|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"Представлена техника перехвата содержимого Cookie для сжатых..." | +/– | |
Сообщение от opennews (ok) on 17-Сен-12, 22:35 | ||
Джулиано Риццо (Juliano Rizzo) и Тхай Дыонг (Thai Duong), известные исследователи компьютерной безопасности, создавшие в своё время технику атаки BEAST (http://www.opennet.ru/opennews/art.shtml?num=31797) против SSL/TLS, разработали (http://isecpartners.com/blog/2012/9/14/details-on-the-crime-...) новый способ перехвата на промежуточном шлюзе содержимого сессионных Cookie, передаваемых внутри зашифрованного соединения. Новая атака, получившая название CRIME (Compression Ratio Info-leak Made Easy), эффективна для каналов связи на основе SSL/TLS и SPDY, действует только при использовании сжатия передаваемых данных и требует выполнения JavaScript-кода злоумышленника в браузере клиента (в случае man-in-middle атак осуществить подстановку такого кода не составляет труда). | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "Представлена техника перехвата содержимого Cookie для сжатых..." | +2 +/– | |
Сообщение от pavlinux (ok) on 17-Сен-12, 22:35 | ||
Патчик для Апача 2.2+ https://issues.apache.org/bugzilla/attachment.cgi?id=28804 | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Сейд (ok) on 17-Сен-12, 23:17 | ||
А если Cookie отключены? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
3. "Представлена техника перехвата данных для сжатых соединений ..." | +2 +/– | |
Сообщение от pavlinux (ok) on 17-Сен-12, 23:35 | ||
Cookie - это одна из возможных целей атаки, а не инструмент. | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
4. "Представлена техника перехвата данных для сжатых соединений ..." | –1 +/– | |
Сообщение от frob (ok) on 18-Сен-12, 02:34 | ||
Что за бред? | ||
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору |
5. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от pavlinux (ok) on 18-Сен-12, 02:48 | ||
> Что за бред? | ||
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору |
6. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от frob (ok) on 18-Сен-12, 03:39 | ||
Совсем кукус? | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
7. "Представлена техника перехвата данных для сжатых соединений ..." | –1 +/– | |
Сообщение от pavlinux (ok) on 18-Сен-12, 03:46 | ||
Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick." в кодировке ROT13. | ||
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору |
8. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от frob (ok) on 18-Сен-12, 03:52 | ||
> Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick." | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
9. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от pavlinux (ok) on 18-Сен-12, 04:44 | ||
> Для тупого: про 3DES не слышал? Ну, иди сжимай зашифрованное. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
23. "Представлена техника перехвата данных для сжатых соединений ..." | +1 +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 15:00 | ||
> Для колхоза: Зашифруй 2 раза сообщение, "Fhpx zl qvpx. Suck my dick." | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
27. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Акакий Зильбиршейн on 18-Сен-12, 19:42 | ||
с развитием "матричных вычислитиле" - пример видеокарта, к концу следущего года сильно сомневаю что любо известный на сегодня алгоритм крипто защиты - так себе защищает. т.е. если кому то надо ломануть твою ssl сессию он просто это сделает. | ||
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору |
35. "Представлена техника перехвата данных для сжатых соединений ..." | +3 +/– | |
Сообщение от pavlinux (ok) on 19-Сен-12, 03:33 | ||
> с развитием "матричных вычислитиле" - пример видеокарта, к концу следущего года сильно | ||
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору |
16. "Представлена техника перехвата данных для сжатых соединений ..." | +1 +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 10:21 | ||
Шифрованое и сжатое - разные вещи, не? | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
28. "Представлена техника перехвата данных для сжатых соединений ..." | +1 +/– | |
Сообщение от Акакий Зильбиршейн on 18-Сен-12, 19:57 | ||
> Шифрованое и сжатое - разные вещи, не? | ||
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору |
32. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Сейд (ok) on 18-Сен-12, 22:03 | ||
Когда в NetworkManager можно будет использовать L2TP? | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
43. "l2tp" | +1 +/– | |
Сообщение от Дмитрий (??) on 20-Сен-12, 22:57 | ||
тестируйте | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
44. "l2tp" | +/– | |
Сообщение от Сейд (ok) on 20-Сен-12, 23:54 | ||
За что вы так ненавидите нас, милых пушистых созданий? Хомячки не умеют устанавливать пакеты в Fedora иначе, чем gpk-application (yum) из репозиториев... Так что пока PPTP - наше всё. | ||
Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору |
39. "Представлена техника перехвата данных для сжатых соединений ..." | –1 +/– | |
Сообщение от pavel_simple (ok) on 19-Сен-12, 11:01 | ||
>> Шифрованое и сжатое - разные вещи, не? | ||
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору |
22. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 14:56 | ||
> 1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ! | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
37. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от pavlinux (ok) on 19-Сен-12, 04:05 | ||
> Хотя конечно, если шифровать ROT13 ламерской XORкой с константой - это "шифрование", | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
29. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от ммманоним on 18-Сен-12, 20:17 | ||
>1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ! | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
36. "Представлена техника перехвата данных для сжатых соединений ..." | +2 +/– | |
Сообщение от pavlinux (ok) on 19-Сен-12, 03:53 | ||
>>1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ! | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
38. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от upyx (ok) on 19-Сен-12, 09:00 | ||
Объясните пожалуйста, почему шифровать сжатое можно, а сжимать шифрованное нельзя? Или нельзя и то и другое, а данная функция в браузере - fail? | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
40. "Представлена техника перехвата данных для сжатых соединений ..." | +1 +/– | |
Сообщение от Аноним (??) on 20-Сен-12, 11:40 | ||
В шифрованных данных нет очевидных закономерностей, поэтому их особо не сожмёшь. | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
10. "Представлена техника перехвата данных для сжатых соединений ..." | –1 +/– | |
Сообщение от aannoo on 18-Сен-12, 07:31 | ||
ндаааа онолитеги... | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
11. "Представлена техника перехвата данных для сжатых соединений ..." | –4 +/– | |
Сообщение от anonymous (??) on 18-Сен-12, 07:35 | ||
Нет. И то, и то - кодирование. | ||
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору |
15. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 09:01 | ||
> Нет. И то, и то - кодирование. | ||
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору |
12. "Представлена техника перехвата данных для сжатых соединений ..." | +7 +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 07:52 | ||
> Internet Explorer подобное сжатие не поддерживается вообще | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
14. "Представлена техника перехвата данных для сжатых соединений ..." | +2 +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 09:00 | ||
У них других уязвимостей хватает, так что толку то, особенно с их "оперативным" выпуском патчей раз в месяц :) | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
19. "Представлена техника перехвата данных для сжатых соединений ..." | +2 +/– | |
Сообщение от stopa85 (ok) on 18-Сен-12, 11:08 | ||
Иногда, кстати, очень не плохая политика. | ||
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору |
13. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 08:59 | ||
> Используя тот факт, что данные сжимаются на этапе до шифрования и не | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
20. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от kurokaze (ok) on 18-Сен-12, 11:56 | ||
как и "соль" | ||
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору |
17. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 10:28 | ||
Ещё в обсуждении BEAST говорилось, что одно из правил криптографии - дать злоумышленнику возможность зашифровать любое количество любых данных и посмотреть на результаты, но так, чтобы не скомпрометировать систему. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
24. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 15:21 | ||
все конечно хорошо, но я что-то не представляю, как можно вклиниться в канал связи (man-in-middle), весь сигнал проходит через узлы операторов связи, а у них с безопасностью все должно быть в порядке, или любой с улицы может спокойно войти в здание? опять же, откуда злоумышленнику знать, каким маршрутом пойдет сигнал? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
25. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Аноним (??) on 18-Сен-12, 16:11 | ||
Чо-чо там с безопасностью СОРМ-2? | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
26. "Представлена техника перехвата данных для сжатых соединений ..." | +4 +/– | |
Сообщение от XoRe (ok) on 18-Сен-12, 17:55 | ||
> весь сигнал проходит через узлы операторов связи, а | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
42. "Представлена техника перехвата данных для сжатых соединений ..." | +1 +/– | |
Сообщение от zazik (ok) on 20-Сен-12, 21:11 | ||
> все конечно хорошо, но я что-то не представляю, как можно вклиниться в | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
45. "Представлена техника перехвата данных для сжатых соединений ..." | +/– | |
Сообщение от Slezhuk on 09-Ноя-12, 10:31 | ||
Сегодня для Ubuntu прилетел апдейт апача, закрывающий эту уязвимость. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |