Men in the middle

Ciao,

ho una domanda a cui fatico a trovare una risposta.

Supponiamo io usi una connessione wi-fi di cui non
sono sicuro al 100% della sicurezza. Non sto parlando
niente di strano, per esempio di un hotel o un locale.

Se io mi collego per esempio a gmail con https,
sarebbe possibile che qualcuno si inserisca in
mezzo e cerchi di fare un "men in the middle"
cioe' io credo di parlare con il server finale, invece
parlo con lui? Questo lo ritengo difficile da un esterno,
ma dal gestore del locale? Potrebbe installare tipo
un transparent proxy per l'https?

Oppure https e certificati garantiscono che io
sto parlando con il server finale?

Grazie, ciao!

Oppure https e certificati garantiscono che io
sto parlando con il server finale?

HTTPS ti protegge.
Se il host cambia, il browser ti avvisa.

Bye,
Chris.

Ciao Chris,

io viaggio nella nebbia ...

mi pare di capire che l'https puo' essere fatto
passare attraverso un proxy. Perche' nel browser
si puo' impostare (altrimenti non l'avrebbero messo :wink:

Quando il traffico passa attraverso questo proxy,
il proxy stesso lo puo' leggere in chiaro o no?
Cioe' lui potrebbe fare due connessioni con il client e il
server indipendenti?

Altra questione sono i proxy trasparenti. Quelli che
non serve impostare nel browser. E' il gateway/firewall
che intercetta le comunicazioni.

A me sembra capire che questo tipo di proxy funziona
anche per https ma in questo caso di sicuro non puo'
leggere il testo in chiaro, ma solo mandarlo avanti
(altrimenti si questo sarebbe un man in the middle
a parere mio :wink:

Tu cosa mi riesci a confermare?

Tu cosa mi riesci a confermare?

Niente di questo...

Prova tu stesso: prendi due server https con certificati riconosciuti
dal
tuo browser, determina il loro IP (dig), poi nel /etc/hosts metti una
riga tipo

   ip_del_server_a nome_del_server_b

chiudi e apri il browser e collegati a

   https://nome_del_server_b

verrai salutato da un bel popup, poliziotto giallo :wink: o cosa mai...

Un proxy https che cercasse di fare man in the middle triggerebbe
lo stesso sintomo.

Ovviamente un proxy e` libero di farci tunnellare il traffico tra client
e server ma non potra influenzarlo o leggerlo.

Il weakest link di tutto questo secondo me sono le CA - non metterei
la mano nel fuoco che uno non riesca a farsi firmare un certificato
per un dominio non suo *in* *qualche* *caso* *isolato*.

Cmq, il tuo "evil hotel owner" dovrebbe riuscire a farsi firmare
certificati per gmail.com, hotmail.com, gmx.de, ... per poter
leggere le mail dei suoi clienti: non e` esattamente un operazione
facile, ovvero il seguente dialogo e` alquanto imaginario:

Thawte: Thawte, Buon Giorno.

Hotel owner: Buon giorno. Sono Eve L. Hotelowner.
              Senta: avrei bisogno di farmi firmare questi certificati
qui,
              associati a gmail.com, hotmail.com e gmx.de.

Thawte: nessun problema, mandi pure i certificati. Paga con carta
              di credito?

Bye :slight_smile:
Chris.

Ciao,

buona idea quella di fare una simulazione ...
perche' in un prossimo incontro del lug non facciamo?

buona idea quella di fare una simulazione ...
perche' in un prossimo incontro del lug non facciamo?

si tratta di aggiungere una riga a /etc/hosts... lo puoi anche fare
subito...

Cmq. questo martedi`, 22/6 saro` la`, quindi se vuoi venire si fa
anche insieme...

Bye,
Chris.

Sono in ferie :slight_smile: allora alla prima occasione in agosto! Grazie!