forum.opennet.ru - "Уязвимость браузеров при проверке SSL-сертификатов" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Уязвимость браузеров при проверке SSL-сертификатов"

Форумы Разговоры, обсуждение новостей (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость браузеров при проверке SSL-сертификатов"		+/–
Сообщение от opennews on 01-Окт-09, 19:08
Специалист по безопасности Джекоб Аппелбаум (Jacob Appelbaum) опубликовал (https://www.noisebridge.net/pipermail/noisebridge-discuss/20...) SSL-сертификат и соответствующий секретный ключ, которые позволяют web-серверам избегать появления предупреждений о корректности сертификата в уязвимых браузерах - независимо от домена, для которого представлен сертификат. Фишеры, например, могут использовать сертификат, чтобы замаскировать их серверы под законные банковские сайты, которые будут обнаружены, только при более тщательном исследовании сертификата. Для реализации трюка, Аппелбаум изменил сертификат согласно методу, продемонстрированному Мокси Марлинспайком (Moxie Marlinspike ) на конференции Black Hat, введя нулевой символ (\0) в поле имени (CN, Common Name). Однако, в отличие от Марлинспайк, Аппелбаум показал, что при задействовании маски'' удалось создать универсальный сертификат для произвольных имен домена: CN= \x00thoughtcrime.noisebridge.net... URL: http://www.h-online.com/open/SSL-trick-certificate-published... Новость: http://www.opennet.ru/opennews/art.shtml?num=23678
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Уязвимость браузеров при проверке SSL-сертификатов, chemtech, 19:08 , 01-Окт-09, (1) +1

Уязвимость браузеров при проверке SSL-сертификатов, chemtech, 19:13 , 01-Окт-09, (2) +1

Уязвимость браузеров при проверке SSL-сертификатов, Аноним, 19:53 , 01-Окт-09, (3)

Уязвимость браузеров при проверке SSL-сертификатов, dry, 20:39 , 01-Окт-09, (4)

Уязвимость браузеров при проверке SSL-сертификатов, Vi, 23:04 , 01-Окт-09, (5) +1

Уязвимость браузеров при проверке SSL-сертификатов, Аноним, 07:55 , 02-Окт-09, (6)

Уязвимость браузеров при проверке SSL-сертификатов, fi, 14:00 , 02-Окт-09, (7)

Уязвимость браузеров при проверке SSL-сертификатов, zazik, 16:23 , 02-Окт-09, (8)

Уязвимость браузеров при проверке SSL-сертификатов, Tav, 22:58 , 02-Окт-09, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "Уязвимость браузеров при проверке SSL-сертификатов" +1 +/–

Сообщение от chemtech on 01-Окт-09, 19:08

Проверил так и есть.
FireFox правда старый 3.0.14

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость браузеров при проверке SSL-сертификатов" +1 +/–

Сообщение от chemtech on 01-Окт-09, 19:13

Блин. ошибка вышла....
"К сертификату нет доверия, так как он является самоподписанным.
Сертификат действителен только для *\\x00thoughtcrime.noisebridge.net
"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость браузеров при проверке SSL-сертификатов" +/–

Сообщение от Аноним (??) on 01-Окт-09, 19:53

Так этот сертификат еше нужно протащить под цепочку центров сертификации. В принципе адеркватные центры должны фильтровать содержимое CN веб-сертификатов. Но, возможно, что у каких-либо центров будет автоматизирована покупка сертификатов и получится такой нормально подписать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость браузеров при проверке SSL-сертификатов" +/–

Сообщение от dry (ok) on 01-Окт-09, 20:39

вот вот.
я бы даже сказал покажите мне тот уц, для которого это прокатит, тогда зачтем очко. в противном случае пионерская ересь. бо если речь идет о самоваренных сертификатах, то проблемы засунуть в cn нужный домен вообще не стоит.
сделали из мухи слона, как это бывает в большинстве случаев.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость браузеров при проверке SSL-сертификатов" +1 +/–

Сообщение от Vi on 01-Окт-09, 23:04

А взять уже подписанный религия не позволяет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость браузеров при проверке SSL-сертификатов" +/–

Сообщение от Аноним (??) on 02-Окт-09, 07:55

Ага, а потом его изменить, да?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость браузеров при проверке SSL-сертификатов" +/–

Сообщение от fi (ok) on 02-Окт-09, 14:00

а зачем через уц???
достаточно сделать chain из двух.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость браузеров при проверке SSL-сертификатов" +/–

Сообщение от zazik (ok) on 02-Окт-09, 16:23

>а зачем через уц???
>
>достаточно сделать chain из двух.
А в итоге? Я не совсем догоняю.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость браузеров при проверке SSL-сертификатов" +/–

Сообщение от Tav on 02-Окт-09, 22:58

> публичным опубликованием
?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость браузеров при проверке SSL-сертификатов"		+1 +/–
Сообщение от chemtech on 01-Окт-09, 19:08
Проверил так и есть. FireFox правда старый 3.0.14
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость браузеров при проверке SSL-сертификатов"		+1 +/–
	Сообщение от chemtech on 01-Окт-09, 19:13
	Блин. ошибка вышла.... "К сертификату нет доверия, так как он является самоподписанным. Сертификат действителен только для *\\x00thoughtcrime.noisebridge.net "
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимость браузеров при проверке SSL-сертификатов"		+/–
Сообщение от Аноним (??) on 01-Окт-09, 19:53
Так этот сертификат еше нужно протащить под цепочку центров сертификации. В принципе адеркватные центры должны фильтровать содержимое CN веб-сертификатов. Но, возможно, что у каких-либо центров будет автоматизирована покупка сертификатов и получится такой нормально подписать.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость браузеров при проверке SSL-сертификатов"		+/–
	Сообщение от dry (ok) on 01-Окт-09, 20:39
	вот вот. я бы даже сказал покажите мне тот уц, для которого это прокатит, тогда зачтем очко. в противном случае пионерская ересь. бо если речь идет о самоваренных сертификатах, то проблемы засунуть в cn нужный домен вообще не стоит. сделали из мухи слона, как это бывает в большинстве случаев.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость браузеров при проверке SSL-сертификатов"		+1 +/–
	Сообщение от Vi on 01-Окт-09, 23:04
	А взять уже подписанный религия не позволяет?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Уязвимость браузеров при проверке SSL-сертификатов"		+/–
	Сообщение от Аноним (??) on 02-Окт-09, 07:55
	Ага, а потом его изменить, да?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость браузеров при проверке SSL-сертификатов"		+/–
	Сообщение от fi (ok) on 02-Окт-09, 14:00
	а зачем через уц??? достаточно сделать chain из двух.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость браузеров при проверке SSL-сертификатов"		+/–
	Сообщение от zazik (ok) on 02-Окт-09, 16:23
	>а зачем через уц??? > >достаточно сделать chain из двух. А в итоге? Я не совсем догоняю.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

9. "Уязвимость браузеров при проверке SSL-сертификатов"		+/–
Сообщение от Tav on 02-Окт-09, 22:58
> публичным опубликованием ?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору