Gregory's Server|
4 comments
 @skobkin  @Max какой из них? RC2, IDEA, Triple DES?
они все достаточно стойкие были, чтобы вскрывать в лоб ради массовой слежки. для взлома таких алгоритмов должна быть утечка бит секретного ключа из ядра ОС по side channel. или надо инжектироваться в процесс того приложения, которое snapchat, чтобы получить доступ к ключу.  @skobkin @umnik @kurator88 @max Там перехват был на конкретные технические домены для аналитики. Я бы скорее предположил, что сами приложения слали туда данные без проверки сертификата вообще, как это порой в таких случаях бывает.
|
@kurator88 @umnik @max
Занятно.
Учитывая, что SSL bumping обычно подразумевает как раз установку сертификата на клиент.
И тут говорится о "server-side bumping", то есть расшифровка трафика происходила на серверах VPN провайдера.
Если это так, то прямо ололо. Не знаю законов США, но подозреваю, что там это тоже вполне может быть уголовкой.
Интересно теперь куда эта история разовьётся.
Жду каких-нибудь лулзов вроде того, что в EULA VPN-сервиса было указано, что компания оставляет за собой право разбора трафика для анализа 🤣
@kurator88 @umnik @max
Занятно.
Учитывая, что SSL bumping обычно подразумевает как раз установку сертификата на клиент.
И тут говорится о "server-side bumping", то есть расшифровка трафика происходила на серверах VPN провайдера.
Если это так, то прямо ололо. Не знаю законов США, но подозреваю, что там это тоже вполне может быть уголовкой.