Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 15

Temat: SSL, wady?

  1. #1
    Zarejestrowany
    May 2010
    Postów
    8

    Domyślnie SSL, wady?

    Witam,

    Wiele osob uzywa ssla, uwazajac go za protokol kompletny. Czy tak jest w istocie? Czy spotkaliscie sie z jakimis podatnosciami tego protokolu? Ostatnio czytalem, o mozliwosci ataku MITM, podczas renegocjacji sesji. Jakies inne slabosci?

    pozdrawiam

  2. #2
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Ciphersuite rollback - http://www.schneier.com/paper-ssl.pdf
    Disable-SSLv2-System-Wide - How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services
    Weak Ciphers
    Signature Verification Failure

    No i na koniec, po uruchomieniu komputera kwantowego wszystkie klucze ssl są skompromitowane.

    Na dzień dzisiejszy nie ma lepszej techniki szyfrowania połączenia sieciowego. Nie ma co szukać. Jest szansa na wprowadzenie nowego algorytmu, ale to wymaga całkowitej przesiadki na ipv6.

  3. #3
    Zarejestrowany
    May 2010
    Postów
    8

    Domyślnie

    Cytat Napisał Mad_Dud Zobacz post
    Ciphersuite rollback - http://www.schneier.com/paper-ssl.pdf
    Disable-SSLv2-System-Wide - How to disable PCT 1.0, SSL 2.0, SSL 3.0, or TLS 1.0 in Internet Information Services
    Weak Ciphers
    Signature Verification Failure

    No i na koniec, po uruchomieniu komputera kwantowego wszystkie klucze ssl są skompromitowane.

    Na dzień dzisiejszy nie ma lepszej techniki szyfrowania połączenia sieciowego. Nie ma co szukać. Jest szansa na wprowadzenie nowego algorytmu, ale to wymaga całkowitej przesiadki na ipv6.
    Dzieki, komputer kwantowy skompromituje prawdopodobnie wszystki dostepne na ta chwile szyfry. Glownie, chodzi mi tutaj o powody dla ktorych ssl uzywany w komunikatorach nie daje wystarczajacego bezpieczenstwa I poza tym, ze na serwerze dane sa w formie jawnej oraz obie strony moga wynegocjowac bardzo zroznicowane warunki SSL, nie wpadlem na nic.

  4. #4
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Pamietaj ze to jak teraz uzywamy ssl to jedno a to na co pozwala TLS to cos zupelnie innego... przeciez serwer moze tez autoryzowac klienta a nie tylko klient potwierdzac autentycznosc serwera. Poza tym co podal Mad_Dud cala reszta to nie slabosci protokolu ale raczej tego jak go uzywamy.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  5. #5
    Zarejestrowany
    May 2010
    Postów
    8

    Domyślnie

    A czy podczas sesji ssl jest mozliwe wynegocjowanie braku szyfrowania?

  6. #6
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    nie jestem pewien ale teoretycznie chyba tak jesli autoryzowany jest tylko serwer... teoretycznie, bo nie widzialem jeszcze takiej konfiguracji uslugi ani klienta ktora by zezwolil na pusty cipher
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  7. #7
    Zarejestrowany
    May 2010
    Postów
    8

    Domyślnie

    Spytalem, bo gdzies w specyfikacji zauwazylem, ze uzywane szyfry symetryczne to: zadne, RC2, RC4, IDEA, DES, TrippleDES.

    A teraz skoro juz ktokolwiek zainteresowal sie tematem, mam pytanie odnosnie szyfrowania ssl w komunikatorach. Wiekszosc komunikatorow obsluguje SSL, ale jaki to ma sens? Tzn. zalozmy ze klient A jest polaczony przez SSLa i chce rozmawiac z klientem B ktory takiego polaczenia nie dokonal. Zatem wszystko od Klienta A po przejsciu przez serwer idzie w postaci jawnej?

    Przy okazji, znacie moze jakies komunikatory na komorke(JAVA) zapewniajace szyfrowanie? Nie musza obslugiwac protokolow gg, jabbera itd. moze byc ich wlasny.

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    W komunikatorach dziala to tak ze najczesciej teraz leci TLS/SSL tylko do autoryzacji a dane ida pozniej jawnym tekstem. Jesli masz polaczenie szyfrowane do serwera (nie tylko logowanie ale cala sesja) to wtedy nawet jak piszesz do kogos to idzie to do serwera, dalej serwery przesylaja miedzy soba i serwer Twojego rozmowcy szyfruje to osobno.

    Prosty przyklad - sprawdz sam...
    1. zainstaluj sobie jakis serwer jabbera i skonfiguruj poprawnie
    2. zaloz dwa konta userow
    3. skonfiguruj oba konta do pracy w pelnym szyfrowaniu
    4. zobacz na konsoli serwera co widac jak przesylaja miedzy soba wiadomosci
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    May 2010
    Postów
    8

    Domyślnie

    No ok, ale jabber podobno zapewnia szyfrowanie end to end? W jaki sposob jest ono realizowane?

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    end-to-end tak... ale w wiekszosci przypadkow dane ida przez serwer, tam sa dekodowane i ponownie szyfrowane aby wyslac do drugiego klienta bo klucze szyfrujace klienta A i klienta B w komunikacji z serwerem sa inne. To jest wrecz oczywiste

    Nie wiem jak wyglada sytuacja bezposredniego polaczenia klient-klient bez serwera, na pewno sie da ale nie sprawdzalem jak to dziala. Wymaga to oczywiscie aby obaj klienci mieli routowalne adresy IP... Poza tym zawsze mozna miec wlasny serwer jabbera
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 2 12 OstatniOstatni

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52