Комментарии 9
А ещё у нас есть HTTP/2 и HTTP/3, протокол QUIC, работающий поверх UDP.
И что мешает здесь установить man-in-middle при передаче мастера, премастера и сертификатов в обе стороны?
MIM должен будет выдать себя за сервер, ответив на рукопожатие уже своим сертификатом. И если браузер ему не доверяет, то ваша атака не пройдет.
Мешает подпись серверного сертификата, проверяемая по сертификатам доверенных удостоверяющих центров, заранее установленным в браузер. В тексте статьи это пропущено, скорее всего чтобы не залипнуть во всех этих вопросах сертификатов, агентств, цепочек, сроков действия, стемпингов, списков отозванных сертификатов, пиннинга и чего там ещё есть.
композитный поток
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как работает веб-браузер (с картинками)