Come scoprire un possibile uomo-in-the-middle la via di Google?
https://stackoverflow.com//questions/22000700
-
20-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianDomanda
Mi chiedo come Google sia in grado di mostrare messaggi come Cannot connect to the real mail.google.com o simili?Gli indirizzi IP dei server di Google sono semplicemente codificati all'interno di Chrome o è possibile fare una cosa simile?Ciò potrebbe aiutare a garantire che i clienti non visitino siti Web di phishing o truffe.
Questo errore viene visualizzato solo quando si tenta di accedere ai siti Web correlati a Google, nient'altro.
Ecco un esempio di ciò che Google Chrome mostra quando si tenta di connettersi a Gmail senza fornire le credenziali proxy.
PS:Io di solito uso C# & ASP.NET.Sono aperto ai suggerimenti.
MODIFICARE :
A seguito della risposta di SilverlightFox, c'è un modo per "richiedere" il pinning del mio certificato del sito web?E / O come aggiungerlo alla "lista precaricata STS"?
Soluzione
Come - Ted Bigham menzionato nei commenti, questo sarà raggiunto tramite Pinning del certificato:-
Un modo per rilevare e bloccare molti tipi di attacchi MITM è il "pinning dei certificati", a volte chiamato"pinning SSL".Un client che esegue il pinning dei certificati aggiunge un ulteriore passaggio al normale protocollo TLS o al protocollo SSL:Dopo aver ottenuto il certificato del server in modo standard, il client controlla il certificato del server rispetto ai dati di convalida attendibili.In genere i dati di convalida attendibili vengono forniti in bundle con l'app, sotto forma di una copia attendibile di tale certificato o di un hash attendibile o di un'impronta digitale di tale certificato o della chiave pubblica del certificato.Ad esempio, Cromo e Google Chrome include i dati di convalida per il *.google.com certificato che ha rilevato certificati fraudolenti nel 2011.In altri sistemi il client spera che la prima volta che ottiene il certificato di un server sia affidabile e lo memorizza;durante le sessioni successive con quel server, il client controlla il certificato del server rispetto al certificato memorizzato per proteggersi da attacchi MITM successivi.
Da Che cosa è certificato pinning?:-
alcuni browser più recenti (Chrome, ad esempio) eseguiranno una variazione del pinning cerficiate utilizzando il meccanismo HSTS.Precaricano un set specifico di hash a chiave pubblica in questa configurazione HSTS, che limita i certificati validi solo a quelli che indicano la chiave pubblica specificata.
HTTP Strict Transport Security (HSTS) è una tecnologia implementata tramite un'intestazione di risposta HTTP (inviata solo tramite HTTPS) che dice a un browser di "ricordare" che un sito Web deve essere accessibile solo tramite HTTPS per un periodo di tempo.Se HSTS è impostato su www.example.com e l'utente visita http://www.example.com prima max-age è scaduto, il browser richiederà https://www.example.com invece e nessuna richiesta verrà inviata tramite semplice HTTP.HSTS richiede che l'utente abbia già visitato il sito per aver ricevuto l'intestazione, tuttavia una soluzione alternativa è stata implementata da Google nel codice del browser Chrome:
Google Chrome e Mozilla Firefox risolvono questa limitazione implementando un "elenco precaricato STS", che è un elenco che contiene siti noti che supportano HSTS.Questo elenco viene distribuito con il browser in modo che utilizzi HTTPS anche per la richiesta iniziale ai siti elencati.
Aggiorna la seguente domanda modifica
A seguito della risposta di SilverlightFox, c'è un modo per "richiedere" il pinning del mio certificato del sito web?E / O come aggiungerlo alla "lista precaricata STS"?
Secondo questo post del blog è necessario contattare gli sviluppatori del browser per essere inclusi nell'elenco HSTS e avere la chiave pubblica (o CA) appuntata nel browser:
questo dominio HSTS è precaricato in Chrome?Per ora è hardcoded nel binario e si spera che cresca.Puoi contattare Chromium per includere il tuo sito in tale elenco.
e
Quindi, in questo momento, l'unica soluzione per bloccare le chiavi pubbliche di CAs che firmano i certificati del tuo sito Web sarebbe contattare il team di Chromium per essere incluso nel codice.
Altri suggerimenti
L'unico modo per combattere l'uomo-in-the-the-me è quello di avere qualche conoscenza pre-condivisa.In questo caso, quelli sono certificati hardcoded di un paio di autorità radicali che il tuo browser si fida.Questi certificati di radice sono utilizzati dalla loro autorità per firmare i certificati di altre autorità che a loro volta diventano anche affidabili.Una catena di fiducia è stata costruita fino a quando non colpisci il certificato di mail.google.com.
Quando vai a mail.google.com, sei automaticamente reindirizzato a HTTPS (nota la versione S !) del sito.Https significa certificati.Il tuo browser scarica il certificato di quel sito e ispeziona se la catena di firma è radicata da alcune delle autorità che il tuo browser si fida.Se no: AVVERTENZA GRAFS BIGS!Possibilmente uomo-in-the-the-the-spoof in corso!
Un'altra cosa che potrebbe accadere è che il reindirizzamento da HTTP a HTTPS non riesce perché un firewall tra te e Google blocca HTTPS.Questo potrebbe essere l'avviso che stai ottenendo.
