HTTPS কি আমার ডোমেনগুলি পরিদর্শন করার পাশাপাশি আমার ব্রাউজিংয়ের ইতিহাস ট্র্যাকিংয়ের মধ্য দিয়ে মধ্যম মানুষকে আটকায়?


5

আমি পড়ি এই নিবন্ধটি যা বলেছে জিথবকে রাশিয়াতে অবরুদ্ধ করা হচ্ছে কারণ এটিতে হোস্ট করা একমাত্র বিতর্কিত পৃষ্ঠাটি HTTPS এর কারণে অবরুদ্ধ করা যাবে না।

তাই আমি নির্ধারণ করতে চাই যে আমার স্থানীয় সিএস-অ্যাডমিন আমার ব্রাউজিং ইতিহাসের ট্র্যাক রাখতে পারে না।

যদিও ডোমেনের নাম মাঝখানে কারো কাছে দৃশ্যমান হবে, অনুরোধকৃত ইউআরআই এর অন্যান্য অংশগুলি এনক্রিপ্ট করা আছে, অথবা ISP (অথবা মাঝখানে যে কেউ) দেখতে পারেন আমি যে ডোমেনে অনুরোধ করেছি তার ফোল্ডার / ফাইলগুলি দেখুন (অথবা তারা এনক্রিপ্ট করা)?



আমার প্রশ্নটি একটু আলাদা, আমি জানতে চাই যে ইউআরআইটি এইচটিটিপিএসের মাধ্যমে এনক্রিপ্ট করা হয়েছে কিনা অথবা কেবলমাত্র ইউআরআই এর মাধ্যমে প্রয়োজনীয় সামগ্রী বিনিময় করা উচিত।
anuj_io

1
রাশিয়া কেবল নিষিদ্ধ সামগ্রীতে বাধা দেওয়ার সহজ উপায় গ্রহণ করছে। যদি তারা একটি একক url দ্বারা ব্লক করার চেষ্টা করে তবে প্রকল্পটি কেবলমাত্র জিথব ওয়েবসাইটে একটি ডোমেন পুনঃনির্দেশিত করতে এবং / অথবা তাদের প্রকল্পের নাম পরিবর্তন করতে পারে এবং এইভাবে url ভিন্ন হতে পারে।
Ramhound

1
@ টিটা_টোলার - ভোট বেনামী। আপনি সম্ভবত আপনার প্রশ্ন downvoted যারা জানতে পারে না। তাই ডাউনভোট সম্পর্কে একটি মন্তব্য করা একটু মূর্খ।
Ramhound

1
নোট করুন যে একটি শংসাপত্রের উপপাদ্য আক্রমণ (এমআইটিএম) অনুপস্থিতিতে অ্যাডমিনিস্ট্রেটর আপনার প্যাকগুলিতে সমস্ত লেয়ার 3 ফিডগুলি পর্যবেক্ষণ করতে পারেন এবং আপনি কোন সার্ভারের সাথে যোগাযোগ করছেন তা নির্ধারণ করতে পারেন। তারা বাকি ইউআরএল দেখতে পারে না, তাই তারা কোন সার্ভারের সাথে যোগাযোগ করেছে তা তারা বলতে পারে, কিন্তু আপনি সেখানে কী করেননি। HTTP / HTTPS একটি লেয়ার 4 প্রোটোকল, তাই সার্টিফিকেশন ছাড়া, তারা সবকিছু দেখতে পারে না। তারা বলেছে, তারা আপনার এবং সার্ভারের মধ্যে হার্ডওয়্যার নিয়ন্ত্রণ করে, তাই আপনার হোস্ট সনদটি প্রতিস্থাপন করা সম্ভব হয়, অথবা সার্কিটটি তৈরি হওয়ার সাথে সাথে স্বচ্ছতার শংসাপত্রটিকে প্রতিস্থাপন করা সম্ভব।
Frank Thomas

উত্তর:


6

আপনার স্থানীয় সিএস-অ্যাডমিন আপনার ব্রাউজিংয়ের ইতিহাস সন্ধান করতে পারে যদি তারা আপনাকে আপনার (অথবা তাদের মেশিনে) একটি শংসাপত্র ইনস্টল করতে পারে - এ ক্ষেত্রে তারা আপনার সংযোগের মধ্যে মধ্যস্থতাকারী হতে পারে।

যদি আপনার নিজস্ব যন্ত্র থাকে এবং নিশ্চিত হন যে তাদের কাছে কোনও শংসাপত্র নেই, তবে তারা যা করতে পারে তার সর্বোত্তমটি হল আপনার সাইটের কোনও আইপি ঠিকানা এবং ট্র্যাফিক প্রোফাইল (যেমন প্রচুর ট্রাফিকগুলি ভিডিও ডাউনলোড করতে নির্দেশ দিতে পারে), এবং বড় সাইটগুলিতে আইপি ঠিকানা সাধারণত বিপরীত সন্ধান আছে। আপনি যদি DNS সার্ভারগুলি ব্যবহার করেন তবে সম্ভবত আপনি যে DNS টি অনুরোধ করেছেন তা খুঁজে পেতে তারা DNS রেকর্ডগুলি ব্যবহার করতে পারে।

প্রত্যক্ষ বা স্থানীয় সফ্টওয়্যার ইনস্টল করার জন্য যদি আপনার সিস্টেমে সিএসডামিনের অ্যাক্সেস না থাকে তবে সেটি এনক্রিপ্ট করা কোন পৃষ্ঠায় (যেমন ফোল্ডার) আপনি যাচ্ছেন তা দেখতে নেটওয়ার্ক ব্যবহার করতে পারবেন না (এই তথ্যটি পাঠানো হয়েছে আপনার অনুরোধের শিরোনাম, যা SSL এর পরে আলোচনা করা হয়)।

উত্স: আমি একটি সিস্টেম প্রশাসক যা HTTPS সহ সাইটগুলি পরিচালনা করি এবং সময়-সময়-সময় নিজে কোণার ক্ষেত্রে চেক করার জন্য HTTP / HTTPS অনুরোধগুলি করি।


আমি আপনার পয়েন্ট বুঝতে & amp; উত্তরের জন্য ধন্যবাদ. শুধু একটি দ্রুত ব্যাখ্যা, এর মানে হল যে আমার আইএসপিও ইউআরআই দেখতে পারবে না, তাই না?
anuj_io

HTTP এ আইএসপি স্তরের আক্রমণ আছে। বেশ কয়েকটি আইএসপি এমন ডিভাইসগুলি নিযুক্ত করতে পাওয়া গেছে যা হঠাত্ একটি HTTPS হ্যান্ডশেক সনাক্ত করে। তারা তখন স্বচ্ছতার সাথে সংযোগটি প্রক্সি করে, সার্ভারে পাঠানোর জন্য, নিজের সার্ভারে পাঠানোর জন্য, এবং আপনার সিস্টেমে জাল একটি হ্যান্ডশেক ফিরিয়ে দেয়, তাই এটি তাদের ডিভাইসের মধ্য দিয়ে যাওয়ার সময় সুরটি খোলা থাকে। সাইটটি আপনার কাছে এটি নিয়ে চিন্তা করে, তবে এটি আসলে আইএসপি-র সাথে হস্তান্তর করে এবং আপনি মনে করেন আপনি সার্ভারের সাথে হ্যান্ডশেক করছেন তবে এটি আসলেই আপনার সাথে সংযুক্ত হয় এমন আইএসপি। schneier.com/blog/archives/2013/09/new_nsa_leak_sh.html
Frank Thomas

আরো বিস্তারিত এখানে: sonicwall.com/downloads/...
Frank Thomas

4
সঠিক - যদি আপনি আপনার আইএসপি ট্রাফিক দেখতে না পারে শংসাপত্র সতর্কতা উপেক্ষা না। @ ফ্রাঙ্ক থোমাস উত্তরটি সঠিক তবে আপনার আইএসপি এই ট্র্যাফিকটি আটকে দিলেও এটি একই সার্টিফিকেট পাবে যদি এটি আপনার ব্রাউজারে তাদের শংসাপত্র পেতে পরিচালিত হয় - এটি বিশ্বাস করা হয় যে এনএসএ এই ধরনের কাজ করতে পারে। আপোষযুক্ত CAs দ্বারা জিনিস, কিন্তু আপনার আইএসপি সম্ভবত এই করতে পারে না।
davidgo

এছাড়াও মূলত এনক্রিপ্ট হওয়া ডেটাটির আকার আপনি যে URL গুলিতে যান সে সম্পর্কে কিছু তথ্য লিক করতে পারেন। সরলীকৃত উদাহরণ: ধরুন আইএসপিটি জানে যে আপনি যে সাইটটিতে যান সেটি 1000 টি ছোট পৃষ্ঠা এবং অবৈধ / বিভ্রান্তিকর / বৈষম্যমূলক তথ্য সম্বলিত একটি বড় ডাউনলোডযোগ্য ফাইল। ধরুন আপনি 10 সেকেন্ডে 10 মিটার ডাটা সাইটের জন্য আঘাত করেন। তারপর আপনি সম্ভবত শুধু বড় ফাইল ডাউনলোড। অবশ্যই এই পদ্ধতিটি ব্যবহার করার জন্য রাশিয়া টেকনিক্যালি সজ্জিত হলেও অনেকগুলি ফাইল রয়েছে (ক) এটি একটি স্পষ্ট সংকেত পেতে পারে না, (খ) যে সময় এটি ইতিমধ্যে ডাউনলোড করা হয়েছে এমন ফাইলটি ID করে।
Steve Jessop

2

সুতরাং আমার এটা বোঝায় যে এমনকি আমার স্থানীয় সিএস-অ্যাডমিন ট্র্যাক রাখতে পারবেন না   আমার ব্রাউজিং ইতিহাস খুব?

না, অগত্যা না। যদি তারা ক্লায়েন্ট কম্পিউটারে একটি কাস্টম শংসাপত্র রাখে তবে একটি সিএসডমিন মধ্যম আক্রমণে একজন মানুষ সম্পাদন করতে পারে।

যদি আপনি বাড়ির নিরাপদ সাইটের ঠিকানা বারে লক আইকনটিতে ক্লিক করেন, তবে এটি শংসাপত্র প্রদানকারীর কে এবং কী কী প্রাইভেট কী বলে তা বলবে। আপনি যদি কর্মে একই কর্ম সঞ্চালন করেন এবং এটি একই তথ্য বলে - আপনি সম্ভবত নিরাপদ। এটি না করলে, এটি একটি বিশাল লাল পতাকা যা কেউ আপনার ট্র্যাফিককে আটকাতে পারে।

আপনি যেমন বলেছিলেন, তারা জানে যে আপনি কোনও ওয়েবসাইটগুলি DNS- এর কারণে পরিদর্শন করছেন - কেবলমাত্র স্থানান্তর করা হচ্ছে না।

সম্পাদনা করুন: স্পষ্ট করার জন্য, ডিএনএসগুলির কারণে তারা জানেন যে আপনি কোন সার্ভার পরিদর্শন করছেন, কিন্তু সমগ্র URI নয়।


আমি আপনাকে বিশ্বাস করতে চাই কিন্তু তাদের কোন অনলাইন উদ্ধৃতি যা নিশ্চিত করে?
anuj_io

দুঃখিত না। আমি সম্পূর্ণরূপে পরীক্ষামূলক উদ্দেশ্যে এর আগে এটি করেছি তাই আমি এটা সম্ভব, জানি সেরা নিবন্ধ উইকিপিডিয়া মানুষের মাঝখানে আক্রমণের হবে।
Arthur

আমি এটা অনেকবার পড়ি তবে কোথাও এটি ইউআরআই সম্পর্কে আলোচনা করে না। :(
anuj_io

4
Wireshark ধরুন, একটি রেকর্ডিং শুরু করুন এবং একটি মান http: // বনাম একটি https: // সংযোগ মধ্যে প্রক্রিয়া দেখুন। আমি জানি এটি একটি দুর্দান্ত সহায়ক উত্তর নয়, তবে এটি দেখতে মজা এবং কমপক্ষে এই ভাবে আপনি নিজের চোখ দিয়ে যা বলছেন তা নিশ্চিত করতে পারেন - প্লাস, wireshark একটি কার্যকর হাতিয়ার।
Arthur

Hi5 মানুষ! এই আমি কথা বলছি কি। আমি স্পষ্টভাবে Wireshark চেষ্টা করবে।
anuj_io
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.