Issn 2072-0297 Молодой учёный Международный научный журнал Выходит еженедельно №3 (137) / 2017 р е д а к ц и о н н а я к о л л е г и я : Главный редактор



Pdf көрінісі
бет60/129
Дата23.11.2022
өлшемі9,13 Mb.
#159594
1   ...   56   57   58   59   60   61   62   63   ...   129
Байланысты:
moluch 137 ch1


#3 (137)

January 2017
49
Computer Science
Во втором случае происходит незаметная переадре-
сация с помощью сайтового скрипта на протокол HTTPS 
без вмешательства пользователя. Данный способ явля-
ется наиболее эффективным как для клиента, так и для 
владельца сайта. В данном случае, если производится 
атака MiTM, то сайт не даст перейти на протокол HTTP. 
А позже уже выступают в защиту SSL сертификаты.
При посещении веб-сайта через HTTPS протокол 
браузер проверяет наличие и подлинность SSL серти-
фиката. Если все требования соблюдены, то разреша-
ется вход на сайт. В обратном случае браузер выдаст 
сообщение, что сайт не является надёжным и SSL сер-
тификат отсутствует, не является подлинным или даже 
просрочен.
Рис.
 
1.
 Случай, когда SSL сертификат отсутствует
Также существует проблема подмены сертификатов 
SSL руками злоумышленника. Для этого злоумышлен-
нику необходимо получить SSL сертификат от одного из 
лицензиатов. Но и в этом случае злоумышленника ждёт 
неудача, так как лицензиаты дорожат своей репутацией 
и правом на выдачу сертификатов. В следствии чего при 
подозрительной активности сертификат блокируется.
Таким образом, атака «человек посередине» или «Man 
in the middle» возможна с достаточным результатом 
только в том случае, если используется HTTP протокол 
для передачи информации. В связи с массовым пере-
ходом на HTTPS протокол в настоящее время уже бывает 
сложно найти сайт, который бы не имел SSL сертификат 
и соединение с ним не было бы защищено. Сайты, где 
производятся различная авторизация через логин и па-
роль или электронные платежи, обязаны иметь SSL сер-
тификат для защиты передаваемой информации. На се-
годняшний день невозможно найти веб-сайт такого типа 
на HTTP протоколе.
В связи с этим данную атаку нельзя считать акту-
альной. Сидя в кафе или кинотеатре, шанс того, что 
можно будет перехватить данные, имеющие ценность для 
злоумышленника (например, логины и пароли), близится 
к нулю за счёт того, что сейчас уже многие социальные 
сети перешли на защищённое соединение. Значит ли это 
то, что обычный пользователь может не волноваться за 
передаваемые данные в общественной сети Wi-Fi? Воз-
можно, но есть и другие видны атак, а фантазия злоумыш-
ленников безгранична. Никогда не стоит быть полностью 
уверенным в своей безопасности.
Литература:
1. ARP-Spoofing // Википедия — URL: https://ru.wikipedia.org/wiki/ARP-spoofing
2. Атака посредника // Википедия — URL: https://ru.wikipedia.org/wiki/Атака_посредника
3. SSL // Википедия — URL: https://ru.wikipedia.org/wiki/SSL
4. Принудительный разрыв HTTP сессий при MiTM // Википедия — URL: https://habrahabr.ru/post/151696/


Достарыңызбен бөлісу:
1   ...   56   57   58   59   60   61   62   63   ...   129




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет