Про доверие в Интернете
Mar. 24th, 2017 10:23 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitВдогонку к предыдущему посту. Это давно задуманная попытка посчитать всех, кто может вмешаться между автором контента и его потребителем в процессе доставки. Дополнения и поправки принимаются. Случаи банальной кражи пароля и завирусовывания по площадям в расчёт не берутся.
1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.
2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.
3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.
4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).
5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.
6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.
7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.
Наверняка что-то ещё я забыл.
С вами была пятничная рубрика «Как страшно жить».
1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.
2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.
3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.
4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).
5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.
6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.
7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.
Наверняка что-то ещё я забыл.
С вами была пятничная рубрика «Как страшно жить».
no subject
Date: 2017-03-26 07:25 am (UTC)Кстати, про DNS.
В корпоративной сети может действовать динамический DNS. Когда компьютер сотрудника, подключаясь к сети, говорит «меня зовут IVANOV-PC», сеть отвечает «привет, IVANOV-PC, вот тебе IP-адрес 10.11.12.13» и тут же прописывает в DNS запись «
ivanov-pc.work.example. IN A 10.11.12.13».В такой сети, логинясь доменным паролем в корпоративный багтрекер, вы потенциально доверяете всем сотрудникам, что их компьютер сегодня не называется JIRA.
no subject
Date: 2017-03-27 05:56 am (UTC)Проблема принесения ноутбуков и гаджетов во всей красе тоже.
"работая в корпоративной сети, вы доверяете всем езернет розеткам этого помещения"