2009年7月25日 星期六

為什麼可以看的到HTTPS流量?

由於我們代理IronPort設備,客戶有這個需求,最近去了解~

在k手冊之前,我一直很懷疑,真的有東西可以看到所有Https的流量嗎?
中間不都是加密?是如何破解每一個加密連線,而進行內容過濾與判斷??太神奇了啦!!

看完手冊後我才發覺,原理簡單的讓人流口水~
它跟本沒有去進行所謂"解密"的動作,只是當過"中間人",啥咪是中間人??

比如說兩個人在講電話,這兩個人講話中間的連線經過處理,會將聲音進行唐老鴉聲音的轉話,
所以如果你從中間的連線去聽的話,除非你是唐老鴉,否則聽不懂鴉話@@

而IronPort-S的原理就是,他不是去學習鴉話,而是當個中間人,流程如下:
A在打電話給B之前,會先打電話給我,我再將A的話轉給B,B要回話給A之前會先跟我說,
我再轉給A,也就是說我是個"傳話者",架構如下:
A---(我)---B

這就是為什麼IronPort-S不需要懂唐老鴉的語言…嗯~是不需要懂得每一個連線的解密原理。

這個解密原理可以運用在目前市面上所有可以解HTTPS的設備上,而目前這些設備都同樣有一個限制!
那就是使會者在連線到目的URL之前會看到一個憑證錯誤的畫面,使用者必需點選"繼續流覽"
才可看原本的網頁。

原理就是HTTPS在進行加密連線之前會先發一個憑證,來告訴你"沒錯!你連進來的就是我的網站,這是我的證明憑證"。
在一個A像B網站流灠時,(我們當個中間人),會假裝自已是A向B網站要馮證,然後再模訪B網站的憑證發給A,所以A所流覽的網站是"我",而不是B網站,這時就會出現"憑證錯誤",原因是A使用者要看B網站的馮證,但拿到的憑證卻是我模仿後發給A的,所以這證明~~~憑證真的很屌!!

要解決這個問題有一個辦法,那就是把目的網站的馮證匯入ironPort-S,比如你知道環境內的使用者就是只會看這1000個網站,那就是花時間去收集這一千個網站的馮證,然後匯進IronPort-S,那使用者看到的馮證就不再只是我們仿造後發的,而是真實該網站的憑證~~

只是~~收集這麼多網站的馮證應該不是我們的工作,而是原廠!!
所以啦!可以預見,未來HTTPS廠商的勝敗就在於誰能收集最多合法網站的馮證,且定期更新!!

2009年7月17日 星期五

讓小紅傘不再跑出廣告

由於沒錢買防毒,應該說…不覺得有必要花錢買防毒,於是就持續用還不錯用的免費防毒。

每次在更新時它都會跑出廣告畫面,這個功能要關閉要在付費版才有…但是~~

做資安怎麼就這麼妥協??

還有有同事(信凱)的協助,原來只要移掉一個.exe檔就可以了,路徑如下:

C(安裝槽):\Program files\Avira\AntiVir Desktop\avnotify.exe