Gå til innhold

KOMMENTAR: Krypto-avlytting er utbredt, men ansatte vet ikke at de blir overvåket

Redaksjonen.

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Bjørn A. Johansen

Bjørn A. Johansen

Skrevet
Skrevet

En nettside eier kan også bekjempe dette ved bruk av  HPKP, dette låser websiden og forteller nettlesern at den kun skal vise siden dersom disse sertifikatene er til stede 

 

Mjo, men:

 

«Chrome does not perform pin validation when the certificate chain chains up to a private trust anchor. A key result of this policy is that private trust anchors can be used to proxy (or MITM) connections, even to pinned sites. “Data loss prevention” appliances, firewalls, content filters, and malware can use this feature to defeat the protections of key pinning.»

http://www.chromium.org/Home/chromium-security/security-faq#TOC-How-does-key-pinning-interact-with-local-proxies-and-filters-

 

Det samme gjelder Firefox: https://bugzilla.mozilla.org/show_bug.cgi?id=1168603

 

Det vil si at HPKP ikke hjelper når IT-avdelingen har installert rot-sertifikatet de benytter i MITM-proxyen på alle maskinene i bedriften.

  • Liker 2
Lenke til kommentar
sk0yern

sk0yern

Skrevet
Skrevet

En nettside eier kan også bekjempe dette ved bruk av  HPKP, dette låser websiden og forteller nettlesern at den kun skal vise siden dersom disse sertifikatene er til stede 

 

Nei.

Sider som benytter HPKP fungerer fint, så lenge sertfikatene har blitt utstedt av en lokal CA som klientene stoler på.

Lenke til kommentar
pthorsheim

pthorsheim

Skrevet
Skrevet

 

En nettside eier kan også bekjempe dette ved bruk av  HPKP, dette låser websiden og forteller nettlesern at den kun skal vise siden dersom disse sertifikatene er til stede 

 

Mjo, men:

 

«Chrome does not perform pin validation when the certificate chain chains up to a private trust anchor. A key result of this policy is that private trust anchors can be used to proxy (or MITM) connections, even to pinned sites. “Data loss prevention” appliances, firewalls, content filters, and malware can use this feature to defeat the protections of key pinning.»

http://www.chromium.org/Home/chromium-security/security-faq#TOC-How-does-key-pinning-interact-with-local-proxies-and-filters-

 

Det samme gjelder Firefox: https://bugzilla.mozilla.org/show_bug.cgi?id=1168603

 

Det vil si at HPKP ikke hjelper når IT-avdelingen har installert rot-sertifikatet de benytter i MITM-proxyen på alle maskinene i bedriften.

Nemlig. Og der er jeg redd for at bedrifter på sviktende grunnlag og mangelfull kompetanse gjør seg selv til root CA internt, og potensielt installerer en heftig bakdør på hver eneste maskin i nettet sitt. Krypto er for alle, men bare for noen få å implementere. :-)

  • Liker 2
Lenke til kommentar
-Night-

-Night-

Skrevet
Skrevet

 

 

En nettside eier kan også bekjempe dette ved bruk av  HPKP, dette låser websiden og forteller nettlesern at den kun skal vise siden dersom disse sertifikatene er til stede 

Mjo, men:

 

«Chrome does not perform pin validation when the certificate chain chains up to a private trust anchor. A key result of this policy is that private trust anchors can be used to proxy (or MITM) connections, even to pinned sites. “Data loss prevention” appliances, firewalls, content filters, and malware can use this feature to defeat the protections of key pinning.»

http://www.chromium.org/Home/chromium-security/security-faq#TOC-How-does-key-pinning-interact-with-local-proxies-and-filters-

 

Det samme gjelder Firefox: https://bugzilla.mozilla.org/show_bug.cgi?id=1168603

 

Det vil si at HPKP ikke hjelper når IT-avdelingen har installert rot-sertifikatet de benytter i MITM-proxyen på alle maskinene i bedriften.

Nemlig. Og der er jeg redd for at bedrifter på sviktende grunnlag og mangelfull kompetanse gjør seg selv til root CA internt, og potensielt installerer en heftig bakdør på hver eneste maskin i nettet sitt. Krypto er for alle, men bare for noen få å implementere. :-)

 

Helt riktig, jeg har vært innom bedrifter som har slike root CA; men de har whitelisting av store norske, slik som banker og andre tjenester som krever større tilitt en frks SSL til NRK.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...