Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Про доверие в Интернете

Вдогонку к предыдущему посту. Это давно задуманная попытка посчитать всех, кто может вмешаться между автором контента и его потребителем в процессе доставки. Дополнения и поправки принимаются. Случаи банальной кражи пароля и завирусовывания по площадям в расчёт не берутся.

1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.

2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.

3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.

4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).

5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.

6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.

7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.

Наверняка что-то ещё я забыл.

С вами была пятничная рубрика «Как страшно жить».

This entry was originally posted at http://beldmit.dreamwidth.org/813910.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное
Subscribe

  • Чешский лес

    Андрей Бондаренко сегодня вывез нас с Ниной в наружу. Первой порцией наружи оказался лес с дикорастущей черешней. Вероятно, местами забродившей,…

  • Умер Костя Алдохин

    Сейчас трудно объяснить, что представляли собой фестивали в 90-е фестивали в Великих Луках. Камерные, с уникальной формулой подсчёта, с преферансом…

  • Бытие определяет сознание

    Вчера из окна поезда в Оломоуц были хорошо видны резвящиеся на полях зайцы. На каком-то сравнительно свежевспаханном поле со свежими ростками их было…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 45 comments

  • Чешский лес

    Андрей Бондаренко сегодня вывез нас с Ниной в наружу. Первой порцией наружи оказался лес с дикорастущей черешней. Вероятно, местами забродившей,…

  • Умер Костя Алдохин

    Сейчас трудно объяснить, что представляли собой фестивали в 90-е фестивали в Великих Луках. Камерные, с уникальной формулой подсчёта, с преферансом…

  • Бытие определяет сознание

    Вчера из окна поезда в Оломоуц были хорошо видны резвящиеся на полях зайцы. На каком-то сравнительно свежевспаханном поле со свежими ростками их было…