URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 59504
[ Назад ]

Исходное сообщение
"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено opennews , 01-Окт-09 19:08

Специалист по безопасности Джекоб Аппелбаум (Jacob Appelbaum) опубликовал (https://www.noisebridge.net/pipermail/noisebridge-discuss/20...) SSL-сертификат и соответствующий секретный ключ, которые позволяют web-серверам избегать появления предупреждений о корректности сертификата в уязвимых браузерах - независимо от домена, для которого представлен сертификат. Фишеры, например, могут использовать сертификат, чтобы замаскировать их серверы под законные банковские сайты, которые будут обнаружены, только при более тщательном исследовании сертификата.

Для реализации трюка, Аппелбаум изменил сертификат согласно методу, продемонстрированному Мокси Марлинспайком (Moxie Marlinspike ) на конференции Black Hat, введя нулевой символ (\0) в поле имени (CN, Common Name). Однако, в отличие от Марлинспайк, Аппелбаум показал, что при задействовании маски'*' удалось создать универсальный сертификат для произвольных имен домена:

CN= *\x00thoughtcrime.noisebridge.net...
URL: http://www.h-online.com/open/SSL-trick-certificate-published...
Новость: http://www.opennet.me/opennews/art.shtml?num=23678

Содержание

Уязвимость браузеров при проверке SSL-сертификатов,chemtech, 19:08 , 01-Окт-09
- Уязвимость браузеров при проверке SSL-сертификатов,chemtech, 19:13 , 01-Окт-09
Уязвимость браузеров при проверке SSL-сертификатов,Аноним, 19:53 , 01-Окт-09
- Уязвимость браузеров при проверке SSL-сертификатов,dry, 20:39 , 01-Окт-09
  - Уязвимость браузеров при проверке SSL-сертификатов,Vi, 23:04 , 01-Окт-09
    - Уязвимость браузеров при проверке SSL-сертификатов,Аноним, 07:55 , 02-Окт-09
  - Уязвимость браузеров при проверке SSL-сертификатов,fi, 14:00 , 02-Окт-09
    - Уязвимость браузеров при проверке SSL-сертификатов,zazik, 16:23 , 02-Окт-09
Уязвимость браузеров при проверке SSL-сертификатов,Tav, 22:58 , 02-Окт-09

Сообщения в этом обсуждении

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено chemtech , 01-Окт-09 19:08

Проверил так и есть.
FireFox правда старый 3.0.14

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено chemtech , 01-Окт-09 19:13

Блин. ошибка вышла....
"К сертификату нет доверия, так как он является самоподписанным.
Сертификат действителен только для *\\x00thoughtcrime.noisebridge.net
"

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено Аноним , 01-Окт-09 19:53

Так этот сертификат еше нужно протащить под цепочку центров сертификации. В принципе адеркватные центры должны фильтровать содержимое CN веб-сертификатов. Но, возможно, что у каких-либо центров будет автоматизирована покупка сертификатов и получится такой нормально подписать.

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено dry , 01-Окт-09 20:39

вот вот.
я бы даже сказал покажите мне тот уц, для которого это прокатит, тогда зачтем очко. в противном случае пионерская ересь. бо если речь идет о самоваренных сертификатах, то проблемы засунуть в cn нужный домен вообще не стоит.
сделали из мухи слона, как это бывает в большинстве случаев.

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено Vi , 01-Окт-09 23:04

А взять уже подписанный религия не позволяет?

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено Аноним , 02-Окт-09 07:55

Ага, а потом его изменить, да?

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено fi , 02-Окт-09 14:00

а зачем через уц???
достаточно сделать chain из двух.

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено zazik , 02-Окт-09 16:23

>а зачем через уц???
>
>достаточно сделать chain из двух.
А в итоге? Я не совсем догоняю.

"Уязвимость браузеров при проверке SSL-сертификатов"
Отправлено Tav , 02-Окт-09 22:58

> публичным опубликованием
?