Quindi ho notato qualcosa che mi ha davvero infastidito e sono rimasto impazzito su come sia possibile. Ma non volevo venire qui solo come "Ehi, com'è possibile?" quindi volevo fare ricerche proprer e alla fine ho trovato la risposta (quasi-è per questo che sono qui). Anch'io sono qui, perché non sono l'unico, chi si chiede come sia possibile, quindi voglio segnalare questo problema un po '.
Quindi ero a casa del mio amico e volevo solo dimostrargli rapidamente l'attacco MitM tramite l'app Android ZAnti. È un'app davvero potente e volevo mostrargli ciò che un aggressore poteva vedere quando facevo il MItM (ARP). Quindi gli mostravo molte cose interessanti e gli dissi che, se la pagina utilizza HTTPS, non vedo nulla, ma è comunque abbastanza pericoloso. Beh, voleva vedere così ha fatto il login sul suo facebook e la sua password è spuntata sul mio telefono ... Ed è stato in questo momento che lo sapevo, qualcosa non è giusto qui.
E 'assolutamente fuori di testa, ma mi ha fatto impazzire. In questo momento, abbiamo iniziato a formulare teorie su come quegli sviluppatori cinesi di Maxthon hanno hackerato NSA / FBI, rubato le loro chiavi SSL / TLS private di Facebook e ora li stanno usando e rubano silenziosamente gli account Facebook delle persone. Beh, ovviamente non è vero.
Ad ogni modo, la prima cosa che mi è venuta in mente è stato questo sito e come ho bisogno di postare una domanda su questo al più presto. Ma volevo darti dati sufficienti per lavorare, in modo da poter capire collettivamente qualcosa. Così comincerò a postare la "" "ricerca" "" dato che vale la pena di provarlo.
Per prima cosa avevo bisogno di replicare l'attacco. Ho acceso il mio browser Opera e ho provato la stessa cosa. Niente. Assolutamente niente. Non ho nemmeno visto che mi sono collegato a Facebook (perché ZAnti filtra le richieste https in quanto inutili). Così ho provato hrej.cz (è solo una pagina web locale che so essere http e la utilizzo quando voglio assicurarmi che il mio MitM funzioni) ed è stato lì. Quindi sta funzionando.
QuindièstatodavverograzieaMaxthon,quindisonoandatoascaricarloeriprovare.Ehovisto.Eralì.L'apputilizzaSSLstripperimpostazionepredefinita,quindihopensatochepotesseesserlo,maFacebookutilizzaHSTS,quindinonavrebbealcunsenso.MamentrecontrollavolabarradegliURL,lapartedelmiocervellodisicurezzamorìperunsecondo.StavonavigandosuFacebookviaHTTP.
Midispiaceperlamialocalizzazione.Ètuttoinceco,maproveròatradurreilpiùimportante
Labarraverdeindicacheilsitoè"certificato da CEAIA".
Ma Facebook usa HSTS! Bene, come è successo, Facebook lo fa davvero, ma Maxthon non lo supporta. Ed è qui che ho risposto alla mia domanda, ma ne ho sollevata un'altra. Perché Facebook processa ancora le richieste http? Voglio dire, Facebook potrebbe bloccarlo e nemmeno permetterlo. Dov'è il trucco?
A proposito, Maxthon era tra gli altri browser consigliati per Win10 quando il mio amico l'ha installato per la prima volta. Ti fa paura che sia così insicuro.