Grupy dyskusyjne

TLS/SSL zĹamane? BÄdzie siÄ dziaĹo

	Data: 2011-09-20 16:26:44
Autor: witek
TLS/SSL zĹamane? BÄdzie siÄ dziaĹo
On 9/20/2011 4:12 PM, xbartx wrote: "Lada dzieĹ, Thai Duong i Juliano Rizzo planujÄ zademonstrowaÄ narzÄdzie o nazwie BEAST (Browser Exploit Against SSL/TLS) skĹadajÄce siÄ z kodu JavaScript, ktĂłry musi uruchomiÄ ofiara oraz sniffera, ktĂłry przechwytuje i rozszfrowuje zaszyfrowane ciasteczka, dajÄc tym samym atakujÄcemu nieautoryzowany dostÄp do konta ofiary w danym serwisie internetowym korzystajÄcym z HTTPS. WedĹug twĂłrcĂłw, atak zadziaĹa takĹźe na serwery wykorzystujÄce HSTS (HTTP Strict Transport Security)." http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0-zlamane/ JeĹźeli okaĹźe siÄ to prawdÄ to ciÄĹźkie dni szykujÄ siÄ dla bankĂłw i nie tylko. Oj bÄdzie siÄ dziaĹo ;) cichutko przemilczaĹeĹ, Ĺźe dotyczy to tylko i wyĹÄcznie wersji 1.0. banki przestawiÄ sie na 1.1 bÄdĹş 1.2 i wymuszÄ to samo na uzytkownikach i przeglÄdarkach a narazie trzeba byÄ ostroĹźnym.

	Data: 2011-09-21 06:30:29
Autor: xbartx
TLS/SSL złamane? Będzie się działo
Dnia Tue, 20 Sep 2011 16:26:44 -0500, witek napisaĹ(a): cichutko przemilczaĹeĹ, Ĺźe dotyczy to tylko i wyĹÄcznie wersji 1.0. banki przestawiÄ sie na 1.1 bÄdĹş 1.2 i wymuszÄ to samo na uzytkownikach i przeglÄdarkach a narazie trzeba byÄ ostroĹźnym. ArtykuĹ nie jest mojego autorstwa, wiÄc nic nie przemilczaĹem, poza tym masz tam wyraĹşnie napisane: "TLS 1.1/1.2 na ratunek? Niestety, pomimo tego, Ĺźe bezpieczniejsza wersja TLS, czyli 1.1 jest dostÄpna od 2006 roku, praktycznie wszystkie webserwery ciÄgle korzystajÄ z podatnego na atak TLS 1.0: (rysunek) The Register brak szerszego przyjÄcia TLS 1.1 upatruje w przestarzaĹych implementacjach SSL w Firefoksie i Chromie oraz OpenSSL-u. Bezpieczniejsze wersje TLS sÄ za to dostÄpne w serwerze IIS (nie domyĹlnie) oraz Operze (domyĹlnie). Autorzy BEAST twierdzÄ, Ĺźe wiÄkszoĹÄ wĹaĹcicieli serwisĂłw internetowych nie wdroĹźy bezpiecznych protokoĹĂłw TLS 1.1 lub 1.2, poniewaĹź nie sÄ one wspierane przez znacznÄ liczbÄ klientĂłw i upgrade do bezpieczniejszej wersji TLS oznaczaĹby spadek dochodĂłw. ByÄ moĹźe opublikowanie exploita coĹ zmieni w tej kwestii â Duong i Rizzo zdradzili, Ĺźe juĹź od maja wspĂłĹpracujÄ w tej kwestii z producentami przeglÄdarek, ktĂłrzy majÄ wprowadziÄ obejĹcia problemu." wiÄc moĹźe napisz czego jeszcze nie rozumiesz? -- xbartx

	Data: 2011-09-21 01:39:27
Autor: witek
TLS/SSL zĹamane? BÄdzie siÄ dziaĹo
On 9/21/2011 1:30 AM, xbartx wrote: wiÄc moĹźe napisz czego jeszcze nie rozumiesz? wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez wsadziles sensacyjny. eot

	Data: 2011-09-21 09:44:00
Autor: xbartx
TLS/SSL złamane? Będzie się działo
Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisaĹ(a): wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez wsadziles sensacyjny. TytuĹ ze znakiem zapytania jest sensacyjny? Masz link przecieĹź do caĹego artykuĹu, wiÄc nie rozumiem o co Ci chodzi? Ja wrzuciĹem tylko jego poczÄtek aby zainteresowaÄ kogoĹ ewentualnie do przeczytania caĹoĹci. KiedyĹ byĹo juĹź na grupie nie raz, Ĺźe ludzie przeglÄdajÄ jÄ z rĂłĹźnych urzÄdzeĹ i nie zawsze duĹźa iloĹÄ tekstu jest koniecznie potrzebna. Za to mam wraĹźenie, Ĺźe Ty jakbyĹ przegapiĹ nawet najmniejszÄ okazjÄ do tego aby siÄ koniecznie przyczepiÄ, to chyba by Ci siÄ klawiatura popsuĹa ;) wiÄc po prostu wyluzuj. -- xbartx

	Data: 2011-09-22 16:09:30
Autor: Wieśniak
TLS/SSL złamane? Będzie się działo
Tytul ze znakiem zapytania jest sensacyjny? jak chcesz mieć sensacyjny tytuł, a nie masz nic ciekawego do powiedzenia, to dajesz dowolne sensacyjne zdanie, asekurując się znakiem zapytania na końcu. Wiedzą to dziennikarze tabloidów, a nie wiedzą projektowani czytelnicy tabloidów (realni czytelnicy zwykle są mądrzejsi) --

	Data: 2011-09-23 00:11:36
Autor: witrak()
TLS/SSL zĹamane? BÄdzie siÄ dziaĹo
xbartx <bart@hashzero.net> wrote on 2011-09-21_11:44 Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisaĹ(a): wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez wsadziles sensacyjny. ..... Za to mam wraĹźenie, Ĺźe Ty jakbyĹ przegapiĹ nawet najmniejszÄ okazjÄ do tego aby siÄ koniecznie przyczepiÄ, to chyba by Ci siÄ klawiatura popsuĹa ;) wiÄc po prostu wyluzuj. Ten typ tak ma :-) witrak()
	Data: 2011-09-21 10:01:40
Autor: xbartx
TLS/SSL złamane? Będzie się działo
Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisaĹ(a): wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez wsadziles sensacyjny. eot I specjalnie dla Ciebie, Ĺźeby byĹo jeszcze bardziej sensacyjnie, zĹowieszczo i katastroficznie. PrzeglÄdarka Chromium (wersja rozwojowa Google Chrome): 15.0.871.0 (Developer Build 99583 Linux) Ubuntu 10.04 =================================== BRE Bank SA (www.mbank.com.pl) The identity of BRE Bank SA at Warszawa, Mazowieckie PL has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to www.mbank.com.pl is encrypted with 112-bit encryption. The connection uses TLS 1.0. The connection is encrypted using 3DES_EDE_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== Alior Bank S.A. (aliorbank.pl) The identity of Alior Bank S.A. at Warszawa, PL has been verified by Entrust Certification Authority - L1E. Your connection to aliorbank.pl is encrypted with 256-bit encryption. The connection uses TLS 1.0. The connection is encrypted using AES_256_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== PayPal, Inc. (www.paypal.com) The identity of PayPal, Inc. at San Jose, California US has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to www.paypal.com is encrypted with 256-bit encryption. The connection uses TLS 1.0. The connection is encrypted using AES_256_CBC, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== eBay Inc. (signin.ebay.co.uk) The identity of eBay Inc. at San Jose, California US has been verified by VeriSign Class 3 Extended Validation SSL CA. Your connection to signin.ebay.co.uk is encrypted with 128-bit encryption. The connection uses TLS 1.0. The connection is encrypted using RC4_128, with SHA1 for message authentication and RSA as the key exchange mechanism. The connection is not compressed. The server does not support the TLS renegotiation extension. =================================== JeĹźeli zapewnienia autorĂłw aplikacji BEAST Thai Duong i Juliano Rizzo okaĹźÄ siÄ prawdziwe to jakby nie patrzeÄ, bÄdzie zamieszanie i to wedĹug mnie dosyÄ spore. -- xbartx
	Data: 2011-09-23 20:17:08
Autor: Wojciech Bancer
TLS/SSL zĹamane? BÄdzie siÄ dziaĹo
On 2011-09-21, xbartx <bart@hashzero.net> wrote: [...] Przeglądarka Chromium (wersja rozwojowa Google Chrome): 15.0.871.0 (Developer Build 99583 Linux) Ubuntu 10.04 A jak wyłączysz TSL 1.0 w przeglądarce (w opcjach), to co Ci pokazuje? :) -- Wojciech Bańcer proteus@post.pl

	Data: 2011-09-24 09:27:45
Autor: xbartx
TLS/SSL złamane? Będzie się działo
Dnia Fri, 23 Sep 2011 22:17:08 +0200, Wojciech Bancer napisaĹ(a): A jak wyĹÄczysz TSL 1.0 w przeglÄdarce (w opcjach), to co Ci pokazuje? :) ChodziĹo mi o domyĹlnÄ konfiguracjÄ. -- xbartx - Xperimental Biomechanical Android Responsible for Thorough Xenocide

Grupy dyskusyjne

TLS/SSL zĹamane? BÄdzie siÄ dziaĹo

TLS/SSL zĹamane? BÄdzie siÄ dziaĹo

TLS/SSL zĹamane? BÄdzie siÄ dziaĹo

TLS/SSL zĹamane? BÄdzie siÄ dziaĹo