The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость браузеров при проверке SSL-сертификатов"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Уязвимость браузеров при проверке SSL-сертификатов"  +/
Сообщение от opennews on 01-Окт-09, 19:08 
Специалист по безопасности Джекоб Аппелбаум (Jacob Appelbaum) опубликовал (https://www.noisebridge.net/pipermail/noisebridge-discuss/20...) SSL-сертификат и соответствующий секретный ключ, которые позволяют web-серверам избегать появления предупреждений о корректности сертификата в уязвимых браузерах - независимо от домена, для которого представлен сертификат. Фишеры, например, могут использовать сертификат, чтобы замаскировать их серверы под законные банковские сайты, которые будут обнаружены, только при более тщательном исследовании сертификата.


Для реализации трюка, Аппелбаум изменил сертификат согласно методу, продемонстрированному Мокси Марлинспайком (Moxie Marlinspike ) на конференции Black Hat, введя нулевой символ (\0) в поле имени (CN, Common Name). Однако, в отличие от Марлинспайк, Аппелбаум показал, что при задействовании маски'*' удалось создать универсальный сертификат для произвольных имен домена:


    CN= *\x00thoughtcrime.noisebridge.net...

URL: http://www.h-online.com/open/SSL-trick-certificate-published...
Новость: http://www.opennet.me/opennews/art.shtml?num=23678

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость браузеров при проверке SSL-сертификатов"  +1 +/
Сообщение от chemtech email on 01-Окт-09, 19:08 
Проверил так и есть.
FireFox правда старый 3.0.14
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость браузеров при проверке SSL-сертификатов"  +1 +/
Сообщение от chemtech email on 01-Окт-09, 19:13 
Блин. ошибка вышла....
"К сертификату нет доверия, так как он является самоподписанным.
Сертификат действителен только для *\\x00thoughtcrime.noisebridge.net
"
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость браузеров при проверке SSL-сертификатов"  +/
Сообщение от Аноним (??) on 01-Окт-09, 19:53 
Так этот сертификат еше нужно протащить под цепочку центров сертификации. В принципе адеркватные центры должны фильтровать содержимое CN веб-сертификатов. Но, возможно, что у каких-либо центров будет автоматизирована покупка сертификатов и получится такой нормально подписать.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость браузеров при проверке SSL-сертификатов"  +/
Сообщение от dry (ok) on 01-Окт-09, 20:39 
вот вот.
я бы даже сказал покажите мне тот уц, для которого это прокатит, тогда зачтем очко. в противном случае пионерская ересь. бо если речь идет о самоваренных сертификатах, то проблемы засунуть в cn нужный домен вообще не стоит.
сделали из мухи слона, как это бывает в большинстве случаев.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость браузеров при проверке SSL-сертификатов"  +1 +/
Сообщение от Vi on 01-Окт-09, 23:04 
А взять уже подписанный религия не позволяет?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость браузеров при проверке SSL-сертификатов"  +/
Сообщение от Аноним (??) on 02-Окт-09, 07:55 
Ага, а потом его изменить, да?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость браузеров при проверке SSL-сертификатов"  +/
Сообщение от fi (ok) on 02-Окт-09, 14:00 
а зачем через уц???

достаточно сделать chain из двух.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость браузеров при проверке SSL-сертификатов"  +/
Сообщение от zazik (ok) on 02-Окт-09, 16:23 
>а зачем через уц???
>
>достаточно сделать chain из двух.

А в итоге? Я не совсем догоняю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость браузеров при проверке SSL-сертификатов"  +/
Сообщение от Tav on 02-Окт-09, 22:58 
> публичным опубликованием

?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру