Witam ponownie

> Zaraz, zaraz, ale co to ma do rzeczy ?! :-)
> Albo sie w ogole nie reaguje na odwolanie po http,

w tym przykładzie nie chodziło o http, tylko https i długość klucza ...

> albo daje automatyczne przekierowanie. Jak jest
> tak, jak piszesz, to wlasnie jest dowod nieprofesjonalnego
> podejscia banku.
> Zatem slusznie sie oberwalo Multibankowi - w istocie ja
> odczytalem ten artykul nie jako wskazanie niebezpiecznych
> rozwiazan (bo wtedy powinni raczej jednak zawiadomic bank,
> cos w stylu zasad na bugtraq-u), tylko jako krytyke
> nieprofesjonalnie prowadzonych serwisow bankowych.
> A ilosc jedynek - wskazuje na nasilenie tego podejscia.

Obawiam się że nie do końca. Czy błędem jest wykrycie połączenia ze słabym
kluczem i wyświetlenie komunikatu że niezbędny jest silny by połączyć się z
bankiem to kwestia bardzo śliska. W dodatku czytając ten "raport" można odnieść
wrażenie że do systemów bankowych (MultiBank to tylko przykład) można się
zalogować korzystając z SSL i słabego klucza - autorzy nie napisali wprost że
tak nie jest, a laik nie odróżnia wyrażenia "możliwość nawiązania połączenia"
która służy tylko do eleganckiego obsłużenia błędu (w tym wypadku braku obsługi
krótkich kluczy) od możliwości zalogowania się. Nazwijmy rzeczy po imieniu - to
manipulacja.


> >
> > I znowu SSL2 ... Podatność o której napisali (błąd w mod_ssl)
> > dotyczy dość
>
> Jak to selektywnie czytasz :-[

O to się nie martw - przeczytałem bardzo uważnie, jak zawsze.


> > Mogę Cię
> > zapewnić, że gdyby Ci "specjaliści" potrafili taki sensowny
> > przykładowy atak
> > przeprowadzić, to byłby on w dokumencie - możesz być tego
> > pewnym.
>
> Nie wiem, czy potrafiliby, czy nie, ale na pewno nie powinni byli
> tego
> zrobic i dobrze, ze nie zrobili ;-)

A dlaczego nie? niech pokażą jak odszyfrowują SSL2 z długim kluczem ... Dane
osobowe i inne informacje (które przecież mogą należeć do jednego z nich)
zawsze można pozamazywać na zrzutach z ekranu. Taki atak miałby sporą wartość
dydaktyczną, zdecydowanie większą niż ten cały "dokument".

> To profesjonalistom niepotrzebne, a publicznosc nie przeczytalaby
> reszty.
> Uwazam tylko, ze powinni skomentowac tabelke, ale wtedy dopiero
> wszyscy
> by sie ich czepiali... :-)))

Własnie na tym polega problem - gdyby autorzy wyjaśnili szczegółowo znaczenie
tego co jest w tabeli, to najpewniej nie byłoby całego szumu, tv itd., jednym
słowem całe to przedsięwzięcie marketingowe mijałoby się z celem.


Pozdrawiam
prz3c1nak

--
Wysłano z serwisu OnetNiusy: http://niusy.onet.pl