die IP-Adresse dem 'Facebook.com'-Domainnamen zu. Wenn ich jetzt versuche, facebook.com in den Browser einzugeben, sollte ich zur pornhub-Website gelangen (ich konnte keinen Namen für eine ungesicherte Website finden, da alle in meinem Kopf aufgetauchten Websites sichere Websites sind, die https verwenden). Was aber passiert ist, dass alle Browser sagen "Verbindung ist nicht privat". Und es hat mir sehr gut getan, als ich die IP-Adresse einer ungesicherten Site einer anderen ungesicherten Site zugewiesen habe.

Könnte jemand erklären, wie man mit sicheren Sites dasselbe macht?

0

1 Antwort auf die Frage

0
grawity

Sie tun es nicht - weil es wirklich nichts mit der IP-Adresse zu tun hat . Teil von TLS (wie von HTTPS verwendet) besteht darin, dass der Server den Nachweis erbringt, dass der Domänenname zu diesem Server gehört.

Wenn Sie beispielsweise eine Verbindung zu Facebook herstellen, wird auf ihren Servern ein Zertifikat angezeigt, das "Ich bin zur Verwendung berechtigt www.facebook.com" (zusammen mit einer digitalen Signatur) zeigt. Ihr Browser vergleicht dann das Zertifikat mit der von Ihnen eingegebenen Adresse (URL), dh https://www.facebook.com/. IP-Adressen müssen überhaupt nicht überprüft werden.

Das Zertifikat ist nur verwendbar, wenn der Server über einen entsprechenden privaten Schlüssel verfügt (den er niemals Besuchern zur Verfügung stellt - er dient nur zur Erstellung von Signaturen) und muss von einer der vom Browser anerkannten Zertifizierungsstellen (Zertifizierungsstellen) ausgestellt werden.

Wenn TLS also seine Arbeit richtig macht, besteht die einzige Möglichkeit, eine gefälschte Website zu präsentieren (wie dies manchmal von Entwicklern versucht wird, die Probleme zu beheben) oder von Unternehmen, die versuchen, Mitarbeiter zu finden, darin, eine eigene private Zertifizierungsstelle zu erstellen und eigene Zertifikate auszustellen, und was am wichtigsten ist das CA - Zertifikat auf alle Computer der Kunden installieren, so dass sie dann ‚Vertrauen‘ Ihre gefälschten Website - Zertifikate.

Für die Entwicklung gibt es verschiedene Tools, die dies tun, wie beispielsweise Fiddler und Burp Proxy.

also im Grunde kann es funktionieren? Wenn ich die IP-Adresse einer ungesicherten Site habe und die Hosts-Datei bearbeite und einer beliebigen https-Site zuweise, wird der Besitzer des Computers zur ungesicherten Site umgeleitet. Ich habe keine falschen Absichten im Kopf, ich möchte es einfach tun. Ari vor 6 Jahren 0
@Ari - Hast du es versucht? Ramhound vor 6 Jahren 0
@Ari: Mmmmmaybe aber generell nein. Wenn ihr Browser https _ von Anfang_ verwendet (insbesondere wenn die Site über aktives HSTS verfügt), erhalten sie _will_ einen Fehler bezüglich Ihres gefälschten Servers und Sie können diesen nicht umgehen (außer über eine benutzerdefinierte Zertifizierungsstelle). Wenn und _only_, wenn ihr Browser versucht, normales http zu verwenden, sind sie anfällig und die Weiterleitung _will_ funktioniert. (So ​​funktioniert sslstrip - es hängt davon ab, dass Benutzer vergessen, https zu verwenden.) grawity vor 6 Jahren 0
Wie wäre es also, einen Router zu hacken, der auch als DNS-Server fungiert, und dessen DNS zu bearbeiten? Ich habe auch gelernt, dass Hacker vor Windows 7 eine Website erstellen, die ein Skript ausführt, das die HOSTS-Datei Ihres Computers ändert. Wenn Sie also das nächste Mal versuchen, die beliebten Websites zu besuchen, werden Sie zu einer ähnlich aussehenden Site (Phishing) weitergeleitet. Ari vor 6 Jahren 0
Das Ändern der Auflösung von IP-Adressen ** hat wiederum keine Auswirkungen auf HTTPS. Entweder kann der Server seine Identität beweisen oder nicht. grawity vor 6 Jahren 0
Ein Server, der von jedermann eingerichtet wurde, kann also beweisen, dass er ein beliebter Standortserver ist, indem er etwas harte Arbeit leistet. Wie Sie über benutzerdefinierte CA erwähnt haben? Ari vor 6 Jahren 0
Nicht genau. Wie bereits erwähnt, funktioniert eine benutzerdefinierte Zertifizierungsstelle nur, wenn die Besucher diese Zertifizierungsstelle zuerst manuell installieren und dieser vertrauen. Also im Grunde nur, wenn der Benutzer eine manuelle Außerkraftsetzung vornimmt. "Ja, ich weiß, dass es eine gefälschte Website ist, lass mich sie trotzdem besuchen!" grawity vor 6 Jahren 0

Verwandte Probleme