Title: Сломали TLS 1.0 Post by: ArsenShnurkov on September 21, 2011, 05:25:46 AM Атакующий может расшифровывать соединения на основе TLS 1.0
http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl TLS это такой модный протокол, который используют вместе с SSL 3.0 В природе еще есть TLS 1.1 и 1.2, но на практике его не умеют браузеры Title: Re: Сломали TLS 1.0 Post by: rPman on September 21, 2011, 07:55:06 AM Тут гораздо понятнее http://www.opennet.ru/opennews/art.shtml?num=31797
Условия для взлома конечно не простые: нужна возможность снифать трафик (домашние и локальные сети, сети wifi, слабо-защищенные сети провайдеров или взломанные домашний роутер) + на момент атаки у пользователя в соседней вкладке браузера должна быть открыта страничка со скриптами javascript атакующего (javascript иньекции не такая уж и проблема, как пример недавно этот форум был взломан с возможностью размещения своего кода в шаблонах) p.s. считаю данную уязвимость чуть ли не самой значимой... опубликованной за последнее время. Уровень параноидальности у пользователя, который желает защититься, должен быть сильно повышен - например первая же рекомендация, для критичных к анонимности операций (например онлайн-банкинг) придется запускать отдельный браузер (или закрывать все не нужные вкладки) или возня с noscript. Title: Re: Сломали TLS 1.0 Post by: LZ on September 22, 2011, 08:08:57 PM Или даже поставить что-то вроде Splashtop OS (http://www.splashtop.com/os).
Title: Re: Сломали TLS 1.0 Post by: rPman on September 22, 2011, 08:47:37 PM Или даже поставить что-то вроде Splashtop OS (http://www.splashtop.com/os). Не поможет, там кастрированный firefox, даже noscript не поставить.Вся беда, что данная уязвимость - у протокола и практически все браузеры, или вернее говорить сервера - уязвимы! Хотя, как мне кажется, достаточно во всех браузерах (выпустить срочное обновление) разделить ssl сессии для разных вкладок... хотя бы с возможностью отключить, если вдруг какой кривой софт требует многооконность и одну сессию. p.s. не забываем, параллельно с этой уязвимостью, недавно было обнаружено, что большое количество ssl-сертификатов были скомпрометированы (украдены у выдающего центра, кажется DigiNotar), причем их пользователи - крупные веб-сервисы, такие как google, facebook, tiwter.. в общем как страшно жить. |