Journal L'histoire d'un gentil admin et d'un monstrueux https.

Posté par  .
Étiquettes : aucune
0
13
nov.
2003
Acteurs:
Un site: https://foo.fr/bar.html.(...)
Un user sous Mozilla.
Un admin.

Tragedie:
Modifier la page provenant de l'https.

Decors:
Un Linux.

Scenario:
Un beau jour, un petit Linuxien (moi) doit develloper
un petite Knoppix-like proposant l'acces a UN et UN SEUL site
via un joli mozilla. Sur ce site, se trouve un page. Cette page contient
une donnee que le gentil admin veut enlever de la page.
Donc, le gentil admin pense a un petit proxy (privoxy) qui permet
de modifier le contenu des pages passant par celui si. Genial ce dit
le gentil admin... Mais voila... un tragedie boulverse tous ses plans:
le site est sur un https ! Donc les donnees transitent cryptees. Donc
bien evidement, le petit proxy ne peut rien faire. Le gentil mais desespere
admin trouve quelques solutions sur internet, mais n'est pas sur de lui.
Squid peut-il intercepter les data https grace a une attaque Man-in-the-Middle et modifier la page ?
Apache (mod_proxy) pourrait-il rediriger l'URL http://foo.fr(...) en https://foo.fr(...)
et lui seul faire la connection SSL avec le https et ainsi modifier la page
entre l'user en le Apache (mod_proxy) ?
Existerait-il une alternative libre a sslstripper
(Un proxy ssl: http://www.vroyer.org/sslstripper/(...)) ?

Il ne faudrait pas que la tragedie tourne au drame, donc
le gentil admin fait un appel desepere a tous ces loyaux amis
de sa communaute ! Aidez-le.

Merci.
  • # Re: L'histoire d'un gentil admin et d'un monstrueux https.

    Posté par  . Évalué à 0.

    et le gentil admin, ça lui dit rien iptable ?
  • # Re: L'histoire d'un gentil admin et d'un monstrueux https.

    Posté par  (site web personnel) . Évalué à 1.

    Et pourquoi pas tout simplement un plugin mozilla qui ferait les modifications sur les pages une fois déchiffrées ? Cette solution me parait plus "light" que sslstripper.
  • # Re: L'histoire d'un gentil admin et d'un monstrueux https.

    Posté par  . Évalué à 1.

    stunnel -c -d 80 -r foo.fr.fr:443

    .... et la vie est belle.

    Merci qd meme :)
  • # Re: L'histoire d'un gentil admin et d'un monstrueux https.

    Posté par  (site web personnel) . Évalué à 1.

    Je peux me tromper mais il me semble que le système SSL est bien foutu.

    1-Etant au milieu tu peux converser en SSL avec le client, comprendre ce qu'il veut, forwarder en SSL au serveur. Jusque là pas de problèmes et un proxy HTTPS qui lit le contenu marche.

    client -> proxy , proxy -> serveur

    2-Par contre là où ça se corse c'est à cause des signatures. Si il s'agit d'un certificat auto-signé, que le client ne l'a jamais rencontré : pas de différence, il aura un certificat autosigné par ton proxy, il ne verra pas la différence.

    client -> (proxy avec faux certif ssl), proxy -> serveur (vrai certif ssl)

    3- Si le certificat est signé par Verisign par exemple (comme c'est le cas pour n'importe quel gros site sérieux) alors ton proxy aura bien du mal à faire passer son faux certificat SSL pour un vrai. Le client s'en appercevra car au lieu de naviguer de manière transparente il aura probablement une popup de son navigateur lui disant que le certif n'est pas signé .. louche pour un site connu.
    Si l'admin est rusé il devra passer sur les postes clients et dévinir le certificat de son proxy comme un certificat "de confiance" pouvant certifier les autres (pour éviter la popup louche).

    4- Si par contre le client est déjà passé sur le site, quel que soit le cas, le navigateur remarquera le changement de certif et sortira une popup louche. L'utilisateur averti comprendra vite qu'il y a un truc anormal (et ira gueuler sur l'admin au nom de la vie privé, blabla ...)



    Ce que fait http://www.vroyer.org/sslstripper/(...) c'est qu'ils ont visiblement un certif signé par verisign qui les autorise à signer d'autres sous certif. Ces derniers seront reconnus comme "de confiance" par le navigateur sans toucher à la conf, du coup le (3) passe tout seul. Tu n'as probablement pas cette chance (je doute que ce type de pouvoir soit commun sinon ca foutrait toute la chaine de confiance et le buziness de verisign par terre).
  • # Re: L'histoire d'un gentil admin et d'un monstrueux https.

    Posté par  . Évalué à 1.

    En fait, ce que tu veux faire, c'est casser la sécurité du serveur https ? Afficher une page modifiée par rapport à ce qu'indique le serveur https tout en laissant croire à l'utilisateur qu'il affiche une page https ?

    Si les gens n'ont pas besoin d'aller explicitement sur le site https, tu peux faire tourner un serveur local, sécurité ou non, qui va chercher les informations distantes et qui modifie la page avant de la servir au client local.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.