Sorki że wstawiam ten sam post, ale tamten był bez wstawki antyspamowej i go
scancelowałem.

>> manipulacja obliczona na wygenerowanie sztucznego popytu na "usługi"
>> autorów.
>
>
> Chyba nie sugerujesz, ze tam jest napisana nieprawda, albo polprawda ?

Heheheh - rzecz właśnie w tym czego nie napisali ;)


> Znowu: czy te dane nie sa prawdziwe, albo cos zostalo ukryte, zeby
> jednych przedstawic w lepszym a innych w gorszym swietle ?
> Ja odnioslem wrazenie, ze sie przejechali po *wszystkich* bankach.
> Wlasciwie malo ktory wypadl w tym zestawieniu dobrze i chyba tak
> wlasnie jest. Sam fakt, ze SSL 2 jest dopuszczany przez banki
> o czyms swiadczy.

Ok - SSL2 nie jest najnowszym protokołem i ma swoje błędy architekturalne, ale
znowu nie demonizujmy - złam go gdy używa się silnych kluczy algorytmów
symetrycznych ... życze powodzenia!


>
>> całkiem nieźle zabezpieczona, a sugeruje się że mają dziury (choć nie
>> pisze się tego wprost i w sumie nie można zarzucić kłamstwa).
>
>
> No to nie rozumiem... Jezeli nie klamia i pisza tylko to co pisza,
> to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
> im postawic ?

Chcesz przykład pierwszy z brzegu???? Ok - nie ma sprawy!
Weźmy MultiBank. W tabelce zaznaczono, że można nawiązać połączenie SSL ze
słabym kluczem - niby prawda, ale ... gdy takie nawiążesz, wszystko co uzyskasz
to komunikat w HTML, że aby się zalogować niezbędne jest wsparcie przeglądarki
dla szyfrowania z silnym kluczem .... No ale że tak jest, to już nie
napisali ... powiedziałbym że to co najmniej nierzetelne - nie sądzisz??? Bo
tak naprawde oznacza, że wejść do serwisu transakcyjnego i zalogować się na
słabym kluczu nie można!!!

>
>> No ale autorzy dopieli swego - prezes podobno nawet w tv wystąpił.
>
>
> No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie mowic.
> Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo, sprawdzilem
> czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
> czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
> wiedzialem, ze banki dopuszczaja SSL2...).
> Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
> do roboty, bo "wypadlismy najgorzej"...
> Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
> przy tej okazji cos pozytywnego sie stanie.


I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl) dotyczy dość
szczególnych sytuacji i to takich w których tenże SSL2 wspiera krótkie
klucze ... Nie jestem obrońcą tego przestarzałego już nieco protokołu, ale
naprawde - spróbujcie go złamać przy silnym szyfrowaniu ... Zwróć uwagę że w
dokumencie napisano o znanych błędach architekturalnych SSL2 i tzw. dobrej
praktyce, a nie podparto tego żadnym przykładowym atakiem ... Mogę Cię
zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny przykładowy atak
przeprowadzić, to byłby on w dokumencie - możesz być tego pewnym.


Zapytałeś o co chodzi??? Najbardziej chodzi mi o tą tabelkę na końcu - każda
wpisana tam jedynka lub dwójka powinna być poparta przykładem - tak, żeby nie
było żadnych wątpliwości o co chodzi ...


Pozdrawiam

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl