Вы не дочитали до конца. Проблема не только в клиенте, но и в сервере. Надежно лечится только путем запрета TLS 1.0 напрочь. Проблема только в том, что поддержка 1.1 даже в openssl разворачивалась больше года. Как вам такой репорт:varenuha wrote:Приведу лишь одну цитату:Идет бесконечный и нормальный процесс - да, постоянно,Mozilla updated the development versions of their NSS libraries to mitigate BEAST-like attacks.
http://arstechnica.com/business/2012/04 ... hers-find/
Причем самыми дырявыми сайтами оказались twitter и paypal. Я не удивлюсь, если Леша использует одинаковые пароли для разных сайтов...
MITM разный бывает. В настоящий момент, если proxy в любом виде посадить на клиентскую машину или даже на локальную сеть перед NAT'ом, то обдурить можно любой SSL. В худшем случае браузер спросит, если клиент доверяет сертификату. Большинство говорят "yes". Правда, если уж что-то ставится локально, то тогда и https ломать не надо.
Кстати, ради прикола посмотрел настройки своего gmail. Почему-то я считал, что google по умолчанию теперь энфорсит https. Там две опции: Always use https и Don't always use https. Так вот, ни одна опция не выбрана! Гугль, мля!? Я даже не знаю, если https энфорсится с такой кривой конфигурацией. Т.е. тогда сломать аккаунт еще проще. Используй arp poisoning и заставляй клиента работать в http. Надо только подождать, пока Леша пойдет проверять свой e-mail из public wi-fi.
Скоро превратятся в hi-tech PR agency on demand. Если даже за политику платить не будут, натренированные пионеры уже есть, опыт и технологии на месте, лапшу вешать на клиентов будет проще простого.
