The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Новый вид атаки на HTTPS ставит под вопрос существование SSL..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от opennews (ok) on 15-Окт-14, 13:34 
Исследователи безопасности из компании Google представили (http://googleonlinesecurity.blogspot.co.uk/2014/10/this-pood...) новый вид атаки POODLE (https://www.openssl.org/~bodo/ssl-poodle.pdf), которая позволяет атакующему извлечь из зашифрованного канала связи закрытую информацию, такую как содержимое Cookies и паролей, что сводит на нет средства обеспечения безопасного соединения на основе протокола SSL 3.0.


Разработчики проекта Mozilla уже заявили (https://blog.mozilla.org/security/2014/10/14/the-poodle-atta.../) о намерении в ближайшее время прекратить поддержку SSL 3.0 и ограничиться поддержкой последних версий протокола TLS в своих продуктах. Аналогичным образом рекомендовано поступить и другим браузерам и владельцам сайтов, заботящимся о безопасность своих пользователей. Сообщается, что прекращение поддержки SSL 3.0 не должно негативно отразиться на работе пользователей, так как по данным Mozilla в настоящее время только 0.3% всех защищённых соединений устанавливаются в Firefox с использованием SSL 3.0, а поддержка данного протокола на сайтах сохраняется в основном для обеспечения совместимости с браузером Internet Explorer 6.


Mozilla планирует отключить поддержку SSL 3.0 по умолчанию начиная с выпуска Firefox 34, который намечен на 25 ноября. Кроме того, для обеспечения защиты от атак по понижению версии протокола защищённого соединения, в   Firefox 35 планируется добавить поддержку механизма TLS_FALLBACK_SCSV (https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00), которые уже добавлен в Chrome  начиная с февраля. Для немедленного отключения SSLv3 в Firefox подготовлено (https://addons.mozilla.org/en-US/firefox/addon/ssl-version-c.../) специальное дополнение. Компания Google также намерена прекратить поддержку протокола SSL 3.0 в ближайших выпусках Chrome.


Атака POODLE (Padding Oracle On Downgraded Legacy Encryption) позволяет восстановить содержимое отдельных секретных идентификаторов, передаваемых внутри зашифрованного HTTPS-соединения, и по своей сути напоминает такие ранее известные виды атак на HTTPS, как BREACH (http://www.opennet.dev/opennews/art.shtml?num=37614),  CRIME (http://www.opennet.dev/opennews/art.shtml?num=34869) и BEAST (http://www.opennet.dev/opennews/art.shtml?num=31797). Проблеме подвержен любой сайт, допускающий установку защищённых соединений с использованием протокола SSLv3, даже если в качестве более приоритетного протокола указаны актуальные версии TLS. Для отката на  SSLv3 атакующие могут воспользоваться особенностью современных браузеров переходить на более низкую версию протокола, в случае сбоя установки соединения.


Для организации атаки требуется получение контроля за трафиком на промежуточном шлюзе и выполнение на стороне браузера клиента JavaScript-кода злоумышленника (в случае получения контроля над транзитным шлюзом, осуществить подстановку JavaScript-кода в незащищённый трафик не составляет труда). Атака строится на возможности выделения в отслеживаемом зашифрованном трафике блоков данных с метками, отправляемыми подставным JavaScript-кодом на сайт, для которого требуется перехватить идентификационные данные, в рамках общего шифрованного канала связи. Манипулируя тем, что содержимое пакетов, отправляемых  JavaScript-кодом, известно, за исключением секретного идентификатора, атакующий путем повторной отправки подставных запросов может символ за символом угадать содержимое искомых данных. Для подбора каждого байта секретного идентификатора требуется отправить около 256 запросов. В наиболее сложных ситуациях на подбор Cookie атакующему может потребоваться до 10 минут.

URL: https://blog.mozilla.org/security/2014/10/14/the-poodle-atta.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=40833

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +14 +/
Сообщение от MPEG LA (ok) on 15-Окт-14, 13:34 
>требуется получение контроля за трафиком на промежуточном шлюзе и выполнение на стороне браузера клиента JavaScript-кода злоумышленника

давайте называть их своими именами - АНБ, ФСБ, СБУ и пр.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +45 +/
Сообщение от Аноним (??) on 15-Окт-14, 13:40 
>давайте называть их своими именами - АНБ, ФСБ, СБУ и пр.

А как одним словом назвать АНБ, ФСБ, СБУ и пр. ? Правильно, злоумышленники.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +2 +/
Сообщение от Аноним (??) on 15-Окт-14, 18:05 
мы тебя всё-равно закроем.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

35. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +7 +/
Сообщение от Аноним (??) on 15-Окт-14, 18:49 
всё равно
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +1 +/
Сообщение от 999 (??) on 15-Окт-14, 23:18 
То, что вы еще не сидите - это не ваша заслуга, а наша недоработка. )
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

55. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от Аноним (??) on 17-Окт-14, 08:55 
То что вы ещё говорите, это наша недоработка
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

37. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +9 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 15-Окт-14, 20:24 
> А как одним словом назвать ... СБУ и пр. ? Правильно, злоумышленники.

Как в этот список попал интернат для умственно отсталых?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

40. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от Куяврег on 16-Окт-14, 00:06 
по инерции
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

53. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  –4 +/
Сообщение от z (??) on 17-Окт-14, 01:33 
Ну да, фсб -- интернат для умственно отсталых.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

57. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +1 +/
Сообщение от anono on 17-Окт-14, 14:41 
butthurt?
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

60. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от Аноним (??) on 20-Окт-14, 21:56 
Специально для тебя мы подготовили наш новый опросник из восьми вопросов. 24 следователя уже готовы посменно, круглосуточно, вразбивку задавать их тебе в течении двух месяцев, фиксируя ответы и тщательно их проверяя на предмет несоответствия предыдущим показаниям. Результаты работы будут оформлены в виде методического пособия по изучению двоичной системы счисления в дисциплине "Безопасность вычислительных сетей" на курсах повышения квалификации для сотрудников ФСБ.
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

3. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от Аноним (??) on 15-Окт-14, 13:59 
у первых двух уже есть утилиты для работы с tls, поэтому в целях стандартизации своей работы они....
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +12 +/
Сообщение от Аноним (??) on 15-Окт-14, 15:55 
Однако, быстро к этому товарищу приехали.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

28. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от Аноним (??) on 15-Окт-14, 17:53 
> Однако, быстро к этому товарищу приехали.

А с чего ты взял что приехали? Читай соседнюю новость. Там куда мы отправляемся - дороги не нyжны! :)

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

16. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от AnonymousSL on 15-Окт-14, 16:20 
Подавляющему большинству более опасны скрипт киддисы, которые воруют номера пластиковых карточек. Не думаю, что у них умысел более добрый.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +3 +/
Сообщение от dimqua (ok) on 15-Окт-14, 16:26 
От них всяко легче защититься, чем от вышеназванных товарищей.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

23. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от Аноним (??) on 15-Окт-14, 17:41 
А вот это не факт. Поскольку бабло побеждает зло, на черном рынке могут крутиться весьма лютые боевые софтины, которым позавидуют перечисленные, черти-какое оборудование на уровне научной фантастики и прочее. А еще они не страдают зашоренностью и бюрократией и очень быстро разворачиваются в сторону халяву наподобие shellshock. Так что кто не проапдейтился - можете уже проверять, возможно вас ждет немало интересных открытий на предмет не очень заметного софта. Ну как с фринодой, etc...
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

24. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +2 +/
Сообщение от Аноним (??) on 15-Окт-14, 17:45 
Так, на подумать: я засек несколько точек доступа с SSID нагло косящим под SSID некоей легитимной wi-fi сети. Но ... точки НЕ есть часть той сети, выходные айпишники - иные, а их железо - фундаментально отличаются по некоторым параметрам и явно не входит в то же семейство оборудования что и "правильная" сеть.

Но заметить это может только тот кто с wi-fi "на ты" и умеет смотреть IEs (не те которые браузер, а те которые Information Elements протокола wi-fi) и понимает что ему под видом оригинала подпихнули левак. Зачем? А кто его знает. Отправьте там номера кред и прочего - узнаете, наверное. Благо там вам и DNS подпихнуть какой надо могут, и MITM атаки хоть там как. Сами понимаете. А с какой хорошей целью некто может косить под другую сеть, не являясь ей?

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

52. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от Посторонним В on 17-Окт-14, 00:29 

>[оверквотинг удален]
> фундаментально отличаются по некоторым параметрам и явно не входит в то
> же семейство оборудования что и "правильная" сеть.
> Но заметить это может только тот кто с wi-fi "на ты" и
> умеет смотреть IEs (не те которые браузер, а те которые Information
> Elements протокола wi-fi) и понимает что ему под видом оригинала подпихнули
> левак. Зачем? А кто его знает. Отправьте там номера кред и
> прочего - узнаете, наверное. Благо там вам и DNS подпихнуть какой
> надо могут, и MITM атаки хоть там как. Сами понимаете. А
> с какой хорошей целью некто может косить под другую сеть, не
> являясь ей?

Что вы говорите.... :-))
Заметить "это" смогут гораздо более многие...
И у Вас уже легитимные и нелегитимные сети? С поддельными SSID? >:-)

И между прочим, если уж на то пошло, то многим может быть интересно там поконтактировать сконтактиком, поскайпиться скайпиком... Через предоставленную неизвестными благотворителями сеть...

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

42. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от dimqua (ok) on 16-Окт-14, 05:01 
Я имел ввиду, что можно везде платить наличными.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

43. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от Аноним (??) on 16-Окт-14, 06:05 
> Я имел ввиду, что можно везде платить наличными.

При этом тоже можно познакомиться с "товарищами", не слишком приятными. Ну там гопы всякие, карманники и кто там еще.

Кроме того, некоторые товары тут совсем невозможно купить, поскольку хайтеч промышленности у нас можно считать что нет. А массово возят сюда только популярные наименования, и то с накруткой в 300%. Вот так и получается что без электронных платежей на дальние дистанции как-то далеко и не уедешь. А вот тут у плохих парней появляется соблазн устроить eГопСтоп, сперев кренделя от электронного кошелька или онлайн банка и устроив перевод фантиков в нужном им направлении.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

54. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  –1 +/
Сообщение от Аноним (??) on 17-Окт-14, 03:21 
> поскольку хайтеч промышленности у нас можно считать что нет.

А и спасибо, что нет у нас "хайтеч". Вот хайтек надо, да, развивать.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

4. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +3 +/
Сообщение от Stax (ok) on 15-Окт-14, 14:00 
Кстати, IE6 поддерживает не только SSL 1/2/3, но и TLS - просто там по умолчанию в опциях галка не стоит. Но, полагаю, заставить пользователя IE6 сходить в опции и поставить галку это невыполнимая задача - если бы пользователь мог это сделать, давно бы перешел как минимум на IE7 (который ставится даже на довольно древние винды). Так что придется принести этих пользователей IE6 в жертву прогрессу...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +16 +/
Сообщение от тоже Аноним email(ok) on 15-Окт-14, 14:10 
Честно говоря, уже несколько лет совершенно непонятно, почему кого-то все еще волнует, куда пойдут пользователи IE6. Любой веб-мастер знает, что, даже если все они строем пойдут на сайт символического направления, никакой погоды это не сделает.
Есть даже подозрение, что вся статистика IE6-пользователей уже создается подмененными UserAgent-строками древних ботов. А живых пользователей не существует вовсе.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от stalker37 email on 15-Окт-14, 14:45 
Существует. Так же как и пользователей  оконXP.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +3 +/
Сообщение от тоже Аноним email(ok) on 15-Окт-14, 16:01 
Подхрюшников-то все еще вагон, это понятно.
Но даже они уже не выдерживают вид современного интернета через кривое зеркало Ослика и ставят какой-нибудь внучатый Хром от какого-нибудь Мылору.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от drTr0jan on 15-Окт-14, 16:04 
А зачем?
Если WinXP легальная, то там скорее всего стоит IE 8.0
Если WinXP варез, то зачем она вообще нужна? Да и скорее всего там стоит какой-нибудь клон Хрома.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –1 +/
Сообщение от AnonymousSL on 15-Окт-14, 16:21 
Если ХР варез, то там как минимум 7-ой осёл.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –1 +/
Сообщение от тоже Аноним email(ok) on 15-Окт-14, 17:19 
Вообще-то последняя легальная XP - SP3 с IE6.
А сервера обновлений уже должны быть отключены за прекращением поддержки.
Так что свеже-пере-установленная XP будет с "шестым ослом", а не с восьмым.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

22. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –1 +/
Сообщение от Аноним (??) on 15-Окт-14, 17:30 
Странное что-то говорите. Недавно ставил пиратскую винду xp sp3, там ie7 по дефолту. причём по утверждению того сайта, откуда качал винду - она оригинальная, пропатчен только серийник
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

51. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от www2 (??) on 16-Окт-14, 17:55 
Поехал как-то Василий Иваныч в Англию, опыт перенимать. Возвращается, встречает его Петька. А Василий Иваныч выходит из самолета весь в малиновом смокинге, за ним штук двадцать чемоданов несут, из багажного отсека 600-й "Мерс" выгружают...
- Откуда столько денег, Василий Иваныч?!
- Да понимаешь, Петька, сели мы с ихними лордами в очко сыграть. Один и говорит: "Очко!". Я ему:
"Покажи!" А он мне: "Ну что Вы, Василий Иванович, мы же тут все джентльмены!" Вот тут мне карта и пошла...
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от Аноним (??) on 15-Окт-14, 17:47 
На sp3 ie6 нельзя поставить в принципе
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

34. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от тоже Аноним email(ok) on 15-Окт-14, 18:41 
Только потому, что он там уже стоит, и удалить его невозможно.
Вы путаете с Вистой, та действительно поддерживала IE7 как нижнюю планку.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

58. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –1 +/
Сообщение от Аноним (??) on 19-Окт-14, 01:34 
> Честно говоря, уже несколько лет совершенно непонятно, почему кого-то все еще волнует,
> куда пойдут пользователи IE6.

Зайдите на сайт ФНС РФ, в раздел об электронном способе подачи налоговой отчётности. Найдите там список требований. И ужаснитесь.

Ну то есть можно сколько угодно проповедовать и развивать свободное ПО (в том числе меня лично трудно упрекнуть в обратном). Но когда встаёт конкретная задача - организовать подачу отчётности в электронном виде - то выбирать не приходится от слова совсем. Ну, если только выбором не считать выбор между посещениями налоговой, работой в IE6 (с более новыми версиями бывают проблемы) и переездом в другую страну - тут, увы, Осёл (под соответствующей ОС, ибо КриптоПро и всё такое) становится наименьшим злом.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

61. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от Нимо Ан on 21-Окт-14, 21:50 
Я бы под такое дело виртуалку завёл, наверно. А вообще это трындец. Закинте идею госдуре законодательно IE6 запретить наконец, они же там любят всё запрещать?
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

26. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –1 +/
Сообщение от Аноним (??) on 15-Окт-14, 17:50 
> пользователя IE6 сходить в опции и поставить галку это невыполнимая задача

Если пользователь использует IE6 - он даже ютуб посмотреть не сможет. Не говоря что он зарос троянами по самые помидоры наверняка. Гнать таких из интернета, ссaными тряпками и cpaной метлой. Потом спам задолбаетесь вычищать, когда с учетки такого лабуха (проябаной в 100500 местах) кто-нибудь оттянется.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

32. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –2 +/
Сообщение от Аноним (??) on 15-Окт-14, 18:16 
> даже ютуб

ютуб это такой стандартный примитив, да? может просто ссылку на ftp с видео? смените гнев на милость, пользователи ie6 (и ie5) ненастолько плохи.


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

44. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от Аноним (??) on 16-Окт-14, 06:12 
> ютуб это такой стандартный примитив, да?

Это один из нескольких основных способов просмотра видео хомяками, as of 2014. Кроме всего прочего он нынче работает вообще совсем без флеша.

> может просто ссылку на ftp с видео?

А чего не интегрированное в страницу видео? HTML5 позволяет. Ах, ретардизм не отпускает... ну бывает.

> смените гнев на милость, пользователи ie6 (и ie5) ненастолько плохи.

Это безнадежные дегенераты, им не место в вебе. Их место - в интернате для умственно отсталых. Там о умственных инвалидах по крайней мере немного заботится персонал.


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

45. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +1 +/
Сообщение от dimuspav on 16-Окт-14, 14:28 
Так это ТЕ, кто выдают зарплату и отправляет налоговую отчетность с использованием криптопро - и при этом не хотят покупать новый софт от Мягкотелых, проблема не в них а в условиях в которых они вынуждены находиться
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

46. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от pavel_simple (ok) on 16-Окт-14, 15:10 
> Так это ТЕ, кто выдают зарплату и отправляет налоговую отчетность с использованием
> криптопро - и при этом не хотят покупать новый софт от
> Мягкотелых, проблема не в них а в условиях в которых они
> вынуждены находиться

в которые они себя поставили.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

47. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –1 +/
Сообщение от тоже Аноним email(ok) on 16-Окт-14, 16:47 
А что, криптопро не позволяет поставить в системе браузер? Вынуждает пользоваться Ослом?
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

50. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от Аноним (??) on 16-Окт-14, 17:42 
> вынуждены находиться

Пришел гестаповец, наставил автомат и заставил ходить по сайтам из шестого осла? Сомнительно. В любом случае, большинство веб разработчиков нынче не поддерживает IE6 даже за отдельные деньги - слишком уж много долботни. Поэтому если это все-таки гестаповец, нехай жмет на спуск. Без IE6 и его пользователей мир будет лучше. Всякого фуфла типа криптолох это тоже касается, кстати.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

59. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от playnet (ok) on 20-Окт-14, 17:11 
Фуррифокс умеет работать с криптопро, проверял.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

6. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –1 +/
Сообщение от manster (ok) on 15-Окт-14, 14:35 
Так и останется на 2.x или форк? Очень занятная история.

Судя по публикациям, 3.0 еще был создан в 96 в 2000+ пытались допилить.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от f (??) on 15-Окт-14, 15:37 
SSLv3
This is the Secure Sockets Layer (SSL) protocol, version 3.0, from the Netscape Corporation. It is the successor to SSLv2 and the predecessor to TLSv1.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от vitalif email(ok) on 15-Окт-14, 14:56 
Ох уж этот паддинг...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  –3 +/
Сообщение от Адекват (ok) on 15-Окт-14, 15:00 
Суки, я только-только все сертификаты обновил, вы что делаете, твари ???
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +2 +/
Сообщение от Аноним (??) on 15-Окт-14, 15:22 
А у тебя в сертификатах написана политика применения только ssl v3.0?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  –4 +/
Сообщение от Адекват (ok) on 15-Окт-14, 15:27 
> А у тебя в сертификатах написана политика применения только ssl v3.0?

Нет конечно, это я что-то перенервничал, простите товарищи, больше не повториться.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

29. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +9 +/
Сообщение от Аноним (??) on 15-Окт-14, 17:53 
Что-то Вы не совсем Адекват.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

36. "Новый вид атаки на HTTPS ставит под вопрос существование SSL..."  +/
Сообщение от ASIC (ok) on 15-Окт-14, 19:58 
иногда нужно только комментарий почитать и сразу настроение поднимается. lol
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –2 +/
Сообщение от edo (ok) on 15-Окт-14, 16:45 
> Для организации атаки требуется получение контроля за трафиком на промежуточном шлюзе и выполнение на стороне браузера клиента JavaScript-кода злоумышленника (в случае получения контроля над транзитным шлюзом, осуществить подстановку JavaScript-кода в незащищённый трафик не составляет труда).

гхм... а что мешает этому js просто сливать интересующую информацию на сервер злоумышленников?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от umbr (ok) on 15-Окт-14, 17:20 
так будет слишком просто
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от Аноним (??) on 15-Окт-14, 17:52 
> гхм... а что мешает этому js просто сливать интересующую информацию на сервер
> злоумышленников?

Наверное то что не факт что удастся JS на правильный сервак подпихнуть?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

38. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от vitalif (ok) on 15-Окт-14, 21:38 
Ну... может, имеется ввиду, что если кука http-only, то её js'ом не стыришь...
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

31. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  –1 +/
Сообщение от Алекс (??) on 15-Окт-14, 18:06 
>>Для немедленного отключения SSLv3 в Firefox подготовлено специальное дополнение. Компания Google также намерена прекратить поддержку протокола SSL 3.0

И насколько это дополнение безопасно? Стоит ли устанавливать?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от Аноним (??) on 16-Окт-14, 04:55 
открыть архив дополнения, да глазками поглядеть
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

62. "Новый вид атаки на HTTPS ставит под вопрос дальнейшее сущест..."  +/
Сообщение от Аноним (??) on 02-Янв-15, 02:36 
Два года атакуют!
Большинство сайты,откуда я знаю кто они? Даю стихи, пароли, принимают и всё больше не зайдёшь  С таким-же данными !нет такого пользователя" и  или принимают данные потом под конец контрольный вопрос НЕВЕРНЫЙ всё" А там пароль и файл стихов фотографию требуют а там файл и бери! а почта..вся в спаме без конца всплывают реклама повторно и повторно регистрируюсь даю пароль...все данные не зашифрована не знаю как зашифровать вот и всё! Берут в закладки и на файлообменники...Они могут издавать мои произведения или просто читать берут?Как это?И никто не защитить?
кто контролируют ихИ на мою почту идёт письмо другому человеку
ошибка!Сервер не может соединить такого(другого)! как решить Может этот другой соединиля? Два года мучаюсь... в возрасте, после автокатастрофы и чайник!Но, я поэт... Неужели никто не может помочь?

Сейчас большинство сайтов на автоматике?и в других республиках?контакты тоже нет...не усовершенные сайты разрешают открывать?
кто их проверяет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру