The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Tor и Firefox не подвержены атаке против SSL/TLS "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от opennews (??) on 28-Сен-11, 16:38 
Разработчики Firefox проанализировали (https://blog.mozilla.com/security/2011/09/27/attack-against-.../) подверженность браузера недавно анонсированному (https://www.opennet.ru/opennews/art.shtml?num=31797) методу атаки против SSL/TLS, позволяющему на промежуточном шлюзе организовать перехват передаваемого в рамках зашифрованного соединения Cookie с параметрами аутентификации пользовательской сессии. В итоге, был сделан вывод, что несмотря на использование TLS 1.0, Firefox не подвержен данной проблеме, так как без задействования дополнительных плагинов невозможно обеспечить необходимые для проведения атаки условия (полный контроль за содержимым соединения). Тем не менее, сообщается, что атака теоретически может быть совершена в случае наличия у пользователя Java-плагина. Поэтому в настоящее время разработчики рассматривают возможность отключения Java-плагина для существующих установок.

Разработчики проекта Tor также опубликовали заметку (https://blog.torpr...

URL: https://blog.mozilla.com/security/2011/09/27/attack-against-.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=31883

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Tor и Firefox не подвержены атаке против SSL/TLS "  –1 +/
Сообщение от Аноним (??) on 28-Сен-11, 16:38 
> и применяет шифр RC4

...у которого своих проблем хватает, как то утечка ключевого материала в начальных байтах потока. По поводу чего RC4 не советуют в новых дизайнах а тем где он нужен - советуют скипнуть первые 1024 байта от его PRNG генератора, и ксорить уже с дальнейшим выводом оного - тогда проблема не возникает. Торент кстати так и делает, честно скипая. А в SSL до этого скипания 1024 не-совсем-рандомных байтов доперли? А то вроде его разрабатывали еще до того как утечка ключевых байтов была засечена.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Tor и Firefox не подвержены атаке против SSL/TLS "  +1 +/
Сообщение от Truelove on 28-Сен-11, 21:22 
Это называеться RC4-drop[n] (MARC4) и уже давно применяеться..
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Tor и Firefox не подвержены атаке против SSL/TLS "  +4 +/
Сообщение от szh (ok) on 28-Сен-11, 17:18 
> Поэтому в настоящее время разработчики рассматривают возможность отключения Java-плагина для существующих установок.

Давно пора лишний вектор атаки убрать по умолчанию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Tor и Firefox не подвержены атаке против SSL/TLS "  +1 +/
Сообщение от vayerx (ok) on 28-Сен-11, 17:34 
печалька: интернет-банкинг всех^Wнекоторых банков живет аккуратно на java-плагине
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Tor и Firefox не подвержены атаке против SSL/TLS "  +4 +/
Сообщение от Xasd (ok) on 28-Сен-11, 17:50 
да...

...только точка наложения печальки -- здесь именно в том что эти банки реализованны на Java-плугине (а не в том что Java-плугин подвержен какойто-там *очередной* уязвимости...)

так как тут уж особого секрета нет что постоянно в этих плугинах находят те-или-иные дыры :-) , тоже мне новость :-)

установил [какойнибудь] плугин(?) -- получи новую дыру :-D

# p.s.: а некоторые банк-клиенты так вообще работают как native-приложения... для Microsoft Windows.... так чтож теперь -- начнём обсуждать безопасность Windows-компьютеров? :-) :-) все помнят неособо-давний случай когда нашли дыру в обработчике-значков-ярлыков, когда принеся ярлычок на флэшке можно было заразить комп (или засунув ярлык внутрь Microsoft-Word-документа, как какойто-там-встроенный-объект)?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от Аноним (??) on 28-Сен-11, 18:41 
"Если бы строители строили свои здания, как программисты пишут свои программы, первый залетевший дятел разрушил бы цивилизацию". (С)
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

15. "Tor и Firefox не подвержены атаке против SSL/TLS "  +1 +/
Сообщение от Аноним (??) on 29-Сен-11, 02:20 
>"Если бы строители строили свои здания, как программисты пишут свои программы, первый
>залетевший дятел разрушил бы цивилизацию". (С)

Хватит уже с этим шаблоном всех мазать. Не все программисты одинаковые и не весь софт плохой. (Далее должен последовать ответ от любителей "жить просто": "Всех грести под одну гребенку удобнее, чем рассматривать много случаев."

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Tor и Firefox не подвержены атаке против SSL/TLS "  +1 +/
Сообщение от Lain_13 on 28-Сен-11, 18:55 
В крайнем случае (и вообще-то так правильней) можно завести отдельный профиль или даже браузер для работы с банком. Java не столь вотстребована, что б с ней ходить по всем сайтам.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Tor и Firefox не подвержены атаке против SSL/TLS "  +3 +/
Сообщение от Lain_13 on 28-Сен-11, 18:56 
> печалька: интернет-банкинг всех^Wнекоторых банков живет аккуратно на java-плагине

Это ещё хорошие банки. У некоторых интернет-банкинг до сих пор живёт на ActiveX…

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от Anonplus on 28-Сен-11, 20:47 
Завести второй профиль с включенной явой и использовать его ТОЛЬКО для работы с банком - это, конечно, невозможно.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от vayerx (ok) on 28-Сен-11, 20:59 
при чем тут второй профиль, если нужно безопасное соединение с банком? рано или поздно откроешь случайно стороннюю страничку не в том браузере и привет.
прийти ногами в банк понадежнее будет
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от Frank email(ok) on 29-Сен-11, 16:19 
Вдруг тебе денег фальшивых дадут в банке? Натуральный обмен надёжнее будет...
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от anonymous (??) on 29-Сен-11, 16:21 
> Вдруг тебе денег фальшивых дадут в банке? Натуральный обмен надёжнее будет...

а если тушёнка просроченая?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от ваноним on 29-Сен-11, 17:10 
это хорошо, если тушенкой брать, а то можно и по вен-диспансерам набегаться
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

9. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от anonymous (??) on 28-Сен-11, 20:50 
хм. то есть, криптографически более сложный (и стойкий) метод на эллиптических кривых заменяют на намного более простой RC4 — и ОПА! внизапна, улучшается секурность.

только я вижу в этом какую-то на…ку?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Tor и Firefox не подвержены атаке против SSL/TLS "  +1 +/
Сообщение от Xasd (ok) on 28-Сен-11, 21:21 
> ...более сложный (и стойкий) метод на эллиптических кривых...

это вы про AES Rijndael? %) :-)

...вообщето алгоритм AES Rijndael -- это шифр простой с алгебраической структоруй... что кстате говоря ставит под сомнение его безопасность :-)

но что касается темы-новости -- то думаю тут всё дело в CBC-режиме-шифрования (реализованном несовсем правильно), а не в самом шифре

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Tor и Firefox не подвержены атаке против SSL/TLS "  +1 +/
Сообщение от anonymous (??) on 28-Сен-11, 22:24 
>> …более сложный (и стойкий) метод на эллиптических кривых…
> это вы про AES Rijndael? %) :-)
> …вообщето алгоритм AES Rijndael — это шифр простой с алгебраической структоруй…

хм. кажется, да — меня проглючило.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от Alexander (??) on 05-Окт-11, 13:43 
не очень понятно:
> частности, в Tor применяются дополнительные методы рандомизации, а именно
> используется возможность библиотеки OpenSSL по вставке пустых фрагментов перед
> отправкой каждой записи.
> достаточно добавить пустой блок перед каждой передаваемой порцией данных, что
> создаст необходимый уровень рандомизации, достаточный для того чтобы атака
> оказалась неэффективной. Добавив в один из выпусков Chrome тестовый код для
> оценки работы данного метода, разработчики пришли к выводу, что к сожалению его
> использовать нельзя,

у разработчиков тора и хрома разное содержимое пустых блоков? :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Tor и Firefox не подвержены атаке против SSL/TLS "  +/
Сообщение от Andrey Mitrofanov on 05-Окт-11, 13:45 
Нет, разные методы рандомизации пустых блоков.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру