The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.09.2017 10:28  В Chrome 63 появятся средства информирования о попытках перехвата HTTPS

В кодовую базу Chromium 63 принято изменение с реализацией техники выявления попыток перехвата трафика HTTPS, в результате активности вредоносного ПО или MITM-прокси. В качестве признака для вывода предупреждения используется аномально большое число ошибок SSL-соединений для разных сайтов за короткий промежуток времени, т.е. метод выявляет факты грубой подмены, в результате которой возникают ошибки SSL и соединение помечается как небезопасное.

Основное отличие от предупреждения о небезопасном соединении заключается в том, что пользователь информируется о возможной локальной MITM-атаке, которая не связана с проблемами настройки HTTPS на конкретном внешнем сайте. Метод уже доступен для тестирования в Chrome Canary и активируется при запуске браузера с параметром "--enable-features=MITMSoftwareInterstitial"

Предупреждение не коснётся техники незаметной подмены HTTPS-сертификатов, которая практикуется некоторым антивирусным ПО, корпоративными межсетевыми экранами и системами инспектирования трафика. Подобное ПО перехватывает HTTPS-обращение клиента, затем от своего лица и с собственным сертификатом транслируют HTTPS-запрос на сервер, получают ответ и отдают его клиенту в рамках отдельного HTTPS-соединения, установленного с использованием SSL-сертификата перехватывающей системы. Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика.

  1. Главная ссылка к новости (https://twitter.com/sashaperig...)
  2. OpenNews: Большинство VPN-приложений для Android не заслуживают доверия
  3. OpenNews: Исследование негативного влияния на безопасность локального перехвата HTTPS-трафика
  4. OpenNews: Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS-сайтов
  5. OpenNews: В устройствах Dell выявлен корневой сертификат, позволяющий перехватывать HTTPS
  6. OpenNews: Lenovo уличили в предустановке ПО, подменяющего сертификаты для HTTPS
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: mitm, chorme
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, LU, 11:31, 10/09/2017 [ответить] [смотреть все]
  • +14 +/
    Почему заголовки новостей именно про Хром, а не Хромиум?
     
     
  • 2.41, ТТТ, 09:49, 11/09/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +2 +/
    А почему бы и нет Кто, по вашему, разрабатывает Хром и вообще оплачивает все эт... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.42, Dmitry77, 10:55, 11/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Вообще-то этот сайт посвящен опенсорсному ПО А програмные компоненты хрома разр... весь текст скрыт [показать]
     
     
  • 4.50, Аноним, 21:54, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Так Хромиум "сообщество" разрабатывает? А я думал, это гуглопроект.
     
  • 1.2, Ilya Indigo, 11:33, 10/09/2017 [ответить] [смотреть все]  
  • +11 +/
    Последний абзац аж в дрожь кидает.
    И кто-то эти зонды покупает, устанавливает и думает, что он защищён?
     
     
  • 2.3, bircoph, 12:24, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +6 +/
    Любая банковская или околобанковская структура, например.
    Там принято считать, что зондирование сотрудников повышает безопасность.
     
     
  • 3.6, user, 13:10, 10/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Ещё одна причина не смешивать личное и рабочее.
     
  • 3.11, sasiska, 14:02, 10/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Если банк следует PCI DSS, то он обязан всё это ставить Интересно, а как эта шту... весь текст скрыт [показать]
     
     
  • 4.38, feequs, 06:58, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ерунду пишете, или пруф в студию
     
  • 4.48, Аноним, 16:48, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Номер параграфа в студию.
     
  • 2.14, пох, 14:05, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –7 +/
    малыш, ты так и не научился работать на работе, а не груши околачивать в корпор... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, user, 14:43, 10/09/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    По моему опыту, у программистов под линуксом обычно админский доступ к локалхост... весь текст скрыт [показать]
     
     
  • 4.20, пох, 17:05, 10/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    по моему опыту, у программистов под линуксом обычно _крайне_ хреновые админские ... весь текст скрыт [показать]
     
     
  • 5.35, key, 21:05, 10/09/2017 [^] [ответить] [смотреть все]  
  • +/
    ЧТО У линя как раз все чудесно с правами в тч из коробки У нас под рутами никт... весь текст скрыт [показать]
     
     
  • 6.52, пох, 23:12, 11/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    речь шла о правах на свой ноут или что у вас там За право не показывать никому ... весь текст скрыт [показать]
     
     
  • 7.55, Аноним, 23:24, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Понимаешь, весь AD всего лишь имитация В буклетиках про это не написали, да и н... весь текст скрыт [показать]
     
     
  • 8.68, пох, 12:43, 12/09/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    понимаю, по теме тебе сказать нечего Продолжай рассказывать сказки о том, как у... весь текст скрыт [показать]
     
     
  • 9.73, Аноним, 17:52, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Я один из тех кто более-менее разобрался как это работает Не в буклетиках а реа... весь текст скрыт [показать]
     
     
  • 10.93, пох, 23:59, 14/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    одна проблема - когда ты работу работать-то собираешься, с таким плотным графико... весь текст скрыт [показать]
     
  • 5.86, Pofigist, 12:28, 14/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Вот 100500 увы Ибо любая настройка линакса начинается с vi etc selinux config... весь текст скрыт [показать]
     
     
  • 6.90, пох, 16:30, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    ну а чего ты хочешь, если вот, шестой центос sshd пытается пытался, к 6 8 поп... весь текст скрыт [показать]
     
     
  • 7.91, Pofigist, 16:48, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Аминь Если етно - не вижу никакого выхода из этой ситуации, ну кроме как SELINU... весь текст скрыт [показать]
     
  • 3.19, сверху донизу все рабы, 16:01, 10/09/2017 [^] [ответить] [смотреть все]  
  • +5 +/
    Wage slave закукарекал.
     
     
  • 4.22, пох, 17:27, 10/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    дружище свободный - а вот ты рискнешь отнести свои деньги, скажем, банчку, у к... весь текст скрыт [показать]
     
     
  • 5.25, Аноним, 17:48, 10/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Так и вижу табличку прибитую гвоздямина двери банка Наши честные программисты и... весь текст скрыт [показать]
     
     
  • 6.28, пох, 18:23, 10/09/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    табличка называется лицензия ЦБ Если она еще не отобрана - значит, форма... весь текст скрыт [показать]
     
  • 6.31, user, 19:23, 10/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    рут банка и рут локалхоста - это две большие разницы
     
     
  • 7.32, пох, 19:31, 10/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    когда у тебя этот локалхост в банке - от одного до второго - один троянец, стяну... весь текст скрыт [показать]
     
     
  • 8.34, vtg63egf63ug, 20:41, 10/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Как стянуть то, чего нет на локалхосте? Закоммитить какую-нибудь гадость?
     
     
  • 9.37, пох, 00:57, 11/09/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    разьве что в идеальном случае, типа мной описанного - когда эти гордые руты лока... весь текст скрыт [показать]
     
  • 8.63, Алкоголик Анонимный, 06:27, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Теперь посчитаем до двух Троянцев И спросим, точно ли их больше одного У по... весь текст скрыт [показать]
     
  • 5.46, J.L., 15:22, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    я б посмотрел на тот банк у которого программисты руты имеют доступ к боевым б... весь текст скрыт [показать]
     
     
  • 6.47, пох, 15:36, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    зато прямо относится к моему вопросу- готовы ли вы не то что свои деньги положит... весь текст скрыт [показать]
     
     
  • 7.54, Аноним, 23:19, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Я готов положить мои деньги в биткоин Процессинг делают вообще все, а то что та... весь текст скрыт [показать]
     
     
  • 8.94, пох, 00:05, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    только что китайская биржа это сделала, хехехехе ... весь текст скрыт [показать]
     
  • 7.64, Алкоголик Анонимный, 06:40, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    В общем-то доступ к процессингу имеют по меньшей мере все Клиенты Растяжим... весь текст скрыт [показать]
     
     
  • 8.95, пох, 00:12, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    ничего растяжимого - достаточно того, чтобы этот доступ, вот ровно обычный клиен... весь текст скрыт [показать]
     
  • 6.74, Avator, 18:02, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Сбербанк например Я там это наблюдал и даже участвовал Когда все под одной уч... весь текст скрыт [показать]
     
     
  • 7.75, пох, 20:48, 12/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    вы дочитать-то дальше первых знакомых буковок умеете с личных ноутбуков, неподк... весь текст скрыт [показать]
     
     
  • 8.81, masterdilly, 14:27, 13/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну я просто плачу от смеха Кукареку Проодмины собрались Значит так Банк ... весь текст скрыт [показать]
     
     
  • 9.82, пох, 17:32, 13/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    банки - оне сильно разные бывают Что в том же сбере творится - для меня загадка... весь текст скрыт [показать]
     
     
  • 10.84, masterdilly, 18:48, 13/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    написано же Любимым разрабам - всё, чё нада И рута и инет, только вот к нутр... весь текст скрыт [показать]
     
     
  • 11.92, пох, 23:37, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    с песочницей тоже могет неожиданно выйти фейл - я ж рассказывал про базу абонент... весь текст скрыт [показать]
     
  • 3.53, Аноним, 23:18, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Надеюсь, это объясняет почему все больше умных людей предпочитают фриланс и т п ... весь текст скрыт [показать]
     
     
  • 4.69, пох, 13:22, 12/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    остается только понять, кому они впаривают продукты своего итп И на что при это... весь текст скрыт [показать]
     
     
  • 5.78, Аноним, 00:47, 13/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Что умеют и на что есть спрос - то и впаривают Рынок На то что заработали, вес... весь текст скрыт [показать]
     
     
  • 6.83, пох, 18:22, 13/09/2017 [^] [ответить] [смотреть все]  
  • +/
    понятно То есть лично ты об этом не в курсе На рынке сейчас спрос в основном н... весь текст скрыт [показать]
     
     
  • 7.99, Аноним, 22:18, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Расписываться за всех фрилансеров не моя прерогатива Лет через 10-20 поговорим ... весь текст скрыт [показать]
     
     
  • 8.101, Аноним, 11:55, 16/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну давай уже рассказывай до конца Расскажи трудовую биографию и примерный поряд... весь текст скрыт [показать]
     
  • 4.87, Pofigist, 12:42, 14/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    CCNA это не админ - это помошник админа, ассисент, анукей короче Что собственно... весь текст скрыт [показать]
     
     
  • 5.96, пох, 00:36, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    не совсем ccna это эникей с претензией, иначе незачем было и браться Зарплата ... весь текст скрыт [показать]
     
     
  • 6.98, Аноним, 17:42, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    О А сколько платят примерно ... весь текст скрыт [показать]
     
  • 2.27, Нэйм, 18:22, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    да я так думал лет 5 назад и устанавливал их ;) почти все из них.
     
  • 2.40, freehck, 09:09, 11/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Ты не поверишь, но таки да В корпорациях принято следить за пользователем вплот... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, Аноним, 23:32, 11/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Кому реально не пофиг - просто не идут в такие места Зарубить ситуацию на уровн... весь текст скрыт [показать]
     
     
  • 4.65, Алкоголик Анонимный, 07:02, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Э А в чём собственно дело Если рабочее место вам не принадлежит А принадлеж... весь текст скрыт [показать]
     
     
  • 5.66, Алкоголик Анонимный, 07:14, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Конечно, с другой стороны, сертификаты, удостоверяющие третью фирму, как-то пред... весь текст скрыт [показать]
     
     
  • 6.71, пох, 13:34, 12/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    что значит подделываемые Никто ничего не подделывает - вот сертификат, подтв... весь текст скрыт [показать]
     
  • 4.70, пох, 13:31, 12/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    куда, куда они идут, вот в чем вопрос Пилить бесплатно опенсорс для улучшения м... весь текст скрыт [показать]
     
     
  • 5.79, Аноним, 01:24, 13/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Самые крутые, креативные и удачливые - в стартаперы А так каждый крутится как у... весь текст скрыт [показать]
     
     
  • 6.89, пох, 13:33, 14/09/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    это ваши влажные мечты ну да, я механику кручения со сдачей бабушкиной кварти... весь текст скрыт [показать]
     
     
  • 7.100, Аноним, 23:46, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ничто не херит перспективы так как отсутствие амбиций, чудак Я знаю народ без... весь текст скрыт [показать]
     
  • 1.4, iZEN, 12:32, 10/09/2017 [ответить] [смотреть все]  
  • +1 +/
    Для Firefox что-то подобное реализовано?
     
     
  • 2.5, wert, 13:03, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    https://checkmyhttps.net/
     
     
  • 3.7, th3m3, 13:10, 10/09/2017 [^] [ответить] [смотреть все]  
  • +/
    В Firefox 57 не отвалится?
     
  • 2.26, Аноним, 17:53, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    HTTPS Everywhere не кашерный? Уж 100 лет в обед будет, как существует..
     
  • 1.8, Аноним, 13:32, 10/09/2017 [ответить] [смотреть все]  
  • +/
    Как же теперь антивирусы будут в АНБ отправлять инфу Тот же кашперский устанавл... весь текст скрыт [показать]
     
     
  • 2.12, sasiska, 14:03, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    да они почти всё ставят свои сертификаты, помимо доверенного СА, 90 антивирусов... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.57, Аноним, 23:44, 11/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Технически, каспер - крутой руткит, делающий takeover половины системы, с аргуме... весь текст скрыт [показать]
     
  • 1.9, Андрей, 13:40, 10/09/2017 [ответить] [смотреть все]  
  • +/
    > Подобное ПО перехватывает HTTPS-обращение клиента, затем от своего лица и с собственным сертификатом

    HSTS pinning, вроде, для того чтобы такое не прошло, т.к. проверяется, а тем же самым удостоверяющим органом подписан сертификат.

     
     
  • 2.21, Аноним, 17:25, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Для локально установленных корневых сертификатов HSTS автоматом отключается в бо... весь текст скрыт [показать] [показать ветку]
     
  • 1.10, Аноним, 13:40, 10/09/2017 [ответить] [смотреть все]  
  • +/
    Непонятно от кого ж защита , если это не коснётся техники незаметной подмены H... весь текст скрыт [показать]
     
     
  • 2.13, sasiska, 14:05, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну как для кого, что бы люди не ставили бесплатный squid с icap до dlp, а покупа... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, пох, 14:10, 10/09/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    а-а, вот от кого множественные ошибки ssl па-а-анятна, маладца гугль, все п... весь текст скрыт [показать]
     
  • 1.16, Sw00p aka Jerom, 14:21, 10/09/2017 [ответить] [смотреть все]  
  • –2 +/
    >>Для сохранения индикатора защищённого соединения в браузере на машины клиента устанавливается дополнительный корневой сертификат, позволяющий скрыть работу применяемой системы инспектирования трафика.

    эт называется борьба с митмом ? чё за двойные стандарты ?

     
     
  • 2.23, Аноним, 17:27, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Это называется если пользователь хочет разрешить MITM, мы ему мешать не будем ... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, Аноним, 17:29, 10/09/2017 [ответить] [смотреть все]  
  • –3 +/
    Я правильно понял, что речь ещё об одном зонде, который при каждом обращении к к... весь текст скрыт [показать]
     
     
  • 2.29, Нэйм, 18:25, 10/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    по моему уже нет разницы в постановке вопроса ... весь текст скрыт [показать] [показать ветку]
     
  • 1.36, Аноним, 21:52, 10/09/2017 [ответить] [смотреть все]  
  • +3 +/
    Вот и оборотная сторона распространения https везде Арньше были единичные сайты... весь текст скрыт [показать]
     
     
  • 2.39, Аноним, 09:05, 11/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И в чем теперь для тебя проблема Если скрывать там особо нечего , скажи браузе... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.76, Аноним, 21:21, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Проблема в отношении сигнал шум Раньше на ошибки обращал внимание Потому что б... весь текст скрыт [показать]
     
     
  • 4.88, пох, 13:05, 14/09/2017 [^] [ответить] [смотреть все]  
  • +/
    да кто ж им помешал бы Перехват самовыписанных сертификатов работает точно так ... весь текст скрыт [показать]
     
     
  • 5.97, Аноним, 17:20, 15/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Зато выкидываются всякие непонятные комоды-симнтеки из всего этого.
     
  • 1.58, Аммоний, 23:48, 11/09/2017 [ответить] [смотреть все]  
  • –1 +/
    Двояковыпуклая новость на самом деле. С одной стороны защищает секретность пользователя, с другой стороны протаптывает тропу DRM-мам, которые борются с возможностью вмешательства самого пользователя в коммуникации между проприетарными web-приложениями и серверами их хозяев.
     
  • 1.67, Катя, 08:25, 12/09/2017 [ответить] [смотреть все]  
  • +/
    Тут полковник спрашивает "Не помешает-ли данное нововведение исполнению федерального закона № 374 ?"Если и дальше Хром будет себя так вести,его придётся запретить,закон найдётся..
     
     
  • 2.72, тов. майор, 13:36, 12/09/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    не помешает ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.77, Led, 21:45, 12/09/2017 [^] [ответить] [смотреть все]  
  • +/
    Ты как обращаешся к Кате Она же - под-полковник ... весь текст скрыт [показать]
     
  • 1.80, Аноним, 12:25, 13/09/2017 [ответить] [смотреть все]  
  • +/
    Может благодаря этому прийдет конец всяким каперским которые из коробки нагло сл... весь текст скрыт [показать]
     
  • 1.85, Аноним, 11:20, 14/09/2017 [ответить] [смотреть все]  
  • +/
    Когда уже контроль над vibrationapi у хрома на Андроиде отдадут юзеру, бесит ког... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor