OS-Admin

Здравствуй, дорогой друг. Как ты знаешь, я вплотную занимаюсь темой кеширования|проксирования|анализированием безопасности и так далее. Последнее время очень часто слышу про всякую там безопасность, HTTPS и прочее дерьмо. На Хабре был пост про Google и HTTPS, и в комментариях разгорелся довольно большой спор. Спор о том, является ли HTTPS действительно безопасностью. Итак, чтобы не томить вас, я скажу сразу, что HTTPS - это как лобковые волосы, иллюзия безопасности. Ведь вся безопасность HTTPS основана на доверии к Root CA - корневым удостоверяющим центрам, которые хер пойми, где расположены и хер пойми, что из себя представляют. Так вот, если вдруг произойдет атака на такой центр, то появится массовая MITM атака, а ты хрен заметишь, ведь браузеры и другие клиенты доверяют этому центру, и ты, дружок, тоже, автоматом. Но возможен и более изящный вариант в виде реверсного прокси с wildcard sertificate. Ты, мой лохматый друг, даже не узнаешь с лёту, что он есть, а твои данные будут в открытом виде кем-то читаться и собираться, вот так вот. Не веришь? Хо-хо, ну ок, давай я покажу тебе кое-что интересное.
В моей галере стоит кеш-прокси с SSL Bump. И не так давно возникла проблема с отправкой файлов в Viber. В чем проявлялось: пытаешься отправить медиа, POST запрос не проходит, и приходит:
NONE/500 4140 GET https://media.viber.com/share/upload - HIER_NONE/- text/html

Что тут необычного? Да всё тут необычно. Но чтобы более точно понять природу проблемы, пробуем вытащить из SSL Bump этот самый адрес. Отправка работает, как по волшебству. Но как же так? Что такого с бампом-то? А вот что с ним не так:
[admin@sysadmin ~]$ openssl s_client -connect media.viber.com:443
CONNECTED(00000003)
139915212186048:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:ssl/record/rec_layer_s3.c:1407:SSL alert number 40
---
no peer certificate available
---
No client certificate CA names sent
---
SSL handshake has read 7 bytes and written 176 bytes
Verification: OK
---
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
Protocol : TLSv1.2
Cipher : 0000
Session-ID:
Session-ID-ctx:
Master-Key:
PSK identity: None
PSK identity hint: None
SRP username: None
Start Time: 1533032501
Timeout : 7200 (sec)
Verify return code: 0 (ok)
Extended master secret: no
---

Secure Renegotiation IS NOT supported? Что, правда? С какого хрена? Это явно что-то не то. Но на самом деле, все просто. Раз тут не поддерживается "Безопасное повторное согласование", то значит оно уже дешифровано где-то там, и прочитано, и следовательно через бамп оно не пройдет, никак. Именно так показывается соединение, когда фронтом nginx или любой другой реверсный прокси стоит с wildcard sertificate. А что это означает? Да то и означает, мой лохматый друг, что где-то по дороге реверсивник внезапно появился. А раз он появился, то это иллюзия безопасности. Этот реверсивник видит все нешифрованным. Кто именно? Посмотрим:
[admin@sysadmin ~]$ traceroute media.viber.com
traceroute to media.viber.com (13.35.8.45), 30 hops max, 60 byte packets
1 192.168.20.253 (192.168.20.253) 0.529 ms 1.965 ms 1.943 ms
2 _gateway (192.168.20.254) 1.970 ms 1.957 ms 1.989 ms
3 * * *
4 192.168.151.54 (192.168.151.54) 3.434 ms 3.376 ms 3.427 ms
5 95.129.232.135 (95.129.232.135) 3.453 ms 3.348 ms 2.790 ms
6 sma02rb.transtelecom.net (188.43.7.174) 12.595 ms 12.334 ms 11.890 ms
7 63-218-233-6.static.pccwglobal.net (63.218.233.6) 67.067 ms 66.261 ms 62.865 ms
8 TenG0-0-0-13.br02.frf06.pccwbtn.net (63.218.233.5) 62.791 ms 66.408 ms 68.316 ms
9 HundredGE0-3-0-0.br03.sin03.pccwbtn.net (63.223.58.78) 414.555 ms HundredGE0-1-0-0.br03.sin03.pccwbtn.net (63.223.58.70) 411.311 ms HundredGE0-3-0-0.br03.sin03.pccwbtn.net (63.223.58.78) 416.261 ms
10 HundredGE0-1-0-0.br03.sin03.pccwbtn.net (63.223.58.70) 404.845 ms 407.006 ms 409.559 ms
11 amazon.be13.br03.sin03.pccwbtn.net (63.218.249.218) 392.302 ms 393.232 ms 393.205 ms
12 * * *
13 * * *
14 * * *
15 * * *
16 * * *
17 * * *
18 * * *
19 server-13-35-8-45.sin5.r.cloudfront.net (13.35.8.45) 304.562 ms 304.438 ms 304.284 ms

Видим CloudFront. Как мы знаем, товарищи, их сервачки имеются у нас в РФ. А это знаааааачит......???? Я думаю, объяснять не надо, кто именно видит всю твою порнуху и твои приватные голые фоточки, которые ты шлешь в вайбере ;-) Помни, весь твой HTTPS может быть расшифрован реверсником, даже без участия твоего провайдера. HTTPS - как волосы на твоём лобке, не более.

Приятных сновидений, дорогой друг, у меня всё.