ugrás a tartalomhoz

Margitsziget - ingyen wifi vs https...

mind1 valami név · Júl. 17. (K), 17.46
Ha van még itt valami kóbor lélek, aki ért a hálózatok üzemeltetéséhez: mi oka lehet egy publikus wifit üzemeltető cégnek arra, hogy eltérítse a https kéréseket?
Történt, hogy a Margit-szigeten ülve netezni vágytam, rákapcsolódtam a Margitsziget nevű AP-ra. Egy darabig gond nélkül tudtam használni, de a disqus nem akart menni, self signed certificate miatt. Az indamail detto. Annyit megnéztem, hogy mindkét oldal tanúsítványa a "." domainre szól, ergo nem a valódi szerver válaszolt.
Itt eldobtam a kapcsolatot és letettem a szigeti böngészésről.
Emlékeim szerint a sima transzparens proxy nem igényli az ilyen MITM jellegű akciókat. De akkor miért lehet így?
Írtam ugyan a budapesti önkormányzatnak, hogy lehet, valaki visszaél a szolgáltatásukkal, de ezt kétlem. Ahogy azt is, hogy érdemi választ kapok tőlük valaha.
Hibás konfigurációt leszámítva tud valaki érdemi indokot erre?
 
1

Hát bocsi,

Pepita · Júl. 18. (Sze), 16.23
de rám sajnos csak a fele igaz:
Ha van még itt valami kóbor lélek
, de a második fele már nem:
aki ért a hálózatok üzemeltetéséhez


Szerintem leginkább Janoszen és / vagy Inf3rno lenne "barátja" a kérdésednek, ha erre kóborolnának.
5

Nem értek hálózatozáshoz én

inf3rno · Júl. 19. (Cs), 09.21
Nem értek hálózatozáshoz én sem annyira. Az mondjuk érdekes, mert akkor max az időjárást lehet megnézni meg a híreket, minden másra alkalmatlan az a wifi.
7

Normálisan azt se lehetne,

mind1 valami név · Júl. 19. (Cs), 10.24
Normálisan azt se lehetne, mert ugye manapság az a mondás, hogy minden https-en menjen. (idokep.hu pl. https-t használ)
De majd megnézem, ha legközelebb arra járok, hogy nem én rontottam-e el valamit: pl. lejárt a 15 perc, mire ránéztem volna az e-mailjeimre és így dobott le magáról a rendszer...
9

Hát ha engem kérdezel jobban

inf3rno · Júl. 19. (Cs), 11.59
Hát ha engem kérdezel jobban jársz, ha publikus helyen csak vpn-en keresztül netezel. Otthon fellősz egy VPN szervert, arra rácsatlakozol, aztán mehet a menet.
10

Már gondoltam rá, csak

mind1 valami név · Júl. 19. (Cs), 12.16
Már gondoltam rá, csak általában nem használok ilyen szarokat, csak most volt pár alkalom, hogy a MÁV, meg pl. a margitszigeti publikus wifit próbálgattam volna...
2

mi oka lehet egy publikus

janoszen · Júl. 18. (Sze), 18.33
mi oka lehet egy publikus wifit üzemeltető cégnek arra, hogy eltérítse a https kéréseket?


Szurni akarja az oldalak tartalmat is, nem csak a cimet, vagy bele akar injektalni valami szemetet a kiszolgalt oldalra.

Emlékeim szerint a sima transzparens proxy nem igényli az ilyen MITM jellegű akciókat. De akkor miért lehet így?


De. A transzparens proxy csak HTTP-vel mukodik, hiszen akkor a Host fejlecbol kiolvassa hogy hova kene kapcsolodni. HTTPS-en az SSL HELO-bol ki lehetne olvasni ugyan a jelzett hostnevet (SNI), es ez az esetek tobbsegeben mukodne is, de a titkositott csatornat akkor sem tudna kibontani es benne nem tudna pl szurest vegezni.

Hibás konfigurációt leszámítva tud valaki érdemi indokot erre?


Noha az uzemelteto johiszemuen jarhat el, a titkositas hianya 2018-ban nem elfogadhato.
3

Úgy látszik meg kell néznem,

mind1 valami név · Júl. 18. (Sze), 19.25
Úgy látszik meg kell néznem, mi a különbség a transzparens és a hagyományos proxy közt. Nekem manuálisan beállított proxy-m van (tinyproxy és squid), azokon átmegy a https is gond és MITM nélkül. Domain alapú szűrés mintha működne (legalábbis a facebook elég jól le van tiltva :) ).
Köszi.
4

Manualis

janoszen · Júl. 18. (Sze), 23.36
Úgy látszik meg kell néznem, mi a különbség a transzparens és a hagyományos proxy közt.


A transzparens proxynal a kliens nem beszel proxy-specifikus protokolt es nem szamit arra hogy valaki kozbe ekelodik. Manualis proxynal a kliens a titkositott oldalakhoz egy HTTP CONNECT parancsot kuld, amire a proxy nyit egy TCP csatornat es kozvetlenul, szures nelkul tovabbitja a titkositott adatokat.
6

Jogos. Ennyire leépül az

mind1 valami név · Júl. 19. (Cs), 10.22
Jogos. Ennyire leépül az ember tíz év alatt. :(
8

Azt ugye jól sejtem, hogy a

mind1 valami név · Júl. 19. (Cs), 10.59
Azt ugye jól sejtem, hogy a wpad használatát nem lehet kívülről kikényszeríteni? Úgy értem, ha a kliens nem akar proxy-t használni, hiába akár a dhcp proxy küldés, akár a dns-ben a wpad host beállítása, nem fog próbálkozni?
(mert én úgy emlékeztem, hogy ezt legalább meg lehet csinálni, de olvasgatva úgy fest, nem megy, így meg marad a transzparens proxy és ... és a nagy kérdőjelek, hogy a https-t hogyan lehetne normálisan megoldani...
12

Nem

janoszen · Júl. 20. (P), 21.53
Azt ugye jól sejtem, hogy a wpad használatát nem lehet kívülről kikényszeríteni?


Igen. Ez az egesz proxyzast el kene felejteni.
11

topic törölhető :)

mind1 valami név · Júl. 20. (P), 17.14
Ma újra kimentem, most működött rendesen minden.
Szóval vagy javították vagy valami hibás volt a múltkor vagy témyleg egy hamisított AP-ba futottam... :)