Bitcoin Forum
December 15, 2018, 12:54:41 PM *
News: Latest Bitcoin Core release: 0.17.0 [Torrent].
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Сломали TLS 1.0  (Read 1761 times)
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386
Merit: 1000



View Profile
September 21, 2011, 05:25:46 AM
 #1

Атакующий может расшифровывать соединения на основе TLS 1.0

http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl

TLS это такой модный  протокол, который используют вместе с SSL 3.0

В природе еще есть TLS 1.1 и 1.2, но на практике его не умеют браузеры

1544878482
Hero Member
*
Offline Offline

Posts: 1544878482

View Profile Personal Message (Offline)

Ignore
1544878482
Reply with quote  #2

1544878482
Report to moderator
100% New Software
PC, Mac, Android, & HTML5 Clients
Krill Rakeback
Low Rake
Bitcoin Poker 3.0
Bad Beat Jackpot
SwC Poker Relaunch
PLAY NOW
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
1544878482
Hero Member
*
Offline Offline

Posts: 1544878482

View Profile Personal Message (Offline)

Ignore
1544878482
Reply with quote  #2

1544878482
Report to moderator
1544878482
Hero Member
*
Offline Offline

Posts: 1544878482

View Profile Personal Message (Offline)

Ignore
1544878482
Reply with quote  #2

1544878482
Report to moderator
rPman
Legendary
*
Offline Offline

Activity: 1120
Merit: 1003


View Profile WWW
September 21, 2011, 07:55:06 AM
 #2

Тут гораздо понятнее http://www.opennet.ru/opennews/art.shtml?num=31797

Условия для взлома конечно не простые: нужна возможность снифать трафик (домашние и локальные сети, сети wifi, слабо-защищенные сети провайдеров или взломанные домашний роутер) + на момент атаки у пользователя в соседней вкладке браузера должна быть открыта страничка со скриптами javascript атакующего (javascript иньекции не такая уж и проблема, как пример недавно этот форум был взломан с возможностью размещения своего кода в шаблонах)

p.s. считаю данную уязвимость чуть ли не самой значимой... опубликованной за последнее время.
Уровень параноидальности у пользователя, который желает защититься, должен быть сильно повышен - например первая же рекомендация, для критичных к анонимности операций (например онлайн-банкинг) придется запускать отдельный браузер (или закрывать все не нужные вкладки) или возня с noscript.

Здесь не может находиться ваша реклама Smiley
Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe
LZ
Legendary
*
Offline Offline

Activity: 1722
Merit: 1024


P2P Cryptocurrency


View Profile
September 22, 2011, 08:08:57 PM
 #3

Или даже поставить что-то вроде Splashtop OS.

rPman
Legendary
*
Offline Offline

Activity: 1120
Merit: 1003


View Profile WWW
September 22, 2011, 08:47:37 PM
 #4

Или даже поставить что-то вроде Splashtop OS.
Не поможет, там кастрированный firefox, даже noscript не поставить.

Вся беда, что данная уязвимость - у протокола и практически все браузеры, или вернее говорить сервера - уязвимы!
Хотя, как мне кажется, достаточно во всех браузерах (выпустить срочное обновление) разделить ssl сессии для разных вкладок... хотя бы с возможностью отключить, если вдруг какой кривой софт требует многооконность и одну сессию.

p.s. не забываем, параллельно с этой уязвимостью, недавно было обнаружено, что большое количество ssl-сертификатов были скомпрометированы (украдены у выдающего центра, кажется DigiNotar), причем их пользователи - крупные веб-сервисы, такие как google, facebook, tiwter.. в общем как страшно жить.

Здесь не может находиться ваша реклама Smiley
Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!