<font face="arial" size="2"><p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;">> Michael Richardson <span style="color: #000000; font-family: monospace; font-size: 12.09px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial; display: inline !important; float: none;"><</span><a style="color: #0066cc; text-decoration: none; outline: none; font-family: monospace; font-size: 12.09px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff;">mcr@sandelman.ca</a><span style="color: #000000; font-family: monospace; font-size: 12.09px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial; display: inline !important; float: none;">> wrote:</span></p>
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;">></p>
<div id="SafeStyles1637169955">
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;">> David P. Reed <dpreed@deepplum.com> wrote:<br />> > The mechanism for MITM'ing HTTPS connections is well known. I don't<br />> > intend to detail it here, but it is based on the fact that certs aren't<br />> > properly validated by client-end software and server-end software.<br />> <br />> No, this is just not the case.<br />> While there are occasionally issues that affect some strange corner case,<br />> there are no issues in browsers available on any platforms I know of.</p>
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;">Well, I'd suggest reading this. Since I've been following this for years, I can't testify that these flaws are not fixed on ALL servers, but I really suspect most of these still work, and there are more. In theory, https can be made safe from MITM, in practice, theory doesn't tend to apply. (I am aware of techniques that may work beyond those in this web page, but I don't share them until they have known fixes widely published and deployable). Even HSTS isn't "standard" in nginx, for example.</p>
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;"><span style="color: #000000; font-family: arial; font-size: 13.3333px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial; display: inline !important; float: none;"><a href="https://labs.detectify.com/2018/11/29/abuse-mitm-regardless-of-https/">https://labs.detectify.com/2018/11/29/abuse-mitm-regardless-of-https/</a></span></p>
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;"> </p>
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;"><span style="color: #000000; font-family: arial; font-size: 13.3333px; font-style: normal; font-variant-ligatures: normal; font-variant-caps: normal; font-weight: 400; letter-spacing: normal; orphans: 2; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-stroke-width: 0px; background-color: #ffffff; text-decoration-thickness: initial; text-decoration-style: initial; text-decoration-color: initial; display: inline !important; float: none;">I have chosen not to fly for the last two years, so I can't testify whether GoGo Internet has finally fixed its bufferbloat problem, or whether it intercepts HTTPS with a MITM attack.</span></p>
<p style="margin:0;padding:0;font-family: arial; font-size: 10pt; overflow-wrap: break-word;"><br />> <br />> It can only be done in Enterprise cases where the Enterprise uses a<br />> management system to push new anchors. That part is "well-known".<br />> <br />> As for blaming protocols when the fault is bufferbloat, you are definitely<br />> right on.<br />> -------------- next part --------------<br /><br /></p>
</div></font>