"prz3c1nak" <m...@t...pl> wrote in message
news:3582.0000005c.43fc2bfd@newsgate.onet.pl...
> Sorki że wstawiam ten sam post, ale tamten był bez wstawki
> antyspamowej i go
> scancelowałem.

No, to przepraszam KJ, ze sie czepilem :-)

[...]
>>
>> No to nie rozumiem... Jezeli nie klamia i pisza tylko to co
>> pisza,
>> to jaki inny zarzut poza tym, ze chca sie rozreklamowac, mozna
>> im postawic ?
>
> Chcesz przykład pierwszy z brzegu???? Ok - nie ma sprawy!
> Weźmy MultiBank. W tabelce zaznaczono, że można nawiązać
> połączenie SSL ze
> słabym kluczem - niby prawda, ale ... gdy takie nawiążesz,
> wszystko co uzyskasz
> to komunikat w HTML, że aby się zalogować niezbędne jest
> wsparcie przeglądarki
> dla szyfrowania z silnym kluczem .... No ale że tak jest, to już
> nie
> napisali ... powiedziałbym że to co najmniej nierzetelne - nie
> sądzisz??? Bo
> tak naprawde oznacza, że wejść do serwisu transakcyjnego i
> zalogować się na
> słabym kluczu nie można!!!

Zaraz, zaraz, ale co to ma do rzeczy ?! :-)
Albo sie w ogole nie reaguje na odwolanie po http,
albo daje automatyczne przekierowanie. Jak jest
tak, jak piszesz, to wlasnie jest dowod nieprofesjonalnego
podejscia banku.
Zatem slusznie sie oberwalo Multibankowi - w istocie ja
odczytalem ten artykul nie jako wskazanie niebezpiecznych
rozwiazan (bo wtedy powinni raczej jednak zawiadomic bank,
cos w stylu zasad na bugtraq-u), tylko jako krytyke
nieprofesjonalnie prowadzonych serwisow bankowych.
A ilosc jedynek - wskazuje na nasilenie tego podejscia.



>>
>>> No ale autorzy dopieli swego - prezes podobno nawet w tv
>>> wystąpił.
>>
>>
>> No i dobrze, ktos musi wystapic, jesli o tych rzeczach ma sie
>> mowic.
>> Ja w kazdym razie, zobaczywszy co dla mBanku wyszlo,
>> sprawdzilem
>> czy na wszystkich kompach mam wylaczone korzystanie z SSL2,
>> czego z czystego lenistwa nie robilem od paru SP (fakt, ze nie
>> wiedzialem, ze banki dopuszczaja SSL2...).
>> Slyszalem tez plotke, ze w jednym banku pogonili specjalistow
>> do roboty, bo "wypadlismy najgorzej"...
>> Wiec w sumie, co to szkodzi, ze sie sami zareklamowali, jesli
>> przy tej okazji cos pozytywnego sie stanie.
>
>
> I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl)
> dotyczy dość

Jak to selektywnie czytasz :-[

> szczególnych sytuacji i to takich w których tenże SSL2 wspiera
> krótkie
> klucze ... Nie jestem obrońcą tego przestarzałego już nieco
> protokołu, ale
> naprawde - spróbujcie go złamać przy silnym szyfrowaniu ...
> Zwróć uwagę że w
> dokumencie napisano o znanych błędach architekturalnych SSL2 i
> tzw. dobrej
> praktyce, a nie podparto tego żadnym przykładowym atakiem ...
> Mogę Cię
> zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny
> przykładowy atak
> przeprowadzić, to byłby on w dokumencie - możesz być tego
> pewnym.

Nie wiem, czy potrafiliby, czy nie, ale na pewno nie powinni byli
tego
zrobic i dobrze, ze nie zrobili ;-)

>
>
> Zapytałeś o co chodzi??? Najbardziej chodzi mi o tą tabelkę na
> końcu - każda
> wpisana tam jedynka lub dwójka powinna być poparta przykładem -
> tak, żeby nie
> było żadnych wątpliwości o co chodzi ...

To profesjonalistom niepotrzebne, a publicznosc nie przeczytalaby
reszty.
Uwazam tylko, ze powinni skomentowac tabelke, ale wtedy dopiero
wszyscy
by sie ich czepiali... :-)))

witrak()