Serverseitig feststellen, ob eine HTTPS-Verbindung im Klartext mitgelesen wird

Es gibt 6 Antworten in diesem Thema. Der letzte Beitrag () ist von Manawyrm.

    Serverseitig feststellen, ob eine HTTPS-Verbindung im Klartext mitgelesen wird

    Hi,

    Ich habe erst kürzlich gesehen dass Fiddler die Option bietet den Inhalt einer HTTPS-Verbindung (eines beliebigen Programmes) im Klartext darzustellen und ggf. zu speichern. Dies erfolgt ja bekanntlich mit einem eigens dafür erstellten Zertifikat, welches der Nutzer unter Windows in seinem System registrieren muss.

    Besteht technisch die Möglichkeit serverseitig herauszufinden, dass ein Client eben dieses besagte Zertifikat an Stelle des originalen benutzt und die Verbindung somit zumindest lokal offen vorliegt? Kann man so vielleicht Reverse-Engineering-Versuche aufdecken?

    mfg ~fufu

    Selbst wenn, was bringt dir das? Der Lauscher könnte einfach hingehen und die Verbindung danach "mit dem richtigen Zert. wieder verschlüsseln"*. Du könntest höchstens was mit certificate pinning probieren, was aber bei einer .Net Client Anwendung ebenfalls einfach zu umgehen ist.

    *vereinfacht dargestellt

    Das betreffende Programm ist kein .Net-Programm. Sieht man nun online welches Zertifikat ein Nutzer einsetzt wenn er nur Fiddler benutzt (und sonst nichts) oder sieht man es nicht?

    Jein. Ich nehme an, mit Tricks wird man es herausfinden können, ob der Nutzer Fiddler einsetzt, weil der bestimmt irgendwas falsch macht, speziell in Bezug auf komische Sachen wie z.B. Clientzertifikate, aber in der Theorie kann man das so nicht herausfinden, nein.

    Was ist denn das Programm auf dem Rechner? Der Richtige und einzig korrekte Weg soetwas zu machen wäre sogenanntes Certificate Pinning.

    Manawyrm schrieb:

    Was ist denn das Programm auf dem Rechner?


    Zum Beispiel der Flash Player.

    Bezieht der Client nicht für gewöhnlich ein gültiges Zertifikat vom Server? Und fällt es da nicht auf wenn er absofort ein anderes verwendet? Oder verwendet er nach außen hin das Zertifikat vom Server?

    nach Außen verwendet er gar kein Zertifikat, der Authentifiziert sich nicht bzw. nur nach dem Schlüsselaustausch mit den Ausgetauschten Keys.
    Fällt so gar nicht auf. Der Client kann allerdings merken, wenn sich der Server ändert. Flash kann das bestimmt auch irgendwie.

    Aber: Wo ein Wille ist... Im Zweifelsfall muss man halt richtig friemeln...
    Wogegen willst du denn damit "schützen"?

Facebook
Telefonspende