"Lada dzień, Thai Duong i Juliano Rizzo planują zademonstrować narzędzie
o nazwie BEAST (Browser Exploit Against SSL/TLS) składające się z kodu
JavaScript, który musi uruchomić ofiara oraz sniffera, który przechwytuje
i rozszfrowuje zaszyfrowane ciasteczka, dając tym samym atakującemu
nieautoryzowany dostęp do konta ofiary w danym serwisie internetowym
korzystającym z HTTPS. Według twórców, atak zadziała także na serwery
wykorzystujące HSTS (HTTP Strict Transport Security)."

http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0
-zlamane/

Jeżeli okaże się to prawdą to ciężkie dni szykują się dla banków i nie
tylko. Oj będzie się działo ;)



--
xbartx - Xperimental Biomechanical Android Responsible for Thorough
Xenocide

do góry

On 9/20/2011 4:12 PM, xbartx wrote:
>
> "Lada dzień, Thai Duong i Juliano Rizzo planują zademonstrować narzędzie
> o nazwie BEAST (Browser Exploit Against SSL/TLS) składające się z kodu
> JavaScript, który musi uruchomić ofiara oraz sniffera, który przechwytuje
> i rozszfrowuje zaszyfrowane ciasteczka, dając tym samym atakującemu
> nieautoryzowany dostęp do konta ofiary w danym serwisie internetowym
> korzystającym z HTTPS. Według twórców, atak zadziała także na serwery
> wykorzystujące HSTS (HTTP Strict Transport Security)."
>
> http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0
-zlamane/
>
> Jeżeli okaże się to prawdą to ciężkie dni szykują się dla banków i nie
> tylko. Oj będzie się działo ;)
>
>
>

cichutko przemilczałeś, że dotyczy to tylko i wyłącznie wersji 1.0.
banki przestawią sie na 1.1 bądź 1.2 i wymuszą to samo na uzytkownikach
i przeglądarkach
a narazie trzeba być ostrożnym.

do góry

Dnia Tue, 20 Sep 2011 16:26:44 -0500, witek napisał(a):

> cichutko przemilczałeś, że dotyczy to tylko i wyłącznie wersji 1.0.
> banki przestawią sie na 1.1 bądź 1.2 i wymuszą to samo na uzytkownikach
> i przeglądarkach
> a narazie trzeba być ostrożnym.

Artykuł nie jest mojego autorstwa, więc nic nie przemilczałem, poza tym
masz tam wyraźnie napisane:

"TLS 1.1/1.2 na ratunek?
Niestety, pomimo tego, że bezpieczniejsza wersja TLS, czyli 1.1 jest
dostępna od 2006 roku, praktycznie wszystkie webserwery ciągle korzystają
z podatnego na atak TLS 1.0: (rysunek)
The Register brak szerszego przyjęcia TLS 1.1 upatruje w przestarzałych
implementacjach SSL w Firefoksie i Chromie oraz OpenSSL-u.
Bezpieczniejsze wersje TLS są za to dostępne w serwerze IIS (nie
domyślnie) oraz Operze (domyślnie). Autorzy BEAST twierdzą, że większość
właścicieli serwisów internetowych nie wdroży bezpiecznych protokołów TLS
1.1 lub 1.2, ponieważ nie są one wspierane przez znaczną liczbę klientów
i upgrade do bezpieczniejszej wersji TLS oznaczałby spadek dochodów. Być
może opublikowanie exploita coś zmieni w tej kwestii -- Duong i Rizzo
zdradzili, że już od maja współpracują w tej kwestii z producentami
przeglądarek, którzy mają wprowadzić obejścia problemu."

więc może napisz czego jeszcze nie rozumiesz?


--
xbartx

do góry

On 9/21/2011 1:30 AM, xbartx wrote:
>
> więc może napisz czego jeszcze nie rozumiesz?
>
>

wyciales kawalek artykulu, tak zeby bylo sensacyjnie.
tytul rowniez wsadziles sensacyjny.

eot

do góry

Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisał(a):

> wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez
> wsadziles sensacyjny.

Tytuł ze znakiem zapytania jest sensacyjny?
Masz link przecież do całego artykułu, więc nie rozumiem o co Ci chodzi?
Ja wrzuciłem tylko jego początek aby zainteresować kogoś ewentualnie do
przeczytania całości. Kiedyś było już na grupie nie raz, że ludzie
przeglądają ją z różnych urządzeń i nie zawsze duża ilość tekstu jest
koniecznie potrzebna.

Za to mam wrażenie, że Ty jakbyś przegapił nawet najmniejszą okazję do
tego aby się koniecznie przyczepić, to chyba by Ci się klawiatura
popsuła ;) więc po prostu wyluzuj.

--
xbartx

do góry

Dnia Wed, 21 Sep 2011 01:39:27 -0500, witek napisał(a):

> wyciales kawalek artykulu, tak zeby bylo sensacyjnie. tytul rowniez
> wsadziles sensacyjny.
>
> eot

I specjalnie dla Ciebie, żeby było jeszcze bardziej sensacyjnie,
złowieszczo i katastroficznie.

Przeglądarka Chromium (wersja rozwojowa Google Chrome):
15.0.871.0 (Developer Build 99583 Linux) Ubuntu 10.04

===================================
*BRE Bank SA (www.mbank.com.pl)*
The identity of BRE Bank SA at Warszawa, Mazowieckie PL has been verified
by VeriSign Class 3 Extended Validation SSL CA.

Your connection to www.mbank.com.pl is encrypted with 112-bit encryption.

*The connection uses TLS 1.0.*

The connection is encrypted using 3DES_EDE_CBC, with SHA1 for message
authentication and RSA as the key exchange mechanism.

The connection is not compressed.

The server does not support the TLS renegotiation extension.
===================================

*Alior Bank S.A. (aliorbank.pl)*

The identity of Alior Bank S.A. at Warszawa, PL has been verified by
Entrust Certification Authority - L1E.

Your connection to aliorbank.pl is encrypted with 256-bit encryption.

*The connection uses TLS 1.0.*

The connection is encrypted using AES_256_CBC, with SHA1 for message
authentication and RSA as the key exchange mechanism.

The connection is not compressed.

The server does not support the TLS renegotiation extension.
===================================

*PayPal, Inc. (www.paypal.com)*

The identity of PayPal, Inc. at San Jose, California US has been verified
by VeriSign Class 3 Extended Validation SSL CA.

Your connection to www.paypal.com is encrypted with 256-bit encryption.

*The connection uses TLS 1.0.*

The connection is encrypted using AES_256_CBC, with SHA1 for message
authentication and RSA as the key exchange mechanism.

The connection is not compressed.

The server does not support the TLS renegotiation extension.
===================================

*eBay Inc. (signin.ebay.co.uk)*

The identity of eBay Inc. at San Jose, California US has been verified by
VeriSign Class 3 Extended Validation SSL CA.

Your connection to signin.ebay.co.uk is encrypted with 128-bit encryption.

*The connection uses TLS 1.0.*

The connection is encrypted using RC4_128, with SHA1 for message
authentication and RSA as the key exchange mechanism.

The connection is not compressed.

The server does not support the TLS renegotiation extension.
===================================


Jeżeli zapewnienia autorów aplikacji BEAST Thai Duong i Juliano Rizzo
okażą się prawdziwe to jakby nie patrzeć, będzie zamieszanie i to według
mnie dosyć spore.


--
xbartx

do góry

"xbartx" j5avjm$42p$...@i...gazeta.pl

> Jeżeli okaże się to prawdą to ciężkie dni szykują
> się dla banków i nie tylko. Oj będzie się działo ;)

Nie tylko? Dla operatorów komórek i producentów zdrapek -- także?

--
.`'.-. ._. .-.
.'O`-' ., ; o.' eneuel@@gmail.com '.O_'
`-:`-'.'. '`\.'`.' ~'~'~'~'~'~'~'~'~ o.`.,
o'\:/.d`|'.;. p \ ;'. . ;,,. ; . ,.. ; ;. . .;\|/....

do góry

xbartx <b...@h...net> writes:

> "Lada dzień, Thai Duong i Juliano Rizzo planują zademonstrować narzędzie
> o nazwie BEAST (Browser Exploit Against SSL/TLS) składające się z kodu
> JavaScript, który musi uruchomić ofiara oraz sniffera, który przechwytuje
> i rozszfrowuje zaszyfrowane ciasteczka, dając tym samym atakującemu
> nieautoryzowany dostęp do konta ofiary w danym serwisie internetowym
> korzystającym z HTTPS. Według twórców, atak zadziała także na serwery
> wykorzystujące HSTS (HTTP Strict Transport Security)."
>
> http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0
-zlamane/
>
> Jeżeli okaże się to prawdą to ciężkie dni szykują się dla banków i nie
> tylko. Oj będzie się działo ;)

Na liście openssl-user twierdzą (nie wczytywałem się, więc mogę coś
przekręcić), że ta podatność jest znana dość długo, i że biblioteka ma
obejście do tego ("insertion of empty fragments"). I jeśli to nie jest
wyłączone opcją, to nie powinno się nic dziać.

Podkreślam - nie wczytwyalem się.
KJ

--
http://sporothrix.wordpress.com/2011/01/16/usa-sie-k
rztusza-kto-nastepny/
"Nie można wlecieć w trzecie tysiaclecie
na drzwiach od stodoły" - biskup polowy WP Sławoj Leszek Głódź.

do góry

2011-09-20 23:12, xbartx wysłał(a) wiadomość:
> http://niebezpiecznik.pl/post/szyfrowanie-ssltls-1-0
-zlamane/
>
> Jeżeli okaże się to prawdą to ciężkie dni szykują się dla banków i nie
> tylko. Oj będzie się działo ;)

Ale wiesz, że Niebezpiecznik to taki odpowiednik "Pudelka" dotyczący
bezpieczeństwa sieciowego? Tworzenie tytułu artykułu (a i często
zawartości) przypomina zabiegi podobny do tego -
<http://www.glosywmojejglowie.pl/comics/2011-09-21-N
aglowek.jpg> Ma
wzbudzić sensację. A czy ktoś dotrze do źródłowej informacji to już inna
kwestia.

K.

--
http://www.krystek.art.pl/

do góry

> Tytul ze znakiem zapytania jest sensacyjny?

jak chcesz mieć sensacyjny tytuł, a nie masz nic ciekawego do powiedzenia, to
dajesz dowolne sensacyjne zdanie, asekurując się znakiem zapytania na końcu.
Wiedzą to dziennikarze tabloidów, a nie wiedzą projektowani czytelnicy
tabloidów (realni czytelnicy zwykle są mądrzejsi)


--
Wysłano z serwisu Usenet w portalu Gazeta.pl -> http://www.gazeta.pl/usenet/

do góry