Portál AbcLinuxu, 9. května 2025 02:40

Triple Handshake - chyba v protokolu TLS

Byl zveřejněn popis závažné chyby v protokolu TLS. Chyba využívá tří druhů handshaku používaných v TLS a (ne zrovna přímočaré) interakce mezi nimi. Útočníkovi umožňuje provést omezený MITM, totiž může navázat spojení, vložit do něj data a spojení nechat autentizovat. Mnoho klientů bude tato data považovat za autentická. Problém se netýká jedné implementace, jde o problém samotného protokolu, kde se tiše předpokládá že vyjednaný klíč (Master Secret) je unikátní, a mnoho implementací na to spoléhá. Shrnutí problému na blogu Matthewa Greena.

24.4.2014 22:40 | Lyco | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

25.4.2014 08:08 gsnak | skóre: 22 | blog: gsnak
Rozbalit Rozbalit vše Re: Triple Handshake - chyba v protokolu TLS
Odpovědět | Sbalit | Link | Blokovat | Admin
To je nejaka nova moda pre kazdu zranitelnost zakladat domenu?
Čo Rys, to vrah!
pavlix avatar 25.4.2014 09:07 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Triple Handshake - chyba v protokolu TLS
Není to spíše důsledek příliš levných domén?
Já už tu vlastně ani nejsem. Abclinuxu umřelo.
25.4.2014 12:30 gsnak | skóre: 22 | blog: gsnak
Rozbalit Rozbalit vše Re: Triple Handshake - chyba v protokolu TLS
Alebo skor malo chyb?
Čo Rys, to vrah!
26.4.2014 08:41 Filip Jirsák
Rozbalit Rozbalit vše Re: Triple Handshake - chyba v protokolu TLS
V obou případech to byla prezentace nějakého subjektu, který se bezpečností zabývá. Takže ta stránka jim zároveň slouží jako reklama. A lidé asi odkazují raději na doménu věnovanou jen chybě, než odkazovat na podstránku nějaké firmy.
xkucf03 avatar 27.4.2014 14:59 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Triple Handshake - chyba v protokolu TLS

Ta firma/reklama je za tím tak jako tak. Já bych radši odkazoval na stránku, která má šanci, že tu bude dlouhodobě. A mám menší důvěru v to, že někdo bude platit třeba deset let jednoúčelovou doménu, než že deset let nechá nějaký záznam na své wiki nebo v databázi.

Tyhle nákupy jednoúčelových domén pak nezřídka dopadají tak, že doména za rok za dva propadne a „ujmou“ se jí nějací spekulanti nebo SEO spameři – spousty odkazů z různých webů zůstanou a dělá to pak akorát bordel ve vyhledávačích a mate to lidi, případně se na té doméně objeví i nějaký ten malware nebo phishing.

Radši budu odkazovat na heartbleed.bugs.example.com než na heartbleed.tld.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
25.4.2014 14:25 Andrej | skóre: 9
Rozbalit Rozbalit vše Re: Triple Handshake - chyba v protokolu TLS
Odpovědět | Sbalit | Link | Blokovat | Admin
to budu teraz vsetky bezpecnostne problemy uz len s krvacajucim logom?!
Any sufficiently advanced magic is indistinguishable from technology. --Larry Niven
26.4.2014 18:27 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: Triple Handshake - chyba v protokolu TLS
No příští dva, tři měsíce ještě možná jo. Ale víc bych tomu nedával, za chvíli se to omrzí.
"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.