forum.opennet.ru

Составление сообщения

Исходное сообщение

"В OpenSSL обнаружена критическая уязвимость, которая может п..."
Отправлено Адекват, 08-Апр-14 14:53

>> Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым
>> текстом передавать.
> Ну передашь ты его шифрованным, только окажется что это был не тот
> сервер. Но никто и не пикнет.
Так, допустим некто организовал атаку M-I-M и стал через себя траффик пропускать, допустим без шифрование соединения. Перехватчики перехватили мой хеш пароля и передают его банку, и банк его принимает, так ?
И что до сих пор не придумано никаких механизмов защиты от таких "кулхацкеров" ?
Насколько я знаю, даже самая простая авторизация с применением шифрованного пароля имеет небольшую защиту:
хеш пароля это не только md5 (для примера) от "пароля", а md5 от {uniqid}:{password}:{что-то еще}
где uniqid - уникальный id для каждой сессии, ну станет удаленная сторона для меня проксей, но сама то рулить сессией tcp не сможет. А хеш пароля им ничего не даст, вообще.

> Ну ок, выпишет некто их 100500CA сертификат прову
Кто выпишет ?, давайте по конкретней !

Исходное сообщение
"В OpenSSL обнаружена критическая уязвимость, которая может п..." Отправлено Адекват, 08-Апр-14 14:53
>> Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым >> текстом передавать. > Ну передашь ты его шифрованным, только окажется что это был не тот > сервер. Но никто и не пикнет. Так, допустим некто организовал атаку M-I-M и стал через себя траффик пропускать, допустим без шифрование соединения. Перехватчики перехватили мой хеш пароля и передают его банку, и банк его принимает, так ? И что до сих пор не придумано никаких механизмов защиты от таких "кулхацкеров" ? Насколько я знаю, даже самая простая авторизация с применением шифрованного пароля имеет небольшую защиту: хеш пароля это не только md5 (для примера) от "пароля", а md5 от {uniqid}:{password}:{что-то еще} где uniqid - уникальный id для каждой сессии, ну станет удаленная сторона для меня проксей, но сама то рулить сессией tcp не сможет. А хеш пароля им ничего не даст, вообще. > Ну ок, выпишет некто их 100500CA сертификат прову Кто выпишет ?, давайте по конкретней !

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, [email protected] (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>> Да, особенно на всяких сбербанк-онлайнах, там пароли нужно вообще открытым 
>>> текстом передавать.
>> Ну передашь ты его шифрованным, только окажется что это был не тот 
>> сервер. Но никто и не пикнет.

> Так, допустим некто организовал атаку M-I-M и стал через себя траффик пропускать, 
> допустим без шифрование соединения. Перехватчики перехватили мой хеш пароля и передают 
> его банку, и банк его принимает, так ?
> И что до сих пор не придумано никаких механизмов защиты от таких 
> "кулхацкеров" ?
> Насколько я знаю, даже самая простая авторизация с применением шифрованного пароля имеет 
> небольшую защиту: 
> хеш пароля это не только md5 (для примера) от "пароля", а md5 
> от {uniqid}:{password}:{что-то еще} 
> где uniqid - уникальный id для каждой сессии, ну станет удаленная сторона 
> для меня проксей, но сама то рулить сессией tcp не сможет. 
> А хеш пароля им ничего не даст, вообще.

>> Ну ок, выпишет некто их 100500CA сертификат прову

> Кто выпишет ?, давайте по конкретней !

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру