abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
15.6. 22:44 | Zajímavý článek

Na blogu projektu NeoPG (GitHub), kryptografického softwaru vycházejícího z GnuPG, byly zveřejněny 4 příspěvky detailně popisující aktuální bezpečnostní problémy v GnuPG a souvisejících softwarových produktech. V prvním příspěvku je ukázáno, že je možné vytvořit zprávu, o které budou Earlybird, Evolution, Mutt nebo Outlook tvrdit, že jí dešifrovali a přitom ale zpráva vůbec zašifrována nebyla. V druhém příspěvku je popsána

… více »
Ladislav Hagara | Komentářů: 5
15.6. 13:00 | Komunita

GamingOnLinux informuje, že počítačová hra Track Mania Nations Forever (Steam, Wikipedie) pro Windows je nově dostupná také jako snap. Stejně jako v případě winepaku a Flatpaku se k běhu hry používá překladová vrstva Wine.

Ladislav Hagara | Komentářů: 12
14.6. 15:12 | Komunita

Tradiční setkání příznivců operačního systému Linux pod názvem Linux párty Teplice se bude konat v pátek 15. 6. 2018 v Hospůdce u černé Kočky od 18:00 hodin. Setkají se zde pamětníci příkazové řádky, vítáni jsou však i začínající uživatelé.

František Bublík | Komentářů: 16
14.6. 14:00 | Bezpečnostní upozornění

Intel potvrdil (INTEL-SA-00145) další bezpečnostní chybu ve svých procesorech. Jedná se o chybu CVE-2018-3665 s názvem LazyFP.

Ladislav Hagara | Komentářů: 12
14.6. 11:00 | Nová verze

Spolek OpenAlt zve příznivce otevřených řešení a přístupu na 153. brněnský sraz, který proběhne v pátek 15. června od 18:00 v restauraci U OSLŮ na ulici Sokolská 361/10. Pro zájemce proběhne krátké promítání z výletu do Černobylu.

Ladislav Hagara | Komentářů: 0
13.6. 19:58 | Upozornění

Server lupa.cz rozebírá připravovanou reformu copyrightu v EU a dopad jejího článku 13, který dává internetovým platformám povinnost řešit autorské právo za vlastníky práv, což by v podstatě vedlo k automatizované cenzuře a konci internetu tak, jak ho známe dnes. Podobně v otevřeném dopise varují Vint Cerf, Tim Berners-Lee a jiní odborníci, Cory Doctorow upozorňuje na důsledky pro Wikipedii, nebo github na sdílení kódu.

marbu | Komentářů: 93
12.6. 16:00 | Nová verze

Bylo oznámeno vydání verze 5.13 prostředí KDE Plasma. Přehled nových vlastností i s náhledy v poznámkách k vydání. Videoukázka na YouTube.

Ladislav Hagara | Komentářů: 93
12.6. 11:11 | Zajímavý software

Byla vydána verze 1.8.0 svobodného softwaru Dilay pro 3D modelování technikou digitálního sochání (digital sculpting). Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3. K dispozici je balíček (19,6 MB) ve formátu AppImage. Stačí nastavit právo na spouštění a spustit.

Ladislav Hagara | Komentářů: 10
11.6. 16:55 | Zajímavý projekt

MojeFedora.cz představuje repozitář Flatpaku winepak, který si dává za cíl přinášet do Linuxu aplikace pro Windows v podobě Flatpaku. K běhu aplikací se používá překladová vrstva Wine.

Ladislav Hagara | Komentářů: 28
11.6. 16:33 | Komunita

V rámci letních slev na GOG.com lze do středy 13. června do 15:00 získat počítačovou hru Ziggurat (Wikipedie) běžící také na Linuxu zdarma a bez DRM.

Ladislav Hagara | Komentářů: 0
Jak čtete delší texty z webových stránek?
 (78%)
 (22%)
 (4%)
 (7%)
 (3%)
 (11%)
Celkem 196 hlasů
 Komentářů: 33, poslední včera 23:59
    Rozcestník

    Man In The Middle, nyní ještě prímovější

    22.8.2009 21:21 | Přečteno: 2171× | Datové schránky | poslední úprava: 22.8.2009 22:24

    nonssl-mitm. Nový. Lepší. Nyní ještě krémovější. Navržený gynekoložkou. Bez odklikávání certifikátů.

    Disclaimer

    Útok jsem pracovně nazval nonssl-mitm, protože se v podstatě jedná o (dočasné?) vyřazení SSL. Pokud jsem pouze znovuobjevil Ameriku, omlouvám se :-). Pokud je to něco úplně nového, nazývám zde popsané skutečnosti Jendovým útokem :-) (něco jako je Kaminského útok).

    Disclaimer #2

    Zde popsané principy, otvory, perforace a deflorace jsou vymeditovány pouze teoreticky a zkoušel jsem je pouze doma. Není mým údělem vykrádat přihlašovací údaje k účtům, nýbrž pouze ukázat, zda a jak to jde. Nenesu zodpovědnost za využití, použití, zneužití, vyvezení, dovezení či provezení zde popsaných praktik. Zkoušíte na vlastní risiko.

    Princip

    Mnoho bankovních i nebankovních (freemaily, komunitní portály :-P, datové tamty, no, jak se to jmenuje...) institucí používá nějaký způsob šifrovaného spojení, řekněme, že HTTPS. Mnohé z nich (freemaily, komunitní portály :-P) ho používají z výkonnostních důvodů pouze pro přihlášení. Podívejme se, jak vypadá takový přihlašovací formulář na jednom takovém náhodně vybraném portále.

    <form action="https://www.abclinuxu.cz/Profile;jsessionid=gztm0pfw2jpa" method="POST">
      <input type="text" name="LOGIN">
      <input type="password" name="PASSWORD">
      <input type="submit" name="finish" value="Přihlásit">
    </form>

    (redakčně kráceno)

    Tento formulář ke klientovi doputoval po nezabezpečeném HTTP. A teď si představte, že mezi klientem a Stickfishím serverem sedím útočník, který odpověď serveru modifikuji. Asi takto:

    <form action="http://www.abclinuxu.cz/Profile;jsessionid=gztm0pfw2jpa" method="POST">
      <input type="text" name="LOGIN">
      <input type="password" name="PASSWORD">
      <input type="submit" name="finish" value="Přihlásit">
    </form>

    Odbočka: co na to prohlížeče?

    Data z tohoto formuláře budou odeslána nezabezpečeným spojením.
    Přejete si pokračovat?
    [Ano] [Ne]
    [ ] Zobrazit příště toto varování

    Na rovinu - když se vám toto zobrazilo poprvé, třeba před dvěma lety, na libovolné stránce, určitě jste to odklikli. A určitě jste poprosili prohlížeč, aby vás už příště neotravoval. Nebo toto varování snad máte zapnuté? Hlasujte v anketě.

    Konec odbočky

    Takže uživatel vyplní heslo a nic zlého netuše odešle a vy ve svém Wiresharkovi paket zachytíte.

    Další weby

    Banky obvykle pošlou dopis končící

    V prvním případě se posílá HTTP 302 nebo HTTP 200 s metou refresh v hlavičce na https variantu. Ano, i tyto požadavky můžeme cestou modifikovat.

    Například tolik oblíbené datové schránky, o kterých ještě bude řeč dále, (sken dopisu) mají na http://datoveschranky.info/ odkaz na https://www.mojedatovaschranka.cz/. Tož, z odkazu na stránce datoveschranky.info se omylem cestou ztratí "s"...

    HTTP ←→ HTTPS relay

    Většina webů (asi všechny kromě některých freemailů a AbcLinuxu :-P) nemá HTTP variantu. Každý požadavek oběti na port 80 serveru tedy musíme vždy chytit, zašifrovat, poslat na server přes HTTPS, odpověď rozšifrovat a poslat zpátky oběti přes HTTP. Oběť si tedy prostě normálně kliká po rozhraní své schránky a v adrese vidí http://. Ale kolik BFU se dívá do adressbaru.

    Technickou realizaci tohoto jsem neřešil (jsem teoretik!), ale osobně bych si spustil lighttpd a pomocí modulu rewrite nasměroval všechny požadavky na jeden bashový skript. Ten by si mohl vypreparovat požadavek, pomocí wgetu ho poslat přes https serveru a staženou odpověď by vrátil webserveru k odeslání zpátky klientovi. Ale to už se blížíme k technickému zpracování...

    Zase na druhou stranu, ve většině případů nám stačí podvrhnout přihlašovací stránku, takže si u nás na serveru vytvoříme prostě její kopii a action toho formuláře necháme směřovat na původní adresu.

    Návrh technického řešení

    Příklad útoku popíšu na datových schránkách. Ano, už zase rýpu. Víte, díky datovým schránkám jsem začal tuto bezpečnostní problematiku studovat. Alespoň k něčemu jsou dobré :-)

    Man In The Middle

    Jak si sednete mezi klienta a server neřeším. Buď máte router po cestě, nebo použijete třeba arpspoof.

    Intercepting proxy

    Vždycky jsem si myslel, že se to jmenuje transparentní proxy, ale dokumentace Privoxy mě přesvědčila o opaku. Jo, takže budeme používat Privoxy, protože s ní prostě umím.

    Prvně nařídíme Privoxy, aby reagovala s požadavky, které vedou skrz ni.

    accept-intercepted-requests 1

    Potom budeme chtít, aby poslouchala na všech rozhraních na portu 80

    listen-address :80

    Dále vložíme potřebné filter a action soubory. Já jsem je nechal pojmenované user.*, protože v Debianu je to tak default. Ale jak se rozhodnete, to je na vás.

    filterfile user.filter
    actionsfile user.action

    Nyní nadefinujeme potřebný filtr. Můžete si o tom přečíst článek tady na ABC. Svůj filtr jsem pojmenoval nonssl-mitm. Přiznám se, že jsem dost prasil - místo, abych podrobně sledoval cestu "skutečného" požadavku (jsou tam asi tři různá přesměrování), jsem to rovnou natvrdo nasměroval na login.mojedatovaschranka.cz.

    FILTER: nonssl-mitm
    s/href="https:\/\/www.mojedatovaschranka.cz\/portal\/ISDS\/"/href="http:\/\/login.mojedatovaschranka.cz\/"/ig

    Zapneme filtr pro doménu datoveschranky.info

    {+filter{nonssl-mitm}}
    datoveschranky.info

    A nakonec nastavíme forward subdomén mojedatovaschranka.cz na náš servřík. Já používám LigHTTPd a poslouchá mi na localhostu na portu 8111.

    forward   .mojedatovaschranka.cz  localhost:8111

    Do documentrootu svého webservříku jsem umístil věrnou kopii přihlašovacího formuláře k datové schránce. Action jsem mu nechal na skutečnou adresu https://login.mojedatovaschranka.cz/nidp/idff/sso?sid=4 a zkusil jsem se "přihlásit". Povedlo se.

    Co si případný útočník umístí do této falešné přihlašovací stránky, to nechám na něm. Znovu připomínám, že zneužití cizí datové schránky je trestné.

    Konkljůžn

    Příprava takovéhoto útoku je složitější, ale na rozdíl od "obyčejného" podvrhování certifikátu se uživateli nezobrazí ani upozornění o špatném certifikátu. Nepomůže mu ani, když si nainstaluje a ověří certifikát PostSigna.

    Řešení? Nebuďte líní a zadávejte do svého prohlížeče celou adresu, včetně https://. Nevěřte tomu, že když zadáte jenom mojedatovaschranka.cz a prohlížeč vám před to doplní http://, přesměruje vás to na https:// variantu. A když už, tak si alespoň zkontrolujte, jestli vás to přesměrovalo a zobrazte si detaily certifikátu.

    Pokud jsem někde udělal chybu či jsem něco napsal nejasně, neváhejte využít komentářů.


    Před domem teď zastavilo několik aut s černými skly a vylézají z nich nějací zakuklenci.

           

    Hodnocení: 100 %

            špatnédobré        

    Anketa

    Máte zapnuté varování "Data z tohoto formuláře budou odeslána nezabezpečeným spojením"?
     (32 %)
     (68 %)
    Celkem 97 hlasů

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    22.8.2009 21:55 Vantomas | skóre: 27 | Praha
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Víte o tom, že Vás zavřou? :)

    <hint>1999-04-16 Čtvrtníček, Šteindler a Vávra na Hrad!</hint>
    23.8.2009 22:15 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Ne, vás zavřou.
    hikikomori82 avatar 22.8.2009 22:16 hikikomori82 | skóre: 18 | blog: foobar | Košice
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Pekne. Blbé je že tlačítko (input submit) narozdiel od html odkazu (a href) v stavovom riadku nezobrazuje adresu (form action) takze si to clovek nema moc sancu skontrolovat pred potvrdenim.
    Jendа avatar 22.8.2009 22:23 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Web developer toolbar → Formuláře → Zobrazit detaily formuláře :-).
    Klimakemp ve zkratce: Účastníci jeli vlakem na naftu a autobusem na naftu protestovat proti těžbě fosilních paliv.
    Luk avatar 22.8.2009 23:56 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    V Opeře se URL zobrazuje v bublině u kurzoru, čili to zkontrolovat lze.
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    31.7.2010 08:31 v6ak
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Omlouvám se za příspěvek do staré diskuze, ale myslím, že mám co říct. Zjištění, kam směřuje input, je při zapnutém JS celkem na nic. Pro Firefox tu kdysi bylo (možná stále je) rozšíření FormFox, které umožňovalo ze submitu zjistit action. Poté, co jsem napsal autorovi několik způsobů, jak to jde obejít, přidal varování při onclick, tuším. Druhá věc ale je, že jiných způsobů obejítí tu zůstalo stále mnoho. A i kdyby tu zůstal jediný, i ten stačí na to, aby se na to nedalo spolehnout. Možná proti podvrhu pomůže vypnutý Javascript. V každém případě je to řešení na špatném místě: problém pramení z pobytu na jiné stránce, jiný formulář je až důsledek.
    Jendа avatar 1.8.2010 06:32 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Já bych si nejradši zapnul upozorňování, že „tento formulář bude odeslán nezabezpečeně, blablabla“. Jenže by mě to nebavilo odklikávat při každém hledání někde :-). Nejlepší by bylo, kdyby prohlížeč kromě „už nikdy nevarovat“ měl ještě možnost „už nikdy nevarovat pro tuto doménu“.
    Klimakemp ve zkratce: Účastníci jeli vlakem na naftu a autobusem na naftu protestovat proti těžbě fosilních paliv.
    2.8.2010 16:42 v6ak
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Jenže to neřeší ten problém. Útočník může třeba taky použít SSL. Nebo může použít jiný kanál, třeba XmlHttpRequest..
    22.8.2009 22:18 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Jako popis hezký, ale být tebou bych si nedělal iluze, že jsi objevil něco bombastického a že tě čeká nehynoucí sláva.
    Jendа avatar 22.8.2009 22:25 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Doplnil jsem na příslušná místa smajlíky, aby to bylo zřejmější.
    Klimakemp ve zkratce: Účastníci jeli vlakem na naftu a autobusem na naftu protestovat proti těžbě fosilních paliv.
    Luk avatar 22.8.2009 23:56 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Jde spíš o to, aby se to případně upravilo. I u abíčka ;-)
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    xkucf03 avatar 23.8.2009 00:28 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše ISIS

    V tomhle si nedělej žádné iluze, např. náš studijní systém trpí podobnou chybou – přijdeš na úvodní stránku, ta je nešifrovaná, klikneš na „Přihlásit se“ a to tě hodí na stránku s HTTPS basic autentizací (tzn. generické okno webového prohlížeče) a tam už zadáváš heslo – obávám se, že většina uživatelů by jméno a heslo vyplnila, i kdyby útočník-uprostřed upravil titulní stránku, aby odkaz vedl na nešifrovanou podvodnou stránku. Když jsem upozorňoval autory toho systému, že by bylo lepší, kdyby se šifrování započalo o stránku dříve, než uživatel posílá heslo, případně se použila formulářová autentizace (místo basic), přišlo jim to moc práce.

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    23.8.2009 01:40 Kvakor
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Některé weby, které potřebují nějaké zabezpečení, ale nechtějí cpát veškerý provoz přes HTTPS, používají normální HTTP formulář pro přihlášení, přilášení samotné provedou přes HTTPS a pokud proběhne v pořádku, vrátí se zpátky do HTTP, hlavně z důvůdů výkonnosti (hardwarová podpra SSL není levná záležitost). Například seznamí mail to dělá práve takto. Běžný uživatel by si nejspíš vůbec ničeho nevšiml, pokud by se HTTPS část přeskočila - většina lidí prý ani nekontroluje adresní řádek ...
    23.8.2009 08:33 David Jaša | skóre: 44 | blog: Dejvův blog
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Na toto téma mě už dávno napadlo - proč neexistuje "něco mezi" HTTP a HTTPS, co by zajišťovalo pouze integritu dat, ale už ne jejich důvěrnost.
    23.8.2009 09:01 finn | skóre: 42 | blog: finnlandia | 49° 44´/13° 22´
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Integrita dat je zajištěna na úrovni TCP. Pokud bys chtěl zajistit integritu v tom smyslu, že nikdo nezmění data (samozřejmě včetně kontrolního součtu) mezi serverem a klientem, musel bys zprávu
    • doplnit hashem (SHA1, SHA256, ...)
    • digitálně podepsat
    . Je zřejmé, že by to oproti šifrování nic nepřineslo (třeba vyšší rychlost).
    Užívej dne – možná je tvůj poslední.
    23.8.2009 09:58 David Jaša | skóre: 44 | blog: Dejvův blog
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Opravdu není vytvoření hashe a jeho podepsání rychlejší než šifrování?
    xkucf03 avatar 23.8.2009 10:14 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

    Ona ta integrita bez identifikace druhé strany nemá moc smysl – pak máš jen jistotu, že s někým komunikuješ a nikdo není mezi vámi, kdo by tu komunikaci narušoval, ale už nevíš, jestli ten někdo je skutečný server, kam se chceš připojit nebo útočník.

    Něco mezi HTTP a HTTPS může být, když hesla hashuješ na straně klienta. Ovšem je to jen ochrana proti odposlechnutí (např. po nechráněném wifi), ale ne proti pozměnění (MIM), protože když může někdo pozměňit ty stránky, tak vypne hashování, uživatel nic nepozná (za HTML zdroják se nedívá) a heslo se odešle v čistém tvaru. Případně to jde zkombinovat s HTTPS a mít to jako druhou úroveň zabezpečení (někdo např. podvrhne certifikáty, odposlouchává a nakonec zjistí, že odposlechl jen náhodné hashe hesel).

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    23.8.2009 09:17 kkaarreell | skóre: 6 | blog: perkele
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Pletu se, nebo jsi spojil man-in-the-middle s phishingem? To mi moc prevratne zrovna neprijde.
    Jendа avatar 23.8.2009 11:48 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Pomocí man-in-the-middle udělám z oficiální nezabezpečené stránky phishingovou.

    Ano, není to převratné. To z toho odstavce není cítit nadsázka a humor?
    Klimakemp ve zkratce: Účastníci jeli vlakem na naftu a autobusem na naftu protestovat proti těžbě fosilních paliv.
    23.8.2009 12:53 Ja
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Je citit, akurat niektori maju vysoky prah vnimavosti nadsazky...
    23.8.2009 19:33 kkaarreell | skóre: 6 | blog: perkele
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    tak to pardon, moc jsem toho nenaspal, tak mi do asi nedoslo.. vlastne jsem to jen prolit ocima.
    xkucf03 avatar 23.8.2009 12:12 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše nginx

     

    Příprava takovéhoto útoku je složitější

    Kdybys tam vrazil jako proxy třeba takový nginx, tak je to přepisování snadné (https → http).

     

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    Jendа avatar 23.8.2009 12:50 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: nginx
    No tak ta Privoxy dělá v podstatě to samé.

    Mimochodem, nějak jsem si při procházení té jejich wiki vzpomněl na hymnu Gazpromu :)
    Klimakemp ve zkratce: Účastníci jeli vlakem na naftu a autobusem na naftu protestovat proti těžbě fosilních paliv.
    xkucf03 avatar 23.8.2009 13:28 xkucf03 | skóre: 46 | blog: xkucf03
    Rozbalit Rozbalit vše Gazprom

     

    it's very beautiful and encouraging song!
    Down with Exxon Mobil,Total,Chevron,BP and
    Royal Dutch Shell!!!
    Russia i Gazprom,ypa!

    :-)

     

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net
    limit_false avatar 23.8.2009 13:46 limit_false | skóre: 23 | blog: limit_false
    Rozbalit Rozbalit vše sslsniff

    Je to podobné sslsniff-u. Jenom sslsniff navíc umí podvrhovat falešné SSL certifikáty, které ale projdou ověřením SSL certificate chain. Má na to několik metod:

    • znásilnění CA basic constraints - již dnes ve většině prohlížečů nefunguje
    • IDN - doména může obsahovat znak co vypadá jak lomítko, tím pádem browser ověří úplně jinou doménu než co člověk vidí v address baru (nebo si myslí že vidí)
    • null-prefix attack (nedávný útok předveden na BlackHatu)
    When people want prime order group, give them prime order group.
    26.8.2009 16:27 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější
    Každý webový formulář lze považovat za zabezpečený jedině v případě, že je zabezpečená jak stránka s formulářem tak cílová stránka. Pokud nějaký web používá HTTPS jen pro přihlášení, a samotný přihlašovací formulář není na HTTPS, je to celé skoro k ničemu.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.