https://www.opennet.me/openforum/vsluhforumID3/80518.html Разработчики Firefox проанализировали (https://blog.mozilla.com/security/2011/09/27/attack-against-tls-protected-communications/) подверженность браузера недавно анонсированному (http://www.opennet.ru/opennews/art.shtml?num=31797) методу атаки против SSL/TLS, позволяющему на промежуточном шлюзе организовать перехват передаваемого в рамках зашифрованного соединения Cookie с параметрами аутентификации пользовательской сессии. В итоге, был сделан вывод, что несмотря на использование TLS 1.0, Firefox не подвержен данной проблеме, так как без задействования дополнительных плагинов невозможно обеспечить необходимые для проведения атаки условия (полный контроль за содержимым соединения). Тем не менее, сообщается, что атака теоретически может быть совершена в случае наличия у пользователя Java-плагина. Поэтому в настоящее время разработчики рассматривают возможность отключения Java-плагина для существующих установок.<br><br><br><br>Разработчики проекта Tor также опубликовали заметку (https://blog.torpr...<br><br>URL: https://blog.m https://www.opennet.me/openforum/vsluhforumID3/80518.html#20 Wed, 05 Oct 2011 09:45:12 GMT Нет, разные методы рандомизации пустых блоков.<br> https://www.opennet.me/openforum/vsluhforumID3/80518.html#19 Wed, 05 Oct 2011 09:43:07 GMT не очень понятно:<br>&gt; частности, в Tor применяются дополнительные методы рандомизации, а именно <br>&gt; используется возможность библиотеки OpenSSL по вставке пустых фрагментов перед <br>&gt; отправкой каждой записи.<br>&gt; достаточно добавить пустой блок перед каждой передаваемой порцией данных, что <br>&gt; создаст необходимый уровень рандомизации, достаточный для того чтобы атака <br>&gt; оказалась неэффективной. Добавив в один из выпусков Chrome тестовый код для <br>&gt; оценки работы данного метода, разработчики пришли к выводу, что к сожалению его <br>&gt; использовать нельзя,<br><br>у разработчиков тора и хрома разное содержимое пустых блоков? :)<br> https://www.opennet.me/openforum/vsluhforumID3/80518.html#18 Thu, 29 Sep 2011 13:10:34 GMT это хорошо, если тушенкой брать, а то можно и по вен-диспансерам набегаться<br> https://www.opennet.me/openforum/vsluhforumID3/80518.html#17 Thu, 29 Sep 2011 12:21:26 GMT &gt; Вдруг тебе денег фальшивых дадут в банке? Натуральный обмен надёжнее будет...<br><br>а если тушёнка просроченая?<br> https://www.opennet.me/openforum/vsluhforumID3/80518.html#16 Thu, 29 Sep 2011 12:19:39 GMT Вдруг тебе денег фальшивых дадут в банке? Натуральный обмен надёжнее будет...<br> https://www.opennet.me/openforum/vsluhforumID3/80518.html#15 Wed, 28 Sep 2011 22:20:34 GMT &gt;"Если бы строители строили свои здания, как программисты пишут свои программы, первый <br>&gt;залетевший дятел разрушил бы цивилизацию". (С)<br><br>Хватит уже с этим шаблоном всех мазать. Не все программисты одинаковые и не весь софт плохой. (Далее должен последовать ответ от любителей "жить просто": "Всех грести под одну гребенку удобнее, чем рассматривать много случаев."<br> https://www.opennet.me/openforum/vsluhforumID3/80518.html#14 Wed, 28 Sep 2011 18:24:02 GMT &gt;&gt; &#8230;более сложный (и стойкий) метод на эллиптических кривых&#8230;<br>&gt; это вы про AES Rijndael? %) :-) <br>&gt; &#8230;вообщето алгоритм AES Rijndael &#8212; это шифр простой с алгебраической структоруй&#8230;<br><br>хм. кажется, да &#8212; меня проглючило.<br> https://www.opennet.me/openforum/vsluhforumID3/80518.html#12 Wed, 28 Sep 2011 17:22:17 GMT Это называеться RC4-drop[n] (MARC4) и уже давно применяеться..<br> https://www.opennet.me/openforum/vsluhforumID3/80518.html#11 Wed, 28 Sep 2011 17:21:02 GMT &gt; ...более сложный (и стойкий) метод на эллиптических кривых...<br><br>это вы про AES Rijndael? %) :-)<br><br>...вообщето алгоритм AES Rijndael -- это шифр простой с алгебраической структоруй... что кстате говоря ставит под сомнение его безопасность :-)<br><br>но что касается темы-новости -- то думаю тут всё дело в CBC-режиме-шифрования (реализованном несовсем правильно), а не в самом шифре<br>