| 1.3, QuAzI (ok), 09:53, 06/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Интересно, OpenVPN тоже подвержен атаке или там всё не так просто.
| | |
| |
| 2.33, anonymous (??), 14:43, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>Интересно, OpenVPN тоже подвержен атаке или там всё не так просто.
Нет, не прокатит. TLS используется только на транспортном уровне. Ну сгенерят они общий сессионный ключ, а дальше что? Сертификатов у подмененной стороны-то нету. Вылетит такой клиент.
| | |
|
| 1.11, Аноним (-), 11:55, 06/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Зачем же доверять всем кто по SSL зашёл?
Смысл SSL в том, что ни кто не видит трафика, а пароль всё равно вводить надо.
Ну или ID сессии проверять и нет проблем.
| | |
| |
| 2.19, PereresusNeVlezaetBuggy (ok), 13:18, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
 >Зачем же доверять всем кто по SSL зашёл?
>Смысл SSL в том, что ни кто не видит трафика, а пароль
>всё равно вводить надо.
>Ну или ID сессии проверять и нет проблем.
Во-первых, речь обычно идёт как раз об обратном: чтобы тот, кто подключается к серверу, был уверен, что подключился туда, куда надо.
Во-вторых, при использовании белого списка пользовательских сертификатов, действительно, можно и аутентификацию проводить.
| | |
| |
| 3.48, MK (??), 23:19, 10/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>Зачем же доверять всем кто по SSL зашёл?
>>Смысл SSL в том, что ни кто не видит трафика, а пароль
>>всё равно вводить надо.
>>Ну или ID сессии проверять и нет проблем.
>
>Во-первых, речь обычно идёт как раз об обратном: чтобы тот, кто подключается
>к серверу, был уверен, что подключился туда, куда надо.
>
Он-то и останется уверен - уязвимость позволяет от имени клиента отправлять данные на сервер, а не наоборот, насколько я понимаю.
>Во-вторых, при использовании белого списка пользовательских сертификатов, действительно, можно и аутентификацию проводить.
>
Это да, это проблема.
| | |
|
|
| |
| 2.15, ZigmunD (??), 12:34, 06/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да
https можно сделать даже если веб-сервер это не поддерживает. Например, через stunnel.
| | |
|
| 1.17, Pilat (ok), 13:09, 06/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Никому верить нельзя...
PS
Представляю огорчение "независимого исследователя", обнаружившего такую дырищу, и узнавшего что он опоздал на месяц со своим открытием :)
| | |
| |
| 2.18, verrens (?), 13:18, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> Представляю огорчение "независимого исследователя", обнаружившего такую дырищу, и узнавшего что он опоздал на месяц со своим открытием :)
Думаю, об этой уязвимости знали с момента опубликования протокола TLS...
| | |
| |
| 3.20, pavel_simple (ok), 13:20, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>> Представляю огорчение "независимого исследователя", обнаружившего такую дырищу, и узнавшего что он опоздал на месяц со своим открытием :)
>
>Думаю, об этой уязвимости знали с момента опубликования протокола TLS...
я пока не видел технической реализации (может плохо искал), но если всё так вкусно как написано -- то это просто конкретная жопа.
| | |
|
|
| 1.23, empty (?), 13:51, 06/11/2009 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что те, кто строят безопасность исключительно на PKI - сами себе злобные буратины.
| | |
| |
| 2.24, Pilat (ok), 13:59, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что
>те, кто строят безопасность исключительно на PKI - сами себе злобные
>буратины.
А проблема к PKI имеет отношение?
| | |
| |
| 3.26, empty (?), 14:13, 06/11/2009 [^] [^^] [^^^] [ответить]
| –1 +/– |
Если Public Key Infrastructure к SSl/TLS не имеет отношения, то я не знаю, что тогда имеет.
| | |
| |
| 4.29, Pilat (ok), 14:30, 06/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– |
>Если Public Key Infrastructure к SSl/TLS не имеет отношения, то я не
>знаю, что тогда имеет.
Не перевирайте. Мой вопрос был - имеет ли PKI отношение к проблеме, а не имеет ли PKI отношение к TLS.
| | |
| |
| |
| 6.32, pavel_simple (ok), 14:42, 06/11/2009 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>PKI имеет отношение к TLS, а TLS имеет отношение к проблеме.
да но PKI не имеет отношение к проблеме
| | |
|
|
|
|
| 2.25, pavel_simple (ok), 13:59, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что
>те, кто строят безопасность исключительно на PKI - сами себе злобные
>буратины.
где эти писатели ? ссылку?
| | |
| |
| |
| 4.28, pavel_simple (ok), 14:22, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>>>Ну, это ввобшще-то даже в википедии написано (по крайней мере ссылаются), что
>>>те, кто строят безопасность исключительно на PKI - сами себе злобные
>>>буратины.
>>
>>где эти пейсатели ? сслку?
>
>http://en.wikipedia.org/wiki/Public_key_infrastructure вторая ссылка в External links
хорошая дока -- все основные проблемы освещены -- тjkько про буратин там ничего не нашел -- более того есть доброе понятие - "Критикуя - предлагай"
повторю моё имхо -- лучше-бы они его PKI передалали в ipsec через TCP
| | |
| |
| 5.37, User294 (ok), 16:27, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> повторю моё имхо -- лучше-бы они его PKI передалали в ipsec через TCP
Лучше б вы убились веником с такими советами, имхо. Если эту идею не дай боже кто реализует массово, я не советую вам попадаться на глаза админам в узком месте в темное время суток. Потому что замена не эквивалентна по смыслу но зато по геморройности - переплюнет в хренадцать раз. Знаете в чем плюс SSL? В том что он не лезет на уровень IP. Чем сильно упрощает участь обладателей натов, файрволов, проксей и прочего добра. А вот с ipsec можно отхватить в ряде случаев неслабого ip-секаса :).И, знаете, если сайт банка не загрузится потому что по пути дескать был туповатый NAT - это неприемлимо.
| | |
| |
| 6.38, pavel_simple (ok), 17:20, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>Лучше б вы убились веником с такими советами, имхо. Если эту идею
>не дай боже кто реализует массово, я не советую вам попадаться
>на глаза админам в узком месте в темное время суток. Потому
>что замена не эквивалентна по смыслу но зато по геморройности -
>переплюнет в хренадцать раз. Знаете в чем плюс SSL? В том
>что он не лезет на уровень IP. Чем сильно упрощает участь
>обладателей натов, файрволов, проксей и прочего добра. А вот с ipsec
>можно отхватить в ряде случаев неслабого ip-секаса :).И, знаете, если сайт
>банка не загрузится потому что по пути дескать был туповатый NAT
>- это неприемлимо.
лучше-бы хоть иногда помолкивал
какой из существующих nat'ов не умеет TCP?
| | |
| |
| 7.40, Аноним (-), 18:28, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
> какой из существующих nat'ов не умеет TCP?
Вы TCP с IP случайно не путаете ? :)
| | |
| 7.42, User294 (ok), 20:07, 06/11/2009 [^] [^^] [^^^] [ответить]
| +/– | |
>какой из существующих nat'ов не умеет TCP?
Вы вроде бы про IPSEC вещали? Так он на уровне именно IP-пакетов оперирует, 1 уровнем ниже чем TCP. Или вы предлагаете его протунелять в TCP и ... ? А зачем столько наворотов? По сути целый VPN-сервер получается вместо просто секурного туннеля. Если надо такие навороты - есть VPN, в частности по типу openvpn-а (правда там тоже SSL используется для шифрования, хехе).
| | |
|
|
|
|
|
|
|
