Сообщение Re[5]: Нафига этот https вообще? от 27.03.2018 3:21
Изменено 27.03.2018 3:22 Иван Дубров
Re[5]: Нафига этот https вообще?
Здравствуйте, Pzz, Вы писали:
Pzz>Насколько я понял, HPKP использует HTTP-заголовки в ответе сервера, которые атакер легко может и подделать, а DANE полагается на DNS, ответы которого легко может подделать интернет-провайдер (а мой так и подделывает время от времени, экспериментальный факт). Бровсер при этом даже и не пикнет, а у нормального пользователя нет никаких других инструментов, чтобы проверить, что в соединение не влезли.
HPKP полагается на TOFU. DNS, по идее, защищается через DNSSEC.
Pzz>Насколько я понял, HPKP использует HTTP-заголовки в ответе сервера, которые атакер легко может и подделать, а DANE полагается на DNS, ответы которого легко может подделать интернет-провайдер (а мой так и подделывает время от времени, экспериментальный факт). Бровсер при этом даже и не пикнет, а у нормального пользователя нет никаких других инструментов, чтобы проверить, что в соединение не влезли.
HPKP полагается на TOFU. DNS, по идее, защищается через DNSSEC.
Re[5]: Нафига этот https вообще?
Здравствуйте, Pzz, Вы писали:
Pzz>Насколько я понял, HPKP использует HTTP-заголовки в ответе сервера, которые атакер легко может и подделать, а DANE полагается на DNS, ответы которого легко может подделать интернет-провайдер (а мой так и подделывает время от времени, экспериментальный факт). Бровсер при этом даже и не пикнет, а у нормального пользователя нет никаких других инструментов, чтобы проверить, что в соединение не влезли.
HPKP полагается на TOFU. DNS, по идее, защищается через DNSSEC.
P.S. Но я сварщик ненастоящий, практики применения у меня нет. Что в википедии вижу, то и пишу![](/Forum/Images/smile.gif)
Pzz>Насколько я понял, HPKP использует HTTP-заголовки в ответе сервера, которые атакер легко может и подделать, а DANE полагается на DNS, ответы которого легко может подделать интернет-провайдер (а мой так и подделывает время от времени, экспериментальный факт). Бровсер при этом даже и не пикнет, а у нормального пользователя нет никаких других инструментов, чтобы проверить, что в соединение не влезли.
HPKP полагается на TOFU. DNS, по идее, защищается через DNSSEC.
P.S. Но я сварщик ненастоящий, практики применения у меня нет. Что в википедии вижу, то и пишу
![](/Forum/Images/smile.gif)