Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Раскрыты данные о взломах инфраструктуры VeriSign в 2010 году, opennews (?), 03-Фев-12, (0) [смотреть все] +1 Вирусы давно уже в мировых масштабах перенапрвляют вендоюзеров на свои собственн, Анониматор (?), 10:53 , 03-Фев-12, (1) +3 // Вы мыслите очень мелко и в обратном направлении Перенаправить виндоюзеров в масш, skJ (?), 11:32 , 03-Фев-12, (2) +13 // Причем всех включает в себя не только пользователей, но и сервера, обменивающи, тоже Аноним (ok), 11:51 , 03-Фев-12, (3) +8 Великое складывается из малого , D.B.Ktyby (?), 12:01 , 03-Фев-12, (5) А знаешь, правительство США нажавшее на верисайн так может сделать на раз-два-тр, Аноним (-), 14:25 , 03-Фев-12, (9) // Точно также как правительство РФ может надавить на удостоверяющий центр в РФ, уд, Аноним (-), 17:46 , 03-Фев-12, (31) В Христиании -- есть Чтоб правительство ещё меньше давило , Andrey Mitrofanov (?), 18:30 , 03-Фев-12, (34) +2 Куда уж меньше-то - P S Очень давно читал о них Было интересно Смутно пред, the joker (ok), 20:05 , 03-Фев-12, (37) Может При этом если честно мне не так уж важно, какое именно правительство или , Аноним (-), 00:58 , 04-Фев-12, (53) Тут, как в известном анекдоте, есть один нюанс При условии, что сайт поддержи, Anonplus (?), 13:51 , 03-Фев-12, (7)   // вирусу достаточно добавить свой CA в список системных и не будет , Анон (?), 20:10 , 03-Фев-12, (40)   // Иди расскажи это комодохакеру, лихо выписавшему себе сертификат дигинотаром кля, Аноним (-), 02:23 , 04-Фев-12, (68)   во-первых, как сказали выше, достаточно добавить 171 поддельный 187 сертифик, arisu (ok), 20:43 , 03-Фев-12, (47)   // Самое жесткое - что в случае взлома верисайнов и подобных ничего добавлять как р, Аноним (-), 02:18 , 04-Фев-12, (67)   Внезапно 1 Существуют не только вендоюзеры андройды, айосы, другие сервера , anonimous (?), 20:27 , 03-Фев-12, (45) интересно, на чём у них инфраструктура троль и какой очередной бсдссш винлват , ананим (?), 12:00 , 03-Фев-12, (4) –2 // эльф В прошлый раз помнится был виноват неизвестный 0day в винде, видимо позвол, Аноним (-), 14:28 , 03-Фев-12, (10) +4 потому что эта идея 171 сертификации 187 defective by design но до сих пор , arisu (ok), 13:15 , 03-Фев-12, (6) // Я честно говоря вообще не понимаю смысла в шифровании этого траффика Чего таког, Аноним (-), 14:29 , 03-Фев-12, (11) –2 // Ник пароль тоже в открытом виде передавать А никто не покоцает мой репозитор, MaMoHT (?), 15:12 , 03-Фев-12, (13) +5 // хеширование с солью никто не отменял Попробуйте sha512 соль пароль расшифрова, Иван Иванович Иванов (?), 15:24 , 03-Фев-12, (15) Это понятно, но результат вашего предложения - реализация соственного протокола-, MaMoHT (?), 15:42 , 03-Фев-12, (18) +1 Это вы минус поставили, да Так вот я вас огорчу - вы сейчас какую-то хрень выдум, Иван Иванович Иванов (?), 15:55 , 03-Фев-12, (20) –2 Почему у Вас реализация какой-то хрени на js, которую по какому-то недоразумен, Andrey Mitrofanov (?), 16:19 , 03-Фев-12, (23) Идея CA уже 500 раз доказала свою несостоятельность Полный контроль США за CA в, Иван Иванович Иванов (?), 16:32 , 03-Фев-12, (24) +1 Есть же не-сша центры Почему про них мало известно Провести акцию нормальные , playnet (ok), 16:54 , 03-Фев-12, (26) +1 Помнится был в Норвегии, который закрылся по известным причинам , Аноним (-), 19:28 , 03-Фев-12, (36) Получил допустим Вася в не-США центре сертификат того что он - Вася Сертифициро, Аноним (-), 02:33 , 04-Фев-12, (69) Вы со мной _спорите_ Я то же самое и написал -- получившая своё система CA , Andrey Mitrofanov (?), 17:16 , 03-Фев-12, (27) hmac не слышали , evgeny_t (ok), 16:13 , 03-Фев-12, (22) Я в курсе, а народ в теме нет , Иван Иванович Иванов (?), 16:34 , 03-Фев-12, (25) Извините, и как вы себе это представляете Причём тут расшифровка К тому, что в, Кирилл (??), 17:29 , 03-Фев-12, (30) Осталось придумать как передать пароль на сервер при регистрации через интернет , Аноним (-), 17:49 , 03-Фев-12, (32) +1 И как защитить хэш от перехвата, разница не велика войти в аккаунт под перехваче, Аноним (-), 18:06 , 03-Фев-12, (33) Битва набирала Всё смешалось, кони, перехват сессий---, Andrey Mitrofanov (?), 18:53 , 03-Фев-12, (35) +2 Легко Самый примитивный вариант sever - client а ты это правда ты Вот те lon, Аноним (-), 02:11 , 04-Фев-12, (65) +1 Эта схема подразумевает генерацию после успешной проверки сессионного идентифика, Аноним (-), 12:26 , 04-Фев-12, (75) Эта схема подразумевает что клиент и сервер где-то внутри себя знают пароль и мо, Аноним (-), 15:52 , 04-Фев-12, (78) Перечитайте начало ветки, здесь обсуждается заявление что использование хэшей дл, Аноним (-), 21:05 , 04-Фев-12, (79) вообще-то бОльшую при правильной реализации и тебе это изо всех сил пытались по, arisu (ok), 02:02 , 05-Фев-12, (81) Это вы отказывайтесь понять, что без шифрования всех данных в сеансе связи, кром, Аноним (-), 11:28 , 05-Фев-12, (93) а тебе тут пытались пояснить, что даже хэши надёжней, чем 171 шифрование 187 , arisu (ok), 12:43 , 05-Фев-12, (96) Не вижу никакого смысла в шифровании моей активности по браузингу публичного реп, Аноним (-), 16:07 , 06-Фев-12, (107) А как вы будете обеспечивать синхронность примеси Этот велосипед уже до Вас соз, Кирилл (??), 15:30 , 06-Фев-12, (99) ну сказали же простейший есть и 171 более другие 187 варианты но я так по, arisu (ok), 15:35 , 06-Фев-12, (101) Просто вы обмолвились об использовании рандомной примеси Вот и интересно, как в, Кирилл (??), 15:44 , 06-Фев-12, (104) я O_O с тех пор, как я таки зарегистрировался, я анонимусом уже не пишу и в ди, arisu (ok), 15:56 , 06-Фев-12, (106) Просто ты иногда похоже на меня мыслишь, наверное поэтому и путают Я бы даже ск, Аноним (-), 16:36 , 06-Фев-12, (109) взаимно - видимо, надо к каждому посту disclaimer добавлять наподобие 171 я, arisu (ok), 16:53 , 06-Фев-12, (114) Наверное именно поэтому методы аутентификации такого типа довольно стандартны дл, Аноним (-), 16:08 , 06-Фев-12, (108) Ну это да, для авторизованых юзеров оно оправдано Но для гуестов которые пришли, Аноним (-), 01:27 , 04-Фев-12, (54) Главное же, не путать аутентифткацию, про которую речь в связи с сертификатами, , Andrey Mitrofanov (?), 15:41 , 03-Фев-12, (17) // Анонимность браузинга публичного репа Факт моего конекта к нему виден по src ds, Аноним (-), 01:29 , 04-Фев-12, (55) Насчет публичный и всем доступен https github com plansЕсли бы гитхаб был п, тоже Аноним (ok), 16:04 , 03-Фев-12, (21) +2 // только непонятно, как отсюда вытекает 171 8230 потому давайте включим https , arisu (ok), 20:13 , 03-Фев-12, (41) Без HTTPS проснифить твои куки или пароль, если он будет в открытом виде переда, anonymous (??), 02:56 , 05-Фев-12, (82) +2 кэп что-то дофига вас развелось нынче а ты не думал, что я вполне, например, э, arisu (ok), 03:02 , 05-Фев-12, (83) Сделают от вашего имени троянский коммит в каком-нибудь проекте, который вам дов, Аноним (-), 11:35 , 05-Фев-12, (95) +1 бугога давай, я тебе дам пароль от аккаунта, а ты попробуешь сделать коммит, а , arisu (ok), 12:48 , 05-Фев-12, (97) Я бы ещё добавил, что имея возможность перехвата трафика, не представляет труда , Аноним (-), 11:32 , 05-Фев-12, (94) да наивно спрашивать, но всё таки тебе ничего не говорят слова 171 Diffie 8, arisu (ok), 12:56 , 05-Фев-12, (98) –1 Эти криведки никогда не слышали о подобных схемах Они только минусы умеют винти, Аноним (-), 16:44 , 06-Фев-12, (110) это костыль, в общем-то, а не полноценное решение потому я и сказал, что 171 , arisu (ok), 17:07 , 06-Фев-12, (117) Для точка-точка и передачей ключей курьером в запечатанном конверте вполне подхо, Кирилл (??), 17:20 , 06-Фев-12, (118) Механизм, конечно же есть, но он не массовый и с довольно муторной инфраструктур, Кирилл (??), 17:22 , 06-Фев-12, (119) Как же тогда публичные кодосвалки типа гиториуса работают до сих пор , Аноним (-), 01:29 , 04-Фев-12, (56) на самом деле гитхаб сделан для хомячков, так что я погорячился полагаю, авторы, arisu (ok), 20:10 , 03-Фев-12, (39) // Ну хоть какая-то польза научатся хорошей системой контроля версий пользоваться , Аноним (-), 01:30 , 04-Фев-12, (57) так приходят-то не потому, что https, а именно потому, что git а вот среди вари, arisu (ok), 01:33 , 04-Фев-12, (59) Ни разу не видел такого Скорее за удобные средства взаимодействия Хотя может о, Аноним (-), 01:58 , 04-Фев-12, (63) +1 ни одного, кстати, не нашёл какие-то непонятной ценности ошмётки неизвестно чег, arisu (ok), 02:08 , 04-Фев-12, (64) Да просто у некоторых и такого нет Вика у гитхаба кстати действительно угребищн, Аноним (-), 02:15 , 04-Фев-12, (66) пользуются и даже тем, что у гитхаба называется 171 багтрекер 187 тоже поль, arisu (ok), 02:34 , 04-Фев-12, (70) Можно я пользуясь случаем толкну long hateful rant Или несколко полезных сов, Аноним (-), 03:18 , 04-Фев-12, (72) Альтернатива , Аноним (-), 14:41 , 03-Фев-12, (12) +1 // чему , arisu (ok), 20:13 , 03-Фев-12, (42) Если считаешь её дефективной, значит есть с чем сравнивать , pavlinux (ok), 15:23 , 03-Фев-12, (14) +1 // значит, в ней есть известные дефекты fixed , Andrey Mitrofanov (?), 15:36 , 03-Фев-12, (16) +3 помимо того, что дефекты можно видеть и без сравнений, скажу ещё, что да, есть , arisu (ok), 20:14 , 03-Фев-12, (43) // Ариша - ответь на два вопроса 1 - пользуешь ли Вы он-лайн банкинг ,2 - и если д, Anonymouse (?), 20:51 , 03-Фев-12, (49) нет на всякий случай это не значит, что я не в курсе, что оно такое и как орга, arisu (ok), 21:44 , 03-Фев-12, (50) Скажи честно, что помешает митму при столь декоративной секурности этого протоко, Аноним (-), 01:32 , 04-Фев-12, (58) Категорические утверждения абсолютно неверны ц Как и в любом споре щита и меча, Michael Shigorin (ok), 00:07 , 05-Фев-12, (80) В случае криптографии факт взлома величина довольно-таки бинарная ваши данные и, Аноним (-), 16:47 , 06-Фев-12, (112) ну, не совсем так в принципе, иногда играет роль время, необходимое на дешифров, arisu (ok), 16:56 , 06-Фев-12, (115) Бывает и второй, и третьей, и сто пятидесятой свежести Это вопрос управления ри, Кирилл (??), 15:39 , 06-Фев-12, (103) В случае текущего механизма https оно вообще один сплошной большой риск , Аноним (-), 16:45 , 06-Фев-12, (111) Скажем, риск будет нарастать Но в инфраструктуру вложено слишком много средств , Кирилл (??), 17:25 , 06-Фев-12, (120) Поясните пожалуйста развернуто Ну и какие аналоги тогда должны использоваться , playnet (ok), 15:51 , 03-Фев-12, (19) // мнэ 8230 до сих пор кому-то надо пояснять, почему централизованые системы пус, arisu (ok), 20:17 , 03-Фев-12, (44) +1 Поясняю любой козел может кому угодно удостоверить что угодно в меру своей дуро, Аноним (-), 01:47 , 04-Фев-12, (61) Ну что, делаем ставки что еще подпишет себе ComodoHacker или кто-нибудь еще И бу, Аноним (-), 14:23 , 03-Фев-12, (8) Этого давно стоило ожидать Схема с УЦ довольно ущербная , Кирилл (??), 17:21 , 03-Фев-12, (28) // За сколько _лет_ до сообщений о Комодо начали этого ждать Вы Ваши посты на опен, Andrey Mitrofanov (?), 17:26 , 03-Фев-12, (29) // Изначально Со знакомства с SSL TLS-ом Другое дело, что я не склонен эту пробле, Кирилл (??), 15:33 , 06-Фев-12, (100) –1 А зачем конторе гарант доверия Она что, себе не доверяет , Аноним (-), 04:21 , 05-Фев-12, (86) // гарант нужен по логике ссл третьей стороне которая смотрит на сертификат, выд, arisu (ok), 04:27 , 05-Фев-12, (87) // Логика немножко странная, но приму во внимание И все-таки было бы неплохо ссыло, Аноним (-), 04:33 , 05-Фев-12, (88) // google i https, google i sslоно, кагбэ, всё на этом основано зайди у себя в , arisu (ok), 04:39 , 05-Фев-12, (89) Спасибо, поизучаю на досуге - , Аноним (-), 04:45 , 05-Фев-12, (90) Ну хорошо - тебе эта схема не нравится Я правильно понял Тогда предлагай что по, anonimouse (?), 05:13 , 05-Фев-12, (91) Не кольцо, а сеть В действительности эффективной массовой альтернативы нет , Кирилл (??), 15:35 , 06-Фев-12, (102) потому что её не сделали в принципе, даже 171 перекрёстные подписи 187 уже , arisu (ok), 15:45 , 06-Фев-12, (105) Можно для начала хотя-бы сохранять серт при первом визите сайта и смотреть не по, Аноним (-), 16:50 , 06-Фев-12, (113) оно, конечно, хорошо только слабо работоспособно проверено не только личным оп, arisu (ok), 17:00 , 06-Фев-12, (116) 1,4,6,8,28,86

Сообщения

[Сортировка по времени | RSS]

	7. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."	+/–
	Сообщение от Anonplus (?), 03-Фев-12, 13:51
	Тут, как в известном анекдоте, "есть один нюанс". При условии, что сайт поддерживает https, вирусы могут обперенаправляться до усеру, но браузер будет показывать, что сертификат самоподписанный/поддельный. А вот заломав VeriSign мы можем нагенерировать себе полностью валидные сертификаты для любого домена.
	Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

	40. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."	+/–
	Сообщение от Анон (?), 03-Фев-12, 20:10
	>При условии, что сайт поддерживает https, вирусы могут обперенаправляться до усеру, но браузер будет показывать, что сертификат самоподписанный/поддельный. вирусу достаточно добавить свой CA в список системных и не будет.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."	+/–
	Сообщение от Аноним (-), 04-Фев-12, 02:23
	> вирусу достаточно добавить свой CA в список системных и не будет. Иди расскажи это комодохакеру, лихо выписавшему себе сертификат "дигинотаром клянусь, я весь из себя гугл, мозилла, скайп и яху". В браузерах по дефолту некислая пачка дятлов внесена как "trusted" CA. И любой из этой оравы может удостоверить кому угодно чего угодно. И когда их 1500 штук - логично что их _будут_ ломать и лихо удостоверять что вот я - это пэйпэл и ваш банк, так что давайте ваши пароли сюда!
	Ответить | Правка | Наверх | Cообщить модератору

	47. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."	+/–
	Сообщение от arisu (ok), 03-Фев-12, 20:43
	> Тут, как в известном анекдоте, «есть один нюанс». При условии, что сайт > поддерживает https, вирусы могут обперенаправляться до усеру, но браузер будет показывать, > что сертификат самоподписанный/поддельный. А вот заломав VeriSign мы можем нагенерировать > себе полностью валидные сертификаты для любого домена. во-первых, как сказали выше, достаточно добавить «поддельный» сертификат в пул — и ОПА! уже никто ничего не говорит. во-вторых, большинство юзеров вообще не читает страшного окна с воплями о сертификатах, и знать об этом ничего не желает: им надо, блин, билеты в театр купить, а не разбираться в том, «что это от них хочет дурацкий компьютер». ничего хорошего в таком положении дел нет, конечно, но: немалая вина в том, что пользователи игнорируют подобные предупреждения, лежит и на самой неудобоваримой системе «fraud prevention». в том числе и на диалогах в браузерах, где без пол-литры так сразу и не разберёшься.
	Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

	67. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."	+/–
	Сообщение от Аноним (-), 04-Фев-12, 02:18
	> во-первых, как сказали выше, достаточно добавить «поддельный» сертификат в > пул — и ОПА! уже никто ничего не говорит. Самое жесткое - что в случае взлома верисайнов и подобных ничего добавлять как раз и не надо. Они и так уже в пуле trusted CA висят и все что они подписывают будет захавано за чистую монету. А вот это уже реальная подстава, я бы сказал. Потому что достаточно взломать одного из "типа доверяемых" CA и от его лица выписать кому-то что-то. И все остальные это скушают. Жопа а не протокол.
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема