The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Информация о взломе OpenSSL.org"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Информация о взломе OpenSSL.org"  +/
Сообщение от opennews on 29-Дек-13, 09:36 
В сети появились (http://www.reddit.com/r/linux/comments/1tx0kf/opensslorg_web.../) сведения (https://news.ycombinator.com/item?id=6977948) о возможном взломе элементов web-инфраструктуры проекта OpenSSL, в рамках которого развивается популярная свободная  библиотека с реализацией протоколов SSL/TLS и различных алгоритмов шифрования. При открытии сайта проекта пользователям выдавалась страница с информацией злоумышленников о совершённом дефейсе.


<center><a href="http://i.imgur.com/xS6FeVO.png"><img src="http://www.opennet.me/opennews/pics_base/0_1388294182.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>


Следует отметить, что следы дефейса наблюдались около двух часов назад. В настоящий момент сайты www.openssl.org, openssl.net и www.openssl.net отдают информацию в штатном режиме, а сайт openssl.org  не отвечает на запросы  и указывает на IP почтового сервера. Никакой официальной информации о взломе и деталей возникновения инцидента пока не опубликовано.

URL: https://news.ycombinator.com/item?id=6977948
Новость: http://www.opennet.me/opennews/art.shtml?num=38747

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Информация о взломе OpenSSL.org"  +14 +/
Сообщение от A.Stahl on 29-Дек-13, 09:36 
Сейчас набегут аналитики, рассказывая про "сапожника без сапог", а потом выяснится, что взломали через какю-то дыру в РНР.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Информация о взломе OpenSSL.org"  +13 +/
Сообщение от Аноним (??) on 29-Дек-13, 09:48 
Да и вообще выяснится, что сайт не пострадал, а взломали DNS
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Информация о взломе OpenSSL.org"  +4 +/
Сообщение от 3draven (ok) on 29-Дек-13, 11:28 
Та не, выяснится, что скриншот нарисован в фотошопе :)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

27. "Информация о взломе OpenSSL.org"  +2 +/
Сообщение от daemontux on 29-Дек-13, 15:03 
> Та не, выяснится, что скриншот нарисован в фотошопе :)

Не он нарисован на Pinta.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

37. "Информация о взломе OpenSSL.org"  +6 +/
Сообщение от Inome email(ok) on 29-Дек-13, 16:15 
Да не, всё куда проще - автор себе в hosts вбил ип OpenSSL.org и сделал переадресацию на 127.0.0.1:)
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

42. "Информация о взломе OpenSSL.org"  +9 +/
Сообщение от pavlinux (ok) on 29-Дек-13, 17:44 
http://i59.fastpic.ru/big/2013/1229/91/f57414ddb55fcdff062aa...

Пойду в твитыр писать!... Ж=)

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

46. "Информация о взломе OpenSSL.org"  +/
Сообщение от Аноний on 29-Дек-13, 19:10 
Забыл замок зафотожопить, а в целом зачет ))
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

49. "Информация о взломе OpenSSL.org"  +4 +/
Сообщение от pavlinux (ok) on 29-Дек-13, 21:12 
> Забыл замок зафотожопить, а в целом зачет ))

Я установил им свежую версию SSL, там прозрачное шифрование.
   Прозрачное шифрование - это когда ты думаешь, что канал не шифруется,
а на самом деле шифруется ну или на оборот, в общем до конца еще никто не понял.

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

5. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от бедный буратино (ok) on 29-Дек-13, 11:52 
dns не нужно

340282366920938463463374607431768211456 адресов хватит для всех

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Зафиксирован взлом сайта OpenSSL"  +4 +/
Сообщение от count0krsk (ok) on 29-Дек-13, 12:11 
Ага, а 4мб памяти - любому пользователю шиндовс.
Китайцы свои тостеры подключат, луну заселят, и опять нат придется юзать ))
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

15. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Lain_13 (ok) on 29-Дек-13, 13:14 
При текущих масштабах оборудования чтоб это всё занять нужно не только тостеры подключить, но несколько сотен планет размером с землю отгрохать исключительно из оборудования, которому все эти адреса смогут понадобиться. Вот когда кольцо вокруг солнца отгрохаем — тогда и будет повод задуматься о достаточности уникальных адресов.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

73. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 18:33 
> При текущих масштабах оборудования чтоб это всё занять нужно не только тостеры
> подключить, но несколько сотен планет размером с землю отгрохать исключительно из
> оборудования, которому все эти адреса смогут понадобиться. Вот когда кольцо вокруг
> солнца отгрохаем — тогда и будет повод задуматься о достаточности уникальных
> адресов.

То же самое, помница, звездели про IPv4....

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

76. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Lain_13 (ok) on 30-Дек-13, 20:11 
Разве?

Реальной техникой фиг у кого получится занять все эти адреса. Вот виртуальными машинами, наверное, можно.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

78. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 20:37 
>  Блин, ну вот почему именно онлайн игра? Почему не оффлайн?

Есть некая разница между 2^32 и 2^128. Если 2^32 можно было представить еще тогда, посмотрев на население земного шарика, то 2^128 - это 2^96 раз по 2^32. Хватит даже на наноботов, пожалуй, как минимум на первое время.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

18. "Зафиксирован взлом сайта OpenSSL"  +3 +/
Сообщение от pkunk (ok) on 29-Дек-13, 13:31 
http://xkcd.com/865/
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Зафиксирован взлом сайта OpenSSL"  +2 +/
Сообщение от Аноним (??) on 29-Дек-13, 13:29 
Ты глупость сморозил. DNS выполняет немного другую функцию.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

36. "Зафиксирован взлом сайта OpenSSL"  +3 +/
Сообщение от бедный буратино (ok) on 29-Дек-13, 16:10 
всё я правильно сказал

кто не может запомнить 340282366920938463463374607431768211456 адресов - вон из интернета

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

44. "Зафиксирован взлом сайта OpenSSL"  +4 +/
Сообщение от тоже Аноним email(ok) on 29-Дек-13, 18:30 
"Но я не знаю, как идет сигнал,
Я не знаю качества связи,
Я не знаю, кто клал кабель,
Едва ли я когда-нибудь услышу тебя.
2.12.80.5.0.6,
2.12.80.5.0.6,
2.12.80.5.0.6,
Это твой номер, номер, номер, номер, номер, номер..."
(с) Гребень, 80-е годы прошлого века.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

59. "Зафиксирован взлом сайта OpenSSL"  +2 +/
Сообщение от 1 (??) on 30-Дек-13, 11:06 
212.85.0.6 ;-) же
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

60. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от тоже Аноним email(ok) on 30-Дек-13, 11:35 
Ваш вариант устарел. Я же записал со слов исполнителя верно.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

62. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 12:16 
> Ваш вариант устарел. Я же записал со слов исполнителя верно.

Ну, тогда уж 2:12:80:5::6 ;)

Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

66. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от pavlinux (ok) on 30-Дек-13, 14:33 
Ваще-то там поётся про MAC адрес 02:12:80:05:00:06,
префикс 2128 - это Oracle Corporation.
Гребень всё знал, но молчал!
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

61. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Потомок изобретателя колеса email on 30-Дек-13, 12:03 
Не пингуется, однако...
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

79. "Зафиксирован взлом сайта OpenSSL"  –1 +/
Сообщение от Аноним (??) on 30-Дек-13, 20:43 
> 212.85.0.6 ;-) же

Или 2.128.50.6. Или 21.28.50.6.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

87. "Зафиксирован взлом сайта OpenSSL"  +1 +/
Сообщение от тоже Аноним email(ok) on 31-Дек-13, 14:33 
Пришел аноним, переврал песню, которой никогда не слышал. Все как обычно...
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

8. "Зафиксирован взлом сайта OpenSSL"  +1 +/
Сообщение от Анонымоус on 29-Дек-13, 12:13 
На скриншоте упоминается слово https. Если взлом поизведен на уровне ДНС и запросы клиентов перенаправляются на подставной сайт, то далее этот подставной сайт должен передавать клиенту сертификат открытого ключа с тем же доменным именем, к которому обращался клиент, подписанный каким-либо известным СА. Причем, для продолжения обмена информацией с клиентом подставному сайту надо иметь не только этот сертификат (это-то не проблема, можно было бы отдавать тот же сертификат, который отдает настоящий сайт), но и соответствующий секретный ключ. И откуда подставной сайт это все возьмет? Так что тут дело серьезнее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Максим (??) on 29-Дек-13, 12:20 
тут смотря кто скриншот сделал.

а то self signed - дело с концом.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Анонымоус on 29-Дек-13, 12:31 
Ну, если сайты самой OpenSSL используют самоподписанные сертификаты, то это и есть эпичный fail. А если дело в том, что автор скриншота не обратил внимания на то, что сертификат не проходит проверку, то уже он ССЗБ.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Зафиксирован взлом сайта OpenSSL"  +4 +/
Сообщение от Аноним (??) on 29-Дек-13, 13:12 
> Ну, если сайты самой OpenSSL используют самоподписанные сертификаты, то это и есть
> эпичный fail. А если дело в том, что автор скриншота не
> обратил внимания на то, что сертификат не проходит проверку, то уже
> он ССЗБ.

В свете событий последнего года "самоподписанные сертификаты" - это единственное, чему ты можешь доверять. Мне проще сделать самоподписанный сертификат и раздать его СВОИМ пользователям, чем сверлить в безопасности своей системы дыру для Stuxnet.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

23. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Анонымоус on 29-Дек-13, 14:43 
Для сайтов с небольшой аудиторией самоподписанные сертификаты + передача их своим людям из рук в руки -- это вполне приемлемый способ. Для сайтов же, аудитория которых -- весь земной шар (типа openssl.org) это совершенно не подходит.
Я хотел сказать, что при использовании https недостаточно лишь взлома на уровне ДНС. Нужна ещё добавка в виде безалаберного отношения к сертификатам или на стороне клиента, или на стороне сервера, или на стороне СА. Либо все же эти добрые турецкие хакеры взломали-таки сам сайт. В первом случае -- это (очередная) компрометация самой идеи SSL/TLS, во втором -- компрометация репутации одной конкретной организации, играющей, однако, не последнюю роль в развитии SSL/TLS. В общем, хорошего мало в любом случае.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

40. "Зафиксирован взлом сайта OpenSSL"  +1 +/
Сообщение от arisu (ok) on 29-Дек-13, 17:13 
> аудитория которых — весь земной шар (типа openssl.org) это совершенно
> не подходит.

действительно: ни mitm втихаря сделать, купив подставной сертификат, ни грохнуть кучу цепочек, сломав структуру RA. ужасно плохо жить без центральных authority!

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

54. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Danil (??) on 30-Дек-13, 09:27 
Если взломщики (хотя бы на время взлома) завладели доступом к DNS-зоне, им ничего не стоило заказать валидный сертификат для сайта.
Ведь это делается (1) через получение кода верификации на какой-нибудь "служебный" email типа webmaster@, postmaster@; (2) размещением странички на сайте с требуемым ЦС кодом; (3) как-нибудь ещё типа создания cname-записи с нужным кодом и т.д.
Всё это можно сделать, завладев зоной DNS.

Интересно было бы глянуть, что за сертификат при этом использовался и когда и кем он был выдан.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

63. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Анонымоус on 30-Дек-13, 12:39 
Подпадает под статью "халатность на стороне СА". И компрометирует саму идею SSL/TLS.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

68. "Зафиксирован взлом сайта OpenSSL"  +1 +/
Сообщение от arisu (ok) on 30-Дек-13, 17:52 
> И компрометирует саму идею SSL/TLS.

как будто там ещё осталось что компрометировать.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

75. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 18:34 
> Подпадает под статью "халатность на стороне СА". И компрометирует саму идею SSL/TLS.

Она скомпрометирована изначально т.наз. деревом "доверия".

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

80. "Зафиксирован взлом сайта OpenSSL"  +1 +/
Сообщение от Аноним (??) on 30-Дек-13, 20:45 
> Подпадает под статью "халатность на стороне СА".

Вон DigiNotar попал. А некоторые вообще чуть ли не официально загоняют сертификаты для вендорья IDS и тому подобного добра для SSL-bumping'а.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

16. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Crazy Alex (ok) on 29-Дек-13, 13:21 
замочек серенький на скриншоте...
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Адекват (ok) on 29-Дек-13, 14:26 
> замочек серенький на скриншоте...

Интересное наблюдение, но я сейчас проверил файерфоксом - у меня тоже серенький, но браузер говорит что с https все ок.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

35. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Crazy Alex (ok) on 29-Дек-13, 16:06 
то-то и оно, а для самоподписанного - красный был бы
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

55. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 09:35 
У меня свой почтовый сервер. Может https. Самоподписанный сертификат корректно импортирован. Замок зеленый на всех 2-х компьютерах, с которых захожу на него.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

58. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Адекват (ok) on 30-Дек-13, 10:43 
> У меня свой почтовый сервер. Может https. Самоподписанный сертификат корректно импортирован.
> Замок зеленый на всех 2-х компьютерах, с которых захожу на него.

И даже в хромиумие/хроме :)) ?

Цвет не имеет значения - цвет это всего-лишь реакция браузера на сертификат, вернее доверяет ли он ему или нет. Смысл надежности защиты ssl строиться на том, что кто-то авторитетный выступает гарантом того, что сертификат отдаваемый клиенту сервером - является правильным и "тем самым".
К сожалению я плохо понимаю процедуру проверки сертификата на стороне клиента, в частности как проверяется соответствие доменного имени и записи CN в самом сертификате, а именно - идет ли резолвинг IP, с которого пришел сертификат в доменное имя и уже после этого эти значения сравниваются, или же вместе с сертификатом с сервера передается сразу доменное имя. Как можно обойти эти проверки, совершив атаку m-i-m, с подстановкой dns запросов и ответов.
но я бы хотел услышать от местных экспертов объяснений - в чем же преимущество сертификатов подписанных сторонней организацией, от самоподписанных :))

а по сабжу - скорее всего хакнули php по http, и внизапна(!!!) index.php одинаковый что для http, что для https.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

69. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от arisu (ok) on 30-Дек-13, 17:55 
> в чем же преимущество сертификатов подписанных сторонней организацией, от самоподписанных

за самоподписаные поцоны со двора и одноклассники засмеют. будут тыкать пальцами и дразнить: «вот же ты нищебродище и лошара! не смог за воздух заплатить!»

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

71. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Адекват (ok) on 30-Дек-13, 18:19 
> за самоподписаные поцоны со двора и одноклассники засмеют. будут тыкать пальцами и
> дразнить: «вот же ты нищебродище и лошара! не смог за воздух
> заплатить!»

Ну зачем же сразу покупать ? можно бесплатно на один год получить сертификат, подписанный starcom'омом.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

81. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 20:46 
> сертификат, подписанный starcom'омом.

А потом какой-то иной CA выпишет сертификат на ваш сайт кому-нибудь еще. Ну там NSA, или ComodoHacker-у, или кто там еще дорвется...

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

99. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 02-Янв-14, 13:07 
> И даже в хромиумие/хроме :)) ?

Да, именно в нем.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

9. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от ADMIN on 29-Дек-13, 12:19 
CA проблема безопасности всей сайтов
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Зафиксирован взлом сайта OpenSSL"  +2 +/
Сообщение от Аноним (??) on 29-Дек-13, 13:13 
> CA проблема безопасности всей сайтов

Система сертификации сторонними центрами дискредитирована и не подлежит серьезному обсуждению.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

33. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Клыкастый (ok) on 29-Дек-13, 15:53 
да, только вот замены пока не предложено. ну так чтобы ан масс.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

53. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от ADMIN on 30-Дек-13, 08:55 
DNSSEC ?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

91. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Xaionaro (ok) on 31-Дек-13, 16:05 
> DNSSEC ?

Верный DNS-ответ - ещё не защита от MitM.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

57. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Xaionaro (ok) on 30-Дек-13, 10:33 
DANE - хороший кандидат.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

70. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от arisu (ok) on 30-Дек-13, 17:58 
> DANE - хороший кандидат.

да не. опять какая-то фигня централизованная, шило на мыло.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

77. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Xaionaro (ok) on 30-Дек-13, 20:12 
>> DANE - хороший кандидат.
> да не. опять какая-то фигня централизованная, шило на мыло.

Поясните, пожалуйста. Вы про контроль на корневыми DNS?

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

84. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 21:12 
> Поясните, пожалуйста. Вы про контроль на корневыми DNS?

Про все в целом.
1) Это не умееет и не будет уметь уйма клиентов еще уйму времени, так что со стороны MITM'а можно без палива задеградировать все до "просто DNS" и никто не заметит подвоха вот так сходу.
2) Опять же, опасности разные бывают. Захочет АНБ или кто там еще у вас сайт отжать - фиг оспоришь.

Ответить | Правка | ^ к родителю #77 | Наверх | Cообщить модератору

85. "Зафиксирован взлом сайта OpenSSL"  –1 +/
Сообщение от arisu (ok) on 30-Дек-13, 21:50 
спасибо.
Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

88. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Xaionaro (ok) on 31-Дек-13, 15:06 
>> Поясните, пожалуйста. Вы про контроль на корневыми DNS?
> Про все в целом.
> 1) Это не умееет и не будет уметь уйма клиентов еще уйму
> времени, так что со стороны MITM'а можно без палива задеградировать все
> до "просто DNS" и никто не заметит подвоха вот так сходу.

1. Причём тут «централизация»? [о которой собственно спрашивалось]
2. Когда-то и HTML5 не поддерживался тонной браузеров. А про DANE google заявили, что они уже реализовали поддержку для google-chrome.
3. Что такое «без палива задеградировать»? Я тупой человек, ответьте прямо, пожалуйста, в чём именно проблема с технической точки зрения?

> 2) Опять же, опасности разные бывают. Захочет АНБ или кто там еще
> у вас сайт отжать - фиг оспоришь.

Прося «пояснить», я ожидал услышать в чём именно заключается проблема безопасности. Но так и не получил ответа. Получаю лишь ответ, что проблема есть.


Повторяю свой вопрос. Вся проблема в возможности контроля над корневыми DNS?

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

92. "Зафиксирован взлом сайта OpenSSL"  –1 +/
Сообщение от arisu (ok) on 31-Дек-13, 18:21 
DANE enables the administrator of a domain name to certify the keys used in that domain's TLS servers by storing them in the Domain Name System (DNS).

какбэ всё, на этом месте можно останавливаться и не продолжать. если тебе всё ещё ничего не понятно — уйди, пожалуйста, и больше никогда не приходи со своим Особо Ценным Мнением в темы о security.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

93. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Xaionaro (ok) on 31-Дек-13, 18:48 
> DANE enables the administrator of a domain name to certify the keys
> used in that domain's TLS servers by storing them in the
> Domain Name System (DNS).
> какбэ всё, на этом месте можно останавливаться и не продолжать.

Не согласен. Это как раз говорит о децентрализации и невозможности вмешаться при использовании DNSSEC без контроля над корневыми DNS... или наличия квантовых компьютеров и прочих iddqd.

> если тебе
> всё ещё ничего не понятно — уйди, пожалуйста, и больше никогда
> не приходи со своим Особо Ценным Мнением в темы о security.

Да нет, мне-то всё понятно. DANE - это действительно весьма хороший кандидат. А вы до сих пор не сказали ниодного аргумента против. Только лишь говорите о наличии таких аргументов, а самих их не называете.


Повторяю свой вопрос. Вы боитесь контроля Большим братом корневых DNS-ов?

Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

94. "Зафиксирован взлом сайта OpenSSL"  –2 +/
Сообщение от arisu (ok) on 31-Дек-13, 19:03 
порошок, уходи. рассказывать в 100500-й раз, почему это фигня, мне лень. хинты: централизация есть, проверка подлинности херовая. дальше сам, сам, мне за разжёвывание основ не платят.
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

95. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Xaionaro (ok) on 31-Дек-13, 20:15 
> порошок, уходи. рассказывать в 100500-й раз, почему это фигня, мне лень. хинты:
> централизация есть, проверка подлинности херовая. дальше сам, сам, мне за разжёвывание
> основ не платят.

Какая к чёрту централизация? Это наоборот децентрализованная система.

В n-ный раз повторяю, вы говорите про возможность управления корневыми DNS?

Что такое "хреновая проверка подлинности"? Не хуже, чем то, что используется сейчас.


Вы до сих пор не сказали ниодного (!) аргумента против DANE. По-моему вы просто некомпетенты и решили выпендрнуться. Зря тратите своё и чужое время, говоря что технология несостоятельна, если не можете сказать ниодного аргумента или (при Великой лени) хотя бы дать ссылку чего почитать... или хотя бы ссылку на свои комментарии в другой ветке (если уж вы писали про это "100500 раз")

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

82. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 20:47 
> DANE - хороший кандидат.

Хороший кандидат - tor hidden service: не централизован, ибо адрес - лишь хэш ключа. И сложно отобрать, закрыть, запретить и непущать. И подделать тоже сложно - угадать ключ такого размера, и чтоб приватный к нему в пару был... легче миллион в лотерею выиграть.

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

90. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Xaionaro (ok) on 31-Дек-13, 15:14 
>> DANE - хороший кандидат.
> Хороший кандидат - tor hidden service: не централизован, ибо адрес - лишь
> хэш ключа. И сложно отобрать, закрыть, запретить и непущать. И подделать
> тоже сложно - угадать ключ такого размера, и чтоб приватный к
> нему в пару был... легче миллион в лотерею выиграть.

Мне кажется, эти вещи решают разные задачи. :)

… поправьте, пожалуйста, если ошибаюсь. :)

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

83. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 20:50 
> DANE - хороший кандидат.

Черта с два. В ближайшие 20 лет будет навалом тех кто это не умеет. Поэтому будет катить простейшая деградация до "просто DNS".

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

89. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Xaionaro (ok) on 31-Дек-13, 15:12 
>> DANE - хороший кандидат.
> Черта с два. В ближайшие 20 лет будет навалом тех кто это
> не умеет.

На то он и «кандидат», что является хорошим вариантом, если его начнут поддерживать и использовать. А пока его не поддерживают и не используют, он особо-то и не помогает.

Лет 10 назад у меня не получалось доказывать людям, что gnu/linux - это жизнеспособная и полезная вещь. Люди пытались меня убедить, что она нах не нужна, так как «ей никто не пользуется» и «под неё нет никаких полезных программ» (что по сути одно и то же, по-моему).

> Поэтому будет катить простейшая деградация до "просто DNS".

Что такое «просто DNS»? Это отсутствие DNSSEC? bind9 умеет DNSSEC, а его использует огромное множество ISP для своих пользователей.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

34. "Зафиксирован взлом сайта OpenSSL"  +3 +/
Сообщение от Аноним (??) on 29-Дек-13, 15:59 
Скорее всего, на это и хотели намекнуть взломщики разработчиков "безопасных" методов соединений. Даже если взлом - не вина собственно разработчиков, вся их работа не стоит ломаного гроша при такой реализации на практике.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

56. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 09:39 
> Скорее всего, на это и хотели намекнуть взломщики разработчиков "безопасных" методов соединений.
> Даже если взлом - не вина собственно разработчиков, вся их работа
> не стоит ломаного гроша при такой реализации на практике.

Если валидный сертификат, выданный авторизованным центром (Stuxnet etc), возможно использовать в деструктивных целях, то идея использования сторонних центров, находящихся вне Вашего контроля, порочна изначально. Если хотите, архитектурно.

Если взломан DNS + социальная инженерия, то это совсем другое дело и к конфигурации безопасности сайта история не имеет отношения.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

65. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Аноним (??) on 30-Дек-13, 14:21 
Нет, не о конфигурации сайта речь, не о конкретном взломе. О том, зачем вообще нужен openssl? Малые проекты можно защитить и по-другому, а крупные он не защищает просто потому, что в подавляющем большинстве случаев имеют место злоупотребления и халатность при выдаче сертификатов. Да и в принципе, текущая организация сети Интернет далека от.
Каким бы ни был взломоустойчивым замок, но если повесить его на калитку рядом с открытыми настеж воротами, а вокруг разбросать побольше ключей, толку от него не будет.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

32. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Клыкастый (ok) on 29-Дек-13, 15:53 
говорил год назад и повторю ещё раз. атаки на сервера инфраструктуры опенсорса будут всё чаще. это касается линуксоидов, фряшников, конкретных проектов - все в одной упряжке. цель этого отнюдь не дискредитация - поиск механизмов контроля и раздачи троянов. раз это не может быть с приемлемой частотой сделано по схеме венды (ну вот так вот, там где венда решето и адЪ, там *никсы и хорошо защищены и слабоуязвимы), значит будут пытаться найти другие  слабые места.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

64. "Зафиксирован взлом сайта OpenSSL (взлом подтверждён)"  +/
Сообщение от Аноним (??) on 30-Дек-13, 13:04 
Прочитал оставленное взломщиком послание и мне тут представилась аналогия: Вася из Усть-Пердыщенска приехал в Москву, пришел в Большой театр и в холле на стене нацарапал гвоздем "вася любит бальшой тятр" :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

67. "Зафиксирован взлом сайта OpenSSL (взлом подтверждён)"  +/
Сообщение от anonymous (??) on 30-Дек-13, 15:33 
Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной Москвы и забитого Усть-Пердыщенска.
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

86. "Зафиксирован взлом сайта OpenSSL (взлом подтверждён)"  +/
Сообщение от Af on 30-Дек-13, 22:21 
> Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной
> Москвы и забитого Усть-Пердыщенска.

Не, речь про Васю.

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

100. "Зафиксирован взлом сайта OpenSSL (взлом подтверждён)"  +/
Сообщение от Аноним (??) on 02-Янв-14, 13:11 
> Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной
> Москвы и забитого Усть-Пердыщенска.

Да, остроумно.
А Москва - это где?

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

101. "Зафиксирован взлом сайта OpenSSL"  +/
Сообщение от Виктор email(??) on 18-Фев-14, 18:10 
Взламываем системы социальных сетей, почт и сайтов любой сложности на заказ!!!

Почтовые ящики:
mail, list,inbox, bk, rambler
yandex, gmail, ukr, yahoo,hotmail
qip-pochta,корпоративные ящики
и многие другие!.
Предоставляем услуги по взлому социальных сетей:
mamba
lo veplanet
odnoklassniki
vkontakte
facebook и многое другое !!!
Кратчайшие сроки работы.
Работаем без предоплат и почтовых сборов, оплата по факту.

УДАЛЯЕМ НЕГАТИВНУЮ КРЕДИТНУЮ ИСТОРИЮ !!!

*** Также обучаю взлому ***
- Вероятность успешного обучения 100%
- Гарантии
- Перед обучением могу продемонстрировать взлом на живом примере, чтобы не было сомнений
- Обучиться сможет любой, даже совсем не разбирающийся в компьютерах
- Процесс занимает несколько часов
- Обучение проходит по аське или скайпу
- Недорого
***Распечатка смс сообщений и звонков:****
- Билайн
- МегаФон
- МТС
- Теле2
Мы не стоим на месте и постоянно развиваемся - список будет дополнятся актуальными почтовыми системами.
Если у вас крупные(от 5 ящиков,не меньше) объёмы заказов - мы рады предложить вам скидки.
При взломе пароль не меняется - хозяин продолжает пользоватся ящиком и ничего не подозревает.
Мы предоставляем доказательства взлома!
У Нас более 5 лет успешной работы!
За спрос денег не берем, ответим на все Ваши вопросы пишите, заказывайте...

Контакты для связи:vict.corshunow2013@yandex.ru :ICQ-683626046  моб.тел. 89677459546
*
*
*
*
Взламываем системы социальных сетей, почт и сайтов любой сложности на заказ!!!

Почтовые ящики:
mail, list,inbox, bk, rambler
yandex, gmail, ukr, yahoo,hotmail
qip-pochta,корпоративные ящики
и многие другие!.
Предоставляем услуги по взлому социальных сетей:
mamba
lo veplanet
odnoklassniki
vkontakte
facebook и многое другое !!!
Кратчайшие сроки работы.
Работаем без предоплат и почтовых сборов, оплата по факту.

УДАЛЯЕМ НЕГАТИВНУЮ КРЕДИТНУЮ ИСТОРИЮ !!!

*** Также обучаю взлому ***
- Вероятность успешного обучения 100%
- Гарантии
- Перед обучением могу продемонстрировать взлом на живом примере, чтобы не было сомнений
- Обучиться сможет любой, даже совсем не разбирающийся в компьютерах
- Процесс занимает несколько часов
- Обучение проходит по аське или скайпу
- Недорого
***Распечатка смс сообщений и звонков:****
- Билайн
- МегаФон
- МТС
- Теле2
Мы не стоим на месте и постоянно развиваемся - список будет дополнятся актуальными почтовыми системами.
Если у вас крупные(от 5 ящиков,не меньше) объёмы заказов - мы рады предложить вам скидки.
При взломе пароль не меняется - хозяин продолжает пользоватся ящиком и ничего не подозревает.
Мы предоставляем доказательства взлома!
У Нас более 5 лет успешной работы!
За спрос денег не берем, ответим на все Ваши вопросы пишите, заказывайте...

Контакты для связи:vict.corshunow2013@yandex.ru:  ICQ-683626046  моб.тел. 89677459546
-
-
-
-
-
-
-
-
-

-
-
-
-
-
-

-
-
-
-
-
-
-
-
-
-
-

-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-

-
-
-
-

-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-

-
-
-
-

-
-
-

-
-
-
-

-
-
-
-

-
-
-
-
-

-
-
-
-

-
-
-
-
-
-
-
-
-
-

-
-
-
-
-
-
-
-
-
-
-
-
--
-
-
-
-
-
-
-

-
-
-
-
-

-
-
-
-

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру