| |
| |
| Часть нити удалена модератором |
| 3.11, Sw00p aka Jerom (?), 16:20, 20/02/2009 [ответить]
| +/– |
 поставь галку в ФФ
i am about to view an encrypted page that contains some unencrypted information
| | |
|
|
| 1.3, Аноним (-), 15:20, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>номеров кредитный карт<
Надеюсь у них не хватит мозгов опубликовать код...
| | |
| |
| 2.6, Аноним (-), 15:54, 20/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...
А я очень надеюсь на это... чтобы код был опубликован...
| | |
| 2.10, Painbringer (?), 16:13, 20/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...
читать надо новости
> Код утилиты sslstrip, позволяющей организовать проведение атаки, планируется опубликовать в конце недели. | | |
| 2.18, User294 (??), 20:34, 20/02/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Надеюсь у них не хватит мозгов опубликовать код...
Нет уж, в криптографии метод страуса не катит.Если проблема есть - ее нужно знать.И исправлять.И появление утилиты поспособствует этому.А иначе такие утилиты все-равно появятся но только сугубо у плохих парней.Которые будут втихаря тырить инфо и навариваться.По мне так уж лучше короткий по времени пиндец который сподвигнет всех на учет новых реалий чем длительный и тихий тыреж конфиденциальной инфы хаксорами при пофигизме админов.
| | |
| 2.23, Volodymyr Lisivka (?), 03:56, 21/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
 >>номеров кредитный карт<
>
>Надеюсь у них не хватит мозгов опубликовать код...
Уже сто лет как. Типичная прокся для отладки кода. В веб-девелопменте используют когда утилита для тестирования не может подключится по https. Selenium так работает например.
| | |
|
| 1.4, Аноним (4), 15:32, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>>Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии.
ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты задалбывают и их отключают. Вот и результат?
| | |
| |
| 2.19, User294 (??), 20:37, 20/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты
>задалбывают и их отключают. Вот и результат?
Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг, дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем их закидают обеспокоенные юзеры...
| | |
| |
| 3.21, ABC (??), 23:06, 20/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>ажется браузеры таки выдают подобные предупреждения. Правда всех постоянные алерты
>>задалбывают и их отключают. Вот и результат?
>
>Вроде все так и есть.На месте браузероклепателей я бы метил такие сайты
>как "подозрительные" и допустим выделял цветом в адрес-баре или даже инфо
>сверху дописывал что дескать сайт ведет себя как-то по левому, ахтунг,
>дескать!И пусть потом веб-фломастеры делавшие такие кривульки отмываются от того чем
>их закидают обеспокоенные юзеры...
В принципе, правильно.
| | |
|
|
| |
| 2.9, alikd (?), 16:13, 20/02/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>и как жить будем если опубликуют?
Жить будем лучше. Станем более внимательнее, избавимся от некоторых иллюзий. А может даже и браузеры станут лучше. )
| | |
|
| 1.15, Аноним (15), 17:26, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные
Тор - и есть главная уязвимость, прямая угроза man in the middle. Умникам осталось лишь раструбить на какой-нибудь конференции. Уже далеко не первый случай и, наверное, не последний. Боянистов нынче много развелось.
| | |
| |
| 2.20, User294 (??), 20:38, 20/02/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Тор - и есть главная уязвимость, прямая угроза man in the middle.
Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?!
| | |
| |
| 3.24, gest (?), 04:35, 21/02/2009 [^] [^^] [^^^] [ответить]
| +/– | |
Дак вобще-то SSL защищен от атаки "человек на проводе." Так что никакой роутер вам не поможет в прослушивании SSL сессии.
А тут я так понимаю шифрование просто обошли, отправляя данные пользователя на исходный сайт просто по HTTP и возвращая результат обратно пользователю.
| | |
| |
| 4.28, bunny (?), 12:58, 23/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
Та ну не знаю, как оно там защищено - внутри одного хаба нормально все было видно просто с использованием, напрмер, ethercap. Именно по "чел посередине". Сначала косыми ARP стал между клиентом и сервером - а дальше все данные видел. Основное условие - успеть стать посредине в момент хэндшейка. Если не успел - то да.
| | |
|
| 3.26, Аноним (-), 14:02, 21/02/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>>Тор - и есть главная уязвимость, прямая угроза man in the middle.
>
>>Более того - любой роутер и прочая байда по пути - тоже
>>прямая угроза MITM-а.Прикиньте, да?!
>Более того - любой роутер и прочая байда по пути - тоже прямая угроза MITM-а.Прикиньте, да?!
Ты априори доверяешь своему провайдеру (если не рассматривать всякие нужные криптографические штучки, вроде предварительного распределения ключей и т.п.). Что ж, легче доверять провайдеру, которому это нафиг не нужно, чем каждому красноглазому хацкеру из тора.
| | |
|
|
| 1.17, Timka (??), 18:03, 20/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
"разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт"
Что-то мне подсказывает, что 16 из 16 номеров этих кредитных карт уже "были украдены до нас" :)
| | |
| 1.25, FireWolf (?), 08:42, 21/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Может я что-то и не допонял из новости, но по-моему самое простое это проксировать https на http и заменять адрес в отдаваемой странице с https на http... (ну и запонминать так же как NAT/PAT)
Чтож в этом удивительного - не изобрели ничего, просто показали что очень много людей готовы предоставить свои данные всем кто этого захочет...
| | |
| 1.29, XoRe (ok), 16:00, 24/02/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Если кто не понял, то атака типа:
БЫЛО: юзер - https - сайт
СТАЛО: юзер - http - прокси - https - сайт
Я бы сказал, что это скорее из социальной инженерии.
И внедрение не в SSL соединение, а в моск юзера =)
Само SSL соединение работает безупречно.
Просто оно работает между сайтом и прокси.
А юзеры (особенно те, которые на IE) не видят, что у них в адресе http вместо https.
В FireFox, если зайти на https://addons.mozilla.org/ru/firefox/, то сразу видно, что https - пол адресной строки забирает уведомление о https =)
Так что это атака на внимательность пользователей, а не на SSL.
P.S.
И нехрен светить номера кредиток, лазая через Tor.
Это все равно что передавать свои данные просто по http.
| | |
| 1.30, Аноним (-), 23:41, 26/01/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Идея проста до безобразия, но бьет очень точно.
Давно предполагал что неспроста американские военные выложили tor в открытый доступ, да еще так активно его продвигают :)
Выискивать "нужные данные" по всему простору интернета очень проблематично ввиду нереальных объемов информации. Много проще разрекламировать широко очень защищенную маленькую сеть для конфиденциальной информации и все что нужно само прийдет к тебе в руки... Не будь я так ленив... то наверное давно уже реализовал бы аналогичное (можете верить, можете нет, но абсолютно такая же идея мгновенно возникла в голове после первого знакомства с работой tor-сети: делаю свой выходной сервер (или много), спокойно смотрю куда идет через мои сервера трафик, имея доступ к исходному коду делаю фишинг-фильтры, web-proxy, перехватываю пароли, кредитки и что угодно тому подобное в зависимости от того что там наловится... конвертирую награбленное в реальные деньги анонимно посредством той же самой сети :)
| | |
|
