![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Entry tags:
Про доверие в Интернете
Вдогонку к предыдущему посту. Это давно задуманная попытка посчитать всех, кто может вмешаться между автором контента и его потребителем в процессе доставки. Дополнения и поправки принимаются. Случаи банальной кражи пароля и завирусовывания по площадям в расчёт не берутся.
1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.
2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.
3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.
4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).
5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.
6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.
7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.
Наверняка что-то ещё я забыл.
С вами была пятничная рубрика «Как страшно жить».
1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.
2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.
3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.
4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).
5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.
6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.
7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.
Наверняка что-то ещё я забыл.
С вами была пятничная рубрика «Как страшно жить».
no subject
Создатели и владельцы сайтов доверяют (и с момента выбора элемента архиектуры НЕ МОГУТ от него отказаться!!!):
- операционной системе и её авторам
- всей пачке языков программровоания и библиотек
- авторам движка сата
- авторам тем и плагинов к двидку
- авторам генераторов тем и плагинов к движку
- авторам плагинов, служащих для связи сайта с в том числе другими сайтами
- ВСЕМ этим "другим сайтам", в конечном итоге...
Я параноик? Закладки в коде тем я уже давно почитаю за обыденность.
Все, кто публикуют картинки, доверяют авторам:
- оборудования и пргораммного обеспечения фото/видеотехники
- авторам программного обеспечения для обработки фотографий и картинок вообще.
Я параноик? Распознавания изображения купюр Фотошопом вам мало, да???
Все владельцы сайтов, у кого имеется глупость ставить гугль аналитику, флеш плеер, яндекс-метрику, ява апплеты и прочую такую хню на страницы платёжные, личные кабинеты и прочая, И ВСЕ ИХ ПОСЕТИТЕЛИ ВЫНУЖДЕННО доверяют авторам этих яваскриптов, css файлов, картинок, шрифтов, флешового кода и ява апплетов.
Я параноик? См. историю про МАССОВОЕ прочтение СМСок, доступное в поисковиках "как у себя дома".
Все пользователи почтовых систем, форумов ДОВЕРЯЮТ приватную информацию, которая хорошим владельцем сайта периодически бекапится. И тем самым - доверят БЕЗОПАСНОСТИ хранилищ резеервных копий.
no subject
Мля... как много я о себе узнал :-)
Хорошо что я принципиально ничего такого в сети не пищу. ни читаю, не использую и уж тем более не храню....
no subject
Но на фоне того, что творят:
http://nanometrolog.dreamwidth.org/139969.html
это все невинные игры.
А java - это вообще ода большая дыра!
no subject
Производителя антивирусов который тоже иногда притаскивает в систему средства для вскрытия TLS-траффика тоже забыл.
А эти два случая характерны тем что юзер думает что вот эти люди тут специально сидят, чтобы сделать ему безопасно.
no subject
no subject
Но да, это типа атаки не стоит забывать.
no subject
Поэтому тут возможна
а) ситуация, когда сисадмин нарушает privacy пользователей в рамках служебных обязанностей и по приказу начальства
б) когда он действует в "серой зоне", т.е. не нарушает явно интересы компании, нарушая при этом интересы пользователей.
no subject
Кстати, про DNS.
В корпоративной сети может действовать динамический DNS. Когда компьютер сотрудника, подключаясь к сети, говорит «меня зовут IVANOV-PC», сеть отвечает «привет, IVANOV-PC, вот тебе IP-адрес 10.11.12.13» и тут же прописывает в DNS запись «
ivanov-pc.work.example. IN A 10.11.12.13».В такой сети, логинясь доменным паролем в корпоративный багтрекер, вы потенциально доверяете всем сотрудникам, что их компьютер сегодня не называется JIRA.
no subject
Проблема принесения ноутбуков и гаджетов во всей красе тоже.
"работая в корпоративной сети, вы доверяете всем езернет розеткам этого помещения"