G>Я же писал, ssl это симметричное некриптостойкое шифрование сеансовым ключом. G>Соответственно если есть возможность перхватить трафик и позиционировать ваш открытый пароль в шифрованном трафике, то ssl ломается, если позиционируем в трафике хэш пароля известного алгоритма (msd5), то опять ломается.
эээ, вы "слегка" заблуждаетесь на счет "некриптостойкое" и "сеансовым ключом". SSL это обычное ассиметричное шифрование с приватным/публичным ключем, т.е. не сеансовый ключ (я понимаю под сеансовым ключ, создаваемый для каждого сеанса новый). SSL это некисло-стойкое шифрование (пока скомпрометировали только SSL 1.0), т.к. шифровать могут все (публичный ключ), а расшифровать только сервер, т.е. даже перехватив зашифрованные траф, расшифровать не получится.
НО, от админов с прошлой работы слышал, что (им надо было мониторить корпоративный траф, чтобы ничего не уволокли) для виндового домена есть какая-то надстройка(плагин, хз), которая мониторит исходящий траф, и на запрос публичного ключ SSL протоколом, она генерит временную пару приват/паблик + запрашивает у оригинального хоста (у кого просят паблик ключ) паблик. Затем отдает клиенту (кто запросил) свой паблик, которым потом траф клиентом шифруется. Когда такой траф приходит в этот плагин, он его расшифровывает свои приватом, логирует, шифрует пабликом от отригинального хоста и отправляет по назначению. В результате браузер/приложение сотрудника не видит подлога, но шифрованный траф мониторится. Т.е. при таких атаках типа men in the middle, даже ssl/tls траф можно смотреть. И здесь как раз и поможет хеширование пароля, ибо можно в инет-кафе/на работе засветить свои креденшиалз и, возможно, потерять все деньги и не только.
G>Опять же сертификаты. Я не специалист, но вроде бы удостоверяется только одна сторона — сервер. Мы же передаем данные с клиента, то есть с неудостоверенной сертификатами стороны. И даже если бы G>удостоверялся клиент, телепат-перехватчик тоже может быть удостоверен.
не ясно, что такое "удостоверяется", да и не важно это. Важно, что расшифровать может толька знающий приватный ключ.
