forum.opennet.ru

"Let's Encrypt опубликовал описание атаки и план по устранени..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Присылайте удачные настройки в раздел примеров файлов конфигурации на WIKI.opennet.ru.

. "Let's Encrypt опубликовал описание атаки и план по устранени..."	+1 +/–
Сообщение от пох (?), 10-Янв-18, 23:53
> А если в роли атакующего будет хостинг провайдер? а ему-то зачем? У него уже все твои юзеры, пароли и явки - в расшифрованном виде, после ssl-фронтенда. Хочет, твой код патчит, хочет прокси между ним и вебсервером ставит, а хочет - прямо из твоей базы в удобном интерфейсе запросом вынимает что ему надо. И ключ от твоего сертификата у него, в любом случае, есть, иначе он и подключить-то его не сможет. проблема что оно ему-то обычно нахрен не надо - номер твоей кредитки ты же сам ему сообщил. Со всеми cvv и billing address. Но, почему-то, провайдеры редко убегают в туманную даль, попытавшись напоследок снять все денежки с карт клиентов. да, в счастливые до-летрстрешовые времена мы, обычно, сертификаты оформляли вместо клиентов. Поскольку там требовалось минимальное общение с CA, на которое те и способны-то не были. Но оно может оказаться надо хакеру васе, который не пожалеет 15 долларов с (краденой) кредитки, чтобы влезть на тот же самый shared сервер, на котором сидишь и ты. И вот тут, внезапно, выясняется, что провайдер об этом должен был подумать, и специально для страдальцев-любителей на халяву, подстелить особой соломки.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Let's Encrypt опубликовал описание атаки и план по устранени..., opennews, 10-Янв-18, 21:12 [смотреть все]

То есть проблема даже не в CA Расходимся , Аноним, 10-Янв-18, 21:12 (1) //
- Если CA выдает сертификаты не тем доменам, для которых они запрошены - это таки , тоже Аноним, 10-Янв-18, 21:50 (4) //
  - В том то и проблема, что тем, которые запрошены P S Интересно, причем тут пр, КО, 11-Янв-18, 09:40 (22) //
    - Проблема в том, что те кто придумывал протокол, не подумали, что на одному ip мо, КО, 11-Янв-18, 09:52 (23)
      - Провайдер вообще должен запретить загрузку сертификатов для невалидных доменов , Аноним, 11-Янв-18, 13:14 (31)
        
        Об чем и речь Только вот должен ли Одно дело, когда провайдер может предложить , КО, 11-Янв-18, 14:24 (32)
        
        Если ты не в курсе, это давно уже нормальная практика на многих хостингах примен, Аноним, 11-Янв-18, 15:17 (35)
    - Тогда и проблемы нет То есть не было бы А за сертификаты отвечает эта Authorit, Анонимный Алкоголик, 11-Янв-18, 12:17 (27)
      - Проблема не в том, чтобы выдавать сертификат на запрошенный домен, а в том, чтоб, КО, 11-Янв-18, 14:29 (33)
Эпично , Аноним, 10-Янв-18, 21:34 (3)
Let s Encrypt как всегда рулит и оперативно исправляет проблемы В отличии от пр, Nikodim, 10-Янв-18, 21:54 (5) //
- да-да, как всегда, своим обычным способом - ничего не улучшая в технике, занимае, пох, 10-Янв-18, 22:13 (6) //
  - Предложите, что бы ему следовало сделать на самом деле , XoRe, 10-Янв-18, 22:31 (7) //
    - Для начала использовать действительно безопасные механизмы верификации HTTP, DNS, Аноним, 10-Янв-18, 22:39 (8)
      - и не оставляют следов на стороне CA Удобно Бе фор безопастность мущина, просн, пох, 10-Янв-18, 22:50 (10)
        
        А че вы их так не любите Я конечно тоже против монополии, но на моей памяти LE , key, 11-Янв-18, 05:46 (16)
        
        А вот и боты-добровольцы пожаловали Мы ради вас стараемся и так бесплатно же , Аноним, 11-Янв-18, 09:27 (21)
        
        Удивился Загуглил Ты долбoёб Меланин 8212 это пигмент, совершенно безвредн, Аноним, 11-Янв-18, 10:41 (25)
        
        Удивился МелаМин Нашумевшие скандалы в Китае Но нет, кое-кто умудрился не усл, другой Аноним, 11-Янв-18, 16:11 (37)
        
        Да, удивился, что кто-то путает меламин с меланином Меня китайские проблемы мало, Аноним, 12-Янв-18, 16:21 (40)
        
        Неуклюжая попытка юлежа и спрыга Зарепорть 25, а то палишься аж два раза А во, другой Аноним, 12-Янв-18, 20:20 (41)
        
        А что бесплатно молоко или похороны , Аноним, 11-Янв-18, 12:39 (28)
        То есть, если писать короче и без обличительного тона, LE обладает всеми теми же, Аноним, 11-Янв-18, 15:17 (34)
      - Какие Однако между теоретической уязвимостью и практической ее реализацией лежит, angra, 11-Янв-18, 06:56 (17)
        
        Иными словами, SSL бесполезен Громкое заявление , Аноним, 11-Янв-18, 09:09 (19)
        
        У меня даже идей нет, как из моих слов можно было сделать столь идиотский вывод , angra, 11-Янв-18, 20:27 (39)
  - Каким ещё шантажом Клиенты таких хостингов в любом случае не имеют возможности , Аноним, 10-Янв-18, 22:39 (9)
- По принципу - мы пока не знаем как, поэтому объявим виновными кого-то еще и подо, КО, 11-Янв-18, 09:54 (24)
- 8230 и как всегда 8212 только после того, как смачно въехала таблом в стену, arisu, 11-Янв-18, 13:12 (30) //
  - Такая-то возможность выстрелить с отличным прибыльным бизнесом и показать и этим, Аноним, 11-Янв-18, 15:24 (36)
А если в роли атакующего будет хостинг провайдер Который специально все неправи, Аноним, 10-Янв-18, 23:29 (11) //
- а ему-то зачем У него уже все твои юзеры, пароли и явки - в расшифрованном виде , пох, 10-Янв-18, 23:53 (12) //
  - Мы хоть и не хостинг провайдеры но и сейчас оформляем вместо клиентов бесплатные, key, 11-Янв-18, 05:39 (15)
  - А если у него нет - Вот начинающий такой провайдер из Франции Без твоих па, Анонимный Алкоголик, 11-Янв-18, 12:50 (29)
- Ваш хостинг-провайдер сможет себе выписать сертификат не EV в любом CA, а може, Анонимус2, 11-Янв-18, 00:38 (13)
- У хостинг-провайдера и без сертификата есть возможность напрямую забрать твои да, Аноним, 11-Янв-18, 10:46 (26)
Порицаю провайдеров , Аноним, 11-Янв-18, 02:58 (14)
Спасибо за информацию, будем ждать список провайдеров, mrkaban, 11-Янв-18, 08:24 (18) //
- GoDaddy там будет на первом месте, я думаю , Аноним, 11-Янв-18, 09:20 (20)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру