Dimostrazione di sicurezza Internet di TLS per i laici?

Naviga le tue risposte
2

Sto provando a pianificare una dimostrazione per i miei giovani studenti su SSL / TLS e su come funziona HTTPS. C'è qualche strumento in giro per aiutare il mio scopo?

Gli studenti saranno adulti che non sanno nulla di Internet Security. Quindi non sto cercando un approccio accademico profondo all'argomento, ma un tocco generale di esso che copre aspetti come, cosa è, come funziona e perché è importante. Invece di parlare e presentarlo a loro, vorrei sapere se potrei usare anche uno strumento o qualcosa per dimostrare praticamente il suo uso.

    
posta Rodotheos 07.11.2018 - 07:23
fonte

4 risposte

7

Fai quello che è un "trucco magico". Configura:

  • un server Web con una pagina di accesso di base e una funzione di caricamento file
  • un computer client con un browser web che uno studente può utilizzare
  • una macchina per lo sniffing

Chiedi all'utente di accedere con qualsiasi nome utente e password falsa, creare un file Word (o simile) con un messaggio e caricarlo.

Utilizzare lo sniffing per scoprire la password e salvare il file Word e leggere il messaggio. Tutto questo è scriptable sulla macchina sniffing.

Quindi spieghi il trucco magico, mostra loro la stringa della password nell'acquisizione, quindi attiva TLS e mostra loro il testo crittografato.

    
risposta data 07.11.2018 - 10:03
fonte
2

Ho usato il sistema di posta elettronica per questo scopo.

Se c'è un server e un sistema di posta elettronica che puoi utilizzare sia con la porta 25 sia con la porta TLS, allora tutto ciò di cui hai bisogno è uno strumento di acquisizione del traffico di rete come Wireshark.

Quando un utente utilizza il client e-mail per inviare / ricevere e-mail, dovrà prima accedere al server. Senza TLS, sarai in grado di vedere la sua password in testo normale. Con esso, non lo farai. Vedrai contenuti crittografati.

    
risposta data 07.11.2018 - 14:29
fonte
-1

Userò fondamentalmente due strumenti per questo, il primo sarà uno script python molto semplice con le richieste del modulo che fanno una richiesta HTTP di base a un server di conoscenza e catturano il traffico. Gli studenti vedranno cosa va oltre il filo, dopodiché cambierò la richiesta HTTP su HTTPS e catturerò il traffico in modo che possano vedere le differenze e tu possa introdurre TLS e così via.

    
risposta data 07.11.2018 - 08:56
fonte
-1

Ovviamente ci sono tonnellate e tonnellate di risorse là fuori per questo genere di cose, e molte di loro sono probabilmente ciò che stai cercando. A seconda dei tipi di contenuti che ti servono, ti consiglio di consultare 2 cose in particolare:

Come sottolineato da @zaph, il fumetto HTTPS ottiene informazioni errate su come i browser presentano l'esistenza di una connessione HTTPS. Vedi il loro commento per i dettagli. L'intero fumetto non è inutile ovviamente, ma sicuramente sarei sicuro di correggerlo ad un certo punto della presentazione.

    
risposta data 07.11.2018 - 15:47
fonte

Leggi altre domande sui tag

Un dongle di autenticazione a due fattori (OTP) che è sempre inserito in MacBook aggiunge un vantaggio in termini di sicurezza? Come dovrei verificare che un backup non sia stato manomesso?