Forum Debian Users Gang

uzytkownikubunt · 2015-12-26 13:37:15

2495

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:29:52)

Jacekalex · 2015-12-26 15:44:25

uzytkownikubunt napisał(-a):
....

W zasadzie to chyba rozwiązane. Dodałem do argumentów w linii poleceń dla Chromium:
Kod:
--ignore-certificate-errors

Głupio robisz z tym ignorowaniem certów.

Do Gmaila teraz wchodzi się przez:

https://accounts.google.com/ServiceLogin?service=ma … pl#identifier

U ciebie na screenie wygląda na jakąś lewą stronę do wyłudzania haseł.

Przy okazji:

curl -I https://www.gmail.com/
HTTP/1.1 301 Moved Permanently
Location: https://mail.google.com/mail/
Content-Type: text/html; charset=UTF-8
X-Content-Type-Options: nosniff
Date: Sat, 19 Dec 2015 08:34:36 GMT
Expires: Mon, 18 Jan 2016 08:34:36 GMT
Server: sffe
Content-Length: 226
X-XSS-Protection: 1; mode=block
Cache-Control: public, max-age=2592000
Age: 627245
Alternate-Protocol: 443:quic,p=1
Alt-Svc: quic=":443"; ma=604800; v="30,29,28,27,26,25"

I ciekawostka II:

Kod:

nmap -p 443  gmail.com

Starting Nmap 6.47 ( http://nmap.org ) at 2015-12-26 15:52 CET
Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
Nmap done: 1 IP address (0 hosts up) scanned in 3.14 seconds

na serwerze gmail.com (nie mylić z www.gmail.com) nic nie wisi na porcie 443/https, żebyś mógł się połączyć.

Pozdro

Ostatnio edytowany przez Jacekalex (2015-12-26 15:54:40)

thomsson · 2015-12-26 17:14:25

HSTS wymusza korzystanie z SSL jeśli cos jest nie tak z certem, a kiedyś byłeś na tej stronie, to chromium nie pozwoli ci z niej skorzystać jeśli cos od tego czasu jest nie tak z połączeniem (hsts nie pozwoli ci na wejście jeśli np wygasł certyfikat, jeśli serwer nie ustawia nagłówka hsts, to wtedy możesz dodać wyjątek) łącząc to z tym co podał Jacek, pewnie dorobiłes się jakiegoś babola do targania haseł czy cuś, zacząłbym od stestowania tego jakąś mozilką, co ona sądzi o certach, a potem przejrzenie certyfikatów jakie masz w systemie (strzelam ze chromium pod Windowsem odpalasz)

uzytkownikubunt · 2015-12-26 17:21:47

2496

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:29:53)

thomsson · 2015-12-26 21:33:59

No to jak sam robisz sobie MiTM to masz odpowiedz :)

Implementacja HSTS w chrome/chromium działa właśnie w ten sposób, jeśli wykryje ingerencje w szyfrowanie, albo ze jest cos nie tak z certem, to po prostu nie wpusci cie na stronę i tyle, zobacz może jest jakąś opcja do samego wyłączenia hsts, albo może wystarczy zwyczajnie wyczyścić profil i chromium zapomni o nagłówku HSTS , ten mechanizm zapewnia tą stałość certyfikatu o której mówisz :)

Pod windą chrome/chromium korzysta z systemowego keystore-a nic nie wiem o tym by trzymal jakieś swoje wynalazki, pod warunkiem, ze użytkownik ich nie zdefiniuje, firefox ma swoją paczkę zaufanych root ca przynajmniej pod Windą

Pewnej dobrze wiesz czym jest HSTS ale załaczę dla spokoju duszy :p https://en.m.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Pozdro

uzytkownikubunt · 2015-12-26 23:16:39

2497

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:29:55)

Forum Debian Users Gang

Ogłoszenie

#1 2015-12-26 13:37:15

uzytkownikubunt - Zbanowany

294650

#2 2015-12-26 15:44:25

Jacekalex - Podobno człowiek...;)

Re: 294650

uzytkownikubunt napisał(-a):

Kod:

Kod:

#3 2015-12-26 17:14:25

thomsson - Dyskutant

Re: 294650

#4 2015-12-26 17:21:47

uzytkownikubunt - Zbanowany

Re: 294650

#5 2015-12-26 21:33:59

thomsson - Dyskutant

Re: 294650

#6 2015-12-26 23:16:39

uzytkownikubunt - Zbanowany

Re: 294650

Stopka forum