OpenForum RSS: Представлена техника перехвата содержимого Cookie для сжатых... https://www.opennet.dev/openforum/vsluhforumID3/86511.html Джулиано Риццо (Juliano Rizzo) и Тхай Дыонг (Thai Duong), известные исследователи компьютерной безопасности, создавшие в своё время технику атаки BEAST (http://www.opennet.ru/opennews/art.shtml?num=31797) против SSL/TLS, разработали (http://isecpartners.com/blog/2012/9/14/details-on-the-crime-attack.html) новый способ перехвата на промежуточном шлюзе содержимого сессионных Cookie, передаваемых внутри зашифрованного соединения. Новая атака, получившая название CRIME (Compression Ratio Info-leak Made Easy), эффективна для каналов связи на основе SSL/TLS и SPDY, действует только при использовании сжатия передаваемых данных и требует выполнения JavaScript-кода злоумышленника в браузере клиента (в случае man-in-middle атак осуществить подстановку такого кода не составляет труда).<br><br><br><br>По своей сути CRIME является продолжением развития идей, воплощённых (http://www.opennet.ru/opennews/art.shtml?num=31797) в методе атаки BEAST. Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков дан Представлена техника перехвата данных для сжатых соединений ... (Slezhuk) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#45 Fri, 09 Nov 2012 06:31:42 GMT Сегодня для Ubuntu прилетел апдейт апача, закрывающий эту уязвимость.<br> l2tp (Сейд) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#44 Thu, 20 Sep 2012 19:54:01 GMT За что вы так ненавидите нас, милых пушистых созданий? Хомячки не умеют устанавливать пакеты в Fedora иначе, чем gpk-application (yum) из репозиториев... Так что пока PPTP - наше всё.<br> l2tp (Дмитрий) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#43 Thu, 20 Sep 2012 18:57:45 GMT тестируйте<br>http://forum.ubuntu.ru/index.php?topic=181916<br> Представлена техника перехвата данных для сжатых соединений ... (zazik) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#42 Thu, 20 Sep 2012 17:11:03 GMT &gt; все конечно хорошо, но я что-то не представляю, как можно вклиниться в <br>&gt; канал связи (man-in-middle), весь сигнал проходит через узлы операторов связи, а <br>&gt; у них с безопасностью все должно быть в порядке, или любой <br>&gt; с улицы может спокойно войти в здание? опять же, откуда злоумышленнику <br>&gt; знать, каким маршрутом пойдет сигнал?<br><br>Ну да, ну да, вы ещё на безопасность в госконторах положитесь, гулять так гулять!<br> Представлена техника перехвата данных для сжатых соединений ... (Аноним) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#40 Thu, 20 Sep 2012 07:40:10 GMT В шифрованных данных нет очевидных закономерностей, поэтому их особо не сожмёшь.<br> Представлена техника перехвата данных для сжатых соединений ... (pavel_simple) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#39 Wed, 19 Sep 2012 07:01:28 GMT &gt;&gt; Шифрованое и сжатое - разные вещи, не?<br>&gt; ну.. майкросовтовский pptp - чего там больше компресси или шифрования?<br><br>маразма там больше<br> Представлена техника перехвата данных для сжатых соединений ... (upyx) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#38 Wed, 19 Sep 2012 05:00:56 GMT Объясните пожалуйста, почему шифровать сжатое можно, а сжимать шифрованное нельзя? Или нельзя и то и другое, а данная функция в браузере - fail?<br> Представлена техника перехвата данных для сжатых соединений ... (pavlinux) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#37 Wed, 19 Sep 2012 00:05:26 GMT &gt; Хотя конечно, если шифровать ROT13 ламерской XORкой с константой - это "шифрование", <br>&gt; определенно, разломают. <br><br>XOR c константой (точнее со случайными константами равными по размеру самому сообщению) - самое стойкое шифрование (но только один раз)<br> Представлена техника перехвата данных для сжатых соединений ... (pavlinux) https://www.opennet.dev/openforum/vsluhforumID3/86511.html#36 Tue, 18 Sep 2012 23:53:16 GMT &gt;&gt;1-й закон криптографии - НЕЛЬЗЯ ШИФРОВАТЬ ШИФРОВАННОЕ!<br>&gt; Вызывающее 4.2. Сударь, вы что-то путаете.<br><br>Мужики, вы только какашками не кидайтесь, доказательство сего факта занимает 500 стр.<br>Если у кого есть время, спросите у своих преподов по Теор.Веру, о функции двух <br>случайных величин. <br><br>Если мне не изменяет моск, там будет сумма двух двойных интегралов второго рода <br>по области расспределения их случ. величин.<br><br>Ладно, ненужная хуета всё это. Хацкеры, особо импортные - это тупое математическое быдло,<br>у них моск думает только так, как написано в учебниках по матану и как сказал Кнут, Кериган<br>и Рытчи. По этому их наипать - как два байта об асфальт. <br><br>1. Внесение говна (например шум движка ВАЗ 2106, в -35 мороз) в передаваемые данные - пущай мучаются.<br>2. Использование простых и чисел Фибоначчи.<br>3. Выжрите литр водки и напишите функцию расспределения - это им ваааще не доступно. <br>4. Берите входящие данные из сферы не связанной с электроникой и ВТ <br>(например удои коров села Заветы Ильича, Калужск