O SNI representa uma preocupação de privacidade para os visitantes do meu site?

Navegue suas respostas
10

Primeiramente, sinto muito pelo meu mau inglês. Eu ainda estou aprendendo. Aqui vai:

Quando hospedo um único site por endereço IP, posso usar SSL "puro" (sem SNI), e a troca de chaves ocorre antes que o usuário me informe o nome do host e o caminho que deseja recuperar. Após a troca de chaves, todos os dados podem ser trocados com segurança. Dito isso, se alguém estiver farejando a rede, nenhuma informação confidencial é vazada * (veja nota de rodapé).

Por outro lado, se eu hospedar vários sites por endereço IP, provavelmente usarei o SNI e, portanto, o visitante do meu site precisará me informar o nome do host de destino antes que eu possa fornecer a ele o certificado correto. Nesse caso, alguém farejando sua rede pode rastrear todos os domínios do site que ele está acessando.

Há algum erro em minhas suposições? Se não, isso não representa uma preocupação com a privacidade, supondo que o usuário também esteja usando DNS criptografado?

Nota de rodapé: Eu também percebo que um sniffer poderia fazer uma pesquisa reversa no endereço IP e descobrir quais sites foram visitados, mas o nome do host viajando em texto simples através dos cabos de rede parece tornar o bloqueio de domínio baseado em palavra-chave mais fácil para as autoridades de censura.

    
por pagliuca 19.10.2012 / 21:56

2 respostas

9

Sua análise está incorreta. Você está mais seguro com o SNI do que sem.

Sem o SNI, o endereço IP identifica exclusivamente o host. Assim, qualquer um que possa determinar o endereço IP pode determinar o host.

Com o SNI, o endereço IP não identifica exclusivamente o host. Alguém teria que interceptar e visualizar parte do tráfego para determinar o host exato. Isso é mais difícil do que apenas obter o endereço IP.

Então você está (ligeiramente) mais seguro com o SNI do que sem ele.

Qualquer pessoa que bloquear com base em uma análise intrusiva de dados de pacote também será bloqueada com base no endereço IP. Eles bloquearão os "ruins" com base no endereço IP com ou sem SNI.

No entanto, a resposta à sua pergunta é "sim". O SNI representa uma preocupação de privacidade. Com o SNI, alguém que pode interceptar o tráfego obtém o nome do host além do endereço IP.

    
por 19.10.2012 / 21:58
0

Você está certo. O SNI é uma grande preocupação de privacidade para seus visitantes - ele expõe os sites exatos com os quais seus visitantes se conectam ao seu provedor e outras partes interessadas. Mas então, o mesmo acontece com DNS ... bem ... costumava: o Google está corrigindo isso: -

link

Conhecer um endereço IP NÃO diz ao ISP qual site está naquele endereço IP, a menos que eles ativamente saiam e se vejam, o que é uma coisa muito diferente do que eles passivamente cheirando pacotes de clientes.

    
por 24.10.2017 / 17:01

Tags

Rsync -avzHP segue hardlinks em vez de copiá-los como hardlinks Qual é o diretório de trabalho padrão para uma tarefa agendada no Windows 2008 R2?