avatar adg
Full Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата: Актуально и для Adguard: Перехват HTTPS-трафика антивирусами снижает безопасность защищенных соединений
|
Ниже я постараюсь максимально подробно все описать.
HTTPS фильтрация в Adguard
Судя по методике тестирования, Adguard бы получил оценку A*, то есть высшую в этом тесте. Это легко проверить зайдя на https://www.ssllabs.com/ssltest/viewMyClient.html, который по сути повторяет все пункты, проверенные при тестировании.
Мы очень серьезно относимся к безопасности HTTPS, и постоянно следим за всеми изменениями, стараясь успевать за браузерами. Например, мы оперативно внедрили исправление уязвимости OpenSSL Logjam, одновременно с браузерами добавили механизм устаревания SHA1, вовремя среагировали на скандал с WoSign и StartCom.
Более того, в отличие от всех перечисленных в отчете продуктов, мы предоставляем несколько дополнительных возможностей, которые позволяют не опасаться проблем.
Во-первых, в Adguard встроен очень большой список сайтов, для которых фильтрация HTTPS полностью отключена. В первую очередь, это банки и финансовые организации.
Во-вторых, в Adguard есть опция "не фильтровать EV сертификаты", которые также часто используются на сайтах финансовых организаций.
Идем дальше.
Зачем вообще нужна HTTPS фильтрация?
Дело в том, что полагаться на возможности, предоставляемые браузерами, ни мы, ни антивирусы, не можем. Почему? Ответ прост: их недостаточно.
1. Не все браузеры вообще предоставляют API для инспектирования трафика.
2. Ни один браузер не дает API для инспектирование именно загружаемого контента.
В нашем случае модификация контента нужна, чтобы вырезать из него рекламные элементы. В случае антивирусов, инспектирование контента на лету нужно для того, чтобы не допустить загрузки вредоносных файлов.
3. Фильтрация HTTPS - вынужденная мера. Если бы ОС или браузеры предоставляли адекватные возможности, никто бы не прибегал к ней.
4. Наличие HTTPS как такового никак не защищает пользователей от загрузки вредоносного контента, и главное, не является целью HTTPS. Цель - шифрация трафика между клиентом и сервером. И эта цель достигается и при использовании программ, фильтрующих HTTPS.
Имеет ли вообще смысл этот отчет?
Да, очень даже имеет! Дело в том, что за браузерами и openssl очень пристально следит сообщество интернет-безопасности. Это не дает им расслабиться, и они постоянно улучшают поддержку HTTPS, он обрастает новыми технологиями. Именно благодаря этому сообществу в openssl были обнаружены уязвимости logjam, freak, poodle, которые вызвали чертовски серъезные пертурбации.
Браузеры оперативно реагируют на все эти уязвимости и выкатывают исправления. Но все эти усилия идут на смарку, когда их исправления просто игнорируются программами, фильтрующими HTTPS. Поразительно, что даже такие зубры как KIS и ESET допускают подобные уязвимости. Отсутствие валидации сертификатов в случае ESET это вообще за гранью.
Единственный путь к исправлению ситуации - анализ таких программ и поиск уязвимостей в них, такой же пристальный, как и в браузерах. Со своей стороны, программы, фильтрующие HTTPS, должны внимательно следить за новостями и устранять уязвимости одновременно с браузерами.
Что, собственно, и подтверждает вывод из этого отчета:
"We hope that by bringing these issues to light, we can encourage manufacturers to improve their security profiles and prompt the security community to discuss alternatives to HTTPS interception."
Перевод:
"Мы надеемся, что, сделав все эти проблемы достоянием общественности, мы сподвигнем разработчиков улучшить безопасность своих продуктов, и начать дискуссию об альтернативах HTTPS фильтрации."
Что мы будем делать дальше?
Мы хотим в ближайший месяц-два выпустить в свет библиотеку с открытым кодом, которая реализует продвинутые механизмы валидации SSL-сертификатов, и опубликовать рекомендации о том, как нужно корректно фильтровать HTTPS трафик. Надеюсь, что это будет полезно для всего сообщества, и поможет быстрее внедрить практики правильной фильтрации HTTPS во все эти продукты.
Добавлено:
Цитата:| Если же задать "Не фильтровать сайты с SSL EV сетификатами", то в их числе окажется и часть тех, на кого собственно и рассчитан сабж. |
Никакая трекинговая/рекламная система не использует EV сертификаты.
У них несколько проблем:
1. Сложно получить.
2. EV сильно замедляет процесс соединения (из-за дополнительных проверок), что для рекламщиков непозволительно.
3. Ну и наконец, даже если HTTPS фильтрация отключена, Adguard блокирует доступ к рекламным хостам, конкретно для этой операции фильтровать HTTPS не нужно. |
Программы » Обсуждение бесплатного расширения Adguard для блокировки рекламы в браузерах
