Dmitry Belyavsky (beldmit) wrote,
Dmitry Belyavsky
beldmit

Category:

Про доверие в Интернете

Вдогонку к предыдущему посту. Это давно задуманная попытка посчитать всех, кто может вмешаться между автором контента и его потребителем в процессе доставки. Дополнения и поправки принимаются. Случаи банальной кражи пароля и завирусовывания по площадям в расчёт не берутся.

1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.

2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.

3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.

4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).

5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.

6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.

7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.

Наверняка что-то ещё я забыл.

С вами была пятничная рубрика «Как страшно жить».

This entry was originally posted at http://beldmit.dreamwidth.org/813910.html. Your comment? (comment count unavailable comments)
Tags: security, компьютерное
Subscribe

  • Книжный флешмоб

    Я тут в рамках книжного флешмоба выкладывал в фейсбуке 12 обложек книг, которые на меня повлияли. Сюда я их выложу списком. Порядок произвольный.…

  • Придумалось

    "Сомы грам и нету драм" сменилось на "интернета гигабит - сын не вырастет бандит" This entry was originally posted at…

  • Kamínky

    Чешское развлечение, к которому меня приобщили друзья. Ну как приобщили — рассказали о его сущестовании. Народ расписывает камушки, пишет свой…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 45 comments

  • Книжный флешмоб

    Я тут в рамках книжного флешмоба выкладывал в фейсбуке 12 обложек книг, которые на меня повлияли. Сюда я их выложу списком. Порядок произвольный.…

  • Придумалось

    "Сомы грам и нету драм" сменилось на "интернета гигабит - сын не вырастет бандит" This entry was originally posted at…

  • Kamínky

    Чешское развлечение, к которому меня приобщили друзья. Ну как приобщили — рассказали о его сущестовании. Народ расписывает камушки, пишет свой…