https://www.opennet.ru/openforum/vsluhforumID3/60586.html Марш Рэй (Marsh Ray) и Стив Диспенса (Steve Dispensa) из компании PhoneFactor обнаружили (http://www.phonefactor.com/sslgap/) критическую уязвимость (http://extendedsubset.com/?p=8) в протоколах SSL/TLS, позволяющую злоумышленнику организовать подстановку своих данных в устанавливаемое между двумя точками защищенное соединение. Для успешного проведения атаки злоумышленник должен иметь возможность вклинится в проходящий защищенный трафик, например, получить контроль над промежуточным шлюзом, прокси сервером или установить свое оборудование в разрыв сетевого кабеля (man-in-the-middle атака). <br><br><br>Удачно проведенная атака позволяет незаметно добавить свой текст в начало SSL/TLS сессии. Так как часто сеанс работы с сайтом состоит из множества разных SSL/TLS сессий, теоретически злоумышленник может под прикрытием обычной активности пользователя совершить угодные атакующему действия на сервере, при этом пользователь будет уверен, что совершает легитимные операции в рамках защищенного соедин...<br><br>URL: http://www.the https://www.opennet.ru/openforum/vsluhforumID3/60586.html#50 Mon, 23 May 2011 06:13:15 GMT Коллеги, приветствую.<br><br>Что по этой теме? Вопрос закрыт?<br> https://www.opennet.ru/openforum/vsluhforumID3/60586.html#49 Wed, 13 Apr 2011 10:37:52 GMT Нет.<br> https://www.opennet.ru/openforum/vsluhforumID3/60586.html#48 Tue, 10 Nov 2009 20:19:48 GMT &gt;&gt;Зачем же доверять всем кто по SSL зашёл? <br>&gt;&gt;Смысл SSL в том, что ни кто не видит трафика, а пароль <br>&gt;&gt;всё равно вводить надо. <br>&gt;&gt;Ну или ID сессии проверять и нет проблем. <br>&gt;<br>&gt;Во-первых, речь обычно идёт как раз об обратном: чтобы тот, кто подключается <br>&gt;к серверу, был уверен, что подключился туда, куда надо. <br>&gt;<br><br>Он-то и останется уверен - уязвимость позволяет от имени клиента отправлять данные на сервер, а не наоборот, насколько я понимаю.<br><br><br>&gt;Во-вторых, при использовании белого списка пользовательских сертификатов, действительно, можно и аутентификацию проводить. <br>&gt;<br><br>Это да, это проблема.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/60586.html#47 Sun, 08 Nov 2009 03:07:27 GMT Во первых, есть и иные реализации, скажем либа GnuTLS. Во вторых - вы процитировали ченжлог. Имхо это хорошо, когда авторы либы оперативно реагируют на обнаруженную проблему. Может, покажете для сравнения какойнить микрософт, починивший эту проблему у себя за этот же срок? Ну или там кого еще у кого самопальные реализации SSL есть. И кстати, а кто сказал что в случае IPSEC или прочая будет лучше? Это мягко говоря не факт.<br> https://www.opennet.ru/openforum/vsluhforumID3/60586.html#46 Fri, 06 Nov 2009 23:11:55 GMT А эксплойт, кусачки и обжимник есть?<br> https://www.opennet.ru/openforum/vsluhforumID3/60586.html#45 Fri, 06 Nov 2009 21:35:23 GMT &gt;&gt; да говорил про ipsec , да тот который засунут в TCP<br>&gt;<br>&gt;Нет, я все-таки скажу: мсье знает толк в извращениях. А какие плюсы <br>&gt;такого решения? Только не надо говорить что он без дыр - <br>&gt;пока протокол пользует полтора человека, они все как бы без дыр, <br>&gt;а вот потом... <br><br>минусов больше чем плюсов, но лично я имею претензии не к ssl/tls а больше к openssl - как самой распространённой OSS реализации <br><br>тем временем <br>"OpenSSL 0.9.8l<br>от freshmeat.net announcements (Global) автор: Moritz Barsnick<br>The OpenSSL Project is a collaborative effort to develop a robust, commercial-grade, fully featured, and Open Source toolkit implementing the Secure Sockets Layer (SSL v2/v3) and Transport Layer Security (TLS v1) as well as a full-strength general-purpose cryptography library.<br><br>Changes: Fixes to stateless session resumption handling were made. Error return checking was improved for several function calls. Leading 0x80 in OIDs are no longer tolerated. The server certificate chain building code now correctly uses https://www.opennet.ru/openforum/vsluhforumID3/60586.html#44 Fri, 06 Nov 2009 20:36:02 GMT &gt; да говорил про ipsec , да тот который засунут в TCP<br><br>Нет, я все-таки скажу: мсье знает толк в извращениях. А какие плюсы такого решения? Только не надо говорить что он без дыр - пока протокол пользует полтора человека, они все как бы без дыр, а вот потом...<br> https://www.opennet.ru/openforum/vsluhforumID3/60586.html#43 Fri, 06 Nov 2009 17:37:27 GMT &gt;&gt;какой из существующих nat'ов не умеет TCP? <br>&gt;<br>&gt;Вы вроде бы про IPSEC вещали? Так он на уровне именно IP-пакетов <br>&gt;оперирует, 1 уровнем ниже чем TCP. Или вы предлагаете его протунелять <br>&gt;в TCP и ... ? А зачем столько наворотов? По сути <br>&gt;целый VPN-сервер получается вместо просто секурного туннеля. Если надо такие навороты <br>&gt;- есть VPN, в частности по типу openvpn-а (правда там тоже <br>&gt;SSL используется для шифрования, хехе). <br><br>да говорил про ipsec , да тот который засунут в TCP, и да от этого у ipsec'а транспортныйрежим никуда не деваееется -- так-что всё-же лучше тебе было помалкивать<br> https://www.opennet.ru/openforum/vsluhforumID3/60586.html#42 Fri, 06 Nov 2009 17:07:20 GMT &gt;какой из существующих nat'ов не умеет TCP? <br><br>Вы вроде бы про IPSEC вещали? Так он на уровне именно IP-пакетов оперирует, 1 уровнем ниже чем TCP. Или вы предлагаете его протунелять в TCP и ... ? А зачем столько наворотов? По сути целый VPN-сервер получается вместо просто секурного туннеля. Если надо такие навороты - есть VPN, в частности по типу openvpn-а (правда там тоже SSL используется для шифрования, хехе).<br>