OpenForum RSS: Новая техника атаки на SSL, которой подвержены 33&#037; HTTPS-сайтов https://opennet.ru/openforum/vsluhforumID3/106974.html В выпущенных сегодня обновлениях библиотеки OpenSSL 1.0.1s (https://mta.openssl.org/pipermail/openssl-announce/2016-March/000064.html) и 1.0.2g (https://mta.openssl.org/pipermail/openssl-announce/2016-March/000065.html) устранена опасная уязвимость (https://mta.openssl.org/pipermail/openssl-announce/2016-March/000066.html) (CVE-2016-0800), позволяющая совершить новый вид атаки на HTTPS - DROWN (https://drownattack.com/). Уязвимость не специфична для OpenSSL и затрагивает непосредственно протокол SSLv2, который в 2011 году переведён (https://tools.ietf.org/html/rfc6176) в разряд устаревших. Тем не менее проблема остаётся актуальной, применима к защищённым сеансам TLS и затрагивает приблизительно 33% всех сайтов, доступных по HTTPS, или 25% из миллиона крупнейших сайтов в Сети. <br><br><br><br>Атака позволяет получить контроль над шифрованным каналом связи, если предварительно атакующим удалось получить контроль над промежуточным шлюзом или вынудить пользователя подключиться к подконтрольному атакующим серверу доступа. Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS... (Аноним) https://opennet.ru/openforum/vsluhforumID3/106974.html#52 Sat, 05 Mar 2016 01:13:26 GMT А зачем оно надо? Сжимать данные надо до этапа шифрования.<br> Новая техника атаки на SSL, которой подвержены 33% HTTPS-сай... (Аноним) https://opennet.ru/openforum/vsluhforumID3/106974.html#51 Sat, 05 Mar 2016 01:11:39 GMT Поставь на всех концах uBlock. Обязательно на роутере рекламу резать?<br> Новая техника атаки на SSL, которой подвержены 33% HTTPS-сай... (Нимано) https://opennet.ru/openforum/vsluhforumID3/106974.html#50 Fri, 04 Mar 2016 12:05:36 GMT &gt;&gt;&gt; Внезапно: пароли вообще передавать не обязательно.<br>&gt; А что тогда передавать? Отпечатки пальцев или скан сетчатки глаз?<br><br>Навскидку, примитивно-наивный, самопальный метод:<br>send(Vasyan:sha256(timestamp + sha256(password)) )<br>или<br>send(Vasyan:PBKDF2(timestamp + PBKDF2(password)) )<br><br>А еще можно этим самым паролем шифровать. <br>send(Vasyan:encrypt("это я!" + timestamp, pbkdf2(password)))<br><br>А так &#8211; много их, как устаревших, так и не очень и вместо глупой попытки съязвить, мусье мог бы и поинтересоваться и погуглить:<br>https://ru.wikipedia.org/wiki/Вызов-ответ_(аутентификация)<br>https://ru.wikipedia.org/wiki/SCRAM<br>https://ru.wikipedia.org/wiki/SRP<br>https://ru.wikipedia.org/wiki/OCRA<br>https://ru.wikipedia.org/wiki/CRAM-MD5<br>https://ru.wikipedia.org/wiki/CHAP<br>https://ru.wikipedia.org/wiki/Протокол_Диффи_&#8212;_Хеллмана<br><br><br> Новая техника атаки на SSL, которой подвержены 33% HTTPS-сай... (Аноним) https://opennet.ru/openforum/vsluhforumID3/106974.html#49 Fri, 04 Mar 2016 07:56:38 GMT &gt;&gt; Внезапно: пароли вообще передавать не обязательно.<br><br>А что тогда передавать? Отпечатки пальцев или скан сетчатки глаз? <br> Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS... (Andrey Mitrofanov) https://opennet.ru/openforum/vsluhforumID3/106974.html#48 Thu, 03 Mar 2016 07:02:01 GMT &gt; чем бесплатные не устраивают? даже на халяву и то лень нормально настроить <br><br>Бесплатные вдмины-то? :-&lt;<br> Новая техника больших 'друзей' (Andrey Mitrofanov) https://opennet.ru/openforum/vsluhforumID3/106974.html#47 Thu, 03 Mar 2016 06:47:12 GMT Отлично, самый большой "дрруг" по-прежнему забоитится о нас. Эмблему, имя собственное, отдельный сайт, и отдельную новость на опенет!, на каждый чих ^W патч.<br><br>"И вот теперь, начиная с 2013-го года, у нас простые ошибки в СПО (неисправность в строке или двух) попадают в центр внимания и получают имена собственные, эмблемы и пр., при этом критические "zero-day" дефекты от самого Майкрософт-а едва ли попадают в заголовки."<br><br>http://www.opennet.ru/openforum/vsluhforumID3/105391.html#15<br><br>***Хорошо, что у нас тут не RSDN-какой, а то б каждый вторник по 150 эмблем-кликух-сайтов и отдельных новостей! Во ихние админы мучаются-то?!<br> Новая техника атаки на SSL, которой подвержены 33% HTTPS-сай... (Аноним) https://opennet.ru/openforum/vsluhforumID3/106974.html#46 Wed, 02 Mar 2016 18:36:57 GMT &gt; А что добро? Открытое соединение где даже уязвимостей ну нужно чтобы слушать? <br>&gt; Или ты свой протокол изобрёл?<br><br>И не говорите!!!<br>Так многие лохи и на улицу до сих пор в XXI веке без черных очков выходят, что их и без специальных приборов узнать можно.<br><br><br> Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS... (Аноним) https://opennet.ru/openforum/vsluhforumID3/106974.html#45 Wed, 02 Mar 2016 18:05:58 GMT Полечилось пересборкой curl, вдруг кому пригодится. <br> Новая техника атаки на SSL/TLS, которой подвержены 33% HTTPS... (Аноним) https://opennet.ru/openforum/vsluhforumID3/106974.html#44 Wed, 02 Mar 2016 17:58:34 GMT А вот и результат. Собираю git-2.7.2 в Gentoo:<br><br>/usr/lib/gcc/x86_64-pc-linux-gnu/5.3.0/../../../../lib64/libcurl.so: undefined reference to `SSLv2_client_method'<br><br>Идти в багзиллу или подождать день-другой... <br>