forum.opennet.ru

"ALPACA - новая техника MITM-атак на HTTPS"

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Для контроля за появлением новых сообщений - перед выходом жмите "Пометить прочитанным".

. "ALPACA - новая техника MITM-атак на HTTPS"	+/–
Сообщение от Sw00p aka Jerom (?), 10-Июн-21, 00:34
> ok, ясно, а как же быть с protocol violation, когда браузер ожидает можете не отвечать, Internet Explorer - ясно все, удивляться нечему. Is my browser/client vulnerable? Internet Explorer and Edge Legacy (i.e., those not based on Chrome) are "more" vulnerable than other browsers, because they block fewer ports and perform content-sniffing. Content-sniffing is dangerous, because it enables JavaScript code execution in server responses that are noisy due to error messages by the application server that implements a protocol different from HTTP. This means that the pure web attacker variant of ALPACA is more dangerous for users of such browsers than for other users. However, no browser protects the user against all possible ALPACA attacks. In particular, all browsers can be compromised by a Man-in-the-Middle attacker who has write-access to an error-tolerant FTP server presenting a certificate compatible with a target web server under attack. Although the FTP server can in theory protect against this particular attack by detecting HTTP POST requests and/or terminating the connection after a small number of errors, this attack variant shows that this is not a bug in the browser, the web server, or the application server, but an emergent property of the TLS landscape.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

ALPACA - новая техника MITM-атак на HTTPS, opennews, 09-Июн-21, 21:45 [смотреть все]

Оригинально Из категории идей, которые кажутся очевидными после того как кто-то, Аноним, 09-Июн-21, 22:02 (5) //
- ftp - дрянь-протокол, но зато его все знают , СеменСеменыч777, 09-Июн-21, 22:14 (7) //
  - Не забудьте то же самое сказать про email SMTPS, POP3S, IMAPS , Аноним, 09-Июн-21, 23:05 (22) //
    - Почтовые протоколы дрянь и ужас К ним же в кучу nfs3 и всякие сипы и прочие ау, Аноньимъ, 10-Июн-21, 10:56 (94)
      - Итак давай представим себе ситуацию, что есть группа людей из 4-х человек, котор, Аноним, 10-Июн-21, 11:54 (105)
        
        Спасибо Мне это саморазоблачение ненужно в общем комментировать Да, это дрянь и , Аноньимъ, 10-Июн-21, 12:55 (110)
        
        Если ты осуждаешь реализации с множеством соединений, значит у тебя есть рабочие, Просто, 10-Июн-21, 13:51 (115)
        
        Просто надо задаться вопросом а что такое порт , n00by, 10-Июн-21, 18:13 (135)
        
        Пример протокольного Ада https www opennet ru opennews art shtml num 54058http, Аноньимъ, 10-Июн-21, 18:52 (137)
        
        Сразу видно что ты новости читать умеешь, а про что они написаны не знаешь Не и, Аноним, 11-Июн-21, 02:33 (154)
        
        Чел, мне твои индюшачии петушения ни к чему У тебя серьезные проблемы с чувством, Аноньимъ, 11-Июн-21, 03:35 (156)
        
        Не пойму, если я индюк, и меня раздуло до размеров дирижабля, то почему лопнул и, Аноним, 11-Июн-21, 03:42 (158)
        
        А сейчас мы выслушаем как должен выглядеть стандарт ната на удп конечно , Аноним, 11-Июн-21, 08:26 (164)
        
        Да хоть как Но как-то должен Сейчас же их пять в Википедии они описаны, в англ, Да не важно, 12-Июн-21, 22:35 (204)
    - У SMTP, POP3 и IMAP есть STARTTLS, с которым этот фокус не пройдёт , Moomintroll, 10-Июн-21, 11:16 (96)
    - не согласен как минимум про первых два и отчасти про imap во-первых используется, СеменСеменыч777, 10-Июн-21, 11:42 (101)
  - FTP отличный протокол Это руки дрянь у тех кто его не осилил и везде всунул HTT, Аноним, 10-Июн-21, 00:16 (56) //
    - Попробуйте запостить этот же комментарий через FTP, а то как-то голословно , Аноним, 10-Июн-21, 00:19 (57)
      - А ты стрелки не переводи FTP не для того чтобы коменты постить и javascript зап, deeaitch, 10-Июн-21, 00:29 (64)
        
        О дааа Одна проблема с буквой я чего стоит, а про классику в виде отсутствия, Stax, 10-Июн-21, 01:11 (69)
        
        FXP покажи через http , Аноним, 10-Июн-21, 05:14 (75)
        
        FXP покажи через ftp, шутник , Annoynymous, 10-Июн-21, 12:35 (108)
        
        rfc959 пункт 2 3 , Аноним, 10-Июн-21, 20:15 (140)
        
        Ты б ещё на man сослался, как его включить Только его никто не включает Угадаеш, Annoynymous, 10-Июн-21, 21:32 (143)
        
        Да я сразу понял что ты афедроном повертеть сюда зашёл Не надо было это лишний , Аноним, 10-Июн-21, 21:48 (144)
        
        Ну ты сразу понял, что был неправ , Annoynymous, 10-Июн-21, 22:03 (146)
        Он понял я думаю Куда лучше читать маны и rfc, чем общаться с эпичными неосилят, deeaitch, 12-Июн-21, 15:13 (200)
        
        Я угадаю, ты маны читать не умеешь, как и мноние, куда там до rfc, deeaitch, 12-Июн-21, 15:11 (199)
        
        Конечно Ты же мне покажешь сервер в интернете с работающим FXP, теоретик, читав, Annoynymous, 12-Июн-21, 19:44 (201)
        Сложно придумать для чего оно может быть, но так и быть Поднял Нужнее мне оно , deeaitch, 15-Июн-21, 04:24 (205)
        
        Да никому нафиг не сдался тот FXP У FTP было три киллер-фичи 1 Скорость Роутер, Аноним, 22-Июн-21, 19:02 (214)
        
        Именно, да Интересно, почему у меня нет этой проблемы А Может маны почитать не, deeaitch, 10-Июн-21, 15:55 (125)
        
        И какими же манами вы добавите поддержку передачи кодировки И какими манами почи, Stax, 11-Июн-21, 21:36 (185)
        
        Не спорю, была такая проблема Где-то в конце 90-х начале 2000-х Но она давным , deeaitch, 12-Июн-21, 15:09 (198)
        
        Чувааааак Ты теоретик Признайся в этом и перестань это показывать в каждом пос, Annoynymous, 12-Июн-21, 19:47 (203)
        
        Чувак Признайся, ты эпичный неосилятор из армии iPony и такой-же нытик как Frac, deeaitch, 15-Июн-21, 04:28 (207)
        Молодец Признался таких что нытик и неосилятор Признание это первый шаг к выздо, deeaitch, 15-Июн-21, 23:27 (210)
        
        Обожаю опеннетовский комментаторов Ты даже не понял, что у тебя спросили Про F, Annoynymous, 12-Июн-21, 19:45 (202)
        
        Обожаю эпичных неосиляторов Которые не в состоянии уже даже дерево сообщение пр, deeaitch, 15-Июн-21, 04:25 (206)
        
        А зачем кодировки, когда всё в UTF-8 Для ssh не нужен ftp Но если очень хочется, Аноним, 22-Июн-21, 18:53 (213)
        
        И делает он это слишком сложно Например делать дополнительное соединение, чтоб, anonymous, 10-Июн-21, 10:18 (88)
        
        Эпичные неосиляторы, когда же вы научитесь доки читать Нормально ходит и через , deeaitch, 10-Июн-21, 15:57 (127)
        
        Именно FTP ходит Или какой-нибудь SFTP, который вообще другой протокол , Аноним, 22-Июн-21, 18:41 (211)
        
        фаллов и даже местами фаллловъ чтобы выглядели подлиннее и потверже , СеменСеменыч777, 10-Июн-21, 11:44 (103)
        
        Это чтобы неосиляторам было чем перед дефачками хвастаться Своего то тю , deeaitch, 10-Июн-21, 15:58 (128)
      - ну через telnet на bbs сидели, а то целый фтп , hshhhhh, 10-Июн-21, 11:42 (100)
        
        было дело но я уже забыл как там фаллы и ваагины передавали то ли клиент telnet, СеменСеменыч777, 10-Июн-21, 15:42 (123)
    - Ужасный он Использует нетривиальную схему соединений вместо одного TCP стрима , Аноньимъ, 10-Июн-21, 10:53 (93)
      - Contrack не пробывал, не , нах.., 10-Июн-21, 11:18 (97)
        
        , Аноньимъ, 10-Июн-21, 12:59 (111)
        https www opennet ru opennews art shtml num 54058https www opennet ru openne, СеменСеменыч777, 10-Июн-21, 15:56 (126)
        вот на этот коммент особое вниманиеhttps www opennet ru openforum vsluhforumID, СеменСеменыч777, 10-Июн-21, 15:59 (129)
        
        В коменте пишут, что производители роутеров ленивые Я думаю дело не просто в том, Аноньимъ, 10-Июн-21, 18:55 (138)
        
        Обыкновенный SIP-телефон стоит не сильно дороже роутеров и памяти в нём меньше, , Аноним, 11-Июн-21, 03:07 (155)
        
        Речь шла о роутерах Очевидно создавать богомерзкий сложный трафик и работать с н, Аноньимъ, 11-Июн-21, 03:46 (159)
        
        Среднестатистический телефон слабее роутера Сильно Предположение в корне не вер, Аноним, 11-Июн-21, 04:36 (160)
        
        Вот кстати интересно, как собственно решается вопрос безопасности, ну хоть с тёт, Аноньимъ, 11-Июн-21, 04:42 (161)
        
        Есть несколько вариантов, которые лучше комбинировать1 ACL до нужных SIP-сервер, Аноним, 11-Июн-21, 06:07 (162)
        Спасибо, сохраню на случай если придётся таким заниматься Надеюсь конечно что не, Аноньимъ, 11-Июн-21, 06:24 (163)
        
        POTS сдох ISDN сдох ATM another terrible mistake сдох все что приходит от , СеменСеменыч777, 15-Июн-21, 20:56 (209)
        
        Предлагаешь анону фанатику SIP читать его собственный коммент А ты смешной , Аноним, 11-Июн-21, 03:36 (157)
- Очевидно Мне не очевидно как мой браузер вдруг вместо HTTP начнёт говорить на я, Аноним, 09-Июн-21, 22:28 (8) //
  - Передавай внутри POST-данных любые команды FTP SMTP POP3 IMAP, предшествующие HT, Аноним, 09-Июн-21, 22:57 (15) //
    - написано же Для успешной атаки злоумышленнику требуется затем каким-то образом , Sw00p aka Jerom, 09-Июн-21, 23:04 (21)
      - Каким-то образом извлечь данные это понятно как Запрос из браузера идёт на FTP , Аноним, 09-Июн-21, 23:48 (44)
        
        с каких пор фпт будет понимать хттп-ешный запрос и еще умудриться это сохранить , Sw00p aka Jerom, 09-Июн-21, 23:57 (47)
        
        Никуда Есть запросы, на которые он не реагирует , Аноним, 10-Июн-21, 11:51 (104)
        
        CORS вообще одна сплошная профанация , Урри, 10-Июн-21, 14:18 (116)
        
        В статье же расписано как заставить послать - заставить зайти на свою страницу и, Аноним, 10-Июн-21, 00:07 (50)
        
        И как-то случайно моя страница будет подписана тем же сертификатом, что и FTP се, Annoynymous, 10-Июн-21, 19:52 (139)
        
        перечитай статью , Аноним, 11-Июн-21, 00:05 (150)
    - Не совсем так После X ошибочных команд обычно что клиент, что сервер - дисконнек, Онаним, 09-Июн-21, 23:38 (38)
  - После того, как поддержку FTP убрали, для современного браузера все является HTT, Аноним, 09-Июн-21, 23:03 (19)
- Точнее - из категории идей, про которые все давно знают без шифрования это таки, Онаним, 09-Июн-21, 23:41 (40)
Простите, у вас там совсем сосуд со множеством дырочек С таким сосудом любая, Аноним, 09-Июн-21, 22:13 (6) //
- Ну вот взять вайфай, например Даже запароленный Владелец кафешки или отеля мож, Аноним, 09-Июн-21, 23:13 (29) //
  - каким-то образом попасть на FTP-сервер Да каждый владелец кафешки имеет дос, Аноним, 09-Июн-21, 23:27 (34) //
    - Доступ на FTP бывает и анонимным А роутер кафешки может быть уже взломан каким-, anonymous, 10-Июн-21, 10:21 (89)
      - Анонимный FTP под сертификатом твоего банка Это про сбербанк что ли , Q2W, 10-Июн-21, 11:29 (98)
        
        Это, вообще говоря, и не обязательно банк Это может быть ваш хостер, например , anonymous, 12-Июн-21, 12:20 (196)
        
        Не может У этого FTP должен быть тот же сертификат, что и у банка Откуда у х, Аноним, 22-Июн-21, 18:45 (212)
- так в этом же и суть MiTM атак , hshhhhh, 10-Июн-21, 11:43 (102)
С такими дырами хром может убирать из чёрного списка тот набор номеров портов, к, Аноним, 09-Июн-21, 22:30 (9) //
- митм форвардинг одного порта на другой, тут браузер будет думать, что подключает, Sw00p aka Jerom, 09-Июн-21, 22:57 (16)
- Интерес эта атака имеет больше теоретический, так как для проведения требуется M, Аноним, 09-Июн-21, 23:01 (18)
А зачем мудрить с точкой доступа, если у атакующего уже есть общие TLS-сертифик, YetAnotherOnanym, 09-Июн-21, 22:31 (10) //
- Нет Общие тут имеется в виду что есть например сайт и есть SFTP сервер, использ, Аноним, 09-Июн-21, 22:35 (12) //
  - а дальше что , Sw00p aka Jerom, 09-Июн-21, 22:43 (13) //
    - SFTP футболит с ошибкой, попутно делая эхо этой ошибки, которая вовсе не ошибка,, Аноним, 09-Июн-21, 23:11 (26)
      - так так, а как открывается контекст с bank com , Sw00p aka Jerom, 09-Июн-21, 23:24 (32)
        
        Твой браузер и открывает, только запрос немного не туда уходит , Аноним, 09-Июн-21, 23:30 (35)
        
        И сбрасывается, потому что protocol violation , Онаним, 09-Июн-21, 23:39 (39)
        хммммммммммУсловия 1 evil com страничка замануха атакующего 2 атакующий может , Sw00p aka Jerom, 09-Июн-21, 23:42 (41)
        
        Да и да Некоторые запросы не заставляют срабатывать CORS , Аноним, 09-Июн-21, 23:59 (48)
        
        ok, ясно, а как же быть с protocol violation, когда браузер ожидаетHTTP 1 1 200 , Sw00p aka Jerom, 10-Июн-21, 00:23 (60)
        
        можете не отвечать, Internet Explorer - ясно все, удивляться нечему Is my browse , Sw00p aka Jerom, 10-Июн-21, 00:34 (65)
        
        Тут правильнее было написать no browser protects the user against all possible a, Онаним, 10-Июн-21, 09:05 (80)
  - В любом случае, предполагается, что у атакующего есть закрытый ключ, соответству, YetAnotherOnanym, 10-Июн-21, 09:16 (83) //
    - Нет, ключ от сертификата тут не нужен Атакующий не вмешивается в сам трафик, не, Аноним, 10-Июн-21, 14:56 (120)
  - Ванька путает ftp и sftp Ванька не знает, что это разные протоколы , hefenud, 10-Июн-21, 09:50 (85)
Мораль держите FTP, SMTP, IMAP и прочие сервисы на отдельных поддоменах со свои, Аноним, 09-Июн-21, 22:32 (11) //
- не поможет, Аноним, 09-Июн-21, 22:54 (14)
- Полагаю, отказ от сразу шифрованных соединений в пользу STARTTLS тоже вполне п, Аноним, 09-Июн-21, 23:07 (23) //
  - угу, Sw00p aka Jerom, 09-Июн-21, 23:08 (25)
- Мораль не пользовать браузер, Аноним, 10-Июн-21, 00:19 (58) //
  - Как же вы тогда оправили это сообщение сюда , Nefrace, 10-Июн-21, 16:50 (131)
- Мораль в том что FTP, SMTP, IMAP оказались совершенно не причём А проблема выле, deeaitch, 10-Июн-21, 00:26 (63)
И никого не смутило при наличии контроля над сетевым шлюзом или точкой беспрово, Аноним, 09-Июн-21, 22:59 (17) //
- на лошарике можно подплыть и к кабелю подключиться , Sw00p aka Jerom, 09-Июн-21, 23:07 (24) //
  - ха , Аноним, 09-Июн-21, 23:46 (43)
- Реалии таковы, что точки беспроводного доступа и домашние маршрутизаторы дырявые, Аноним, 09-Июн-21, 23:12 (27) //
  - какие у тебя там реалиина выходных нодах tor Сказочник былиный, ты наш , Аноним, 11-Июн-21, 15:47 (180)
- ещё и к сервису доступ, чтобы логи читать , Аноним, 09-Июн-21, 23:13 (28)
- а тебя не смущают миллионы admin admin роутеров, торчащие голой жопой в интернет, онанимус, 09-Июн-21, 23:17 (30) //
  - И что из этого можно поиметь Как я понимаю это же скорее всего домашний роутер , Ненавижу SJW, 10-Июн-21, 13:40 (114) //
    - А за домашним рутером сидит какой нить инженер из конторы ABB Оппа и тейковер к, авыыва, 10-Июн-21, 14:49 (118)
      - А если серьёзно , Ненавижу SJW, 10-Июн-21, 15:02 (122)
        
        а если серьёзно, то гуглите казино взломали через аквариум , или термометр, не, онанимус, 30-Июн-21, 23:21 (215)
  - А если не торчит, то что даетэтот профиль oelinux123 , Аноним, 11-Июн-21, 15:50 (181)
- Там прямо в заголовке написано MITM , MPEG LA, 09-Июн-21, 23:26 (33)
- Не смутило 1 Об MITM написано аж в заголовке статьи 2 Куча дырявых роутеров во, Аноним, 10-Июн-21, 10:24 (90) //
  - Ну или просто обычный провайдер, любой проводной или безпроводной , Аноньимъ, 10-Июн-21, 11:05 (95)
Да это просто тупость Все об этой фигне знали Много летСуть в том что вы довер, richman1000000, 09-Июн-21, 23:04 (20) //
- Почему у разных админов Проблема не в разных админах , а в том, что админ ра, anonymous, 10-Июн-21, 10:25 (91)
FTP Ну очень вовремя,особенно на фоне полного удаления поддержки этого протокол, Kuromi, 09-Июн-21, 23:20 (31) //
- Твой любимымй гавняный HTTP там первый в списке, Аноним, 10-Июн-21, 00:21 (59)
- Для этой атаки не нужна поддержка FTP в браузере После удаления ФТП браузер всё, Аноним, 10-Июн-21, 14:57 (121) //
  - Хахашечки, но уже закрыли - https bugzilla mozilla org show_bug cgi id 1715684, Kuromi, 15-Июн-21, 19:46 (208)
Нереал Тчк Протоколы настолько между собой несовместимы, что подставить ложный , Онаним, 09-Июн-21, 23:34 (36) //
- Если кто невдогнал, то 1 Upload для успешной атаки злоумышленнику требуется , Онаним, 09-Июн-21, 23:37 (37) //
  - Я нашел уязвимость в замке входной двери Если злоумышленник каким-то образом за, vitalif, 09-Июн-21, 23:46 (42)
  - ну да, ток не понятно как у них вот это работает220 1237cfa6400d ESMTP PostfixHE, Sw00p aka Jerom, 09-Июн-21, 23:49 (45) //
    - Только на говносерверах, которые отдают невалидированные данные Dovecot и Exchan, Онаним, 09-Июн-21, 23:55 (46)
      - я вот тоже нехрена не понялу меня есть 3 сервиса на разных портах, например SMTP, penetrator, 10-Июн-21, 20:16 (141)
    - Ну и блин, браузер, который это отобразит - надо закапывать первым Потому что пе, Онаним, 10-Июн-21, 00:10 (53)
      - Internet Explorer - может все в оригинале статьи все расписано и все вопросы , Sw00p aka Jerom, 10-Июн-21, 00:36 (67)
    - Короче, то, что они смогли script выдать - ещё не значит, что он где-то обрабо, Онаним, 10-Июн-21, 00:11 (54)
  - shared-хостинги и дыры в них вот это вот отлично включают, т е это утилитарная , дауненок, 10-Июн-21, 09:54 (86) //
    - Тот случай, когда никнейм соответствует персонажу , Онаним, 10-Июн-21, 09:55 (87)
  - если у злоумышленника есть права на аплоад, то вроде бы всё выглядит реальным 1 , edo, 12-Июн-21, 03:09 (187) //
    - аналогично, похоже, можно подсунуть браузеру нужный ответ с js, например , edo, 12-Июн-21, 04:12 (188)
      - С ответом уже сильно сложнее, вплоть до нереалистичности В теории да, можно зали, Онаним, 12-Июн-21, 10:23 (192)
    - Сущая мелочь 1 Надо иметь права на FTP-сервере, именно том, что необходимо под, Онаним, 12-Июн-21, 10:17 (189)
    - Но да, ваше описание атаки таки куда более реалистично, нежели подмена ответа , Онаним, 12-Июн-21, 10:21 (191)
Простите в чём суть атаки - в контроле над шлюзом А как на счёт в контроле над , Alexey, 10-Июн-21, 00:03 (49) //
- Магистальные провайдеры давно беспардонно вмешиваются в трафик Про местячковых , Аноним, 10-Июн-21, 00:07 (51)
- Суть атаки - в попытке с самого клиента послать то, что хочется получить в ответ, Онаним, 10-Июн-21, 00:08 (52) //
  - В наших условиях это сервисная функция ПО стоящего за HTTP, судя по возможностям, Alexey, 10-Июн-21, 02:34 (71)
- Никогда не пользовались WiFi в кафешке или аэропорту , anonymous, 10-Июн-21, 10:28 (92) //
  - Нет ни чего нового в данной атаке, если им нужно захватить контроль над сегменто, Alexey, 10-Июн-21, 16:52 (132) //
    - Новое то, что можно обойти буковки S в HTTPS обладая доступом лишь к роутеру , anonymous, 12-Июн-21, 12:21 (197)
  - Нет DКроме того, к внедрению в чужой трафик это отношения не имеет Там суть в п, Онаним, 10-Июн-21, 20:45 (142)
А кто-то ещё пользуется браузерами для работы с почтой и разрешёнными скриптами , Аноним, 10-Июн-21, 00:15 (55) //
- iPony и Fracta1L, deeaitch, 10-Июн-21, 00:24 (62)
Хаха Хвалёный HTTPS, deeaitch, 10-Июн-21, 00:23 (61)
Какой ещё SFTP - это часть SSH, речь об FTPS , adsh, 10-Июн-21, 00:34 (66) //
- Ну кто-же читает , deeaitch, 10-Июн-21, 00:51 (68)
Ага, только для этого нужно ещё захватить контроль над этим почтовым сервером Т, BrainFucker, 10-Июн-21, 01:34 (70)
We could confirm that this is indeed the case for Internet Explorer and Edge Le, Аноним, 10-Июн-21, 03:11 (72)
Про эту уязвимость знали уже давно, поэтому и убралли ftp mixed content еще год , Аноним, 10-Июн-21, 03:36 (73)
https www cisco com c dam global ru_ru training-events 2020 pdf dec5-17 pdf, Аноним, 10-Июн-21, 06:39 (76) //
- Только все упомянутые в той презентации методы взлома TLS сводятся к фразе Ус, Аноним, 10-Июн-21, 07:00 (77) //
  - https media defense gov 2019 Dec 16 2002225460 -1 -1 0 INFO SHEET 20 MANAGING , Аноним, 10-Июн-21, 07:14 (78)
Смекалочка Люблю хакеров , kusb, 10-Июн-21, 08:25 (79)
Ещё одну вишенку на торте забыли Если обсуждать применение из браузера, то чтобы, Онаним, 10-Июн-21, 09:07 (81) //
- Ну и да, если мы уже вклинились в выданный сайтом код - на хрена нам эта атака , Онаним, 10-Июн-21, 09:09 (82) //
  - Кто на куче рекламмы сидит им вообще пофиг ломают их или нет, главное бабло да и, Аноним, 10-Июн-21, 09:38 (84) //
    - bank com под замком, заходить - ишаком, станешь битым мужиком, а не - просто му-, Аноним, 10-Июн-21, 14:33 (117)
А не удалили бы www - такой бы фигни не было , Егор, 10-Июн-21, 11:39 (99)
Куки не храним, JS блокируем Куета , КО, 10-Июн-21, 12:32 (106) //
- К сожалению, в окне браузера может оказаться пусто , Аноним, 10-Июн-21, 12:46 (109)
script alert 1 script ничего в этом мире не меняется и вот опять , andrey, 10-Июн-21, 12:33 (107)
Минуточку, т е вам нужен рутовый доступ к самому серверу, чтобы на нём перенаст, Аноним, 10-Июн-21, 13:09 (112) //
- P S ощущение, что кто-то шикарно пошутил , Аноним, 10-Июн-21, 13:12 (113)
- Ну, типа для того, что бы манагерам пришла мысль, у админов отобрать еще больше , Аноним, 10-Июн-21, 18:13 (136)
- Нет, рутовый доступ не нужен Достаточно иметь возможность влиять на трафик поль, kmeaw, 11-Июн-21, 08:30 (165) //
  - ну апупеть - всего-то нужно иметь корневой сертификат Опять же зачем все эти , Аноним, 11-Июн-21, 10:59 (174) //
    - Не можем, потому что у нас нет корневого сертификата Это расширенный вариант ат, kmeaw, 11-Июн-21, 14:56 (177)
      - Вы кажется забыли, что почтовый сервер, чтобы тупо открыть соединение должны пор, Аноним, 11-Июн-21, 16:44 (182)
        
        В этом и смысл атаки - они хотят передать в SMTP HTTP и получить его назад Вот т, Онаним, 12-Июн-21, 10:20 (190)
Прикольно Но ни один банк не делает голых html интернет-банкингов и не рекоменд, gogo, 10-Июн-21, 14:53 (119)
Опять рут нужен , pavlinux, 10-Июн-21, 15:44 (124) //
- да, но теперь знаем зачем рут и всякие серты , Аноним, 10-Июн-21, 16:25 (130)
Так, стоп Какой FTP Его еще несколько лет назад обещали выпилить из браузеров, Аноним, 10-Июн-21, 18:10 (134) //
- https github com sergi jsftp, pavlinux, 10-Июн-21, 22:08 (147)
Никак не вкурю, у атакующего должен быть тру сертификат http сервера или он може, anonymous, 10-Июн-21, 23:41 (148) //
- у атакующего никакого серт-а нет , Аноним, 10-Июн-21, 23:45 (149) //
  - Спасибо Анон, перечитал и с твоим комментом вкурил Пусть Джа тебе только внятны, anonymous, 11-Июн-21, 00:47 (151)
  - А на сервере, который будет принимать соединение и выдавать вредоносный код, от , Аноним, 11-Июн-21, 01:59 (152) //
    - И я не пойму, держатель серта в любом случае контралирует траффик, anonymous, 11-Июн-21, 02:14 (153)
    - Нет, для успешного проведения атаки достаточно ленивого админа, который вместо в, kmeaw, 11-Июн-21, 08:32 (166)
      - И Злоумышленник в этом случае должен иметь доступ либо к инфраструктуре днс име, ыы, 11-Июн-21, 09:26 (167)
        
        Не обязательно, можно атаковать сетевую инфраструктуру Способов полно - злоумыш, kmeaw, 11-Июн-21, 09:37 (168)
        
        И как это все даст ему доступ к внутренним логам сервиса зактытого TLS , ыы, 11-Июн-21, 09:43 (170)
        
        Напрямую никак Это даст ему возможность запустить js-код в браузере пользовател, kmeaw, 11-Июн-21, 09:53 (171)
        
        Товарищ, мне кажется что вы окончательно запутались Перечитайте ещё раз - мы оп, Аноним, 11-Июн-21, 10:56 (173)
        
        Нет, нужен не сертификат, а наличие другого сервиса с сертификатом, соответствую, kmeaw, 11-Июн-21, 14:51 (176)
        
        Через mx bank com ты никакой редирект не отдашь - нормальный браузер его не схав, Онаним, 12-Июн-21, 10:27 (193)
        
        и возможность FTP hijacking меня тоже не парит, потому что соединения данных ра, Онаним, 12-Июн-21, 10:32 (194)
      - Вы кстати как-то вот легкомысленно говорите про ленивость админа который выписыв, ыы, 11-Июн-21, 09:41 (169)
        
        Согласен, дело может быть не только в лени, но и в желании сэкономить Небольшое , kmeaw, 11-Июн-21, 09:56 (172)
Разве проблема тут не в том, что разным сервисам раздают одинаковые серты, да ещ, Аноним, 11-Июн-21, 12:23 (175) //
- Именно в этом Нет, не придётся Достаточно направить на другой сервер с тем же с, kmeaw, 11-Июн-21, 15:02 (178) //
  - Недостаточно Ответ надо ещё в HTTP обернуть А то и в HTTP 2 , Онаним, 12-Июн-21, 11:51 (195)
Веб должен оставаться просто вебом, и не пытаться стать платформой , adolfus, 11-Июн-21, 15:10 (179)
Как будто проблема только в TLS Там еще как бы и JavaScript нужен , Аноним, 12-Июн-21, 02:02 (186)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру