Vlákno názorů k článku Michal Špaček: Před připojováním na veřejné Wi-Fi sítě už nevaruju od anonym - Dotaz: když se připojím na wi-fi třeba někde,...
-
Dotaz: když se připojím na wi-fi třeba někde, kde používají SSL MITM proxy, třeba něco jako ZScaler
https://www.zscaler.com/resources/security-terms-glossary/what-is-ssl-decryptionPomůže mi pak HTTPS k něčemu vůbec?
-
Mezi "MitM proxy" a "MitM útokem" není v principu žádný rozdíl. Pokud budete na síti, která HTTPS neumožní jinak než přes tu "proxy", tak prostě nemůžete bezpečně přes HTTPS komunikovat - a neměl byste tedy cokoli citlivého dělat vůbec. HTTPS vám pomůže v tom, že vám umožní takovou situaci rozeznat. Tedy s výjimkou situace, že nemáte pod kontrolou počítač, který používáte, a admin vám tam přidal certifikát té "proxy" coby "důvěryhodný". Ale já si třeba nedokážu představit, že bych se k něčemu jako Internet banking přihlašoval z cizího (nebo někým jiným spravovaného) počítače. Ani z počítače v práci, který si spravuji sám a nikdo jiný ho nepoužívá, to nedělám.
-
rozhodně pomůže. HTTPS tě aspoň na takovou věc upozorní (stačí se podívat kým a jak je podepsaný TLS certifikát). Aby to ale aspoň částečně fungovalo, je potřeba mít u sebe jejich CA, ZScaler to podepisuje svým certifikátem, takže na cizí wifi tahle podmínka splněna nebude.
Google a jiné služby pak používají pinning certifikátů, kdy ti prohlížeče nedovolí navštívit stránku, která je podepsané jinou autoritou.
-
Dokud si do počítače nenainstalujete certifikát certifikační autority, který by vám podstrčil provozovatel té proxy, pak vám HTTPS pomůže – je to přesně ten případ, před kterým vás HTTPS chrání. Vy v prohlížeči zadáte webovou adresu (ideálně bude rovnou s HTTPS, protože to tam doplní samotný prohlížeč), prohlížeč dostane certifikát podepsaný neznámou autoritou (provozovatele té proxy) a zobrazí vám chybovou stránku. Z té chybové stránky není snadná cesta, jak ten certifikát přijmout – takže pokud nebudete dělat hlouposti a neproklikáte se až k povolení toho certifikátu, jste před tím útokem chráněn.
Samozřejmě to znamená, že se nedostanete ani na tu správnou stránku. Ale s tím je potřeba počítat – když používáte cizí síť, vždycky vám dotyčný může někam přístup zablokovat.
-
Se ZScalerem zkušenost nemám, ale z principu věci, pokud je mezi vaším web browserem a dotazovaným web serverem nějaká proxy, která má ambice vidět do obsahu přenášených dat, tak už v té komunikaci nejste jen vy dva.
A tedy ten vlastník proxy může vidět vaše hesla v plaintextu a klidně vám podvrhovat obsah stránky, dle libosti, jako za starých "dobrých" časů HTTP://
-
Pochopil jsem dotaz
https://www.lupa.cz/clanky/michal-spacek-pred-pripojovanim-na-verejne-wi-fi-site-uz-nevaruju/nazory/1174149/tak, že to mají někde v někde v práci.
Tam bude mít takové firemní řešení asi dost silné "ambice", takříkajíc přímo "dostačující", pokud ten komp instaloval firemní admin.
Ale platí i to co říkáte Vy. Pokud to bud můj počítač a nepustím tam nějaký "magický" script, kterým si to všechno nastaví, tak pak taková proxy bude vyžadovat povolení.
