Bitcoin Forum
December 09, 2016, 08:13:06 AM *
News: Latest stable version of Bitcoin Core: 0.13.1  [Torrent].
 
   Home   Help Search Donate Login Register  
Pages: [1]
  Print  
Author Topic: Сломали TLS 1.0  (Read 1645 times)
ArsenShnurkov
Legendary
*
Offline Offline

Activity: 1386



View Profile
September 21, 2011, 05:25:46 AM
 #1

Атакующий может расшифровывать соединения на основе TLS 1.0

http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl

TLS это такой модный  протокол, который используют вместе с SSL 3.0

В природе еще есть TLS 1.1 и 1.2, но на практике его не умеют браузеры

Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
rPman
Legendary
*
Offline Offline

Activity: 1078


View Profile WWW
September 21, 2011, 07:55:06 AM
 #2

Тут гораздо понятнее http://www.opennet.ru/opennews/art.shtml?num=31797

Условия для взлома конечно не простые: нужна возможность снифать трафик (домашние и локальные сети, сети wifi, слабо-защищенные сети провайдеров или взломанные домашний роутер) + на момент атаки у пользователя в соседней вкладке браузера должна быть открыта страничка со скриптами javascript атакующего (javascript иньекции не такая уж и проблема, как пример недавно этот форум был взломан с возможностью размещения своего кода в шаблонах)

p.s. считаю данную уязвимость чуть ли не самой значимой... опубликованной за последнее время.
Уровень параноидальности у пользователя, который желает защититься, должен быть сильно повышен - например первая же рекомендация, для критичных к анонимности операций (например онлайн-банкинг) придется запускать отдельный браузер (или закрывать все не нужные вкладки) или возня с noscript.

Здесь не может находиться ваша реклама Smiley
Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe
LZ
Moderator
Legendary
*
Offline Offline

Activity: 1456


Satoshi everywhere!


View Profile WWW
September 22, 2011, 08:08:57 PM
 #3

Или даже поставить что-то вроде Splashtop OS.

"Never invest unless you can afford to lose your entire investment." © S3052
rPman
Legendary
*
Offline Offline

Activity: 1078


View Profile WWW
September 22, 2011, 08:47:37 PM
 #4

Или даже поставить что-то вроде Splashtop OS.
Не поможет, там кастрированный firefox, даже noscript не поставить.

Вся беда, что данная уязвимость - у протокола и практически все браузеры, или вернее говорить сервера - уязвимы!
Хотя, как мне кажется, достаточно во всех браузерах (выпустить срочное обновление) разделить ssl сессии для разных вкладок... хотя бы с возможностью отключить, если вдруг какой кривой софт требует многооконность и одну сессию.

p.s. не забываем, параллельно с этой уязвимостью, недавно было обнаружено, что большое количество ssl-сертификатов были скомпрометированы (украдены у выдающего центра, кажется DigiNotar), причем их пользователи - крупные веб-сервисы, такие как google, facebook, tiwter.. в общем как страшно жить.

Здесь не может находиться ваша реклама Smiley
Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!