Gần đây tôi đã làm một thử nghiệm sử dụng MitM để lấy thông tin tài khoản (tên người dùng và mật khẩu) trong khi truy cập các trang web. Tôi đã sử dụng hai PC trong kịch bản; một là mục tiêu, chạy Internet Explorer và một là kẻ tấn công, chạy ettercap. Một nỗ lực (giả vờ là steamcommunity.com) mang lại thông tin; mục tiêu chấp nhận chứng chỉ tự ký CA giả của kẻ tấn công được trình bày thông qua cuộc tấn công MitM. Nỗ lực khác (giả vờ là facebook.com) thậm chí không cho phép tôi thêm ngoại lệ cho chứng chỉ tự ký trên máy mục tiêu. Vì vậy, câu hỏi là, tại sao một trang web cho phép tôi thêm một ngoại lệ trong khi trang web kia thì không?
Nếu tôi đoán thì đó là vì chứng chỉ SteamCommunity.com không phải là chứng chỉ EV. Nhưng tôi sẽ để bạn thực hiện nghiên cứu về điều đó.
—
Ramhound
Suy nghĩ đầu tiên của tôi là Ghim khóa công khai HTTP (HPKP), nhưng có vẻ như Internet Explorer không hỗ trợ điều đó. HPKP là một nỗ lực để ngăn chặn các trình duyệt bị đánh lừa bởi các chứng chỉ giả mạo do những kẻ tấn công MitM trình bày, ngay cả khi chứng chỉ được cấp từ CA mà trình duyệt đã tin tưởng.
—
Spiff
Chứng chỉ của steamcommunity.com là chứng chỉ EV hoàn toàn hợp lệ, tôi mới kiểm tra nó, ssllabs.com/ssltest/iết Từ trang này dường như không có điểm yếu, tốt hơn trang web của facebook, thực sự. Lô đất dày lên . Nhưng bạn có chắc chắn rằng bạn sẽ không được phục vụ tốt hơn bằng cách đăng câu hỏi này lên crypto.stackexchange.com/questions ?
—
MariusMatutiae
cảm ơn vì câu trả lời và sự điều chỉnh, tôi sẽ thử hỏi cùng một câu hỏi trên crypto.stackexchange.com/questions.
—
Pierrot