в talks уже (вяло) обсуждали

ничего в самом протоколе нет, просто ряд программ могут быть одурачены символами NULL в теле сертификата, ну и для реализации перехвата, нужно иметь валидный, подписаный rootCA сертификат с NULL (интересно какой CA это подпишет?) и возможность man in the middle атаки

вообщем как всегда. много шума из ничего... а вендоры пусть исправляют парсинг сертификатов

Сильви, спасибо. вот так вот надо в новостях писать, по делу!
насчет где взять такой сертификат, я так понял не обязательно подписанный рут СА, можно любым по цепочке, либо даже сторонним, если пользователь проигнорирует предупреждение браузера.

Лично я бы рекомендовал повесил эту новость на главную страничку, все-таки не флейм какой-то. Более того, встречал уже отголоски этой новости на других авторитетных новостных лентахю Это, конечно, не супер-сенсация, но пусть народ почитает и выскажется. ИМХО не все в толксах тусуются.

не обязательно root CA, но нужно чтобы пользователь его принял, к тому же исследователями не указано что именно будет отображаться в предупреждении браузера, IM клиенты обычно мало показывают по сертификату, но там и область применения уже

>> и возможность man in the middle атаки
вот с этого и надо начинать...

шаман вновь зааппрувил коллекцию баянов?

господи, молю тебя, убей этих ламерюг, которые не в состоянии отличить слово 'протокол' от 'браузер'! ;-E

заипали, чес слово. афтар, ты сам то читал то, что там написано, а?

// wbr

Фамилия переведа неверно.

>Len Sassaman

Не Сассман, а Сассаман, или даже Сазаман.

> существует для пользователей браузеров IE и Firefox 3

Два сапога пара. Используйте оперу и таких проблем не будет!

FF 3 уже излечен от проблемы \0.

> FF 3 уже излечен от проблемы \0.

И давно? Вроде изначально не болеет только 3.5, или я чото п?

Решето

Согласен. Каким надо быть ,,,,, чтобу, собираясь что-то оплатить через инет, проигнорировать предупреждение браузера о кривом сертификате.

> Согласен. Каким надо быть ,,,,, чтобу, собираясь что-то оплатить через инет, проигнорировать предупреждение браузера о кривом сертификате.

Дык предупреждения не будет. Браузер пропарсит сертификат, найдет там paypal.com\0.hacksite.com и будет убежден, что этот сертификат валиден и выдан для paypal.com.

>>> и возможность man in the middle атаки
> вот с этого и надо начинать...

а что, MiM уже проблема?

А лору как всегда ничего не угрожает, ибо HTTP :-/

> просто ряд программ могут быть одурачены символами NULL
null characters - это символы \0, а не строка "NULL".

> подписаный rootCA сертификат
Не обязательно.

> и возможность man in the middle атаки
В локалке это не сложно.

> вообщем как всегда. много шума из ничего...
Хм, ну не факт.

> а что, MiM уже проблема?
imho
по обстоятельствам Сударь...

>> FF 3 уже излечен от проблемы \0.

>И давно? Вроде изначально не болеет только 3.5, или я чото п?

Да, 3.5 не болеет с первого же релиза, а 3.0 полечили в 3.0.13.

>> подписаный rootCA сертификат

>Не обязательно.

Боюсь что обязательно. Если в цепочке нет рут-сертификата, который подписан trusted СА, то ни один браузер в здравом уме такому сертификату доверять не будет.

где технические подробности? зачем эти предупреждения для домохозяек?

> Дык предупреждения не будет. Браузер пропарсит сертификат, найдет там paypal.com\0.hacksite.com и будет убежден, что этот сертификат валиден и выдан для paypal.com.

Неправда. Браузер отобразит пользователю, что сертификат от www.paypal.com, но сам будет знать, что сертификат от paypal.com\0.hacksite.com

И вот тут самое интересное. Необходимо, чтобы paypal.com\0.hacksite.com был подписан trusted CA, иначе обязательно будет предупреждение (неизвестный CA) И какой же CA это подпишет?

Фокс реагирует однозначно - покажет страничку, где предупредит пользователя о потенциальной проблеме и заставит его втянуть серт.

А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

ПРОБЛЕМЫ С БЕЗОПАСНОСТЬЮ В ПРОТОКОЛЕ WI-FI

Эксперты Василий Пупкин и Густ Анонимус(Vasya pupkin, Guest Anonimous) обнаружили проблемы с безопасностью в шифровальном протоколе Wi-Fi (Wireless Fidelity, IEEE-802.11), который используется для безопасных соединений в Локальной Сети через воздушное пространство, сообщает ITPoNows.

Эти дыры дают возможность хакерам проникать на подключённые устройства (компьютеры, телефоны, ...) и получать на ними полный контроль, объявили эксперты на проходящей в Лас-Вегасе конференции по компьютерной безопасности Black Hard.

По утверждению экспертов, подобное проникновение подвергшийся атаке пользователь обнаружить не может.

Проблема существует для пользователей Apple iPhone, а также компьютеров, предупреждают специалисты.

> Эксперты Дан Каминский и Лен Сассман (Dan Kaminsky, Len Sassaman) обнаружили проблемы с безопасностью в шифровальном протоколе SSL (Secure Sockets Layer), который используется для безопасных соединений в Интернете

Каминский как всегда дунул и понёс....
Помниться он а прошлом году писал про свой метод атаки на ДНС, который по его словам мог сложить тучу серверов, в итоге только обещания и остались......

>А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

где-то на webmoney.ru браузер помню, ругался
(судя по http://yandex.ru/yandsearch?rpt=rad&text=www.webmoney.ru%20%D0%B1%D1%80%D...
на https://banking.webmoney.ru/ глюки были, сейчас исправили)

> Два сапога пара. Используйте оперу и таких проблем не будет!

Могу и оперу надуть

>> существует для пользователей браузеров IE и Firefox 3
> Используйте оперу и таких проблем не будет!

Ага, в 9.62 под линухом добавление сертификатов тупо не работает. Потому и проблем нет. А чтоб в WM лайт зайти, приходится фаирфокс запускать.

>>> подписаный rootCA сертификат
>>Не обязательно.
> Боюсь что обязательно.
Думаю, когда речь идёт о man-in-the-middle, то ничего уже
не обязательно. Подписал чем угодно, потом перехватил обращение
к хранилищу и подсунул при проверке липовый корневой сертификат,
и тд.

>Два сапога пара. Используйте оперу и таких проблем не будет

оперы нет в списке потому что про нее исследователи даже не догадываются.

>Если в цепочке нет рут-сертификата, который подписан trusted СА, то ни один браузер в здравом уме такому сертификату доверять не будет.

Если он не подписан - бровзер выдаст предупреждение а если подписан, но первый раз - бровзер все равно спросит. Половина юзеров на автомате жимают "ok". Уж не говоря о том что эти диалоги с диалогами про куки рядом лежат.

>А если при проведении платежа есть хоть какое-то сообщение по поводу сертификата - пользоваться системой платежей низзя.

Если сертификат не "accepted permanently" ранее - бровзер всегда показывает предупреждение.

при чем тут SSL?? парсинг сертификатов это одно? SSL - другое, зачем так людей пугать??

ЕМНИП в тот раз Каминский как раз нашел уязвимость в DNS, он просто не раскрывал суть уязвимости пока не выпустили обновление.

> Каминский как раз нашел уязвимость в DNS, он просто не раскрывал суть уязвимости пока не выпустили обновление.

не а, он просто предположил, реально уязвимость нашел Крис.

>Используйте оперу и таких проблем не будет!

Опера - нет интернета, нет проблем!

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2408

а вот и CVE для Firefox, уже исправлено кстати в Mercurial и войдет в 3.5.3

> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2408

> а вот и CVE для Firefox, уже исправлено кстати в Mercurial и войдет в 3.5.3

Странно, а changelog на 3.5.0 и 3.0.13 говорят, что все уже исправлено. Криокамера? Вылезайте!

PS: http://www.mozilla.org/security/announce/2009/mfsa2009-42.html

> подписаный rootCA сертификат с NULL (интересно какой CA это подпишет?)

Спроси лучше, что у юзера будет установлено в роли rootCA.

Автор и подтвержающий, так вас и так, я от вашего заголовка чуть корпоративный OpenVPN от греха подальше не отключил!

>а вот и CVE для Firefox, уже исправлено кстати в Mercurial и войдет в 3.5.3

Откуда эта чушь про 3.5.3? По ссылке же написано: "Mozilla Firefox before 3.5 and NSS before 3.12.3". С NSS не путаем, ага?

> Спроси лучше, что у юзера будет установлено в роли rootCA.

Если троян залез на машину юзера, то все эти криптования до одного места, можно клавиатуру перехватить :D

А если man-in-middle, то root CA не подменить - сертификаты-то лежат в пользовательской системе, соотвественно подделать root CA не получится никак - подпись не пройдет проверку

> Если троян залез на машину юзера, то все эти криптования до одного места, можно клавиатуру перехватить

А ещё все в строго обязательном порядке все эти rootCA проверяют после установки системы :) Это такой тонкий, но тяжелый камень в огород пиратов-виндузятников...

>Лично я бы рекомендовал повесил эту новость на главную страничку, все-таки не флейм какой-то.

Из погреба вылезай, а? Боянист сельский, блин. Ты что, последний год в погребе от армии прятался?

Вообще-то, за "хакера" в уничижительном смысле в приличном обществе по репе дают:-D