|
Apr. 5th, 2010|02:19 pm |
Э, дарагой. Шифрованное соединение незнамо с кем эквивалентно нешифрованному соединению. Называется Man in the middle.
Представим себе что некто, сидящий между тобой и сервером (вполне нормально прописанным в DNS) перехватывает все твои пакетики, посылаемыме серверу, и отвечает тебе вместо сервера. При этом он сам от твоего имени устанавливает соединение с настоящим сервером, передает туда ту часть переданной тобой информации, какую хочет, а какую не хочет - либо совсем не передает, либо искажает по своему разумению. Ну и обратно от сервера тебе передает что считает нужным. То есть заказываешь ты на амазоне три книжки по 10 долларов, он дописывает в заказ четвертую за 200, прописывает ей другой адрес доставки (свой), а ты радостно все четыре своей кредиткой оплачиваешь.
Избежать этой атаки можно только потребовав у сервера удостоверить его собственную личность. Что ты установил шифрованное соединение с тем, с кем хотел, а не абы с кем. Без этого слать по этому шифрованному соединению логины-пароли, не говоря уж о номерах кредиток - то же самое что слать их по нешифрованному соединению.
А вообще в TLS предусморена возможность установления соединения абы с кем. Анонимные шифрсьюты, которые позволяют не аутентифицировать сервер - существуют. Только ими никто не пользуется и по дефолту они выключены.
Ну и SNI тут уже немножко ни при чем. SNI это всего лишь желание web-хостеров сэкономить на IP-адресах. До появления SNI приходилось каждому HTTPS-серверу давать отдельный IP, чтобы тот всегда был уверен в том, по какому имени к нему пришли и предъявлял сертификат на это имя.
Теперь можно делать несколько HTTPS-серверов на одном IP.
|
|