server z ssl, plain http

[31337]

czy da sie jakos wymusic na serverze ssl zaakceptowania plain http? Port 80 off, tylko slucha na 443, jest to apache.
Pisze teraz program, i chyba nie musze tlumaczyc czemu mi na tym tak zalezy

[TQM]

Generalnie jaki ruch na jakim porcie to Twoja broszka - mozesz miec SSL na 80 albo i nawet na 22 jesli lubisz Wazne tyle aby URL sie zgadzal...

http://domena.tld:443/
https://domena.tld:80/
https://domena.tld:22/

wszystkie trzy sa poprawne... ale jak nie podasz numeru portu to przegladarka zastosuje domyslne - 80 dla http i 443 dla https.

Jesli chcesz zmusic apache'a aby na porcie 443 mial zarowno SSL i plain-HTTP to tak sie nie da. W ogole negocjacja polaczenia idzie na takiej zasadzie, ze najpierw jest uruchamiana sesja SSL z pelna negocjacja kluczy itd a dopiero pozniej idzie GET/POST/inne. W kazdym innym wypadku SSL bedzie bezuzyteczny.

[31337]

wiem jak to idzie, ale liczylem ze w pakiecie client helo mozna cos ustawic, podac zerowy szyfr albo cus...

[TQM]

Nie ma takiej mozliwosci.

Albo ustanawiasz sesje SSL zanim podasz GET lub POST albo nie masz SSL w ogole. 'Zerowy szyfr' w negocjacji SSL czyli brak szyfrowania w ogole zostanie odrzucony przez druga strone i to kompletnie - powod: brak wspolnego protokolu szyfrowania.

[31337]

aha, no dzieki.

A masz jakas biblioteke (.dll) pod windowsa do obslugi ssl?
Chodzi mi o funkcje typu polacz, wyslij, odbierz, etc.
Albo DOBRY opis algorytmow i samego ssl, wrecz lopatologiczny, najlepiej z przykladami w fasm.

[Nikow]

http://www.openssl.org/

PS: Po co Ci przykłady dla FASM'a? Co kombinujesz?

[31337]

Co kombinujesz?

chce dogadac sie przez ssl, szyfrowanie mnie nie obchodzi
rownierz mam w glebokim powarzaniu certyfikaty, desy i inne cholerstwa ktore i tak mozna obejsc. Ja chce http. Moj program wazylby 3kb pisany pod http, ale pod ssl juz bedzie 3 mb, no thx.

http://www.openssl.org/

liczylem na cos w stylu openssl.dll + opis funkcji.
zebym mial takie cos:
ssl_connect(addr, port, rodzaj_szyfru);
ssl_send(connection, buff, sizeof(buff));
ssl_recv(connection, buff, sizeof(buff));
ssl_close(connection);

a nie jakis syf bo inaczej tego nie mozna nazwac.

sciagnolem openssl-0.9.8g, mam ponad 1k plikow i jak mam to skompilowac.
Ma byc absolutne minimum! A wogule to ja chce obejsc ten ssl, bo jest mi to nie potrzebne!
Powinna byc taka opcja w protokole. bajt 0x00 - czyste http, 0x01 ssl z szyfrem 1, 0x02 ssl z szyfrem 2, 0x03 ssl z szyfrem 3,...

[TQM]

Nie ma takiej mozliwosci - zobacz RFC jak wyglada polaczenie SSL i jego ustanawianie, wtedy nie bedziesz mial wiecej watpliwosci.

Ten protokol zostal tak zaprojektowany aby tego nie dalo sie obejsc. Albo ustanowisz obustronne szyfrowanie zanim zaczniesz przesylac dane albo polaczenie zostanie zamkniete - taka byla idea tego projektu i tak to zostalo zrobione.

[31337]

to jest bez sensu. Szyfrowanie powinno sie odbywac na nizszej warstwie, niezaleznie od protokolu. Wiec moglbym uzys funkcji send, a kernel sam by zalatwil sprawe
Co za kretyn wymyslil to ssl

...No to wracamy do potokow windows, moze to mi sie uda (wreszcie) ogarnac .

[TQM]

Nie kretyn... nie kretyn... to calkiem logiczne drogi watsonie...

Warstwa 2 odpada bo jak niby zachowasz zgodnosc ze starszymi implementacjami? Poza tym nie tylko ethernet... co z PPP we wszelkich odmianach?
Warstwy 3 i 4 odpadaja bo szyfrowanie dotyczy sesji a sesja zaczyna istniec dopiero na warstwie 5... poza tym zmiany na warstwie 2 niszcza zgodnosc wsteczna i wymagaja aktualizacji wszystkich warstw powyzej...
Dopiero warstwa 5 i wyzsze nabieraja sensu bo wtedy mowimy juz o komunikacji dwustronnej.

Jak zwyjkle wszystko jest wynikiem przeliczenia korzysci i kosztow... widac tak bylo najoptymalniej, co nie oznacza ze najlepiej czy najbezpieczniej.