Ci sono cose strane con google.com su HTTPS?

Question

Ci sono cose strane con google.com su HTTPS?

#1 da (11 voti)
#2 da (2 voti)

1

Quindi navigo sempre sul web attraverso Privoxy usando almeno queste regole:

vi /etc/privoxy/user.action

{ +redirect{s@http://@https://@} }
.chrome.google.com
.code.google.com
.docs.google.com
.encrypted.google.com
.googlecode.com
.googlelabs.com
.mail.google.com

# google calendar
{ +redirect{s@http://www.google.com/calendar/@https://www.google.com/calendar/@} }
.google.com

# google notebook
{ +redirect{s@http://www.google.com/notebook/@https://www.google.com/notebook/@} }
.google.com

Funziona alla grande, in breve garantisce che se visito e.x .: una pagina di Google Notebook, utilizzi sempre la crittografia. Pertanto, se dimentico di digitare "HTTPS" e digito "HTTP" su un URL di un taccuino Google, mi reindirizza alla versione HTTPS di Google Blocco Note.

Ma ... una cosa strana è accaduta poche settimane fa diverse volte: quando ho usato il Privoxy non riuscivo a raggiungere Gmail.com, Google Notebook, ecc. Se avessi configurato Firefox per non usare Privoxy, avrei potuto raggiungere Pagine di Google Blocco Note, o Gmail, ecc.

Il messaggio di errore quando ho usato Privoxy era [dal browser web]: "connessione scaduta". [Ho provato a riavviare Privoxy, riavviare la macchina e l'ho provato su altre macchine con SO diverso, in luoghi diversi / ISP]

quindi Q: Potrebbe essere che sono stato attaccato o che ci sono stati problemi con Google Notebook, Gmail over CLEANLY * HTTPS?

* CLEANLY significa che CLEANLY over HTTPS [reindirizzare tutte le richieste link a

.

Uso Privoxy perché potrebbe difendermi da attacchi come sslsniff [FIXME] - > in modo che le connessioni HTTPS possano degradarsi su HTTP.

google tls

posta LanceBaynes 30.10.2011 - 12:25

fonte

2 risposte

2

Could that be that I was attacked or there were any problems with Google Notebook, Gmail over CLEANLY* HTTPS?

Non penso che tu sia stato attaccato usando approcci simili a "sslsniff" . Se, molto probabilmente non l'aveste notato.

Il "timeout della connessione" fornisce un'indicazione abbastanza buona che c'era una rete lenta o un problema di rete generale.

Non sono a conoscenza dei problemi dei servizi Google che hai notato, ma devi ricordare che non ti colleghi semplicemente a Google stesso ... la tua connessione salta diverse connessioni di rete. Ciò significa che solo uno dei server lungo il percorso sarà fuori servizio per un breve periodo di tempo e noterai messaggi di "timeout della connessione".

Inoltre, un tale messaggio può puntare agli attacchi, ma il più delle volte non lo fa .

I'm using Privoxy because it could defend me from sslsniff like attacks [FIXME] -> so that HTTPS connections could get degraded to HTTP.

Hai dimenticato il fatto che "sslsniff" usa attacchi MITM-alike (Man In The Middle), che funzionano in modo tale che nessuno degli endpoint della connessione noti che la connessione è degradata.

Dato che Privocy (essendo nient'altro che un proxy di filtraggio) gira sul tuo computer locale, otterrà solo le stesse informazioni che generalmente la tua macchina ... Privoxy non ha modo di rilevare se la connessione è stata manomessa nella maggior parte dei casi di "sslsniff attacchi, dal momento che tu, essendo uno dei due endpoint, ricevi informazioni che rendono il tuo computer la connessione è ancora una connessione HTTPS sicura.

Cioè - ciò che rende "sslsniff" un set di strumenti così spesso discusso. Mostra che ci sono problemi di sicurezza che in realtà HTTPS non dovrebbe avere.

la mia opinione

Tutto sommato, penso che tu abbia creato un bel set di regole per Privoxy che ti aiutano a navigare come preferisci. Ma penso anche che ti stai aspettando un po 'di sicurezza da un proxy di filtraggio non in cache che stai utilizzando sul tuo computer locale.

Privoxy non è mai stato creato per essere uno strumento di sicurezza per proteggere e proteggere le connessioni HTTPS. Privoxy era ed è ancora un proxy di filtraggio che è stato inizialmente creato per roba filtrata come la pubblicità ... non qualcosa che garantirà la sicurezza della tua connessione https.

Come promemoria, ecco la descrizione dal sito web privoxy stesso:

Privoxy is a non-caching web proxy with advanced filtering capabilities for enhancing privacy, modifying web page data and HTTP headers, controlling access, and removing ads and other obnoxious Internet junk.

I miei 2 centesimi: non puoi aspettarti che un tale strumento faccia un lavoro per il quale non è mai stato creato. Ricorda: stiamo parlando di sicurezza della rete qui, non di banner pubblicitari e collegamenti di uccisione a siti Web di malware e phishing!

Aggiorna

In effetti, quando si parla di "sslsniff" o anche di "sslstrip" (che non causerà errori ssl quando è in effetti), è noto che anche strumenti come "HTTPS Everywhere" non riesce.

Ho visto che qualcuno ha risposto che "HTTPS Everywhere" sarebbe stata la scelta perfetta. E sì, è davvero una "scelta migliore di Privoxy" . Nota che anche "HTTPS Everywhere" non ti proteggerà dal tipo ogni attacco HTTPS.

Per i dettagli su "sslsniff" , "sslstrip" e sulle limitazioni "HTTPS Everywhere" correlate, potresti voler controllare HTTPS Everywhere mi difende dagli attacchi sslsniff-like?

Ma "HTTPS Everywhere" è sicuramente una scelta migliore rispetto a fare affidamento su Privoxy.

risposta data 04.01.2012 - 22:20

fonte

Leggi altre domande sui tag google tls

Da quando nessun programma può ottenere i diritti di amministratore MS-DOS e MS-Windows? E 'possibile che qualcuno veda sotto la parte "oscurata" di questa immagine (vedi sotto)?

score 11 · Accepted Answer

Non penso che questo sia il forum appropriato per chiedere aiuto nel debug delle tue regole privoxy; chiedere le mailing list privoxy potrebbe farti ottenere risposte migliori. Detto questo, ho un consiglio per te:

La mia raccomandazione: credo che ci sia un modo migliore per raggiungere i tuoi obiettivi . Invece di provare a scrivere le tue regole Privoxy personalizzate, ti consiglio di utilizzare HTTPS Everywhere .

Con lo sfondo, HTTPS Everywhere è un'estensione del browser per Firefox. Ogni volta che visiti un sito Web che supporta HTTPS (e con cui HTTPS Everywhere ha familiarità), l'estensione ti reindirizzerà per utilizzare la versione HTTPS del sito web. Altri hanno creato un ampio database che HTTPS Everywhere utilizza per ottenere protezione HTTPS laddove possibile, senza interrompere la tua esperienza di navigazione sul Web.

Perché utilizzare HTTPS ovunque? Consentitemi di giustificare la mia raccomandazione di HTTPS ovunque:

Come promemoria, all'inizio di quest'anno hai chiesto di utilizzare privoxy per questi scopi e < a href="https://security.stackexchange.com/questions/2629/sslstrip-vs-privoxy-redirect-rule-on-clients/2638#2638"> Ho avvertito che l'approccio privoxy potrebbe essere fragile e sarebbe meglio usare HTTPS ovunque, se possibile . La ragione è che HTTPS Everywhere è ben collaudato e progettato proprio per questo scopo e incorpora una whitelist che comprende quando è sicuro eseguire la conversione HTTP- > HTTPS e riflette le idiosincrasie di vari siti. Se vuoi scrivere le tue regole Privoxy, dovrai duplicare tutta la ricerca da solo, e non dovresti essere sorpreso se le cose si rompono spesso per te.
Se ciò non ti convince, ti ricorderò anche che all'inizio di quest'anno hai chiesto perché il tuo approccio privoxy ha rotto il download di componenti aggiuntivi di Firefox , e le persone qui ti ha dato una bella spiegazione del perché le tue regole privoxy non erano giuste e consigliato invece di utilizzare HTTPS ovunque . Se continui ad utilizzare le regole di Privoxy, penso che dovresti essere pronto a far sì che i siti web possano occasionalmente rompersi per motivi misteriosi e complicati di debug.