forum.opennet.ru

"Представлен новый вид атаки по перехвату данных, передаваемы..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Представлен новый вид атаки по перехвату данных, передаваемы..."	–2 +/–
Сообщение от Xasd (ok), 07-Авг-13, 01:33
> Не понял - а что, так сложно не позволять исполнять незащищенный JS на защищенной странице? например заходишь ты на http://twitter.com и сервер тебя переадресовывает на httpS://twitter.com но это происходит в НОРМАЛЬНОМ случае.. ..а в случае атаки: ты заходишь на http://twitter.com и тут включается CRIME-скрипт (или как его там?) ВМЕСТО переадесации на httpS://twitter.com # P.S.: стоит ли говорить про http-закоговок ---- HTTP Strict Transport Security (?) , который уже не позволит второй раз зайти на http если ты уже бывал хоть раз на https. так-что Firefox можно сказать УЖЕ на 99% защищён от этой фигни , если разработчик сайта вспомнил про "HTTP Strict Transport Security" . а если разработчик не вспомнил про этот заголовок -- то Firefox тоже защищён (но менее чем на 99%) :)
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Представлен новый вид атаки по перехвату данных, передаваемы..., opennews, 06-Авг-13, 23:13 [смотреть все]

как хорошо что в последнем firefox убрали опцию noscript , Аноним, 06-Авг-13, 23:13 (1) //
- 171 Честному человеку скрывать нечего 187 , Аноним, 06-Авг-13, 23:19 (2) //
  - Все врут , JOO, 06-Авг-13, 23:36 (5) //
    - Врет ли врун, когда говорит, что он врет , Аноним, 06-Авг-13, 23:40 (7)
      - Рекурсия, Аноним, 07-Авг-13, 00:06 (9)
        
        Нет, всего лишь антиномия , Аноним, 07-Авг-13, 00:10 (12)
        Нет Это не рекурсия Что за манера сводить всё разнообразие проявлений окружающ, Ordu, 07-Авг-13, 00:16 (16)
        
        автореференция это, Gabrusenko, 07-Авг-13, 08:40 (25)
        
        Автореферентные высказывания, безусловно, относятся к рекуррентным возвратным ,, Аноним, 07-Авг-13, 13:31 (46)
        
        Спасибо тебе, что ты есть, мыслящий человек , X86, 10-Авг-13, 14:20 (68)
      - Уговорил Доформулирую Все лгут, но не всегда , JOO, 07-Авг-13, 00:33 (18)
        
        Как говорил Капитан Очевидность, я говорю правду всегда, кроме случаев, когда я, Аноним, 08-Авг-13, 23:52 (65)
      - Цирюльник в деревне занимается тем, что бреет тех людей, которые не бреются сами, Andrew Kolchoogin, 07-Авг-13, 07:22 (23)
        
        Оба ответа противоположных верны одновременно а Да, он бреется сам б Нет, ег, the joker, 07-Авг-13, 11:55 (36)
        
        Нет, он вообще не бреется Потому что автор поста выше забыл указать, что цирюль, Аноним, 08-Авг-13, 23:50 (64)
        
        Не бреет Он вообще не бреет бороду , Anonymous_Smoke, 07-Авг-13, 12:24 (40)
        Не он, а она , Аноним, 07-Авг-13, 13:30 (45)
        
        Цирюльник - индеец У них бороды не растут , Филимон Шорохов, 07-Авг-13, 14:21 (49)
      - Врет Врун всегда врет , Аноним, 07-Авг-13, 14:36 (50)
      - всё же не врёт, получается, Аноним, 07-Авг-13, 19:00 (55)
- Расширения ставить религия не позволяет , marks, 06-Авг-13, 23:31 (4) //
  - sarcasm Мозилловцы уже обсуждают необходимость выпилить API-функции, требуемые , Аноним, 06-Авг-13, 23:40 (6) //
    - Ссылочку приведете , Crazy Alex, 07-Авг-13, 00:09 (11)
      - Это инсайд , Аноним, 07-Авг-13, 00:10 (14)
        
        Это жирный троллинг, имхо , Аноним, 07-Авг-13, 11:50 (35)
        
        Увы, нет , Шакалик, 08-Авг-13, 02:07 (60)
    - только ради NoScript сижу на фоксе, неужели , хрюкотающий зелюк, 07-Авг-13, 09:17 (26)
  - Интересно какой логикой надо обладать что бы запилить по умолчанию недофаербаг, , Аноним, 07-Авг-13, 00:04 (8) //
    - 171 Целостность интерфейса 187 8482 же , Аноним, 07-Авг-13, 00:07 (10)
      - Кроме того это достаточно глубокое влезание в механику браузера Расширения ф, Аноним, 07-Авг-13, 11:47 (34)
        
        Обеспечение API для аддонов в core, как правило, гораздо сложнее реализации тех , Аноним, 08-Авг-13, 23:54 (66)
        Могу ещё раз повторить вопрос и переформулировать его Вот есть простой пользова, Аноним, 09-Авг-13, 00:44 (67)
    - Да не выкидывал фичу, там новость непонятно как писали Убрали из окошка настрое, Crazy Alex, 07-Авг-13, 00:10 (13)
    - Большинству не нужно, всё, можно выкидывать , Аноным, 07-Авг-13, 02:49 (22)
      - Пропаганда меньшинства запрещена , SubGun, 07-Авг-13, 10:20 (28)
        
        Меньшинства-то как раз под защитой А вот кто защитит большинство от этих самых , the joker, 07-Авг-13, 11:59 (37)
        
        Ссыкливое большинство, умеющее только гадить на форумах и мелкопакостить в Манеж, ИТтаджик, 07-Авг-13, 12:13 (38)
- Но при этом добавили опцию, блокирующую выполнение незащищенных скриптов на защи, Аноним, 07-Авг-13, 00:17 (17)
- Javascript тут не причём если предполижить что Javascript отключен -- то туже са, Xasd, 07-Авг-13, 01:41 (20) //
  - после чего соотв ауторити просто начнут выписку левых сертов и вся эта фигня, Аноним, 07-Авг-13, 11:29 (33) //
    - ды ауторити пусть хоть обвыписываются своими левыми сертифкатами, но всё равно э, Xasd, 07-Авг-13, 16:58 (52)
      - Поэтому MITM просто поставит свой DNS сервер без этой байды посередине Поскольк, Аноним, 07-Авг-13, 19:21 (56)
  - перепутал ту же самую атаку можно будет сделать всегда, если клиент браузер, пл, лох, 07-Авг-13, 13:31 (47) //
    - Вот это не обязательно, кстати Если на уровне протокола предусмотреть некий pad, Аноним, 07-Авг-13, 19:23 (57)
  - IFRAME NoScript тоже умеет блочить Это расширение вообще очень мощная штука для, Аноним, 07-Авг-13, 13:37 (48)
- убрали и павильно Если бы можно было для определенныз сацтов разрешать это одно, Аноним, 07-Авг-13, 07:38 (24) //
  - Б-ть, не печатайте на опеннет с тетрисов , Аноним, 07-Авг-13, 11:14 (30)
- Поэтому есть аддон NoScript, который куда более разумно поступает - позволяет вы, Аноним, 07-Авг-13, 11:13 (29)
Ох уж этот жабакод злоумышленника, Аноним, 06-Авг-13, 23:27 (3)
Не понял - а что, так сложно не позволять исполнять незащищенный JS на защищенно, Crazy Alex, 07-Авг-13, 00:11 (15) //
- например заходишь ты наhttp twitter comи сервер тебя переадресовывает наhttpS , Xasd, 07-Авг-13, 01:33 (19) //
  - а ежели сразу на https заходить, тогда, выходит, атака невозможно не лучше ль, Аноним, 07-Авг-13, 09:55 (27) //
    - Уже есть такой См eff org https-everywhere, Anonymouse, 07-Авг-13, 12:21 (39)
  - Свежий лис не грузит не-HTTPS контент на HTTPS страницах по умолчанию , Аноним, 07-Авг-13, 11:27 (32)
  - Ага, дошло Ну да, можно же через формы или ифреймы дергать раз за разом HTTPS-а, Crazy Alex, 07-Авг-13, 13:26 (44) //
    - верно , Xasd, 07-Авг-13, 17:01 (53)
- Нужно больше песочниц , Аноним, 07-Авг-13, 01:55 (21)
- Свежий 23-й лис кстати так и сделает - матюкнется что не шифрованный контент на , Аноним, 07-Авг-13, 11:26 (31)
Если есть выполнение на стороне браузера клиента JavaScript-кода злоумышленника, Аноним, 07-Авг-13, 12:54 (41)
костыли причём кривые, Нанобот, 07-Авг-13, 12:55 (42)
Подскажите плиз, если у апача отключить mod_deflate и mod_gzip, то эксплуатация , Аноним, 07-Авг-13, 13:15 (43) //
- хотел сказать, эксплуатация уязвимости будет невозможна , Аноним, 07-Авг-13, 15:17 (51)
очень понравился лаконичный ответ Игоря Сысоева gzip off от SSL-enabled sites -, Sylvia, 07-Авг-13, 18:06 (54) //
- Только у SSL еще встроенное сжатие zlib есть Это как раз соседняя атака Скольк, Аноним, 07-Авг-13, 19:24 (58) //
  - в nginx сжатие на уровне openssl давно отключено , Sylvia, 08-Авг-13, 07:25 (61)
- Бред сивой кобылиgzip относиться только к модулю HTTP , Аноним, 07-Авг-13, 21:03 (59) //
  - директива работает на любом блоке server втч и в случае listen 443 ssl и да, , Sylvia, 08-Авг-13, 07:27 (62)
if scheme https gzip off , Аноним, 08-Авг-13, 14:42 (63)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру