Wie findet man einen möglichen Man-in-the-Middle auf Google-Art heraus?
https://stackoverflow.com//questions/22000700
-
20-12-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich frage mich, wie Google Nachrichten wie anzeigen kann Cannot connect to the real mail.google.com o.ä?Sind die IP-Adressen der Google-Server in Chrome einfach fest codiert oder ist es möglich, etwas Ähnliches zu tun?Dies könnte dazu beitragen, sicherzustellen, dass Kunden keine Phishing- oder Betrugswebsites besuchen.
Dieser Fehler wird nur angezeigt, wenn versucht wird, auf Google-bezogene Websites zuzugreifen, sonst nichts.
Hier ist ein Beispiel dafür, was Google Chrome anzeigt, wenn versucht wird, eine Verbindung zu Gmail herzustellen, ohne die Proxy-Anmeldeinformationen anzugeben.
PS:Normalerweise verwende ich C# und ASP.NET.Ich bin offen für Vorschläge.
BEARBEITEN :
Gibt es nach der Antwort von SilverlightFox eine Möglichkeit, das Anheften meines Website-Zertifikats anzufordern?Und/oder wie füge ich es zur „STS-vorinstallierten Liste“ hinzu?
Lösung
Als @Ted Bigham In den Kommentaren erwähnt, wird dies über erreicht Anheften von Zertifikaten:-
Eine Möglichkeit, viele Arten von MITM-Angriffen zu erkennen und zu blockieren, ist das „Zertifikat-Pinning“, manchmal auch „SSL-Pinning“ genannt.Ein Client, der das Anheften von Zertifikaten durchführt, fügt dem normalen TLS-Protokoll oder SSL-Protokoll einen zusätzlichen Schritt hinzu:Nachdem der Client das Serverzertifikat auf die übliche Weise erhalten hat, prüft er das Serverzertifikat anhand vertrauenswürdiger Validierungsdaten.Normalerweise werden die vertrauenswürdigen Validierungsdaten mit der App in Form einer vertrauenswürdigen Kopie dieses Zertifikats oder eines vertrauenswürdigen Hashs oder Fingerabdrucks dieses Zertifikats oder des öffentlichen Schlüssels des Zertifikats gebündelt.Zum Beispiel Chrom und Google Chrome enthält Validierungsdaten für das *.google.com-Zertifikat, das 2011 betrügerische Zertifikate erkannte.In anderen Systemen hofft der Client, dass er beim ersten Erhalt eines Serverzertifikats vertrauenswürdig ist und speichert es.Bei späteren Sitzungen mit diesem Server vergleicht der Client das Serverzertifikat mit dem gespeicherten Zertifikat, um sich vor späteren MITM-Angriffen zu schützen.
Aus Was ist Zertifikat-Pinning?:-
Einige neuere Browser (z. B. Chrome) führen eine Variation des Zertifikat-Pinnings mithilfe des HSTS-Mechanismus durch.Sie laden einen bestimmten Satz öffentlicher Schlüssel-Hashes vorab in die HSTS-Konfiguration, wodurch die gültigen Zertifikate auf diejenigen beschränkt werden, die den angegebenen öffentlichen Schlüssel angeben.
HTTP Strict Transport Security (HSTS) ist eine Technologie, die über einen HTTP-Antwortheader (nur über HTTPS gesendet) implementiert wird, der einem Browser mitteilt, dass er sich „merken“ soll, dass auf eine Website für einen bestimmten Zeitraum nur über HTTPS zugegriffen werden darf.Wenn HSTS aktiviert ist www.example.com und die Benutzerbesuche http://www.example.com Vor max-age abgelaufen ist, wird der Browser eine Anfrage stellen https://www.example.com Stattdessen wird keine Anfrage über einfaches HTTP gesendet.HSTS setzt voraus, dass der Benutzer die Website bereits besucht hat, um den Header zu erhalten. Allerdings hat Google in seinem Chrome-Browsercode eine Problemumgehung implementiert:
Google Chrome und Mozilla Firefox beheben diese Einschränkung durch die Implementierung einer „STS-vorinstallierten Liste“, einer Liste mit bekannten Websites, die HSTS unterstützen.Diese Liste wird mit dem Browser verteilt, sodass dieser auch HTTPS für die erste Anfrage an die aufgelisteten Websites verwendet.
Aktualisieren Sie die folgende Fragebearbeitung
Gibt es nach der Antwort von SilverlightFox eine Möglichkeit, das Anheften meines Website-Zertifikats anzufordern?Und/oder wie füge ich es zur „STS-vorinstallierten Liste“ hinzu?
Entsprechend dieser Blogbeitrag Sie sollten sich an die Browser-Entwickler wenden, um in die HSTS-Liste aufgenommen zu werden, und Ihren öffentlichen Schlüssel (oder Ihre CAs) im Browser anheften lassen:
Ist diese Domain in Chrome HSTS-vorinstalliert?Im Moment ist es in der Binärdatei fest codiert und wird hoffentlich wachsen.Sie können sich an Chromium wenden, um Ihre Website in diese Liste aufzunehmen.
Und
Daher besteht derzeit die einzige Lösung zum Anheften öffentlicher Schlüssel von Zertifizierungsstellen, die Ihre Website-Zertifikate signieren, darin, sich an das Chromium-Team zu wenden, um sie in den Code aufzunehmen.
Andere Tipps
Die einzige Möglichkeit, den Man-in-the-Middle zu bekämpfen, besteht darin, über vorab geteiltes Wissen zu verfügen.In diesem Fall handelt es sich um fest codierte Zertifikate einiger Stammzertifizierungsstellen, denen Ihr Browser vertraut.Diese Stammzertifikate werden von ihrer Behörde verwendet, um Zertifikate anderer Behörden zu signieren, die wiederum vertrauenswürdig werden.Es wird eine Vertrauenskette aufgebaut, bis Sie auf das Zertifikat von mail.google.com zugreifen.
Wenn Sie mail.google.com aufrufen, werden Sie automatisch zum HTTPS weitergeleitet (beachten Sie die S!) Version der Website.HTTPS bedeutet Zertifikate.Ihr Browser lädt das Zertifikat dieser Website herunter und prüft, ob die Signaturkette von einigen der Autoritäten stammt, denen Ihr Browser vertraut.Wenn nicht:Große Warnung!Möglicherweise handelt es sich um eine Man-in-the-Middle-Parodie!
Es kann auch passieren, dass die Umleitung von HTTP zu HTTPS fehlschlägt, weil eine Firewall zwischen Ihnen und Google HTTPS blockiert.Das könnte die Warnung sein, die Sie erhalten.
