Al estudiar el protocolo SSL / TLS y el cifrado, encontré un método que describe cómo exportar las claves de sesión SSL / TLS de Firefox a un usuario o variable de entorno fuera del navegador, y luego descifrar los paquetes TLS usando Wireshark (método descrito en: enlace ). Este método es muy fácil de realizar: pude descifrar las comunicaciones con los sitios HTTPS, incluidas las credenciales de inicio de sesión.
Según el enlace anterior y mis propias pruebas, este método solo funciona para Firefox y Chrome; no Internet Explorer u otro tráfico SSL que no sea del navegador (consulte enlace para la recomendación de MSDN, pero esencialmente no guardan las claves de la sesión en forma clara de forma predeterminada). El método también se describe en el sitio de la Red de Desarrollo de Mozilla (MDN) en: enlace y también Information Security Exchange, por ejemplo en: Descifrando TLS en Wireshark al usar conjuntos de cifrado DHE_RSA ).
El método requiere acceso a la configuración del sistema para configurar la variable de entorno necesaria, pero eso es todo. Tanto Firefox como Chrome buscan la variable automáticamente y, si la encuentran, comienzan a registrar las claves de la ubicación. Los navegadores no alertan al usuario ni piden permiso, ni parece haber una forma en Firefox acerca de: config para desactivar este cierre de sesión. Me doy cuenta de que el acceso completo al sistema para configurar la variable podría suponer que el sistema ya está comprometido, pero el nivel de protección parece ser mucho menor que el de otra información de seguridad. Por ejemplo, el acceso al sistema no permite un acceso fácil a los módulos de seguridad SAM o TPM (hay otras formas de obtener acceso, por supuesto, pero no es un punto y haga clic).
Este método parece permitir una exportación muy sigilosa de las claves de sesión SSL / TLS (solo tienen 128 o 256 bits cada una) por parte de terceros que podrían capturar el tráfico de la red por separado de la exportación clave y luego descifrar a su gusto. . Este descifrado podría ocurrir a pesar del uso de cualquier clave asimétrica de "secreto hacia adelante perfecto", y podría reconstruir las sesiones de navegación mucho después del hecho. Cualquier otro programa con acceso a la estructura de carpetas de Windows también podría filtrar las claves, y usted nunca lo sabría.
¿Por qué Firefox y Chrome permiten una filtración tan fácil de estas claves de sesión? Leí algunas especulaciones de que esta era una función de depuración, pero ¿por qué se deja activada de forma predeterminada? Tenga en cuenta que otros navegadores no pierden las claves de sesión. ¿Debería preocuparme por esto?