Vlákno názorů k článku
Root má zapnutou podporu HSTS
od BlackRider - Bohuzel MITM utoku od zamestnavatele nezabrani ani HSTS...
-
Zbyněk (neregistrovaný)
Pro soukromé účely stejně nelze počítač zaměstnavatele použít.
Jediná možnost je použít své zařízení s vlastním prohlížečem bez certifikační autority zaměstnavatele, za předpokladu že máte povoleno připojení soukromého zařízení v síti zaměstnavatele. Pro tyto účely se většinou zřizuje síť pro hosty formou hotspotu, buď veřejným nebo pod heslem. V této síti mohou být zaznamenány IP či DNS adresy navštívených serverů. Nesmí být zaznamenán či dešifrován obsah komunikace. Pokud máte správně nastaven prohlížeč a používáte DNSSEC neměl by MitM projít. DNS je bohužel největší slabina.
-
Pro soukromé účely stejně nelze počítač zaměstnavatele použít.
To nelze a lze to postihovat podle zákoníku práce.
NELZE ale z toho dovodit, že smíte zaměstnance odposlouchávat. (WC je také zaměstnavetele, přesto tam nesmí mít kameru ani mikrofon).To je dáno tím, že ochrana osobnostních projevů je cennější, než ochrana práv zaměstnavatele. Zaměstnavatel Vás může kontrolovat, jestli odvádíte určenou práci, ale ne tím, že sleduje, co píšete. Obdobně nesmí v kanceláři umístit mikrofon a skrytě odposlouchávat, co si říkáte s kolegou.
-
Zbyněk (neregistrovaný)
Zaznamenávat IP či DNS lze, samozřejmě je může i filtrovat. Obsah komunikace zaznamenávat či cíleně prohledávat nelze, to máte pravdu. Bohužel podnikové systémy a antivirová řešení používají techniky MitM se svým certifikátem, nebo se pomocí doplňku či úpravy systémové knihovny napojí přímo na prohlížeč, doufejme že pouze za účelem hledaní virů. Proto jsem psal, že nejlepší je použít vlastní zařízení.
-
Bohužel podnikové systémy a antivirová řešení používají techniky MitM se svým certifikátem, nebo se pomocí doplňku či úpravy systémové knihovny napojí přímo na prohlížeč, doufejme že pouze za účelem hledaní virů.
Bohužel je škoda, že HPKP je na ústupu pro "nezvladatelnost" administrátory (a také pro nástup ACME a rychlé obmněny certifikátů a klíčů (i když obměna klíčů není nutná)). HPKP totiž efektivně tento typ MitM vyřadí. Zkuste si načíst facebook.com přes takový antivir - uvidíte prd.
-
Zbyněk (neregistrovaný)
Ano HPKP byla dobrá věc, která řešila spárování domény s certifikátem, velmi to omezilo běžné MitM útoky či nahlížení do obsahu. Bohužel pokud podvrhnete IP adresu domény, nic vás kromě DNSSEC neochrání, ani HPKP, ten může být při první návštěvě také podvrhnut. Certifikáty nemají mechanismus kontroly IP adresy. Jediná možnost je kontrola otisku certifikátu, ale jak ji provést nezávisle, nenapadnutelně a automaticky, toť otázka, vzhledem k obměně certifikátů asi neřešitelná.
-
Dnešní PKI chrání (vzhledem k DV a DNS-„inSEC“) především poslední míli, tedy před napadením vašeho home routeru. Tam ale útočník může podvrhávat IP adresu jak chce, a bude mu to k ničemu. Pokud přistupujete přes doménové jméno, IP adresa je (stejně jako MAC, IP adresa ve vnitřní síti, fyzické médium atd.) jen technický detail, který TLS ani nepotřebuje řešit. Jakmile dojde k nějaké úpravě komunikace, protistrana by to měla detekovat. Je jedno, jestli někdo podvrhl IP adresu, nebo jak té změny docílil. A pokud vše dojde v pořádku, je relativně jedno, kudy to přesně putovalo, útočník vyčte akorát pár metadat (objemy komunikace v čase, IP adresy a porty obou stran, SNI atd.).
-
jouda (neregistrovaný)
Největší problém, proč patří HPKP zaslouženě na smetiště dějin, je obrovský DoS (a vydírací) potenciál, pokud se už někomu jednou podařilo nějaký web kompromitovat.
A pak druhá věc je, jestli (při korektní implementaci SSL inspekce, kdy je účelem ochrana před malwarem případně dlp, ale ne šmírování lidí) je lepší, když se občas něco zpomalí protože se to prvně na nějaké applianci pouští v nějakém virtuálu jestli to náhodou nedělá něco nekalého, než když se nezobrazí vůbec nic.
