1.3, Аноним (3), 15:25, 31/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
>let clientsideDigest = <Digest of TLS certificate that you get from website you're visiting>;
>let yourAnswer = <Your CAPTCHA answer>;
>let resultDigest = sha512(clientsideDigest + yourAnswer);
настоящий clientsideDigest известен атакующему. clientsideDigest подменённого сертификата - тоже. Хеш - тоже известен. Далее распознаём капчу плохим, но достаточно хорошим OCRом, например нейронками, после чего составляем план брутфорса, минимизируя α-guesswork, после брутим, сверяя по хешу.
=>
1. должна использоваться не хеш-функция, а KDF
2. сервер должен отвергать ответы после определённой задержки
3. этот дедлайн не должен дать времени даже комбайну "индус + нейросеть"
4. владелец сайта должен быть готов к тому, что анб или симулирует много фейковых проваленных попыток из-за латентности или просто замедлит соединение к его сайту, чтобы вынудить его увеличить дедлайн
| |
|
2.15, Аноним (-), 19:27, 31/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Далее распознаём капчу плохим, но достаточно хорошим OCRом
Полагаю, что расширение разрабатывалось против не индивидуального, а массового массового MITM https://habr.com/ru/post/303736/ , когда об использовании OCR не может быть и речи.
| |
|
3.19, Аноним (3), 21:15, 31/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Если кое-комы было по-карману (по крайней мере команда djb ,такое предположила) number field sieve, то OCR - точно не проблема.
| |
3.23, Аноним (3), 21:22, 31/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Против массового применения - прослушиваться и расшифровываться будет всё, а кто не согласен - тот будет сидеть без интернета вообще. Это расширение тут не поможет никак.
| |
|
4.32, Аноним (32), 07:41, 01/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну почему, можно например потролить подменяльщика, проверить скоко он подменить в секунду сможет.
| |
|
5.34, Аноним (3), 09:26, 01/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Он не будет валандаться с этим расширением. Он просто будет подменять, а кто не огласен - те будут без интернета сидеть.
| |
|
|
|
2.36, КО (?), 11:11, 01/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Далее распознаём капчу плохим, но достаточно хорошим OCRом,
Занафига? У нас же mitm. Просто заставляем пройти юзера капчу с этими картинками и далее генерим ответ на нее спрашивающему серверу и хеш от капчи. И каким там алгоритмом это все подписывается - таким и подписываем.
| |
|
1.6, хотел спросить (?), 15:52, 31/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Накой так сложно?
Чем плох старый добрый certificate-pinning?
Тем что гугл дрессированная обезьяна создает десятки новых сертификатов?
Ну так добавить их все.. либо отключить проверку для особо тупых доменов.
| |
|
|
3.13, АНБ (?), 17:17, 31/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
нам что - за них работать, что-ли? Мы за них только есть планировали!
| |
3.18, Аноним (18), 20:38, 31/03/2019 [^] [^^] [^^^] [ответить]
| –3 +/– |
с точки зрения человека живущего в России это практически одно и то же. уверен они шарят необходимую информацию в реалтайме.
| |
3.27, хотел спросить (?), 02:10, 01/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
> А вы уверены, что это гугл, а не АНБ?
Да это гугл. Он генерит собственные доверенные сертификаты, их сотни за балансером. Даже не утруждаются деплоить одинаковый на все сервера.
| |
|
2.12, пох (?), 17:16, 31/03/2019 [^] [^^] [^^^] [ответить]
| +2 +/– |
> Чем плох старый добрый certificate-pinning?
мешает кому-надо сгенерить ваш сертификат у единственно-верного и кому-надо подконтрольного CA, если очень понадобится для борьбы с терраризьмом, или просто денег очень захочется.
Именно ради этого вся затея с CA, с отменой PKP в чроме (но не в телеметрии чрома, заметьте), со старательно зачисткой поляны от неправильных CA...
гугель честно отрабатывает кредитец под 0%.
| |
|
3.44, Аноним (44), 18:33, 02/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
>старательно зачисткой поляны от неправильных CA
Это никак не вписывается в предложенную теорию заговора, так как иметь один подконтрольный CA среди тысячи мусорных менее палевно, чем среди десятка с certificate transparency
| |
|
2.26, Ordu (ok), 22:07, 31/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Тем чтобы припиннить сертификат, тебе сначала надо получить валидный.
| |
|
3.28, хотел спросить (?), 02:13, 01/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Тем чтобы припиннить сертификат, тебе сначала надо получить валидный.
ломанись с разных гео-точек
автор сайта может проверить по SSH и опублкиовать фингерпринт где-нибудь
да вариантов тонна
но итог один - вносишь в плагин браузера или после первого посещения или вручную
| |
|
4.31, Ordu (ok), 02:55, 01/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> Тем чтобы припиннить сертификат, тебе сначала надо получить валидный.
> ломанись с разных гео-точек
> автор сайта может проверить по SSH и опублкиовать фингерпринт где-нибудь
"расширение браузера"
Понятно, что есть много способов одоления проблемы. Можно встретится с автором сайта, и передать сертификат перемигиваясь в кафе. Но есть разные случаи, и некоторые не заслуживают того, чтобы лететь на другую полусферу земного шарика, и тренироваться в шпийонских методах передачи и валидации информации.
| |
|
|
2.30, pda (?), 02:35, 01/04/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Его никто не хотел настраивать, потому что цена ошибки слишком высока.
| |
|
3.38, Аноним (38), 12:32, 01/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Цена ошибки при настройке вебсервера тоже высока, давайте теперь все вебсервера выключим.
| |
|
2.37, КО (?), 11:12, 01/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
>Чем плох старый добрый certificate-pinning?
Тем, что в случае чего мешает отозвать сертификат. И позволяет легким движением руки превратить имя сайта в тыкву.
| |
|
1.17, anonymous (??), 20:22, 31/03/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может кто по проще объяснит в чем тут фишка ? Если у сайта левый сертификат то тот же Firefox сразу орет про это.
| |
|
2.20, Аноним (3), 21:17, 31/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
В компрометации CAи выдаче валидного сертификата. Только это нафиг не нужно - сказано же, детектится без всяких капч.
| |
2.22, Чёртик (?), 21:20, 31/03/2019 [^] [^^] [^^^] [ответить]
| +1 +/– |
Нет, не орёт, если сертификат выдан верным СЦ (серт.центром), а их около 100 в браузере интегрирована, в каждой стране по 2-3 центра, в среднем. Вот они имеют право выписывать сертификаты кому надо и браузеры им слепо доверяют, даже если их попросили выписать всякие цру. Таким образом, цру получает возможность создать валидный сертификат на любой домен, подсунуть его тебе при tls/ssl, и твой браузер будет доволен, как и цру.
| |
|
3.25, Аноним (3), 21:27, 31/03/2019 [^] [^^] [^^^] [ответить]
| +/– |
Поэтому все китайские и госудрственные центры помечаются как недоверенные. То что ломаются некие гос. сайты - пофиг, я в китае не живу и с ними дел не имею. Порталом госуслуг РФ тоже не пользуюсь. Нужно иметь возможность пиннить центры в конкретным сайтам.
| |
|
|
1.29, Аноним (29), 02:16, 01/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Я так понимаю, расчет на то, что даже если для MitM используется доверенный сертификат, выданный недобросовестным удостоверяющим центром (например, по требованию властей), анализатор трафика атакующего все равно не сможет автоматически разгадать капчу и подделать правильный ответ, таким образом клиент и сервер могут сверить сертификаты даже через скомпрометированный канал.
Но разгадывание капчи — вопрос наличия достаточных вычислительных ресурсов, т. е. капча просто делает *массовую* атаку неприемлемо дорогостоящей. Интересно, рассматривалась ли возможность вместо капчи использовать какой-нибудь алгоритм подтверждения работы, тем самым полностью автоматизировать проверку и не мучить пользователя.
| |
|
2.33, Аноним (33), 08:12, 01/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Кто о чем, а фшивый о PoW
Дурацкий концепт который себя не оправдял
| |
2.35, Аноним (3), 09:29, 01/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Наоборот, капча дешевле PoW, так как инференс нейросети дешёв, дорога тренировка.
| |
|
1.43, Аноним (43), 11:59, 02/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
(ворчит) Наставят себе дополнений, а потом пишу в саппорт: у меня ваш поганый браузер память жрёт, как не в себя и запускается 15 минут!
| |
|