Hvor sikkert er HTTPS

Nej.

Hvis du finder en mulighed, så vil internet handel bryde sammen.

Nej, ikke umiddelbart.

Ved man-in-the-middle angreb vil din browser kunne se, om nogen har sat sig imellem.

Dette link siger at det er muligt... hvis brugeren er en "normal" internet bruger.
http://r00tsecurity.org/forums/topic/7973-crack-https-traffic-captures/

Derudover, hvis en ISP bruger programmerne Charles og Fiddler paa deres server... saa kan de se hvad det er man sender...

Er dette virkelig sandt?

Hvis nogen hijacker din DNS server eller router og goer at din trafik til www.dinbank.dk ryger til www.hacker.cn, saa vil din browser fortaelle dig at certfikatet ikke passer. Hvis du vaelger at ignorere det, saa har du et problem.

Det goer ogsaa ondt at slaa sig selv i hovedet med en hammer. Men man kan jo lade vaere.

Er det korrekt antaget at ved brug af Charles og Fiddler, saa ser brugeren ikke noget i sin browser?

, saa ser brugeren ikke noget i sin browser?

>>

,saa ser brugeren ikke nogen meddelelse om hacking i sin browser?

Det er korrekt, men de kan ikke bruge HTTPS traffik til noget.

Hvis de har en milliard computere og 10000 aar kan de brute force cracke det.

Men hvad saa.

Efter lidt mere laesning, saa ser det udtil at baade fiddler og charles bruger "man-in-the-middle" tricket. I begge tilfaelde vil browseren fortaelle at certfikatet ikke passer.

En konklusion herpaa er at det ikke kan lade sig goere, mm. en internet bruger accepterer trods advarslen fra browseren.

Svar => point.

Man må i øjnene at der ikke er noget her i verden der ikke vil kunne hackes!
Man kan så gøre alt hvad man kan for at sikre sig imod det, men det er helt sikkert at helt sikkert bliver det aldig!!

Men kryteringen i HTTPS protocollen er så sikker så bla. banker og E-handel anser den for sikker nok til at de laver forretninger via den protecol over internettet..

Men vil man være helt sikker, så er det af med ens internet forbindelse, frem med blyant og papir igen, og kvit dankort og andre betalingskort, og kun have en bankbog..

Så kan man ikke gøre mere ;-)

man kan nemt se indholdet af HTTPS men en TMG firewall
Den kan dekrypter HTTPS, inspicer trafikken, krypter det igen og sende til klienten.
I modsætning til ISA 2006, som kun kunne dekrypter publicerings regler, kan en TMG også gøre det ved udgående trafik

Ikke uden at klienten opdager det

Lidt misvisende.

Det er ikke anderledes en andre in the middle systemer.

Brugeren skal acceptere certifikat fra TMG som vaerende valid.

(produktet bruges nok mest i sammenhaenge hvor IT afdelingen traeffer det valg for folk)

#12
Brugeren skal da ikke accepter noget, hvis du har din PKI på plads og cerrifikater er trustet. Jeg som administrater bestemmer om brugeren skal have noget af vide.

Ja. Men det er ikke et HTTPS problem. Når du er admin på brugerens maskine, så kan du acceptere certfikater, logge alle hans keystrokes etc. uden at han opdager det.

Det er ligesom at have en trojan installeret. Det kan man ikke rigtig gøre noget ved.

#14
gik søårgsmålet ikke på om man kunne se indholdet af en HTTPS session

Nej.

Spoergsmaalet gik paa om det er muligt **UDEFRA** at se HTTPS indholdet.

Normalt regner man ikke admin som vaerende udefra.

tjaa
ISP som ikke har en Admin ????

Normalt kommer ens ISP ikke og installerer software på kunderens computere. TDC har i hvert fald ikke været forbi mig.

#19
som sædvanlig uvidende

Der skal jo ikke installeret noget, for at trafikken går gennem en TMG firewall

Enhver ISP har masser af admins, men de er ikke admins for brugernes PC'ere og kan derfor ikke installere det certfikat som goer at brugeren undgaar advarsel.

#21
du forstår det jo ikke

Jonah, så forklar os uvidende mennesker hvordan ens udbyder kan bryde ind i en HTTPS session uden at browseren får nys om det.

Hvordan skal udbyderen opfange krypteringsnøglen?

TMG, som skervet tiderlige


mht til certifikat
Hvis jeg køber et certifikat af eksempelvis VeriSign, som er en trustet CA vil du ikke få noget advarsels. Det er derfor du ikke får en certifikat advarsels når du går på https://www.danskebank.dk som har købt deres af VeriSign. Det koster omkring 3000kr.

Man kan se de trustet CA via MMC
1.Click Start, and then click Run.
2.In the Open box, type mmc, and then click OK.
3.In the File menu, click Add/Remove Snap-in.
4.In the Add/Remove Snap-in box, click Add.
5.In the Available Standalone Snap-ins list, click Certificates, and then click Add.
6.Click Computer Account, and then click Next.
7.Click the Local computer (the computer this console is running on) option, and then click Finish.
8.Click Close, and then click OK.

og under
trusted root certificate authority

nye kommer heletide til og bliver opdateret via windows update

og jeg siger ikke at ISP gør det, men kan det

præsis jeg, eller måske dig, kan gøre det i firmaet hvis man har en TMG

Så du fortæller mig, at jeg kan købe et certifikat for danskebank.dk af VeriSign? Det tror jeg ikke.

nej

ksoren2>>

Vil en admin fra ISP'en til danskebank kunne se den ukrypteret data jeg sender via https (evt. vha. en TMG eller lign)?

For lige at afklare tingene... den foerste del af spg. er vist besvaret. Det er ikke muligt udefra at se HTTPS traffik uden brugeren faar det at vide.

Men den anden del af spg. er om en ISP kan laese HTTPS trafikken til deres server. Er dette muligt uden at brugeren laegger maerke til det?

svar => point...

er der nogen der er interesset i pointene?

lukker spg.