SSLを無効にする方法
私はこれを見た video で、男はSSLを打ち負かす方法について話します。しかし、ビデオは4歳です。これらの攻撃が今でも関連性があるのか、またはこれらに対処するためにいくつかの更新が行われたのかを知りたいと思っていました。
ビデオで彼が話した2つの異なる攻撃(またはツール)は
SSL-Strip:証明書チェーンの真ん中の人or証明書チェーンのない場合もあります。プレフィックスがnullの証明書を利用することで機能します。SSL-Sniff:Webページのhttpからhttpsバージョンへの移行/リダイレクトを監視します。
SSLストリップ攻撃は今でも関係があると思います。私はsslプロトコルの初心者なので、間違った理解があれば許してください。同じ上に良い読み物があれば幸いです。
- sslstrip:これはダウングレード攻撃です。つまり、ブラウザはHTTPSではなく安全でないHTTPを使用することを強制されます。それはまだ可能ですが、少なくともサポートされているブラウザでは、サーバーが [〜#〜] hsts [〜#〜] を使用して軽減することができます。現在のほとんどのブラウザでサポートされています。詳しくは caniuse.com をご覧ください。
- sslsniff:これは中間者攻撃です。ブラウザーはこれをすでに4年前に検出しましたが、現在はより厳密な警告があり、HSTSと組み合わせると、ブラウザーはこの警告のバイパスを許可しなくなります。
同じ上に良い読み物があれば幸いです。
軽減技術とその制限の詳細については、 [〜#〜] hsts [〜#〜] 、 [〜#〜] hpkp [〜#〜] とその方法を参照してください。これらの手法 実際の攻撃の検出に役立ちます 。