מעקב אחר בקשות HTTPS
-
-
@MusiCode אני לא מבין בדיוק מה אתה מבקש אבל הכלל הוא:
אם אתה יכול לנתב את התעבורה דרך פרוקסי, וגם לגרום לקליינט להאמין לתעודת אבטחה שלך
אז תוכל לשקר לקליינט שאתה גוגל ושיצפין את התעבורה עבור המפתח הפרטי שלך ולא של גוגל, וזה מה שפידלר עושה.
-
תפרט על איזה קליינט אתה מדבר, מסתמא אתה לא מתכוין שהקליינט זה הדפדפן כי בדפדפן יש רישום תעבורה מלא. אתה כנראה מדבר על איזו אפליקציה שאתה רוצה לעקוב אחריה, יש אפליקציות שמתסמכות על מאגר התעודות של המערכת ויש אפליקציות שיש להן מאגר משלהן.
-
@יוסף-בן-שמעון אמר במעקב אחר בקשות HTTPS:
יש אפליקציות שמתסמכות על מאגר התעודות של המערכת ויש אפליקציות שיש להן מאגר משלהן.
במקרה כזה ייתכן והכלי הזה יעזור. לא יצא לי להשתמש בו, ב"ה, אבל אולי הוא עובד..
-
@יוסף-בן-שמעון אמר במעקב אחר בקשות HTTPS:
תפרט על איזה קליינט אתה מדבר, מסתמא אתה לא מתכוין שהקליינט זה הדפדפן כי בדפדפן יש רישום תעבורה מלא. אתה כנראה מדבר על איזו אפליקציה שאתה רוצה לעקוב אחריה, יש אפליקציות שמתסמכות על מאגר התעודות של המערכת ויש אפליקציות שיש להן מאגר משלהן.
אני רוצה לפענח תעבור של המחשב.
@WWW אמר במעקב אחר בקשות HTTPS:
@MusiCode אמר במעקב אחר בקשות HTTPS:
איך פידלר יפענח את ההצפנה?
פידלר מתקין בווינדוס תעודת אבטחה בדומה לנטפרי.
אבל איך נשכנע את גוגל להשתמש בתעודת האבטחה הזו?
-
@MusiCode הצלחת להקליט את התעבורה ואתה רוצה להבין איך ולמה זה עובד? או שעדיין לא הצלחת להקליט?
אבל איך נשכנע את גוגל להשתמש בתעודת האבטחה הזו?
לא צריך לשכנע אותם. צריך רק לשכנע את הקליינט שיצפין את הבקשות שלו מול המפתח הציבורי של פידלר, כך פידלר יכולה לפענח את הבקשה, ואז פידלר מצפין שוב את הבקשה מול המפתח הציבורי של גוגל ומעביר את הבקשה הלאה לגוגל. מכיון שפידלר עושה את הבקשה היא יכולה לפענח את התשובה.
-
@MusiCode אמר במעקב אחר בקשות HTTPS:
אבל איך נשכנע את גוגל להשתמש בתעודת האבטחה הזו?
אתה לא משכנע את גוגל, אלא את המחשב שלך.
לגוגל אין יכולת לדעת אם החיבור הגיע אליך מאובטח, רק למחשב יש אפשרות לבדוק אם התוכן חתום.
ברגע שאתה מתקין תעודת אבטחה במחשב של נטםרי או פידלר, המחשב סומך עליהם שהחיבור מאובטח על אף שהיא מזהה בעיה. -
@MusiCode 1. הקליינט שולח בקשה ראשונה לא מוצפנת לגוגל - "אני רוצה לתקשר איתך"
2. גוגל שולח לא מוצפן את המפתח הציבורי שלו לדפדפן (מפתח ציבורי - מפתח שאפשר רק להצפין מידע, ורק בעל המפתח הפרטי יכול לפענח את המידע)
2. הקליינט מקבל את המפתח, כדי להית בטוח שהמפתח הזה אכן שייך לגוגל ולא לתוקף אמצעי, הוא בודק את החתימה של המפתח, ומי הגורם שחתם ואישר שאכן המפתח שייך לגוגל.
בשביל זה יש מאגר תעודות, הקליינט בודק במאגר התעודות שלו האם החותם הזה מוכר ואמין
3. אחרי שהקליינט החליט שהתעודה שייכת לגוגל, הוא מתחיל תקשורת מוצפנת, הוא שולח מידע מוצפן לגוגל, וכך הוא יודע שרק גוגל תצליח להבין מה מכיל המידע הזה.התוקף שיושב באמצע ורוצה לפענח את המידע (פידלר, נטפרי, אנטי וירוס, האקר), יש לו רק אפשרות אחת לפרוץ את מעגל ההצפנה - אם הוא יצליח ללכוד את הבקשה בשלב הראשון הלא מוצפן, ובמקום לשלוח לקליינט את המפתח של גוגל הוא ישלח מפתח אחר שהוא מנפיק, והמפתח הפרטי יהיה אצל התוקף, כך הוא יוכל לפענח את התעבורה.
הבעיה היא כאמור, הקליינט מודע לאפשרות הזו, ולכן הוא בודק מי חתם על המפתח הציבורי שהוא מקבל, ולתוקף אין אפשרות לזייף חתימה של גורם מוכר שמופיע במאגרי התעודות הרשמיים.
הדרך להתגבר על זה, היא לשכנע את הקליינט להוסיף את התוקף בעצמו לרשימת החותמים המוכרים, וכך כשהקליינט יקבל את המפתח, הוא יראה שחתם עליו גורם מוכר מבחינתו, ויסכים להאמין שזה אכן מפתח של גוגל.
כשאתה מתקין פידלר, ומבקש פיענוח של תעבורה מוצפנת, פידלר רושם את עצמו במאגר התעודות של המערכת כגורם אמין שניתן לסמוך על החתימות שלו, וכעת הוא יוכל ללכוד את התעבורה, ובמקום לשלוח את המפתח של גוגל הוא ישלח מפתח משלו על שם גוגל שחתום בחתימת ידו, והקליינט יקבל את זה כאמת מוחלטת וימשיך את ההתקשרות שלו מול פידלר כשהוא משוכנע שהוא מתקשר עם גוגל. -
@yossiz אמר במעקב אחר בקשות HTTPS:
שלוש תשובות
שאפו ל @יוסף-בן-שמעון על ההסבר המושקע!
וגם ל @yossiz על ההסבר היותר מקצועי ממני...
