Using free public WiFi - real risk vs BullS..t

[Vovchik]

Какие ссылки? Ты думешь это легально?
Я тебе говорю, как бы я делал.

А я тебе говорю, что это не сработает, убеди меня что я не прав.

Еще как легально — если дисклеймер отобрать, типа заделаться этическим хакером. Более того - продемонстрируй атаку, опубликуй и бабло повалит рекой и будет тебе счастья по самые помидоры . Ставлю вопрос ребром — я заваливаюсь к Стасику в офис с айофоном, айпадом, макбуком и виндами. Спорнем что ты не сможешь прочитать мой ССЛ траффик? Только если я не проигнорирую предупреждения от браузера. Скорее всего, я не смогу подключиться к вашему вайфаю без импортирования сертификата и прочих танцев с бубном. Спорнем на пазырь Хеннесси ХО?

Ты не сможешь подключиться потому, что у нас 802.1х, а если я тебе сделаю аккаунт - меня выгонят с работы.
Впрочем, ты даже в офис завалиться не сможешь.
Но мы ведь начинали с паблик ВайФая в кафешке, что не совсем то же самое, так?

Вот мы с Мармотом как Станиславский - не верим что ты сможешь читать ССЛ траффик в кафешке. Если только юзер не лоханеться и не ипортирует сертификат. В противном случае - опубликуй, озолотишься. Похожий домен - с1bc.сом вместо cibc.com тоже вызовит у браузера аллегрическую реакцию. Вопрос практический - как поднять левый хоть спот и расшифровать ССЛ траафик. Я знаю только один практический метод - BGP hack. Но практически это надо хакнуть тырнет провайдера, просто с левым хот спотом не получится.

[Stanislav]

Но мы ведь начинали с паблик ВайФая в кафешке, что не совсем то же самое, так?

Неумение публично признавать свои ошибки, один из самых больших грехов, в моем списки таковых...

На моей СА это работает, весь вопрос в том, чтобы выпустить Sub-CA от паблика или использовать чью-то.
Я тебе сказал - буду имплементировать - попробую - тогда напишу.

Ты сам подумай, кто тебе даст такой CA в руки, как только хоть один такой серификат обнаружат, компашка которая держит для него root сразу может закрываться...
Обнаружат его очень быстро, теже Гуглы за этим следят очень строго.

Я попробую Лет'с Энкрипт - та еще шарашка.

[Marmot]

Я попробую Лет'с Энкрипт - та еще шарашка.

Что значит попробуешь? Попросишь их сделать тебе сертификат для google.com?
Или разрешить тебе быть их sub-CA?

PS В любом случае, учи матчасть и учись признавать свои ошибки... хотя для последнего наверное уже поздно...

[Stanislav]

Вот мы с Мармотом как Станиславский - не верим что ты сможешь читать ССЛ траффик в кафешке. Если только юзер не лоханеться и не ипортирует сертификат. В противном случае - опубликуй, озолотишься. Похожий домен - с1bc.сом вместо cibc.com тоже вызовит у браузера аллегрическую реакцию. Вопрос практический - как поднять левый хоть спот и расшифровать ССЛ траафик. Я знаю только один практический метод - BGP hack. Но практически это надо хакнуть тырнет провайдера, просто с левым хот спотом не получится.

Точнее - траффик Вовчика с Мармотом в сраной кафешке прочитать не удастся. А стандартный юзер лоханется - и импортирует сертификат и с доменом c1bc.com согласится. Если не каждый, то каждый второй или третий - но ведь и этого достаточно?
А Вовчик с Мармотом подойдут к девочке, которая рис или макароны в тарелки накладывает и скажут: что-то у вас с ВайФаем не то, а девочка скажет: ой, я не в курсах...

Ну вот мужик опубликовал хак SSH недавно - Мармот сказал, весь мир на ушах стоял, потому что у всех SSH в Интернет торчит - и что, озолотился?

[Marmot]

Точнее - траффик Вовчика с Мармотом в сраной кафешке прочитать не удастся. А стандартный юзер лоханется - и импортирует сертификат и с доменом c1bc.com согласится.

А кто тебе выдаст такой сертификат?
И что с ними сделают, когда это все всплывет?
Хмм, или ты говоришь про самопальный СА?
Чота я сомневаюсь что стандартный юзер сумеет импортировать CA сертификат

[Stanislav]

Точнее - траффик Вовчика с Мармотом в сраной кафешке прочитать не удастся. А стандартный юзер лоханется - и импортирует сертификат и с доменом c1bc.com согласится.

А кто тебе выдаст такой сертификат?
И что с ними сделают, когда это все всплывет?

Вовчик имел в виду - лоханется и импортирует самоподписаный серт.

[Marmot]

Точнее - траффик Вовчика с Мармотом в сраной кафешке прочитать не удастся. А стандартный юзер лоханется - и импортирует сертификат и с доменом c1bc.com согласится.

А кто тебе выдаст такой сертификат?
И что с ними сделают, когда это все всплывет?

Вовчик имел в виду - лоханется и импортирует самоподписаный серт.

Блин, да не сможет он, там столько телодвижений делать надо: https://docs.vmware.com/en/VMware-Adapt ... 8B038.html

[Stanislav]

Я попробую Лет'с Энкрипт - та еще шарашка.

Что значит попробуешь? Попросишь их сделать тебе сертификат для google.com?
Или разрешить тебе быть их sub-CA?

PS В любом случае, учи матчасть и учись признавать свои ошибки... хотя для последнего наверное уже поздно...

Ну все как всегда - я говорю, что в моей сети работает, пишу дисклеймер, что паблик ВайФаи я не хакал, но попробовал бы вот так.
И советский форум мне стандартно объясняет, что я мудак. Ну, ОК.

[Marmot]

И советский форум мне стандартно объясняет, что я мудак. Ну, ОК.

А ты с этим по прежнему не согласен?

PS Учи матчасть, не будь удаком...

[Stanislav]

Точнее - траффик Вовчика с Мармотом в сраной кафешке прочитать не удастся. А стандартный юзер лоханется - и импортирует сертификат и с доменом c1bc.com согласится.

А кто тебе выдаст такой сертификат?
И что с ними сделают, когда это все всплывет?

Вовчик имел в виду - лоханется и импортирует самоподписаный серт.

Блин, да не сможет он, там столько телодвижений делать надо: https://docs.vmware.com/en/VMware-Adapt ... 8B038.html

Кстати, у меня консоль ВМваре на родном самопосписаном - я просто нажал кнопку - согласен с риском и Хром никогда ничего больше не спрашивает. Я вообще никогда ничего не добавляю в Хром. Чем не простой юзер?

[Vovchik]

Я попробую Лет'с Энкрипт - та еще шарашка.

Что значит попробуешь? Попросишь их сделать тебе сертификат для google.com?
Или разрешить тебе быть их sub-CA?

PS В любом случае, учи матчасть и учись признавать свои ошибки... хотя для последнего наверное уже поздно...

Ну все как всегда - я говорю, что в моей сети работает, пишу дисклеймер, что паблик ВайФаи я не хакал, но попробовал бы вот так.
И советский форум мне стандартно объясняет, что я мудак. Ну, ОК.

В моей сети и ZScaler работает Что и есть ССЛ прокси.

[Stanislav]

И советский форум мне стандартно объясняет, что я мудак. Ну, ОК.

А ты с этим по прежнему не согласен?
PS Учи матчасть, не будь удаком...

Чтобы тебя переубедить, надо прийти и хакнуть какой-то паблик ВайФай.
Если бы тебе кто-то сказал пару месяцев назад, что можно хакнуть SSH через опенсорс, ты бы назвал его мудаком.

[Marmot]

И советский форум мне стандартно объясняет, что я мудак. Ну, ОК.

А ты с этим по прежнему не согласен?
PS Учи матчасть, не будь удаком...

Чтобы тебя переубедить, надо прийти и хакнуть какой-то паблик ВайФай.
Если бы тебе кто-то сказал пару месяцев назад, что можно хакнуть SSH через опенсорс, ты бы назвал его мудаком.

Неа, я давно нашим безопасникам про open source supply chain проблемы пени пел, еще даже до Solarwinds.
Так что для меня сюрпризов не было.
Я ксатти и не говорю что нельзя хакнуть паблик ВайФай, кто его знает может там и есть какая дырка, про которую никто не знает.
Я простро говорю что это не под силу сделать некомпетентным балаболам из конторы рога-и-копыта...

[Stanislav]

Я ксатти и не говорю что нельзя хакнуть паблик ВайФай, кто его знает может там и есть какая дырка, про которую никто не знает.
Я простро говорю что это не под силу сделать некомпетентным балаболам из конторы рога-и-копыта...

Ты не первый - присоединяйся в клуб к Вотервайту
Так вот я и говорю - чтобы тебя убедить, надо прийти и хакнуть паблик ВайФай.
А Вовчика и так не убедишь - он скажет - ну, это юзеры просто лоханулись.

[Marmot]

Так вот я и говорю - чтобы тебя убедить, надо прийти и хакнуть паблик ВайФай.