Комментарии 35
Вот вы смеётесь, а когда я говорю коллегам, что игрок может посмотреть весь трафик между игровым клиентом и сервером — на меня смотрят огрооомными глазами.
Сейчас модно все пускать по HTTPS, как уже было сказано в статье — считается что это достаточно. Это действительно достаточно от MITM, но совершенно не мешает игроку с Fiddler'ом. Я раньше для развлечения писал ботов для многих таких игрушек (обычно мобильные или браузерные), делалось все элементарно
Еще немного, и узнают про SNI :)
я что-то не припомню чтоб кто-то говорил что HTTPS прячет факт обмена данными...
Повторяется ситуация с электронной почтой. Если лет 15 назад почтовый сервер можно было поднять без особых проблем, то сейчас настроить почтовик, который мог бы успешно отправлять почту на тот же gmail, это чрезвычайно сложная задача.
А что там надо контролировать с сертификатами? Let's Encrypt, certbot… и что там контролировать… тем более уже сейчас хостинги это делают бесплатно и быстро, нужна только заявка от пользователя.
В чем сложность?
Если нужно Let's Encrypt не используя панель — консольная команда не намного сложнее.
Так что все стало наоборот проще и дешевле.
Представьте картину — Let's Encrypt внезапно изменяет порядок получения сертификатов. Или вообще перестает выдавать сертификаты, или вдруг какой-нибудь хром перестанет доверять сертификатам от Let's Encrypt.
В свете некоторых новостей это все не выглядит таким уж и невозможным.
Впрочем вместо болванки можете подставить патч, скрипт, ролик или фильм.
Вот и надо учить людей тому, что https — это способ убедиться, что страница пришла к тебе с оригинального (не подставного) сервера и не была модифицирована по пути. Для этого не обязательно на низком уровне разбирать, как же этот https работает =)
жду с нетерпением вторую часть, там видимо будут зиродеи с burpsuite и импортированным сертификатом
И надо было писать целую статью о том, что HTTPS — это не TOR?
Так что режь, вставляй, фильтруй и не гусей а трафик пользователя.
Слабости HTTPS. Часть 1