так делали первые "прокси" RSA шифрования, м/у клиентом и сервером вставала такая прокси, через нее проходили ключи, клиенту она представлялась сервером, а серверу - клиентом.
Ну а кто себе добровольно в браузер пропишет прокси? А просто промежуточный сервер на маршруте по идее не может расшифровать данные, так как сертификат привязан к ip и домену и поэтому ответ от такого сервера браузером распознается как поддельный.
я же в кавычки взял. этот самый прокси создает два канала, один м/у ним и клиентом, второй м/у ним и сервером. сервер думает что общается с клиентом, а клиент думает что общается с сервером. внутри "прокси" имеет данные в чистом виде
вы повредили мой мозг: сессия на сессию в сессии, это жестоко. строго говоря застраховаться на 100% от кражи нельзя. можно контролировать время жизни сессии и вводить доп. проверки аутентичности пользователя. если мы говорим про сессию вообще, а не про дефолтовую реализацию PHP, то можно применить немного науки. фактически сессионный ид и авторизационная кука по смыслу практически одно и то же. для авторизационных кук есть HMAC, это доп. степень защиты. всем читать мануалы!
Вообще да, такое возможно. Но это рискованно и затратно, поэтому обычные пароли вряд ли будут похищать этим способом. Зато как красиво звучит
вообще это самый дубовый способ ) например, днс подменяем (в сети) чтобы юзер долбился на наш сервер, и дальше дело техники. но в случае с ssl нужно еще как-то перехватить запрос в центр сертификатов
Так про ssl и идет речь. Без него конечно там плевое дело. Если у прокси не будет нормального ssl сертификата, то браузер предупредит. А чтобы заиметь нормальный ssl сертификат это надо заплатить за домен, за сертификат привязывающий домен к ip прокси. И тут возникнет проблема: прокси ты же хотел ставить внутри сети, а для такого внутреннего прокси сертификат никто не продаст. И облом Или я не понял твою схему?
можно и днс не подменять. существует способ днс-спуфинга. выдать себя за центр авторизации не такая уж нереализуемая задача.
Насколько я знаю сертификаты центров аттестации прописываются в браузерах и ОС при установке, поэтому по идее за них себя не выдашь.
не слыхал о таком. будет время, попгулю. ежели имеется пруфлинк под рукой - поизучаю с удовольствием)
там речь ведется о том, что сертификаты в браузеры многие встроены. про хранение ИП авторизационных центров не нашел
Так ip центров сертификации прописаны в этих их сертификатах И cами центры когда выдают сертификаты, прописывают в них ip ресурса. Также и для себя у них в сертификате прописаны их доверенные ip. Правда сильно детально я тему не изучал и не знаю в каком виде там все прописывается, может ip входит в состав закрытого ключа, а может в открытом виде фигурирует. В принципе все продуманно и защищено. Если система и браузер не взломаны и без вирусов, плюс если человек за компом будет хоть чуток бдеть и не принимать левые сертификаты, то система работает и защищает.