Man In The Middle, nyní ještě prímovější (diskuse)

Přihlášení | Registrace

napište » Zprávičky

včera 22:45 | IT novinky

NASA, která společně s Rackspace stála u zrodu projektu OpenStack, se již nadále nebude podílet na dalším vývoji této "infrastructure-as-a-service" platformy. V NASA totiž došli k závěru, že vzhledem k podpoře OpenStacku ze strany společností jako Red Hat, AT&T a HP lze jejich práci považovat za dokončenou. Posléze se NASA plánuje stáhnout i z vývoje další platformy pro cloud computing jménem Nebula.

Migilenik | Komentářů: 0

Kniha IPv6 se slevou 66 procent pouze na IPv6 Day

včera 22:45 | Upozornění

Blíží se svátek IPv6 a s ním i konference IPv6 Day. Na návštěvníky této akce čeká nejen bohatý program, ale také jedna speciální nabídka – v průběhu setkání bude možné získat se slevou 66 procent třetí vydání knihy IPv6 vysokoškolského pedagoga a publicisty Pavla Satrapy, tedy za 105 korun. … více »

Vilem Sladek | Komentářů: 3

Python/Django sprint v Praze 5. 6.

včera 16:14 | Pozvánky

Přijďte si zasprintovat na Djangu, jiném Python open-source projektu, nebo jen potkat ostatní vývojáře!

… více »

Whit | Komentářů: 0

Mageia 2

včera 10:20 | Nová verze

Na zrcadlech a torrentech jsou již k dispozici ISO obrazy distribuce Mageia 2. Poznámky k vydání čtěte zde.

Liborek | Komentářů: 14

Oznámen termín nové konference LinuxDays spolu s konferencí openSUSE a Gentoo

23.5. 13:47 | Pozvánky

Letos v říjnu se v Praze uskuteční hned několik konferencí. Odehraje se zde nově vzniklá konference LinuxDays. K ní se přidá čtvrtý ročník openSUSE Conference, dvanáctý ročník SUSE Labs conference a aby to nebylo málo, přidá se i první ročník Gentoo miniconf. A to vše ve stejné dny a na stejném místě.

… více »

Miška | Komentářů: 7

printerd - tiskový démon nad D-Busem

23.5. 13:27 | Zajímavý projekt

Printerd je název nového projektu tiskového démona, který bude využívat PolicyKit a D-Bus. Projekt je zatím na úplném začátku, takže nejde o nic vhodného k produkčnímu nasazení. Mimo jiné aktuálně akceptuje jako vstup jen PDF dokumenty.

Luboš Doležel (Doli) | Komentářů: 55

Red Hat přijal trojici vývojářů JRuby

23.5. 13:25 | Zajímavý software

Tři vývojáři ze společnosti Engine Yard přecházejí po dohodě mezi firmami do Red Hatu. Jde o vývojáře zabývající se rozvojem projektu JRuby. To ukazuje, že Red Hat má zájem o podporu alternativních jazyků nad OpenJDK.

Luboš Doležel (Doli) | Komentářů: 1

libusbx, fork libusb, se dostane do Fedory

23.5. 13:20 | Zajímavý software

Fedora přejde na knihovnu libusbx, což je fork původní knihovny libusb. Důvodem pro fork byl zjevný nedostatek času nebo zájmu ze strany správce projektu. libusbx už teď nabízí užitečné funkce navrch.

Luboš Doležel (Doli) | Komentářů: 4

LLVM 3.1

23.5. 10:29 | Nová verze

Vyšlo LLVM 3.1. Vylepšení se dotýkají podpory C++ 11 nebo architektur ARM a MIPS. Dále se můžete těšit z Python bindings nebo nástroje AddressSanitizer pro detekci chyb při práci s pamětí.

Luboš Doležel (Doli) | Komentářů: 0

ownCloud 4

23.5. 00:01 | Nová verze

Vyšla nová verze open source služby pro sdílení a synchronizaci souborů ownCloud 4. Mezi hlavní novinky patří verzování, šifrování dat, vestavěný prohlížeč ODF souborů, nové API a další - podrobnější popis novinek a vylepšení zde.

Dirka | Komentářů: 1

Centrum | Napsat | Starší

navrhněte » Anketa

Pokud by se prohlížeč Opera stal svobodným:

Začal(a) bych ji používat (9%)

Stále bych ji používal(a) (31%)

Přestal(a) bych ji používat (1%)

Ani tak bych ji nepoužíval(a) (59%)

Celkem 226 hlasů

Komentářů: 26, poslední dnes 14:44

Pracovní nabídky

Rozcestník

AbcLinuxu

HDmag.cz

Reklama

Autoškola testy online Levný benzín

AbcLinuxu:/ Blogy / Výlevníček / Man In The Middle, nyní ještě prímovější / Man In The Middle, nyní ještě prímovější (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (2) ?

Vložit další komentář

22.8.2009 21:55 Vantomas | skóre: 17 | Praha
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Odpovědět | Sbalit | Link | Blokovat | Admin

Víte o tom, že Vás zavřou? :)

<hint>1999-04-16 Čtvrtníček, Šteindler a Vávra na Hrad!</hint>

23.8.2009 22:15 petr_p | skóre: 56 | blog: pb
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Ne, vás zavřou.

22.8.2009 22:16 hikikomori82 | skóre: 18 | blog: foobar | Košice
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Odpovědět | Sbalit | Link | Blokovat | Admin

Pekne. Blbé je že tlačítko (input submit) narozdiel od html odkazu (a href) v stavovom riadku nezobrazuje adresu (form action) takze si to clovek nema moc sancu skontrolovat pred potvrdenim.

Slobodný font na technické kreslenie

22.8.2009 22:23 Jendа | skóre: 61 | blog: Výlevníček | Praha
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Web developer toolbar → Formuláře → Zobrazit detaily formuláře :-)

Pohřeb Velkého bratra

22.8.2009 23:56 Luk | skóre: 46 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

V Opeře se URL zobrazuje v bublině u kurzoru, čili to zkontrolovat lze.

Teroristou snadno, rychle, bezpracně

31.7.2010 08:31 v6ak
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Omlouvám se za příspěvek do staré diskuze, ale myslím, že mám co říct. Zjištění, kam směřuje input, je při zapnutém JS celkem na nic. Pro Firefox tu kdysi bylo (možná stále je) rozšíření FormFox, které umožňovalo ze submitu zjistit action. Poté, co jsem napsal autorovi několik způsobů, jak to jde obejít, přidal varování při onclick, tuším. Druhá věc ale je, že jiných způsobů obejítí tu zůstalo stále mnoho. A i kdyby tu zůstal jediný, i ten stačí na to, aby se na to nedalo spolehnout. Možná proti podvrhu pomůže vypnutý Javascript. V každém případě je to řešení na špatném místě: problém pramení z pobytu na jiné stránce, jiný formulář je až důsledek.

1.8.2010 06:32 Jendа | skóre: 61 | blog: Výlevníček | Praha
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Já bych si nejradši zapnul upozorňování, že „tento formulář bude odeslán nezabezpečeně, blablabla“. Jenže by mě to nebavilo odklikávat při každém hledání někde :-)

. Nejlepší by bylo, kdyby prohlížeč kromě „už nikdy nevarovat“ měl ještě možnost „už nikdy nevarovat pro tuto doménu“.

Pohřeb Velkého bratra

2.8.2010 16:42 v6ak
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Jenže to neřeší ten problém. Útočník může třeba taky použít SSL. Nebo může použít jiný kanál, třeba XmlHttpRequest..

22.8.2009 22:18 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Odpovědět | Sbalit | Link | Blokovat | Admin

Jako popis hezký, ale být tebou bych si nedělal iluze, že jsi objevil něco bombastického a že tě čeká nehynoucí sláva.

22.8.2009 22:25 Jendа | skóre: 61 | blog: Výlevníček | Praha
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Doplnil jsem na příslušná místa smajlíky, aby to bylo zřejmější.

Pohřeb Velkého bratra

22.8.2009 23:56 Luk | skóre: 46 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Jde spíš o to, aby se to případně upravilo. I u abíčka ;-)

Teroristou snadno, rychle, bezpracně

23.8.2009 00:28 xkucf03 | skóre: 40 | blog: xkucf03
Rozbalit Rozbalit vše ISIS

Odpovědět | Sbalit | Link | Blokovat | Admin

V tomhle si nedělej žádné iluze, např. náš studijní systém trpí podobnou chybou – přijdeš na úvodní stránku, ta je nešifrovaná, klikneš na „Přihlásit se“ a to tě hodí na stránku s HTTPS basic autentizací (tzn. generické okno webového prohlížeče) a tam už zadáváš heslo – obávám se, že většina uživatelů by jméno a heslo vyplnila, i kdyby útočník-uprostřed upravil titulní stránku, aby odkaz vedl na nešifrovanou podvodnou stránku. Když jsem upozorňoval autory toho systému, že by bylo lepší, kdyby se šifrování započalo o stránku dříve, než uživatel posílá heslo, případně se použila formulářová autentizace (místo basic), přišlo jim to moc práce.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net

23.8.2009 01:40 Kvakor
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Odpovědět | Sbalit | Link | Blokovat | Admin

Některé weby, které potřebují nějaké zabezpečení, ale nechtějí cpát veškerý provoz přes HTTPS, používají normální HTTP formulář pro přihlášení, přilášení samotné provedou přes HTTPS a pokud proběhne v pořádku, vrátí se zpátky do HTTP, hlavně z důvůdů výkonnosti (hardwarová podpra SSL není levná záležitost). Například seznamí mail to dělá práve takto. Běžný uživatel by si nejspíš vůbec ničeho nevšiml, pokud by se HTTPS část přeskočila - většina lidí prý ani nekontroluje adresní řádek ...

23.8.2009 08:33 David Jaša | skóre: 44 | blog: Dejvův blog | Šalingrad
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Na toto téma mě už dávno napadlo - proč neexistuje "něco mezi" HTTP a HTTPS, co by zajišťovalo pouze integritu dat, ale už ne jejich důvěrnost.

VÁLKA JE MÍR / SVOBODA JE OTROCTVÍ / NEVĚDOMOST JE SÍLA / MONITOR MÁ 96 DPI

23.8.2009 09:01 finn | skóre: 42 | blog: finnlandia | 49° 44´/13° 22´
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Integrita dat je zajištěna na úrovni TCP. Pokud bys chtěl zajistit integritu v tom smyslu, že nikdo nezmění data (samozřejmě včetně kontrolního součtu) mezi serverem a klientem, musel bys zprávu

doplnit hashem (SHA1, SHA256, ...)
digitálně podepsat

. Je zřejmé, že by to oproti šifrování nic nepřineslo (třeba vyšší rychlost).

Užívej dne – možná je tvůj poslední.

23.8.2009 09:58 David Jaša | skóre: 44 | blog: Dejvův blog | Šalingrad
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Opravdu není vytvoření hashe a jeho podepsání rychlejší než šifrování?

VÁLKA JE MÍR / SVOBODA JE OTROCTVÍ / NEVĚDOMOST JE SÍLA / MONITOR MÁ 96 DPI

23.8.2009 10:14 xkucf03 | skóre: 40 | blog: xkucf03
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Ona ta integrita bez identifikace druhé strany nemá moc smysl – pak máš jen jistotu, že s někým komunikuješ a nikdo není mezi vámi, kdo by tu komunikaci narušoval, ale už nevíš, jestli ten někdo je skutečný server, kam se chceš připojit nebo útočník.

Něco mezi HTTP a HTTPS může být, když hesla hashuješ na straně klienta. Ovšem je to jen ochrana proti odposlechnutí (např. po nechráněném wifi), ale ne proti pozměnění (MIM), protože když může někdo pozměňit ty stránky, tak vypne hashování, uživatel nic nepozná (za HTML zdroják se nedívá) a heslo se odešle v čistém tvaru. Případně to jde zkombinovat s HTTPS a mít to jako druhou úroveň zabezpečení (někdo např. podvrhne certifikáty, odposlouchává a nakonec zjistí, že odposlechl jen náhodné hashe hesel).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net

23.8.2009 09:17 kkaarreell | skóre: 6 | blog: perkele
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Odpovědět | Sbalit | Link | Blokovat | Admin

Pletu se, nebo jsi spojil man-in-the-middle s phishingem? To mi moc prevratne zrovna neprijde.

23.8.2009 11:48 Jendа | skóre: 61 | blog: Výlevníček | Praha
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Pomocí man-in-the-middle udělám z oficiální nezabezpečené stránky phishingovou.

Ano, není to převratné. To z toho odstavce není cítit nadsázka a humor?

Pohřeb Velkého bratra

23.8.2009 12:53 Ja
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Je citit, akurat niektori maju vysoky prah vnimavosti nadsazky...

23.8.2009 19:33 kkaarreell | skóre: 6 | blog: perkele
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

tak to pardon, moc jsem toho nenaspal, tak mi do asi nedoslo.. vlastne jsem to jen prolit ocima.

23.8.2009 12:12 xkucf03 | skóre: 40 | blog: xkucf03
Rozbalit Rozbalit vše nginx

Odpovědět | Sbalit | Link | Blokovat | Admin

Příprava takovéhoto útoku je složitější

Kdybys tam vrazil jako proxy třeba takový nginx, tak je to přepisování snadné (https → http).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net

23.8.2009 12:50 Jendа | skóre: 61 | blog: Výlevníček | Praha
Rozbalit Rozbalit vše Re: nginx

No tak ta Privoxy dělá v podstatě to samé.

Mimochodem, nějak jsem si při procházení té jejich wiki vzpomněl na hymnu Gazpromu :)

Pohřeb Velkého bratra

23.8.2009 13:28 xkucf03 | skóre: 40 | blog: xkucf03
Rozbalit Rozbalit vše Gazprom

it's very beautiful and encouraging song!
Down with Exxon Mobil,Total,Chevron,BP and
Royal Dutch Shell!!!
Russia i Gazprom,ypa!

:-)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-Výuka.cz, Nekuřák.net

23.8.2009 13:46 limit_false | skóre: 18 | blog: limit_false | Praha
Rozbalit Rozbalit vše sslsniff

Odpovědět | Sbalit | Link | Blokovat | Admin

Je to podobné sslsniff-u. Jenom sslsniff navíc umí podvrhovat falešné SSL certifikáty, které ale projdou ověřením SSL certificate chain. Má na to několik metod:

znásilnění CA basic constraints - již dnes ve většině prohlížečů nefunguje
IDN - doména může obsahovat znak co vypadá jak lomítko, tím pádem browser ověří úplně jinou doménu než co člověk vidí v address baru (nebo si myslí že vidí)
null-prefix attack (nedávný útok předveden na BlackHatu)

Proud member of the Electronic Frontier Foundation.

26.8.2009 16:27 Filip Jirsák | skóre: 65 | blog: Fillog
Rozbalit Rozbalit vše Re: Man In The Middle, nyní ještě prímovější

Odpovědět | Sbalit | Link | Blokovat | Admin

Každý webový formulář lze považovat za zabezpečený jedině v případě, že je zabezpečená jak stránka s formulářem tak cílová stránka. Pokud nějaký web používá HTTPS jen pro přihlášení, a samotný přihlašovací formulář není na HTTPS, je to celé skoro k ničemu.

Konečně jsem našel využití pro AdBlock: http://meta.wikimedia.org/w/index.php?title=Special:BannerLoader&banner=blackout

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 Powered by Hosting 90

Redakce | Inzerce | Podmínky použití | Osobní údaje