Il certificato CA può essere falsificato a livello di browser?

3

Un certificato può essere falsificato a livello di browser? Significato Faccio clic sull'immagine LOCK nella mia barra degli indirizzi e mostra un certificato valido da VeriSign ma in qualche modo l'autore dell'attacco ha falsificato tali informazioni. Non sono sicuro di come potrebbero farlo ed è quello che sto chiedendo in particolare. Potrebbero usare ECMAScript? Potrebbero scrivere un'estensione del browser o un plugin in C che potrebbe in qualche modo aggiornare tali informazioni?

    
posta JohnOsborne 06.12.2016 - 19:21
fonte

2 risposte

1

Bene, se modifica il browser, hai sostanzialmente modificato il sistema operativo dell'utente. In tal caso, puoi anche installare direttamente un keylogger o un programma di acquisizione password.

Naturalmente la funzione del simbolo di blocco nei browser non modificati è quella di dimostrare la sicurezza crittografica di un sito, quindi ovviamente non è possibile interagire con esso da un sito Web se non fornire un certificato valido che corrisponde a una CA trust del browser. Ovvero, a parte bug e backdoor, ma francamente, non credo che troverai un buco di sicurezza palese nei browser moderni che ti permetterebbe di simulare quel simbolo.

    
risposta data 06.12.2016 - 23:30
fonte
3

Tecnicamente - sì, potevano. Tuttavia, ci sono alcuni pensieri:

1) il codice della pagina web non può interagire con la barra degli indirizzi del browser.

2) un utente malintenzionato potrebbe scrivere un plug-in / estensione se il browser web fornisce interfacce per tali interazioni.

2.1) un utente malintenzionato può spoofare i moduli binari del browser per modificare il comportamento del browser. Tuttavia, ciò richiederà la conoscenza del codice sorgente e la capacità di sovrascrivere i binari.

In realtà è molto e molto improbabile. Questo vettore di attacco presuppone che l'utente malintenzionato abbia già avuto accesso al tuo computer. In questo caso, non ha bisogno di fare manipolazioni così complesse, è più facile inserire il certificato root canaglia nel trust store e usarlo per falsificare gli utenti.

    
risposta data 06.12.2016 - 20:10
fonte