Monthly Archives: Apríl 2012

Objavená SSL a TLS zraniteľnosť “renegotiation”

Útoky boli preukázané, že sú účinné proti Apache a Microsoft IISwebovým serverom. Skupina niektorých z najväčších svetových technologických spoločností sa stretávali viac ako mesiac pojednávajúc o novom priemyselnom štandarde, aby opravili chybu, ale bude trvať nejakú dobu kým to predstavia, pretože sa to dotýka takmer všetkých typov serverov, prehliadačov a ďalších zariadení. Dan Goodin zaznamenal ťažkosti pri používaní útoku: Ray a Dispensa boli pripravení poznamenať, že chyba by s najväčšou…

Objavená SSL a TLS zraniteľnosť “renegotiation”

Boli objavené podrobnosti novej zraniteľnosti zahŕňajúce SSL a TLS. Zraniteľnosť zahŕňa chybu v “renegotiation” a umožňuje man-in-the-middle útočníkom tajne zavádzať text na začiatku SSL relácie. Ivan Ristic vysvetlil niektoré podrobnosti o SSL dohodnutie útoku: Problém je s funkciou “renegotiation” , ktorá umožňuje, aby jedna  časť šifrovaného spojenia (ten ku ktorému došlo pred znovuprejednávaním) bola riadená jednou stranou sa na strane druhej (tá prebieha  po novom rokovaní) byť ovládaná inou. Útočník MITM môžete…

Verejná SSL server databáza vydaná

Mike Andrews komentoval tento pomocný program, diskutovať o tom, ako sprístupniť tieto informácie verejnosti, uľahčujú útočníkom lokalizovať potenciálne ciele: Nie som si istý, že sa mi páči myšlienka verejne dostupnej databázy SSL konfigurácií, najmä keď nemôžem kontrolovať, aké údaje sú tam o mojich vlastných stránkach. Zdá sa, že hocikto môže zaviesť kontroly na ktorýchkoľvek stránkach (čo, byť spravodlivý, ktokoľvek…