"Moxie Marlinspike előadása során elmondta, hogy a módszerével kísérletezve több tucat Gmail felhasználói nevet és jelszót, Paypal belépési azonosítót, illetve hitelkártya-számot szerzett meg anélkül, hogy a rászedett felhasználók gyanút fogtak volna -- egyiküknek sem tűnt fel, hogy az URL nem https-sel kezdődik, mindenki megadta az adatokat."
A részletek itt.
- A hozzászóláshoz be kell jelentkezni
- 3311 megtekintés
Hozzászólások
uberkomoly
--
.
- A hozzászóláshoz be kell jelentkezni
Ez nem tűnik valami komoly dolognak. Ha jól értem, itt mindössze egy teljesen hétköznapi adathalászatról van szó, amivel Dunát lehet rekeszteni. És az a "nagy" felismerés, hogy a felhasználók egy része nem veszi a fáradtságot megnézni, hogy egyáltalán biztonságos-e a kapcsolat. Ilyen alapon az is sikeres támadás, hogy küldenek egy email-t, benne leírják, hogy öt évig impotens leszel, ha nem küldöd el a jelszavad.
- A hozzászóláshoz be kell jelentkezni
Miert, Te nem kuldened el? En tobbszor is :)
A jelentosege inkabb a fejlesztoknek szol, akiknek ezentul egy szembepisilo hardware-t is mellekelni kell a bongeszohoz, hogyha vmiert elhagyod az eredendoen biztonsagosnak gondolt helyet, akkor mukodesbe lepjen.
- A hozzászóláshoz be kell jelentkezni
És az a "nagy" felismerés, hogy a felhasználók egy része nem veszi a fáradtságot megnézni, hogy egyáltalán biztonságos-e a kapcsolat.
Azért ennél kicsit többről van szó.
- A hozzászóláshoz be kell jelentkezni
Inkább úgy lehetne fogalmazni, hogy vannak olyan felhasználók (olyan 90%), aki nem hülye a biztonsághoz, viszont lusta, és csak a lakatot nézi. Másrészt az sem mellékes, hogy hogy tudja valaki elhitetni a webszerverrel, hogy valaki ssl kapcsolatban van vele, miközben sima http-n továbbítja köztük az adatokat.
Szerintetek ha a guglin a mindig használjon ssl-t opció be van kattintva, akkor ez működik? Valamint egyéb oldalakon a noscript force ssl-je?
- A hozzászóláshoz be kell jelentkezni
Szerintem el kellene olvasni a leírást és nem tippelgetni... ;)
- A hozzászóláshoz be kell jelentkezni
Nem.
pdf prezentacio veget nezd.
A wildcard certes dolog igen kegyetlen, de olyat nem kapsz nev nelkul, de biztos talasz olyan raszolulot aki ker egyet jo penzert es atadja neked.
Amit nem lehet megirni assemblyben, azt nem lehet megirni.
- A hozzászóláshoz be kell jelentkezni
Azta! A pdf-es linket nem vettem észre. Szép :)
- A hozzászóláshoz be kell jelentkezni
"hogy tudja valaki elhitetni a webszerverrel, hogy valaki ssl kapcsolatban van vele, miközben sima http-n továbbítja köztük az adatokat."
https-en kapcsolódik a szerverhez, és http-n továbbítja a kliensnek.
- A hozzászóláshoz be kell jelentkezni
Végigolvastam a diát, érdekes. Csak ez is nagyrészt az emberi hülyeségre és figyelmetlenségre épít. :) Kicsit olyan, mint az ír vírus. :))
--
"- The question is: what is a mahna-mahna?
- The question is: who cares?"
- A hozzászóláshoz be kell jelentkezni
Szánalmasan szenzációhajhász cím...
- A hozzászóláshoz be kell jelentkezni
Miert, mit vartal a testveroldaltol?
- A hozzászóláshoz be kell jelentkezni
hogy lehet alairni olyan certtel ami CA:FALSE? Erre nemigaz senki nem gondolt
- A hozzászóláshoz be kell jelentkezni
hogy lehet alairni olyan certtel ami CA:FALSE? Erre nemigaz senki nem gondolt
Lehet hogy gondoltak rá, de attól még azzellen nem véd...
Csak annyival lenne több meló, hogy írnak (módosítanak) egy ssl implemetációt, ami nem veszi figyelembe. És ugyan ott vagyunk.
A lényege az egésznek, hogy a böngésző (vagy egyéb végberendezés) kell(ene) hogy megbízhatóan ellenőrizze az aláírásokat.
Aki végignézte a diákat láthatja, hogy nem sima MIM támadás ez, hanem vegyítve van egy csomó trükkel, amivel vagy minket usereket, vagy a böngészőt lehet könnyen becsapni. Tehát nem az SSL rossz, csak russzul (nem elég körültekintően) használjuk.
Javítani ezen úgy lehet, hogy a becsapható szereplőket tovább okosítjuk :) A usereket elég nehéz (az egyszerű usereknek nem is kell ilyen bonyolult dolgokat megoldani, ők rákattintanak simán a rossz tanúsítvány ablakra is gondolkodás nélkül), ám a böngészőket (és egyéb ssl klienseket) lehetne olyan irányba fejleszteni, hogy ilyeneknek ne dőljön be.
- A hozzászóláshoz be kell jelentkezni