U TLS protokolu postoji SNI polje, Server Name Indication. U slučaju browsera tu piše domen sajta koji posećujemo, uvek i nešifrovan. Tako da i ako koristite DoH(DNS over HTTPS) dzaba jer domen i dalje pise SNI polju koje svako može da čita. Ovaj problem rešava ESNI (Encrypted SNI) koji radi u verziju 1.3 TLS-a i to je Kina počela da blokira od skoro.
3 Likes
Ko hoce da se igra sa prethodnim verzijama, evo filtera koji lepo radi (ukraden sa so):
tshark -p -Tfields -e ssl.handshake.extensions_server_name -Y 'ssl.handshake.extension.type == "server_name"'
Pokrenuo sam ga na mom vpn serveru, okacio se sa telefona na vpn i za 2 minuta pokupio gomilu domena (mahom api endpointa) iz aplikacija koje koristim.
Nisu preterano upotrebljivi podaci ali lepa je ilustracija sta sve moze neko usput da pokupi bez obzira na https i bez invazivnog mitm snifovanja.
2 Likes
jako fin oneliner