Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область, после инициирования SSL сессии.

И как хакеры это узнали? Firefox предупреждает о страницах и с http и с https.

разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт, 114 аккаунтов Yahoo и 50 аккаунтов в Gmail.

Вот пока годами умные люди пишут статьи, теоретические работы и исследования -всем плевать, никто из IT-индустрии не верит и не читает. Пока кого-то зло не возьмёт и он не выдаст готовый к употреблению эксплойт ну чтобы уж все увидели, что проблема не надуманная и не чисто теоретическая. Без этого что никак? Чтоб сначала оценить так, пофиксить, а затем уже эксплойтить старый протокол.

Ну так пока гром не грянет...

Некоторые УЦ отказались от MD5 только когда продемонстрировали возможность создания поддельных сертификатов. А некоторые наверно и сейчас используют...

разместив SSL прокси на одном из узлов сети Tor

проблема не надуманная и не чисто теоретическая. Без этого что никак? Чтоб сначала оценить так, пофиксить, а затем уже эксплойтить старый протокол.

Что нужно "пофиксить" из двух ранее указанных, чтобы предотвратить "успешное внедрение в SSL соединение"?

Что нужно "пофиксить" из двух ранее указанных, чтобы предотвратить "успешное внедрение в SSL соединение"?

Банкам, е-магазинам и прочим учреждениям, полагающимся на ssl, стоит для начала прекратить тренировать пользователей логинам с http-страниц. SSL — достаточно хорошая штука (не считая того, что он защищает и без того самую безопасную часть, не заботясь о совершенно небезопасных машинах пользователей), только вот никто не использует его, как надо, и большинство уже даже не знают, как надо.

Несмотря на очевидность для пользователя подмены HTTPS на HTTP

ни один из пользователей не заподозрил проблемы и не прекратил процесс аутентификации. Что касается браузеров, то они также не выдали предупреждения о переходе в незащищенную область

Кто курил текст, разъясните как это выглядит, плиз. Имеется в виду, что пользователь вообще ничего не замечает в процессе атаки, или хоть по какой-то диагностике, выдаваемой браузером, атаку можно засечь? Я так понимаю, браузер лишь не выдаёт предупреждения о смене https на http в строке адреса? В смысле, что если при вводе пароля на сайт в строке адреса именно https написано, то можно не бояться этой конкретной атаки?

Пока кого-то зло не возьмёт и он не выдаст готовый к употреблению эксплойт

Ситуация с информационной безопасностью в сети вообще плачевная. И тут нет ничего удивительного. Вы же не считаете уязвимостью автомобилей Мерседес-Бенц, возможность прокалывать шины любым гопником. А в интернете – запросто. И ситуация с web-серверами скорее мне напоминает ситуацию в Израиле, где каждый школьный автобус бронированный. И с этим вряд-ли что-то можно поделать. Это проблема в генах.

Спасает лишь то, что организованная интернет-преступность ведет себя не слишком агрессивно.

практический совет пользователям файрфокс. Поскольку использовать privoxy для фильтрации в данном случае довольно муторно, для файрфокса можно установить плагин Adblock Plus.

Заходим на страницу https://www.pgpru.com. видим знак смешанного контента (битый замОк). Открываем список элементов страницы по кнопке ABP. Для всех, которые не https вводим блокирующий фиьтр:
http://ad.adriver.ru/* http://*.hotlog.ru/*

После сохранения проверяем, что послее перезагрузки страницы на ней зак замкА небитый.

Можно вводить логин.

также можно сделать для гугла. Правда защита неидеальная, а против сайтов, которые после аутентификации перенаправляют с https на http вообще бесполезная.

не считая того, что он защищает и без того самую безопасную часть, не заботясь о совершенно небезопасных машинах пользователей

Это устаревающее положение. Если пользователь использует tor, то как раз наоборот – MITM вполне себе актуален.
А плохо защищённые беспроводные и домашние сети, где может вклиниться кто-угодно?

С развитием миниатюрных компьютеров, когда они станут достаточно мощными, но размером со спичечный коробок и умещающих в себе два LAN-разъёма, скоро на сетевой провод можно будет вешать жучок, управляемый по беспроводным протоколам, выполняющий MITM, использующий уязвимости маршрутизаторов и собирающий любую доступную информацию как пассивным так и активным способом.

Трудно давать какие-либо советы, но есть хорошая программа – Proxomitron. В-принципе аналог privoxy, но для Windows и с графическим интерфейсом. При наличии минимальный знаний в html, можно запросто блокировать ActiveX objects, cookie, фреймы и ссылки не с основного домена, и т.п. К сожалению, программа давно не развивается, т.к. автор давно умер.

Или пользоваться Opera, в ней нет некоторых тупых багов Мозиллы.

Или пользоваться Opera, в ней нет некоторых тупых багов Мозиллы.

Есть свои не менее тупые, да еще и более скрытые. Тут аж тема была в новостях, про одну из таких с хитромудрой схемой распознавания принадлежности адресов к локалке, до сих пор (новость) в лидерах по оценке читателей висит.
В Лисе есть шанс баги отловить, при открытом коде, хотя бы чисто теоретически это сделать проще.

Да какой это баг, так, галочку по умолчанию поставить забыли. :)

разместив SSL прокси на одном из узлов сети Tor за 20 часов удалось перехватить секретные данные в 200 SSL запросах, среди которых 16 номеров кредитный карт

Логично предположить, что все кредитные карты были выданы банками анонимным (то есть неидентифицированным) клиентам (раз уж те поперлись с ними в Tor) видимо целью данного кредитования было разорение собственного банка!

"Если вы видите, как швейцарский банкир прыгает в окно небоскреба, не раздумывая делайте то же. Значит – это выгодно!".

Интересно, кто сочиняет всю эту муть, которую вы уже два дня исправно обсуждаете?

Это blackhat-то муть? :-D

Для нубов, которые не знают/не осознают что такое Black Hat. Lurk more!