Сломали TLS 1.0

ArsenShnurkov (OP)

Legendary

Offline

Activity: 1386
Merit: 1000

Сломали TLS 1.0

September 21, 2011, 05:25:46 AM

Атакующий может расшифровывать соединения на основе TLS 1.0

http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl

TLS это такой модный протокол, который используют вместе с SSL 3.0

В природе еще есть TLS 1.1 и 1.2, но на практике его не умеют браузеры

1714790342

Hero Member

Offline

Posts: 1714790342

Ignore

1714790342

1714790342


	Report to moderator

1714790342

Hero Member

Offline

Posts: 1714790342

Ignore

1714790342


	Report to moderator

Who are the least trusted users of Bitcointalk? ¯\_(ツ)_/¯ Who are the most trusted users of Bitcointalk?

Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.

1714790342

Hero Member

Offline

Posts: 1714790342

Ignore

1714790342


	Report to moderator

1714790342

Hero Member

Offline

Posts: 1714790342

Ignore

1714790342


	Report to moderator

rPman

Legendary

Offline

Activity: 1120
Merit: 1069

Re: Сломали TLS 1.0

September 21, 2011, 07:55:06 AM

Тут гораздо понятнее http://www.opennet.ru/opennews/art.shtml?num=31797

Условия для взлома конечно не простые: нужна возможность снифать трафик (домашние и локальные сети, сети wifi, слабо-защищенные сети провайдеров или взломанные домашний роутер) + на момент атаки у пользователя в соседней вкладке браузера должна быть открыта страничка со скриптами javascript атакующего (javascript иньекции не такая уж и проблема, как пример недавно этот форум был взломан с возможностью размещения своего кода в шаблонах)

p.s. считаю данную уязвимость чуть ли не самой значимой... опубликованной за последнее время.
Уровень параноидальности у пользователя, который желает защититься, должен быть сильно повышен - например первая же рекомендация, для критичных к анонимности операций (например онлайн-банкинг) придется запускать отдельный браузер (или закрывать все не нужные вкладки) или возня с noscript.

Здесь не может находиться ваша реклама

Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe

Legendary

Offline

Activity: 1722
Merit: 1072

P2P Cryptocurrency

Re: Сломали TLS 1.0

September 22, 2011, 08:08:57 PM

Или даже поставить что-то вроде Splashtop OS.

My OpenPGP fingerprint: 5099EB8C0F2E68C63B4ECBB9A9D0993E04143362

rPman

Legendary

Offline

Activity: 1120
Merit: 1069

Re: Сломали TLS 1.0

September 22, 2011, 08:47:37 PM

Quote from: lzsaver on September 22, 2011, 08:08:57 PM

Или даже поставить что-то вроде Splashtop OS.

Не поможет, там кастрированный firefox, даже noscript не поставить.

Вся беда, что данная уязвимость - у протокола и практически все браузеры, или вернее говорить сервера - уязвимы!
Хотя, как мне кажется, достаточно во всех браузерах (выпустить срочное обновление) разделить ssl сессии для разных вкладок... хотя бы с возможностью отключить, если вдруг какой кривой софт требует многооконность и одну сессию.

p.s. не забываем, параллельно с этой уязвимостью, недавно было обнаружено, что большое количество ssl-сертификатов были скомпрометированы (украдены у выдающего центра, кажется DigiNotar), причем их пользователи - крупные веб-сервисы, такие как google, facebook, tiwter.. в общем как страшно жить.

Здесь не может находиться ваша реклама

Protect a future of bitcoin, use p2pool
Donation in BTC: 19fv5yYtfWZ9jQNjx2ncmu1TTrvg5CczZe

Pages: [1]

Bitcoin Forum > Local > Русский (Russian) > Разное > Сломали TLS 1.0

« previous topic next topic »