Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

Lord_Evil · 21-09-11 14:12:11

Как я понял, должна изначально существовать некая возможность XXS аттаки, чтоб перехватить куки, а уж потом уже чтение трафика?)

nixadmin · 21-09-11 14:38:26

wr224 пишет:

Для того, чтобы эффективно обновить все протоколы безопасности, в процессе должны участвовать все - от разработчиков библиотек для веб-серверов и администраторов веб-сайтов до разработчиков браузеров. В противном случае возможно возникновение ситуаций, когда приложения, полагающиеся на старую систему, из-за несовместимости могут оказаться неработоспособными.

Вчера делал плановое обновление на серверах, на веб серверы уже упал обновлённый OpenSLL (1.0.0e, Fedora 14,15). Интересно, как это поможет пользователям, если уязвимость на стороне клиента.

nixadmin · 21-09-11 15:54:20

wr224 пишет:

неужели думаешь, что пофиксили? lol

Это меня не удивляет. Могли пофиксить или до выпуска патча не сливать инфу в паблик.
Я просто сомневаюсь что уязвимость клиентов можно пофиксить со стороны сервера.

nixadmin · 21-09-11 18:42:20

MOP3E пишет:

Уязвимость протокола

TLS до версии 1.1

wr224 пишет:

а у тебя уже пофиксили, забавно

Я не говорю что пофиксили. Интересно совпали выход новой версии OpenSSL и публикация уязвимости TLS.

morpeh · 21-09-11 23:33:57

Перевод не полный: если отключить javascript и плагины, то данная уязвимость работать не будет

Lord_Evil · 22-09-11 16:40:22

morpeh, мало того, этож, блин, нужно сидеть в одной локалке с жертвой или где-то на узле, чтоб снифать трафик.. С виду это очень комплексная аттака и проводиться должна с определенной целью, а не на кого-попало. А вообще, где источник на английскую статью? Чет не ясные у нас гадания выходят.

mav · 09-10-11 12:13:36

Думаю, может допишу ещё туда что-нибудь полезное. Например про то, что в хроме, который считает себя браузером, TLS 1.1 и 1.2 не поддерживается. Действительно, ну зачем стандарты 2006 года-то поддерживать в конце 2011, рано ещё.

https://kb.atraining.ru/beast-move-from-ssl-to-tls/
https://blogs.cisco.com/security/beat-th … -with-tls/

TLS 1.1 поддерживают только Опера и IE8/9, а закрытие дыры будет только для хрома и сафари. Мой Firefox облажался, да.

https://www.internetnews.com/security/no … fox-7.html
https://forums.mozillazine.org/viewtopic … &t=2310053

Редактировался mav (09-10-11 12:19:26)

Babusha · 09-10-11 12:53:08

morpeh, еще и ни один сайт без javascript работать не будет, не то чтобы уязвимость lol

Форум StopLinux

Объявление

#1 21-09-11 14:12:11

Re: Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

#2 21-09-11 14:38:26

Re: Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

#3 21-09-11 15:54:20

Re: Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

#4 21-09-11 18:42:20

Re: Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

#5 21-09-11 23:33:57

Re: Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

#6 22-09-11 16:40:22

Re: Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

#7 09-10-11 12:13:36

Re: Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

#8 09-10-11 12:53:08

Re: Протоколы SSL 3.0 и TLS 1.0 оказались достаточно уязвимыми

Подвал форума