forum.opennet.ru

"Представлен первый успешный способ атаки на SSL/TLS"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Второй уровень иерархии тем в форуме реализован через вкладку "Показ ключевых тем".

. "Представлен первый успешный способ атаки на SSL/TLS"	+2 +/–
Сообщение от follow_me (?), 20-Сен-11, 13:21
Потому что должен быть подконтрольный шлюз через который ходит жертва в интернет через который можно снифать трафик то есть одно из минимальных условий то, что злоумышленник должен контролировать шлюз вашего провайдера или WiFi через который выходит человек это более серьезное условие чем просто IFRAME хотя самое страшное то что позволит к примеру самим операторам снифать защищенный трафик и дешифровать его. И инъекция постороннего кода для них не составит проблем
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Представлен первый успешный способ атаки на SSL/TLS, opennews, 20-Сен-11, 10:29 [смотреть все]

Это серьезно , jedie, 20-Сен-11, 10:29 (1) //
- При таком количестве условий, при которых возможна атака, она становится очень , Онаним, 20-Сен-11, 10:38 (2) //
  - Т е при тщательной подготовке все-таки возможна , Rom1, 20-Сен-11, 10:47 (4) //
    - А до выхода нового протокола NoScript лишний раз нам друг и товарищ, так что пос, Аноним, 20-Сен-11, 14:46 (60)
  - Не вижу каких то больших условий Встраиваем IFRAME В каком то левом сайте И в, jedie, 20-Сен-11, 11:09 (19) //
    - нет, koloboid, 20-Сен-11, 12:24 (41)
      - А почему это нет , ммм, 20-Сен-11, 13:05 (45)
        
        Потому что должен быть подконтрольный шлюз через который ходит жертва в интернет , follow_me, 20-Сен-11, 13:21 (52)
        
        Цена вопроса - пятсот баксов сисадмину провайдера И все Продаются все Вопрос , Аноним, 20-Сен-11, 14:33 (59)
        
        Нет , Michael Shigorin, 20-Сен-11, 14:47 (61)
        
        Твои хотелки, Майк, не есть реальность К сожалению Я бы тоже хотел, чтобы был , Аноним, 20-Сен-11, 17:13 (99)
        
        Хотелки хотелками, а ответ на утверждение остаётся в силе Мне известны не продав, Michael Shigorin, 20-Сен-11, 17:52 (107)
        
        В фортунки , Anonymouse, 20-Сен-11, 18:36 (109)
        
        Я являюсь начальником IT отдела у ISP Провернуть подобное, в масштабах всей сет, Анонимоус, 20-Сен-11, 21:32 (115)
        
        А также 1 Фиктивная точка доступа 2 Флуд свичей и спуфинг3 Просто наглейший, Аноним, 20-Сен-11, 14:48 (63)
        За недельную зарплату получить вполне реальный шанс оказаться на нарах с перелом, ezhik, 20-Сен-11, 16:36 (85)
        
        холодно Я видел, как сисадмин за угрозу сесть вполне легально открывает доступ, Аноним, 20-Сен-11, 17:15 (101)
        
        offtopic Почти уверен, что нет offtopic , Тоже аноним, 21-Сен-11, 17:51 (140)
        
        Не забывайте о не зашифрованном WiFi - а такие мети стоят в большинстве публичны, linalex, 20-Сен-11, 15:10 (74)
        
        Вы уверены, что когда мне нужно будет провести банковскую транзакцию или для чег, ezhik, 20-Сен-11, 16:29 (84)
        
        С развитием online-банкинга уже типично перед покупкой залезть со смартфона план, Аноним, 20-Сен-11, 16:45 (88)
        Если у тебя не будет ДРУГОЙ возможности провести транзакцию, а транзакцию провес, Аноним, 20-Сен-11, 17:23 (104)
  - Ну-ну При цене вопроса - перехват банковской сессии - можно выполнить ЛЮБОЕ к, Аноним, 20-Сен-11, 11:13 (23) //
    - Там еще трафик надо контролировать Думается мне - проще трояна подсадить на ну, Онаним, 20-Сен-11, 13:20 (51)
      - Большая проблема создать фиктивную точку доступа WiFi На которую затянуть соеди, Аноним, 20-Сен-11, 14:32 (58)
        
        К сожалению это сделать чуть ли не проще чем JavaScript в IFRAME , Rom1, 20-Сен-11, 15:20 (76)
        Как два пальца - Семеныч, ну чо ты уже перевел лимон баксов кому надо - Нее, П, ezhik, 20-Сен-11, 16:42 (87)
        
        Не ломанется на WiFi так кабель в подьезде подвале люке разрезать не долго, Аноним, 20-Сен-11, 17:02 (92)
        
        Повторяю для тех, кто на бронепоезде Все зависит от ЦЕНЫ ВОПРОСА За червонец , Аноним, 20-Сен-11, 17:24 (105)
  - Собирать аккаунты можно элементарно Создаешь свою точку доступа к каком-нибудь , Аноним, 20-Сен-11, 15:28 (77) //
    - И зачем тебе в таких условиях SSL ломать Ты насобираешь паролей от кучи аккаунт, ezhik, 20-Сен-11, 16:49 (89)
      - Ты точно уверен, что не пойдет Бывают совершенно патовые ситуации, когда НАДО, , Аноним, 20-Сен-11, 17:17 (102)
  - В реальных условиях наверное целая контора нужна для организации такой атаки Од, Аноним Ус, 21-Сен-11, 02:28 (121) //
    - Как минимум нужно разработать более надежный , jedie, 21-Сен-11, 05:48 (123)
- То есть теперь, чтобы зайти в банковский аккаунт, нужно закрыть браузер чтобы н, ezhik, 20-Сен-11, 13:05 (46) //
  - Одно окно браузера, NoScript , плюс только минимально необходимое время в сети , Аноним Ус, 21-Сен-11, 02:31 (122)
не открывая левых окон можно не особо беспокоиться за шифрование , Аноним, 20-Сен-11, 10:41 (3) //
- iframe же, Аноним, 20-Сен-11, 11:05 (13) //
  - iframe еще и внедрить надо, koloboid, 20-Сен-11, 12:24 (40) //
    - что там внедрять подменяем скрип рисующий популярные нынче кнопочки, типа доба, aaa, 20-Сен-11, 16:02 (81)
Как я понимаю, полная изоляция вкладок броузера друг от друга в значительной сте, vadiml, 20-Сен-11, 10:47 (5) //
- А что они не изолированы Какой ужас , anonymous, 20-Сен-11, 10:50 (6) //
  - Да просто конекция реюзается, на свою задницу Оптимизация скорости выходит боко, Аноним, 20-Сен-11, 14:51 (66)
- Изоляция вкладок не поможет, все равно почти все браузеры для одного сайта, откр, Аноним, 20-Сен-11, 10:54 (7) //
  - У Хромиума, вроде как, задавалось с командной строки, per-tab или per-site Или , Аноним, 20-Сен-11, 11:22 (24) //
    - Да, это только рендеринг С private prowsing попутали, небось , Имя, 20-Сен-11, 11:43 (34)
- Угу, щаз Изолировать надо ключи и локальный сторадж Корочч -- по отдельному , Andrey Mitrofanov, 20-Сен-11, 10:56 (8)
- Ну на самом деле вкладки и так изолированы друг от друга, если бы было не так то, Дмитрий, 20-Сен-11, 11:01 (11)
- Написанно коряво, суть в отправки данных js со страницы одного сайта в контексте, cmp, 20-Сен-11, 11:11 (20) //
  - Реферрер не спасет, так как его проверка возможно только ПОСЛЕ установки ссл сес, samm, 20-Сен-11, 14:29 (57) //
    - Дык перехват и происходит после установки сессии, а реферер скажет - есть ли пре, cmp, 20-Сен-11, 16:56 (90)
хреново блин кастую TLSv2 перефразируйте пожалуйста, не по-русски оно , koloboid, 20-Сен-11, 10:56 (9) //
- А кастую типа по-русски , Cub, 20-Сен-11, 13:19 (49)
- Уже есть TLS 1 1 https secure wikimedia org wikipedia en wiki Transport_Layer, solardiz, 20-Сен-11, 14:24 (56)
NoScript спасет отцов русской демократии , дикий анон, 20-Сен-11, 11:00 (10) //
- нет, Дмитрий, 20-Сен-11, 11:02 (12)
- Ага То-то я смотрю на нем щас все переписывают Начиная от qt и заканчивая целы, Корж, 20-Сен-11, 11:06 (15) //
  - на чём переписывают , Макс, 20-Сен-11, 15:07 (73)
- Не спасет Принципиальная уязвимость реализации костылем не закрывается No Scri, Аноним, 20-Сен-11, 11:12 (21) //
  - Пользователи ноускрипта просто разрешают нужные сайты Нормальные люди навигацию, Lain_13, 20-Сен-11, 11:35 (28) //
    - И почему же перестал , Аноним, 20-Сен-11, 11:39 (30)
    - А что, AdBlock и Squid уже отменили с баннерорезками , Аноним, 20-Сен-11, 13:18 (47)
      - Squid - редкое явление у крупных провайдеров и просто на безлимитных тарифах Тем, XoRe, 21-Сен-11, 12:31 (130)
    - Хомяки и слов таких не знают, а именно они создают основной вал инет-торговли , Кирилл, 20-Сен-11, 15:02 (70)
    - связанно это только-ЛИШЬ с тем что есть опасность неработоспособности такого сай, Xasd, 20-Сен-11, 15:15 (75)
  - Кошерно Почитай комменты к новости про браузер Dillo , Аноним, 20-Сен-11, 11:42 (33)
  - Уже довольно давно пользуюсь NoScript Большинство юзабельны без JS да, кое что, MrClon, 20-Сен-11, 13:19 (48) //
    - Да-да, CA тоже доверенные Как бы Были И типа доверенные сайты не ломаются, да, Аноним, 20-Сен-11, 14:48 (62)
  - Пробовали , Michael Shigorin, 20-Сен-11, 14:50 (65)
- Против MITM тебя никакой NoScript не спасет Просто скрипты будут встраиваться в, Аноним, 20-Сен-11, 17:13 (100)
Интернет давно себя дискредитировал Создаваясь как средство военной коммуникаци, Аноним, 20-Сен-11, 11:06 (14) //
- То ли дело векторный гипертекстовый фидонет , Вова, 20-Сен-11, 11:08 (16)
- Гипертекстовый Национаолтьный С поэтессами , Andrey Mitrofanov, 20-Сен-11, 11:08 (17)
- Мицг 243 л, невозбр 225 нно залогиньтесь уж 233 FTN в этом плане на порядок , Аноним, 20-Сен-11, 11:30 (26) //
  - Можно подробнее с этого места И что мне мешает делать обмен с любой нодой, если, ffirefox, 20-Сен-11, 12:42 (43) //
    - Нодой 8212 ничто не мешает, идете, договариваетесь о пиринге, оно работает Т, Аноним, 20-Сен-11, 15:00 (67)
Не совсем понятно причём тут сам протокол TLS Объединять запросы разных вкладок, Аноним, 20-Сен-11, 11:26 (25) //
- Вот как бы, да Например, относится ли все написанное к, например, IMAP4-клиента, Аноним, 20-Сен-11, 11:33 (27) //
  - на самом деле тоже относится но просто должнабыть какаято другая схема экпл, Xasd, 20-Сен-11, 15:49 (80) //
    - А оно вообще в принципе доработано может быть Насколько мне известно оно надо , Аноним, 20-Сен-11, 16:38 (86)
      - вектор инициализации не связан с генерацией ключей он используется в проц, Xasd, 20-Сен-11, 17:02 (93)
        
        Насколько я понимаю расшифровка определение ключа идет не на основе нахождения, Аноним, 20-Сен-11, 18:16 (108)
    - SMTP-сервер добавит к Вашим письмам с эталонными данными совсем не эталонные заг, Moomintroll, 20-Сен-11, 17:01 (91)
      - эт Вы верно подметили один такой случайный заголовок находящийся ПЕРЕД данны, Xasd, 20-Сен-11, 17:05 (95)
Ура Давно пора , Аноним, 20-Сен-11, 11:38 (29)
Зачем такие сложности Headless webkit публичная точка доступа wifiрепроксирован, Аноним, 20-Сен-11, 11:41 (31) //
- Честно говоря не понял Если удаленный узел принудительно перенаправляет соедине, KOL, 20-Сен-11, 17:09 (96) //
  - отвечая на ваш вопрос что делать можно-ну, тут в одной недетской конторе безопас, zerot, 20-Сен-11, 21:46 (116) //
    - Навскидку, разместить iframe в том же личном кабинете провайдера гораздо проще, , KOL, 20-Сен-11, 23:31 (119)
    - Но дальше оказывается, что этот издательский микрософтовый Какой онанизм В усло, Chief Security II, 21-Сен-11, 15:39 (139)
Разве возможность зашифровать данные, посмотреть результат шифрования и НЕ узнат, Аноним, 20-Сен-11, 11:42 (32) //
- В данном случае незашифрованные данные известны, их генерирует используемый для , Аноним, 20-Сен-11, 12:29 (42)
Прошу прощения, но он не Тай Данг, а Тхай Дыонг Поправьте, пожалуйста, если мож, Yakov Markovitch, 20-Сен-11, 11:50 (36) //
- Откуда такая информация в языках от латинского в Th h не читается И обычно, fi, 20-Сен-11, 18:49 (110) //
  - C каких пор китайский берет начало в латинском языке D, sndev, 20-Сен-11, 19:36 (114) //
    - А что Thai - это китайские иероглифы , fi, 22-Сен-11, 12:45 (145)
  - Это даже не китайский - это вьетнамский Он вьетнамец Th 225 i D 432 417 ng, Yakov Markovitch, 20-Сен-11, 23:33 (120)
Так А вот, например, если браузер и вебсервер новый openssl больше какой-то ве, Stax, 20-Сен-11, 12:17 (39) //
- Camellia патентована И - где она повсеместно на серверах А - самое главное - п, Аноним, 20-Сен-11, 13:20 (50) //
  - Ну, любой сервер на текущей версии редхата центоси SL как минимум по умолчанию п, Stax, 20-Сен-11, 17:12 (98) //
    - Вот мне тоже это интересно, почему именно AES Зная алгоритм шифрования, исходн, Аноним, 20-Сен-11, 18:57 (112)
И всё равно неповоротливые задницы миллиардеров не пошевелятся, чтобы что-то изм, Аноним, 20-Сен-11, 12:59 (44) //
- Ты притворяешься или и правда клиника Сколько времени что-то становится стандар, Аноним, 20-Сен-11, 13:21 (53) //
  - Да его с самого начало нужно было закапать, что собственно и выразилось в выпуск, fi, 20-Сен-11, 18:53 (111)
То есть, обе вкладки будут юзать одну и туже SSL сессию Яваскрипт будет отправл, Pentarh, 20-Сен-11, 13:27 (54)
Абалдеть D Дяденьки открыли классический криптоанализ с возможностью генерации, Аноним, 20-Сен-11, 14:05 (55) //
- Salt вычисляется по известному алгоритму Курить матчасть до просветления , Аноним, 20-Сен-11, 14:49 (64) //
  - Salt вычисляетсяА не берётся случайно , Аноним, 20-Сен-11, 15:00 (69) //
    - Случайного в компе, увы, нет , Кирилл, 20-Сен-11, 15:04 (72)
      - а у меня в компе есть dev random и чуть-меннее-случайный dev urandom с, Xasd, 20-Сен-11, 15:33 (78)
        
        Толку то, примесь вычисляется , Кирилл, 20-Сен-11, 16:14 (83)
        Ты просто трындишь dev random не является полноценным аппаратным рандомизатором, Аноним, 20-Сен-11, 17:21 (103)
        
        зачем мне на домашнем компьютере на котором установлен www-браузер с поддержкой, Xasd, 20-Сен-11, 17:32 (106)
        ну, товарищ привёл неудачный примера если так - в качестве демонстрации идеи ta, zerot, 20-Сен-11, 21:52 (117)
        
        Ну допустим получили, а как потом не зная этой соли на принимающей стороне расши, Аноним, 20-Сен-11, 23:10 (118)
        
        Да никак Соль или Примесь задаётся заранее известным алгоритмом или из таблиц, Кирилл, 21-Сен-11, 11:16 (126)
        
        Отсыпь , Аноним, 21-Сен-11, 14:19 (133)
    - man генератор псевдослучайных чисел, Аноним, 20-Сен-11, 17:04 (94)
В общем, если пользуетесь платежами по карточке, то держите открытым только одно, Кирилл, 20-Сен-11, 15:00 (68) //
- именно плюсую - а ещё с увелечением числа CSRF-уязвимостей в интернетах , Xasd, 20-Сен-11, 15:37 (79)
- Можно пользоваться каким-то одним браузером только для банка Например, FF - для , XoRe, 21-Сен-11, 12:44 (132)
платные или собственные vpn-аккаунты внезапно должны стать очень популярными , stimpack, 20-Сен-11, 16:11 (82)
А для параноиков лучше ходить лично на рынок там камер меньше и покупать за на, Аноним, 21-Сен-11, 09:11 (124) //
- Так и делаем, плюс своё в качестве дизель-генератора , Michael Shigorin, 21-Сен-11, 11:46 (128)
Используйте одноразовые пароли как в телебанке ВТБ24 и вам не будет страшен ника, Стас Агарков, 21-Сен-11, 12:00 (129) //
- И как эти пароли защищают от MitM Даже на википедии в первых строках Использ, scor, 21-Сен-11, 14:39 (136)
Насчет сниффания - может и не нужно, если удастся похитрить с DNS Подставить сво, XoRe, 21-Сен-11, 12:41 (131) //
- Да чего вы до него докапались-то Хватит адекватной реализации любого сильного ал, Аноним, 21-Сен-11, 14:28 (135) //
  - А почему-бы и нет Шифр не требователен к ресурсам проца При текущих объемах жест, XoRe, 22-Сен-11, 03:00 (142)
Не понятно причём здесь недостатки протоколов, если взломаются сообщения зашифро, Макар Жук, 21-Сен-11, 14:23 (134) //
- Я так понял, сообщения шифруются одним ключиком в течение всего сеанса или доста, Аноним, 21-Сен-11, 14:39 (137) //
  - Я не думают что алгоритм не проверили на стойкость к этому виду атаки, прежде че, Макар Жук, 21-Сен-11, 15:12 (138) //
    - Надо детально смотреть, что и как они там поломали Честно, мне - лень D, Аноним, 21-Сен-11, 21:09 (141)
    - Грубо говоря Дано - есть функция хеширования xor - есть исходные данные - есть р, XoRe, 22-Сен-11, 03:05 (143)
      - Хеширование и шифрование это не одно и тоже, так что предложенный алгоритм не пр, Макар Жук, 22-Сен-11, 09:41 (144)
        
        И, битовая операция XOR исключающее ИЛИ - это тоже совсем не шифрование , Аноним, 22-Сен-11, 22:55 (146)
        
        И не хеширование , Аноним, 22-Сен-11, 22:56 (147)
        
        И когда уже эта фигня про xor-шифрование перестанет проникать в неокрепшие умы, Аноним, 22-Сен-11, 22:57 (148)
        
        Шифр вернама как раз работает через xor И считается абсолютно стойким шифром , XoRe, 23-Сен-11, 01:25 (150)
        
        Шифр Вернама работает через ключ гаммирования длины длине открытого текста Г, Аноним, 23-Сен-11, 12:34 (152)
        
        Ну да Нагенерить несколько гигов рандомных данных, обменяться этими гигами, и ши, XoRe, 24-Сен-11, 02:13 (153)
        
        Все такие умные Знают правильные определения А подумать дальше определений - пон, XoRe, 23-Сен-11, 01:24 (149)
        
        Вот в этом можно попробовать и есть вся соль , Аноним, 23-Сен-11, 12:29 (151)
        
        AES уже попробовали Слава богу, что каждый протокол нужно взламывать в частном п, XoRe, 24-Сен-11, 02:15 (154)
        
        Разве тут что-то было про aes , Аноним, 24-Сен-11, 14:23 (155)
        
        JavaScript-код используется для отправки на сайт, с которым работает жертва, фик, XoRe, 24-Сен-11, 16:20 (156)
        E Уязвимость _в протоколе_ SSL AES вполне себе живой , Аноним, 24-Сен-11, 17:29 (157)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру