Human Emulator

Добрый день,

прошу высказать мнения по вопросу: не палит ли анонимность https даже когда коннект через элитный (не прозрачный, анонимный) прокси

на сколько я знаю, когда устанавливается сессия https то создается общий ключ шифрования, от сервера принимается публичный ключ сервера, общий ключ шифруется методом с парами ключей приватный клиента, публичный сервера, передается серверу, так же серверу передается публичный ключ клиента, а сервер расшифровывает общий ключ парой ключей публичного клиента и приватного сервера.

по идее для каждой сессии браузер клиента должен создавать новую пару публичного и секретного ключа и тогда все хорошо, НО кто точно может сказать что браузер (например IE встроенный) это делает для одного и того же сервера? может быть программисты M$ решили упростить? для того же домена сохранять пару ключей клиента и не генерировать их снова?

а если так, то когда сервер получает от разных IP через элитные прокси запросы и видит идентичные публичные ключи то логично предположить что этот один и тот же клиент...

какие мысли? есть доказательства?

Интересный вопрос, в пн посмотрю что можно проверить по этой теме.
Спасибо.

Google точно палит копии хумана на одной машине.
есть рабочий скрипт создание акков Gmail, на 3 виртуалках по 1 хуману работает без проблем. А 2 хумана на одной машине тупо не проходит. При сабмите формы 500 Bad request.
Тут либо это, либо палится МАС адрес.
И еще. существует проблема использования прокси с авторизации в хумане, - временами выбрасывает окно запроса логин-пароль, хотя их не должно быть. ИЕ как будто забывает данные авторизации....может ли быть, что ИЕ какие-то запросы вообще отправляет мимо проксей?

что ИЕ какие-то запросы вообще отправляет мимо проксей?

- точно не может

по поводу палит MAC - думаю нет.
мне казалось что MAC источника пакета забывается на первом же маршрутизаторе и дальше пакет идет с источником - MAC-ом маршрутизатора. и так с каждым маршрутизатором. если бы гугловское железо было бы первым же хопом тогда да - они видели бы MAC источника.

А если мак источника как-то собирается и передается самим клиентом в каком-нить запросе? ява, например

да, это проблема

хочется восстановить тему. собственно повторю - может кто знает, делает ли экземпляр IE в XHE (или вне XHE) новый публичный ключ для одного и того же сайта для протокола https? или передает один и тот же публичный ключ независимо от установленного проски и помененного UA? т.е. палят ли нас по публичному ключу или нет? кто-нибудь проверял с wireshark-ом?

Экземпляр не делает ключ а шифрует выданный сервером. По этому не палят, по смене UA палят стопудово, уже обсуждалось.

про выдачу сервером проверю, думал https это симметричное шифрование, тогде это 2 пары ключей - публичный и приватный сервера + публичный и приватный клиента. обмениваются публичными. шифруют парой свой приватный чужой публичный, расшифровывают наоборот. иначе где безопасность передачи ключа через вэб, да и в том же https возможно использование ключей из сертификатов, а там стопудово пара ключей.

по обсуждению смены UA - можно ссылку? почитаю

Как например https://xn--80awbbeioodeq4h3a.xn--p1ai/forum/viewtopic.php?f=3&t=921
Вообще параноидальные ресурсы постоянно развиваются в этом направлении, тут уже нужен норм движек который не даст вольничать яваскрипту. Для этого нужны бабки на разработку, для этого нужно чтоб хуман покупали, короче каждый страждущий должен продать хотябы несколько экземпляров и счастье станет ближе. Имхо однако, но уж очень вяло растет количество пользователей форума а рыночную экономику никто не отменял.
P.S. https://ru.wikipedia.org/wiki/TLS