Data: 2011-09-20 16:26:44 | |
Autor: witek | |
TLS/SSL złamane? Będzie się działo | |
On 9/20/2011 4:12 PM, xbartx wrote:
cichutko przemilczałeś, że dotyczy to tylko i wyłącznie wersji 1.0. banki przestawią sie na 1.1 bądź 1.2 i wymuszą to samo na uzytkownikach i przeglądarkach a narazie trzeba być ostrożnym. |
|
Data: 2011-09-21 06:30:29 | |
Autor: xbartx | |
TLS/SSL z³amane? Bêdzie siê dzia³o | |
Dnia Tue, 20 Sep 2011 16:26:44 -0500, witek napisał(a):
cichutko przemilczałeś, że dotyczy to tylko i wyłącznie wersji 1.0. Artykuł nie jest mojego autorstwa, więc nic nie przemilczałem, poza tym masz tam wyraźnie napisane: "TLS 1.1/1.2 na ratunek? Niestety, pomimo tego, że bezpieczniejsza wersja TLS, czyli 1.1 jest dostępna od 2006 roku, praktycznie wszystkie webserwery ciągle korzystają z podatnego na atak TLS 1.0: (rysunek) The Register brak szerszego przyjęcia TLS 1.1 upatruje w przestarzałych implementacjach SSL w Firefoksie i Chromie oraz OpenSSL-u. Bezpieczniejsze wersje TLS są za to dostępne w serwerze IIS (nie domyślnie) oraz Operze (domyślnie). Autorzy BEAST twierdzą, że większość właścicieli serwisów internetowych nie wdroży bezpiecznych protokołów TLS 1.1 lub 1.2, ponieważ nie są one wspierane przez znaczną liczbę klientów i upgrade do bezpieczniejszej wersji TLS oznaczałby spadek dochodów. Być może opublikowanie exploita coś zmieni w tej kwestii — Duong i Rizzo zdradzili, że już od maja współpracują w tej kwestii z producentami przeglądarek, którzy mają wprowadzić obejścia problemu." więc może napisz czego jeszcze nie rozumiesz? -- xbartx |
|
Data: 2011-09-21 01:39:27 | |
Autor: witek | |
TLS/SSL złamane? Będzie się działo | |
On 9/21/2011 1:30 AM, xbartx wrote:
wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez wsadziles sensacyjny. eot |
|
Data: 2011-09-21 09:44:00 | |
Autor: xbartx | |
TLS/SSL z³amane? Bêdzie siê dzia³o | |
Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisał(a):
wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez Tytuł ze znakiem zapytania jest sensacyjny? Masz link przecież do całego artykułu, więc nie rozumiem o co Ci chodzi? Ja wrzuciłem tylko jego początek aby zainteresować kogoś ewentualnie do przeczytania całości. Kiedyś było już na grupie nie raz, że ludzie przeglądają ją z różnych urządzeń i nie zawsze duża ilość tekstu jest koniecznie potrzebna. Za to mam wrażenie, że Ty jakbyś przegapił nawet najmniejszą okazję do tego aby się koniecznie przyczepić, to chyba by Ci się klawiatura popsuła ;) więc po prostu wyluzuj. -- xbartx |
|
Data: 2011-09-22 16:09:30 | |
Autor: Wie¶niak | |
TLS/SSL z³amane? Bêdzie siê dzia³o | |
Tytul ze znakiem zapytania jest sensacyjny? jak chcesz mieæ sensacyjny tytu³, a nie masz nic ciekawego do powiedzenia, to dajesz dowolne sensacyjne zdanie, asekuruj±c siê znakiem zapytania na koñcu. Wiedz± to dziennikarze tabloidów, a nie wiedz± projektowani czytelnicy tabloidów (realni czytelnicy zwykle s± m±drzejsi) -- |
|
Data: 2011-09-23 00:11:36 | |
Autor: witrak() | |
TLS/SSL złamane? Będzie się działo | |
xbartx <bart@hashzero.net> wrote on 2011-09-21_11:44
Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisał(a):..... Za to mam wrażenie, że Ty jakbyś przegapił nawet najmniejszą Ten typ tak ma :-) witrak() |
|
Data: 2011-09-21 10:01:40 | |
Autor: xbartx | |
TLS/SSL z³amane? Bêdzie siê dzia³o | |
Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisał(a):
wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez I specjalnie dla Ciebie, żeby było jeszcze bardziej sensacyjnie, złowieszczo i katastroficznie. Przeglądarka Chromium (wersja rozwojowa Google Chrome): 15.0.871.0 (Developer Build 99583 Linux) Ubuntu 10.04 =================================== *BRE Bank SA (www.mbank.com.pl)* The identity of BRE Bank SA at Warszawa, Mazowieckie PL has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to www.mbank.com.pl is encrypted with 112-bit encryption. *The connection uses TLS 1.0.* The connection is encrypted using 3DES_EDE_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== *Alior Bank S.A. (aliorbank.pl)* The identity of Alior Bank S.A. at Warszawa, PL has been verified by Entrust Certification Authority - L1E. Your connection to aliorbank.pl is encrypted with 256-bit encryption. *The connection uses TLS 1.0.* The connection is encrypted using AES_256_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== *PayPal, Inc. (www.paypal.com)* The identity of PayPal, Inc. at San Jose, California US has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to www.paypal.com is encrypted with 256-bit encryption. *The connection uses TLS 1.0.* The connection is encrypted using AES_256_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== *eBay Inc. (signin.ebay.co.uk)* The identity of eBay Inc. at San Jose, California US has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to signin.ebay.co.uk is encrypted with 128-bit encryption. *The connection uses TLS 1.0.* The connection is encrypted using RC4_128, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== Jeżeli zapewnienia autorów aplikacji BEAST Thai Duong i Juliano Rizzo okażą się prawdziwe to jakby nie patrzeć, będzie zamieszanie i to według mnie dosyć spore. -- xbartx |
|
Data: 2011-09-23 20:17:08 | |
Autor: Wojciech Bancer | |
TLS/SSL złamane? Będzie się działo | |
On 2011-09-21, xbartx <bart@hashzero.net> wrote:
[...] Przegl±darka Chromium (wersja rozwojowa Google Chrome): A jak wy³±czysz TSL 1.0 w przegl±darce (w opcjach), to co Ci pokazuje? :) -- Wojciech Bañcer proteus@post.pl |
|
Data: 2011-09-24 09:27:45 | |
Autor: xbartx | |
TLS/SSL z³amane? Bêdzie siê dzia³o | |
Dnia Fri, 23 Sep 2011 22:17:08 +0200, Wojciech Bancer napisał(a):
A jak wyłączysz TSL 1.0 w przeglądarce (w opcjach), to co Ci pokazuje? Chodziło mi o domyślną konfigurację. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide |
|