id: Гость   вход   регистрация
текущее время 20:49 28/03/2024
Автор темы: Гость, тема открыта 09/01/2010 06:12 Печать
Категории: инфобезопасность
создать
просмотр
ссылки

вскрытие SSL соединения


почитал статейку по адресу юзаю тор, и пользуюсь разного рода услугами именно через https соединение. НО! Забиваю всегда именно httpS в самом начале, то есть еще при наборе адреса в браузере- и полностью набрав адрес , скажем https://www.paypal.com/ru нажимаю кнопку "перейти" браузера. то есть начинаю с чистой вкладки и именно набора httpS. в этом случае так понимаю эта и другие атаки сводятся к нулю? Я один из тех пользователей которые как раз набирают https:// ))


 
Комментарии
— Гость (09/01/2010 10:55)   <#>

Я один из тех пользователей которые как раз набирают https:// ))


Из тех кто при этом читает статейки по тому адресу. Ваш профиль узнаваем, наблюдатель на вражеском эксите в случайно совпавший момент времени сможет сказать по этому поводу: "вот мол парень набрал сразу хттпс и совершил финансовые операции, затем пошел читать статейки с наблюдаемым содержимым по смешному адресу, пока не знаю кто он, но главное что-то читает и возможно пишет на пгпру (пойду поищу что написал)."

P. S. После той атаки Moxie проделывал более ужасные вещи против бажных по исполнению SSL, которые потребовали исправить отдельные браузера и библиотеки. Они конечно были запатчены с большИм запасом времени для успешных обновлений, прежде чем тот журнал с аффтором из города багова зделали для себя ещё чуть больше "открытий" и доставили ещё чуть больше лулзов.
— Гость (10/01/2010 02:25)   <#>
А я вот это там не очень понял:
Итак, мы не можем использовать .com или любой другой домен первого уровня, ибо браузеры добавят к нему Punycode. Прикинем, какие символы чаще всего встречаются в URL[S2]? Правильно: «. / & ?». Давай этим воспользуемся. Зарегистрируем домен ijjk.cn и получим сертификат для *.ijjk.cn. А потом применим старый трюк с буковками из другого алфавита, очень похожими на / и? Для создания фальшивых URL'ок. Снова запускаем sslsniff, только на этот раз, вместо подмены https на http, будем подменять URL на свои липовые поддомены. Так, https://www.gmail.com/accounts/ServiceLogin становится https://www.google.com/accounts/ServiceLogin?!f.ijjk=. Никакого Punycode в последней ссылке не наблюдается. Плюс ко всему, мы обладаем действительным сертификатом для данного домена. Заметить разницу практически невозможно.

Если у них сертификат на *.ijjk.cn, и они (как я понимаю), сами от совего имени делают SSL-сессию, отдавая лишь подделанные урлы, почему клиент ничего не заметит? Он же должен увидеть, что подсовываемый серт – для ijjk.cn, а его пытаются поюзать для https://www.google.com. Емнип, стандартные браузеры сразу пишут предупреждения в таком случае.
— Гость (10/01/2010 02:29)   <#>
Уточню: браузер должен проверять не только валидность подписи от CA на предъявляемом сертификате, но и домен, для которого CA выдал эту подпись – разве это на практике не выполняется?
— jackwssp (10/01/2010 23:12)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 1
Фигня это всё дурацкая, ей богу. Атаки их полная чушь. И вообще, про обезьян по середине уже давно всё написано в гугле, товарищи.
— Гость (11/01/2010 00:10)   <#>
Вы хотели сказать, что обезъяна посередине – фигня дурацкая, и атака её – полная чушь?
— jackwssp (11/01/2010 18:16, исправлен 11/01/2010 18:16)   профиль/связь   <#>
комментариев: 3   документов: 1   редакций: 1

Отнють, Гость.


Если при общении с кем-либо, в разговор влезает обезьяна, это очень, очень неприятно.


В моём сообщении упоминалась ссылка на гугл, где эти атаки хорошо освещены.

— Гость (13/01/2010 21:40)   <#>
Вот тут о атаках:

Простой способ атаки "в обход" против пользователя Tor
https://www.pgpru.com/forum/an.....sposobatakivobhodtor
— Гость (13/01/2010 22:30)   <#>

Простой способ


Открылись новые обстоятельства, или закрылись? В смысле стало ли проще атака в нынешнее время?
Кстати, насчет варианта рассматриваемой атаки, при которой статистика наполнялась произвольным числом виртуальных узлов, а с оставшимся блокировалось любое общение. Такое было возможно из-за программной ошибки некоторое количество версий назад, при этом криптография вообще молчала, её почти элегантно обходили стороной. Замечательно, что ошибка в программном коде впоследствии исправлена была, но по другой причине. И вопрос: кто о ней знал, и кто использовал; вряд ли будут раскрыты.

Возможно Unknown знал, он конечно знал что писал, а криптографию добавил для весу к своей атаке(ошибки парсеров мимолетны, а ключи всегда с нами).
— Гость (14/01/2010 01:58)   <#>
Такое было возможно из-за программной ошибки некоторое количество версий назад

Емнип, но момент того обсуждения текущая версия Tor эту атаку либо не позволяла, либо делала её намного менее практичной, чем масса других способов. Обсуждение было крайне малоконструктивным в силу того, что никто из участников не удосужился детально изучить протокол Tor'а (что не просто, т.к. там много тонкостей, о которых рядовые пользователи Tor и не подозревают).
— Гость (14/01/2010 09:19)   <#>

Емнип, но момент того обсуждения текущая версия Tor эту атаку либо не позволяла, либо делала её намного менее практичной, чем масса других способов.


В самый разгар обсуждений: когда уже существовала альфа с v3 протоколом и существовали стабильные ветки с v2, именно добавление бесконечного множества виртуальных узлов работало, очень замечательно работало. При том что версии с v2 скачивали статусы плайн-текстом (пытались тунелить такие запросы уже в стабильной, но именно в той ветке из-за комплексных ошибок это не задалось)

Может мы говорим о разных ошибках?

Разработчики в момент исправления не знали (или делали вид), чего ещё очень важного они достигли. Правка была дежурной без пометок в ченджлоге. А позже, на предложение четко стуктурировать тот участок кода (текущее исправление больше походит на клюдж), дабы не повторять ошибок в будущем, в незаинтересованной форме проигнорировали.
— unknown (14/01/2010 09:20)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Разработчики добавили сложную систему голосований и получения консенсусов, чтобы корневые узлы могли заподозрить неладное, ввели для директорий использование краткосрочного ключа, заверяемого долгосрочным (для усложнения компрометации ключей), кроме того изначально велись публично доступные и подписанные ключом самих разработчиков логи всей статистики сети Tor, что могло бы отловить все манипуляции на серверах хотя бы задним числом и предъявить доказательства. Они знали обо всём этом и без наших (уже наивных на тот момент) рассуждений и начали совершенствовать протокол задолго до того как это пришло нам в голову.
— unknown (14/01/2010 09:23)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Предупреждение:
Если есть желание опять устроить длинное обсуждение — то комменты придёться отрезать и переклеивать к той теме.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3