SNI, web sitemin ziyaretçileri için bir gizlilik endişesi mi gösteriyor?

İlk olarak, kötü İngilizcem için üzgünüm. Hala öğreniyorum. İşte gidiyor:

IP adresi başına tek bir web sitesi barındırdığımda, "saf" SSL (SNI'sız) kullanabilirim ve kullanıcı bana almak istediği ana bilgisayar adını ve yolu söylemeden önce anahtar değişimi gerçekleşir. Anahtar değişiminden sonra, tüm veriler güvenli bir şekilde değiştirilebilir. Bununla birlikte, herhangi biri ağı kokluyorsa, gizli bilgi sızdırılmaz * (dipnota bakınız).

Öte yandan, IP adresi başına birden fazla web sitesi barındırıyorsam muhtemelen SNI kullanacağım ve bu nedenle web sitesi ziyaretçimin ona doğru sertifikayı vermeden önce hedef ana bilgisayar adını söylemesi gerekiyor. Bu durumda, ağını koklayan biri, eriştiği tüm web sitesi alanlarını izleyebilir.

Varsayımlarımda herhangi bir hata var mı? Değilse, kullanıcının şifreli DNS kullandığını varsayarak bu bir gizlilik endişesini temsil etmiyor mu?

Dipnot: Ayrıca bir sniffer'ın IP adresi üzerinde geriye doğru arama yapabileceğini ve hangi web sitelerinin ziyaret edildiğini öğrenebileceğimi biliyorum, ancak ağ kabloları üzerinden düz metin olarak seyahat eden ana makine adı, sansür yetkilileri için anahtar kelime tabanlı alan adı engellemesini kolaylaştırıyor gibi görünüyor.

— Pagliuca
kaynak

"Anahtar kelime tabanlı alan adı engelleme" ile ne demek istiyorsun? Bir alan adını bir anahtar kelimeyle nasıl eşleştirirdiniz?

— David Schwartz

Örnekler: belirli bir bölgedeki web siteleri (* .com.br); bir kuruluştan (* .google.com); *porno*; vb.

— pagliuca

Yanıtlar:

Analiziniz yanlış. SNI ile onsuz daha güvenlisiniz.

SNI olmadan, IP adresi ana bilgisayarı benzersiz bir şekilde tanımlar. Böylece IP adresini belirleyebilen herkes ana bilgisayarı belirleyebilir.

SNI ile IP adresi ana bilgisayarı benzersiz bir şekilde tanımlamaz. Birisi tam olarak ana bilgisayar belirlemek için bazı trafik durdurmak ve görmek zorunda kalacak. Bu sadece IP adresini almaktan daha zordur.

Yani SNI ile onsuzdan (biraz) daha güvenlisiniz.

Paket verilerinin müdahaleci bir analizine dayanarak engelleyecek olan herkes IP adresine göre de engelleyecektir. SNI içeren veya içermeyen IP adresine göre "kötü olanları" engellerler.

Ancak, sorunuzun cevabı "evet" tir. SNI bir gizlilik endişesini temsil eder. SNI ile trafiği kesebilen biri IP adresine ek olarak ana bilgisayar adını alır.

— David Schwartz
kaynak

Cevap için teşekkürler. Bu nedenle SNI, yalnızca saldırganın yalnızca anahtarlar değiştirildikten sonra koklamaya başlaması durumunda daha güvenli olurdu, doğru muyum?

— pagliuca

@pagliuca SSL, konuştuğunuz kişiyi gizlemek için tasarlanmamıştır, onlara söylediklerinizi gizlemek için tasarlanmıştır. SNI göndermekten kaçınarak bir web filtresini yenmeyeceksiniz; IP'den alana geniş kapsamlı veritabanları tutarlar. Yine de nokta noktası, SNI'yi destekleyen bir istemci tarayıcısı, sunucunuzun ihtiyacı olup olmadığına bakılmaksızın her zaman SNI gönderir.

— Shane Madden

@ShaneMadden İlginç. Bunu bilerek, şimdi SNI kullanmamak için hiçbir nedenim yok, çünkü kullanıcıların çoğunun zaten her HTTPS isteğinde uzak ana bilgisayar adını gösteren tarayıcılara sahip olması muhtemeldir.

— pagliuca

Bu cevap yanlış. Pasif olarak SNI'yı koklamak (ve ziyaretçinin hangi web sitesini talep ettiğinden emin olmak) çok daha kolaydır, bir kullanıcının neye göz attığını tahmin etmek için aktif olarak bir IP adresine gitmektir (joker karakterlerle birçok web sitesi olabilir, ve IP'ler de zamanla değişir, toplanan SNI verileri sürekli gizlilik imha edici şekilde doğrudur.).

— cnd

@cnd "Etkin olarak bir IP adresine gitmeniz" gerekmez. SNI'yı pasif olarak koklayabilirseniz, IP adresini pasif olarak koklayabilirsiniz. Ya izlediğiniz siteler listenizde ya da değil. Ve SNI olmadan, bir IP adresi bir siteyi benzersiz bir şekilde tanımlar. SNI ile değil.

— David Schwartz

Haklısın. SNI, ziyaretçileriniz için büyük bir gizlilik sorunudur - ziyaretçilerinizin ISS'lerine ve diğer pasif dinleme partilerine bağlandığı web sitelerini tam olarak ortaya koyar. Ama sonra, DNS de ... iyi ... kullanılan: google bunu düzeltiyor: -

https://thehackernews.com/2017/10/android-dns-over-tls.html

Bir IP adresini bilmek, aktif olarak dışarı çıkıp kendilerine bakmadıkça, ISP'ye bu web sitesinde hangi web sitesinin olduğunu söylemez, bu da müşteri paketlerini pasif olarak koklamalarından çok farklı bir şeydir.

— CND
kaynak