Стендап Сьогодні 📢 Канал в Telegram @stendap_sogodni

🤖🚫 AI-free content. This post is 100% written by a human, as is everything on my blog. Enjoy!

17.10.2024

Перехоплення запитів в інтернеті третьою стороною

#TLS

Сьогодні натрапив на цікавий випадок: в одного хостингу SMTP не заблокований зовсім, а перехоплюється їхнім внутрішнім сервісом; хочеш свій — доплачуй. Вихід з такої ситуації простий: використовувати натомість Email API.

Але це мене надихнуло написати про те, що, взагалі кажучи, кожна наша взаємодія з інтернетом може бути перехоплена по дорозі. В першу чергу це цікаво робити нашому провайдеру чи хостингу, але також, наприклад, державним установам.

• HTTP наразі не так корисно перехоплювати, бо практично всі сайти вже використовують HTTPS - протокол, який не тільки зашифрований, а й вимагає від сервера сертифіката. З усім тим, кожний платний Wi-Fi перехоплює HTTP, щоб показати власну сторінку авторизації — ця технологія називається Captive portal.

• DNS перехоплюється дуже широко, з метою або додати власні ресурси, або заблокувати чужі. Та навіть мій домашній роутер перехоплює запити DNS, щоб блокувати рекламу — до якого б серверу не звертався пристрій, він все одно потрапить на DNS роутера. Щоб уникнути перехоплень, потроху приживається DNS поверх TLS.

• TLS взагалі є універсальним захистом від перехоплень. Але потребує додаткових дій, зокрема отримання сертифіката для сервера. Та, звісно, взаємодомовленості про підтримку, бо одна з класичних помилок — це “невірна версія TLS”, яка насправді свідчить, що друга сторона надіслала запит відкритим текстом.

• До речі, SMTP теж є поверх TLS, зазвичай за окремим портом - 465. Якщо хостинг перехоплює SMTP поверх TLS, то ми отримаємо помилку “розбіжність імені хоста”, бо перехопити легко, а вдати з себе вірний сервер — технічно неможливо. Про то в мене вже є ціла серія постів.