Объявление

Свернуть
Пока нет объявлений.

Apple заблокировала хак с подменой DNS-сервера на Apple TV

Свернуть
X
 
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • #76
    Что за необходимость светить днс? Чтоб быстрее все прикрыли?

    Комментарий


    • #77
      эппл не блокирует днс адреса
      Обсуждение всех нюансов развода в Германии. www.razvod.net

      Комментарий


      • #78
        Сообщение от nitrogen14 Посмотреть сообщение
        эппл не блокирует днс адреса
        Зато другие кто на этих днс показывают, блокируют заходы к ним! И если бы про адреса не писали в открытую, то это могло работать и дальше!) а сейчас они как раз этим и занимаются, чтоб закрыть доступ(( не всегда нужно писать в открытую то что знаешь!

        Комментарий


        • #79
          т бредишь, прошу покинуть данную тему. хочешь чтото доказать иди в раздел о атв и напиши свои мысли с какиминибудь доказательствами. а данная о обходе блокировке, а не о том что ты там себе понадумал
          Обсуждение всех нюансов развода в Германии. www.razvod.net

          Комментарий


          • #80
            Сообщение от nitrogen14 Посмотреть сообщение
            ну у меня есть сервер с айпи,
            Теоретически этого достаточно
            разве на нем заработает хттпс без сертификата
            Нет. хттпс без сертификата - не хттпс.
            который я должен купить?
            Зачем его покупать?

            Рассмотрим ситуацию на примере плексконнекта.
            Плексконнект по сути - хттп-враппер, который принимает запросы от приставки, выдавая себя за трейлеры.
            Как он там дальше обрабатывает запросы и перекидывает их на плекс - это не относится к делу.
            Но сама реализация плекс-коннекта, упрощенно разумеется и как я его понимаю, на текущий такова.

            Это веб сервер, который принимает подключения по http и https протоколам на 80 и 443 портах.
            Так же там есть демон DNS которые подменяет айпишники апла на локальные.
            Дальше вебсервер реализует клон путей апловских трейлеров, с ЖС обвязкой и так далее.
            Смотрим статью AppleTV + SSL + PlexConnect | langui.sh
            Здесь описано как сгенерировать ключ для https сервера плексконнекта.
            В дальнейшем https сервер плексконнекта использует его для установки
            Комментирую написанное там.
            Мы создаем самподписной сертификат, ключевой момент там это "/C=US/CN=trailers.apple.com" то есть фактически веб сервер выдает себя за это доменное имя.
            Веб клиент приставки, обращаясь к ДНС плексконнекта получает в ответ айпи веб-сервера плекс коннекта.
            В цифрах того как это работает в моей домашней сети.
            Резольвер приставки с прописанным айпишником ДНС 192.168.1.105, обращается к этому адресу.
            На нем на 53 юдп порту висит днс-демон плекс коннекта.
            Резольвер приставки запрашивает резольв адреса trailers.apple.com
            Днс-демон возвращает ответ 192.168.1.105.
            Веб клиент приставки подключается по протоколу https к веб серверу на 192.168.1.105 (веб сервер плексконнекта)
            Веб сервер отдает сертификат сгенерированный нами в процессе установки.
            В данном сертификате мы указали, что сертификат относится к доменному имени trailers.apple.com.
            Так что установлению доверенной https сессии мешает только 1 причина.
            То что наш сертификат - самоподписной, и не имеет подписи апла под ней.
            Чтобы избежать данной ошибки, и выдать наш сертификат за действительный, мы и проводим операции с приставкой.
            А именно через профиль устанавливает в приставку наш собственный корневой сертификат как ДОвЕРЕННЫЙ сертификат.
            В итоге приставка, получив от веб-сервера сертификат сервера, проверяет его на достоверность, а так как ключ которым подписан сертификат находится внутри приставки в списке доверенных, то и сам сертификат проходит проверку как доверенный.
            В итоге приставка устанавливает доверенный коннект к веб-серверу плекс-коннекта, считая что этот ервер является сервером trailers.apple.com, так как проверка сертификата это подтвердила.
            Дальнейшая работа идет как и прежде.

            Я сам дальше не влезал в код плексконнекта, но думаю описал подробно.
            Фактически что нужно сделать в нашем случае:
            Пусть у нас есть веб-сервер, апач, или нгинкс - неважно, они оба умееют в хттпс.
            Мы генерируем самоподписной сертификат как указанно в статье, и конфигурим сервер чтобы он слушал ssl порт используя данный сертификат.
            Дальше, мы через профиль импортируем сертификат в приставку.
            В итоге, приставка обращаясь к нашему вебсерверу может установить доверенное соединение.

            Как то так.
            Сорри что длинно

            Комментарий


            • #81
              хттпс вроде как нельзя самому установить на внешнем сервере не покупая свой сертификат. я об этом говорю.
              может дома во внутренней сети оно както и пашет. вобщем нужно изучить матчасть.
              Обсуждение всех нюансов развода в Германии. www.razvod.net

              Комментарий


              • #82
                Мат часть в том, что есть корневые узлы сертификации, чьими ключами подписаны сертификаты.
                Браузеры проверяя сертификаты, сравнивают подпись под сертификатом со списком доверенных сертификатов.

                В нашем случае мы создаем свой сертификат и импортируем его ключ в приставку.
                И при проверке данный самоподписной сертификат будет достоверен

                Комментарий


                • #83
                  ок, вечером если будет время посмотрю что там с хттпс настройками сервера, что нужно сделать чтобы он отвечал как положено по этому протоколу
                  Обсуждение всех нюансов развода в Германии. www.razvod.net

                  Комментарий


                  • #84
                    Проверить работу можно даже не прошивая профиль в приставку.
                    Нужно просто импортировать наш сертификат, тот который мы импортируем в приставку, в браузер.
                    А потом в браузере открыть какую либо страничку по хттпс.
                    Если все нормально, то браузер будет считать соединение доверенным.

                    П.С. разумеется для этого наш днс-сервер на компе должен быть тем, которые подменяет адрес трейлеров.
                    Ну и затем открыть https://trailers.apple.com.

                    Кстати, если открыть оригинальный сайт эпла, то видно что например картинки, по прежнему отдаются по http а не https-у.
                    Так что для работоспособности нужно держать и http и https доступными, фактически это просто отдавать твой веб-враппер не только по http но и по https. С одинаковым содержимым.
                    Последний раз редактировалось guyver; 17-09-2013, 12:09.

                    Комментарий


                    • #85
                      я сделал ключи на компе, заклинул их на сервер, при вводе айпи пишет мол косяк.днс на работе менять нет времени. может кто проверит
                      Вложения
                      Обсуждение всех нюансов развода в Германии. www.razvod.net

                      Комментарий


                      • #86
                        Хм.
                        Прописал днс 46.38.235.212
                        Но на trailers.apple.com резольвятся апловские айпишки.

                        Комментарий


                        • #87
                          забыл назад поставить строчку, проверь еще раз
                          Обсуждение всех нюансов развода в Германии. www.razvod.net

                          Комментарий


                          • #88
                            Похоже что ты неправильно установил сертификат к вебсерверу.
                            Ошибку выдает не проверка сертификата а именно инициализация соединения.

                            Комментарий


                            • #89
                              /etc/apache2/sites-available/default-ssl
                              Код:
                              <IfModule mod_ssl.c>
                              <VirtualHost *:443>
                                      ServerAdmin webmaster@localhost
                              
                                      DocumentRoot /var/www
                                      <Directory />
                                              Options FollowSymLinks
                                              AllowOverride None
                                      </Directory>
                                      <Directory /var/www/>
                                              Options Indexes FollowSymLinks MultiViews
                                              AllowOverride None
                                              Order allow,deny
                                              allow from all
                                      </Directory>
                              
                                      ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
                                      <Directory "/usr/lib/cgi-bin">
                                              AllowOverride None
                                              Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                                              Order allow,deny
                                              Allow from all
                                      </Directory>
                              
                                      ErrorLog ${APACHE_LOG_DIR}/ssl_error.log
                              
                                      # Possible values include: debug, info, notice, warn, error, crit,
                                      # alert, emerg.
                                      LogLevel warn
                              
                                      CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined
                              
                                      #   SSL Engine Switch:
                                      #   Enable/Disable SSL for this virtual host.
                                      SSLEngine on
                              
                                      #   A self-signed (snakeoil) certificate can be created by installing
                                      #   the ssl-cert package. See
                                      #   /usr/share/doc/apache2.2-common/README.Debian.gz for more info.
                                      #   If both key and certificate are stored in the same file, only the
                                      #   SSLCertificateFile directive is needed.
                                      SSLCertificateFile    /etc/apache2/ssl/trailers.pem
                                      SSLCertificateKeyFile /etc/apache2/ssl/trailers.key
                              впервые делаю подобное
                              Обсуждение всех нюансов развода в Германии. www.razvod.net

                              Комментарий


                              • #90
                                запарился этот файл не грузился,

                                Код:
                                root@34:/etc/apache2/sites-enabled# ls -l
                                insgesamt 0
                                lrwxrwxrwx 1 root root 26  8. Nov 2012  000-default -> ../sites-available/default
                                скопировал внутриности в дефоулт файл и вроде всё как надо

                                Bildschirmfoto 2013-09-17 um 12.08.42.png
                                Обсуждение всех нюансов развода в Германии. www.razvod.net

                                Комментарий

                                Обработка...
                                X