| 1.1, A.Stahl (?), 09:36, 29/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +14 +/– |
Сейчас набегут аналитики, рассказывая про "сапожника без сапог", а потом выяснится, что взломали через какю-то дыру в РНР.
| | |
| |
| 2.2, Аноним (-), 09:48, 29/12/2013 [^] [^^] [^^^] [ответить]
| +13 +/– |
Да и вообще выяснится, что сайт не пострадал, а взломали DNS
| | |
| |
| |
| 4.27, daemontux (?), 15:03, 29/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Та не, выяснится, что скриншот нарисован в фотошопе :)
Не он нарисован на Pinta.
| | |
| |
| 5.37, Inome (ok), 16:15, 29/12/2013 [^] [^^] [^^^] [ответить]
| +6 +/– |
 Да не, всё куда проще - автор себе в hosts вбил ип OpenSSL.org и сделал переадресацию на 127.0.0.1:)
| | |
|
|
|
|
| |
| 2.7, count0krsk (ok), 12:11, 29/12/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Ага, а 4мб памяти - любому пользователю шиндовс.
Китайцы свои тостеры подключат, луну заселят, и опять нат придется юзать ))
| | |
| |
| 3.15, Lain_13 (ok), 13:14, 29/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 При текущих масштабах оборудования чтоб это всё занять нужно не только тостеры подключить, но несколько сотен планет размером с землю отгрохать исключительно из оборудования, которому все эти адреса смогут понадобиться. Вот когда кольцо вокруг солнца отгрохаем — тогда и будет повод задуматься о достаточности уникальных адресов.
| | |
| |
| 4.73, Аноним (-), 18:33, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> При текущих масштабах оборудования чтоб это всё занять нужно не только тостеры
> подключить, но несколько сотен планет размером с землю отгрохать исключительно из
> оборудования, которому все эти адреса смогут понадобиться. Вот когда кольцо вокруг
> солнца отгрохаем — тогда и будет повод задуматься о достаточности уникальных
> адресов.
То же самое, помница, звездели про IPv4....
| | |
| |
| 5.76, Lain_13 (ok), 20:11, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
Разве?
Реальной техникой фиг у кого получится занять все эти адреса. Вот виртуальными машинами, наверное, можно.
| | |
| 5.78, Аноним (-), 20:37, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Блин, ну вот почему именно онлайн игра? Почему не оффлайн?
Есть некая разница между 2^32 и 2^128. Если 2^32 можно было представить еще тогда, посмотрев на население земного шарика, то 2^128 - это 2^96 раз по 2^32. Хватит даже на наноботов, пожалуй, как минимум на первое время.
| | |
|
|
|
| |
| 3.36, бедный буратино (ok), 16:10, 29/12/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
 всё я правильно сказал
кто не может запомнить 340282366920938463463374607431768211456 адресов - вон из интернета
| | |
| |
| 4.44, тоже Аноним (ok), 18:30, 29/12/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
 "Но я не знаю, как идет сигнал,
Я не знаю качества связи,
Я не знаю, кто клал кабель,
Едва ли я когда-нибудь услышу тебя.
2.12.80.5.0.6,
2.12.80.5.0.6,
2.12.80.5.0.6,
Это твой номер, номер, номер, номер, номер, номер..."
(с) Гребень, 80-е годы прошлого века.
| | |
| |
| |
| |
| 7.62, Аноним (-), 12:16, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Ваш вариант устарел. Я же записал со слов исполнителя верно.
Ну, тогда уж 2:12:80:5::6 ;)
| | |
|
|
|
|
|
|
| 1.8, Анонымоус (?), 12:13, 29/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
На скриншоте упоминается слово https. Если взлом поизведен на уровне ДНС и запросы клиентов перенаправляются на подставной сайт, то далее этот подставной сайт должен передавать клиенту сертификат открытого ключа с тем же доменным именем, к которому обращался клиент, подписанный каким-либо известным СА. Причем, для продолжения обмена информацией с клиентом подставному сайту надо иметь не только этот сертификат (это-то не проблема, можно было бы отдавать тот же сертификат, который отдает настоящий сайт), но и соответствующий секретный ключ. И откуда подставной сайт это все возьмет? Так что тут дело серьезнее.
| | |
| |
| 2.10, Максим (??), 12:20, 29/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
тут смотря кто скриншот сделал.
а то self signed - дело с концом.
| | |
| |
| 3.11, Анонымоус (?), 12:31, 29/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Ну, если сайты самой OpenSSL используют самоподписанные сертификаты, то это и есть эпичный fail. А если дело в том, что автор скриншота не обратил внимания на то, что сертификат не проходит проверку, то уже он ССЗБ.
| | |
| |
| 4.13, Аноним (-), 13:12, 29/12/2013 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Ну, если сайты самой OpenSSL используют самоподписанные сертификаты, то это и есть
> эпичный fail. А если дело в том, что автор скриншота не
> обратил внимания на то, что сертификат не проходит проверку, то уже
> он ССЗБ.
В свете событий последнего года "самоподписанные сертификаты" - это единственное, чему ты можешь доверять. Мне проще сделать самоподписанный сертификат и раздать его СВОИМ пользователям, чем сверлить в безопасности своей системы дыру для Stuxnet.
| | |
| |
| 5.23, Анонымоус (?), 14:43, 29/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Для сайтов с небольшой аудиторией самоподписанные сертификаты + передача их своим людям из рук в руки -- это вполне приемлемый способ. Для сайтов же, аудитория которых -- весь земной шар (типа openssl.org) это совершенно не подходит.
Я хотел сказать, что при использовании https недостаточно лишь взлома на уровне ДНС. Нужна ещё добавка в виде безалаберного отношения к сертификатам или на стороне клиента, или на стороне сервера, или на стороне СА. Либо все же эти добрые турецкие хакеры взломали-таки сам сайт. В первом случае -- это (очередная) компрометация самой идеи SSL/TLS, во втором -- компрометация репутации одной конкретной организации, играющей, однако, не последнюю роль в развитии SSL/TLS. В общем, хорошего мало в любом случае.
| | |
| |
| 6.40, arisu (ok), 17:13, 29/12/2013 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > аудитория которых — весь земной шар (типа openssl.org) это совершенно
> не подходит.
действительно: ни mitm втихаря сделать, купив подставной сертификат, ни грохнуть кучу цепочек, сломав структуру RA. ужасно плохо жить без центральных authority!
| | |
| 6.54, Danil (??), 09:27, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Если взломщики (хотя бы на время взлома) завладели доступом к DNS-зоне, им ничего не стоило заказать валидный сертификат для сайта.
Ведь это делается (1) через получение кода верификации на какой-нибудь "служебный" email типа webmaster@, postmaster@; (2) размещением странички на сайте с требуемым ЦС кодом; (3) как-нибудь ещё типа создания cname-записи с нужным кодом и т.д.
Всё это можно сделать, завладев зоной DNS.
Интересно было бы глянуть, что за сертификат при этом использовался и когда и кем он был выдан.
| | |
| |
| 7.63, Анонымоус (?), 12:39, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Подпадает под статью "халатность на стороне СА". И компрометирует саму идею SSL/TLS.
| | |
| |
| 8.80, Аноним (-), 20:45, 30/12/2013 [^] [^^] [^^^] [ответить] | +1 +/– | Вон DigiNotar попал А некоторые вообще чуть ли не официально загоняют сертифика... текст свёрнут, показать | | |
|
|
|
|
| |
| 5.21, Адекват (ok), 14:26, 29/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 > замочек серенький на скриншоте...
Интересное наблюдение, но я сейчас проверил файерфоксом - у меня тоже серенький, но браузер говорит что с https все ок.
| | |
| |
| |
| 7.55, Аноним (-), 09:35, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
У меня свой почтовый сервер. Может https. Самоподписанный сертификат корректно импортирован. Замок зеленый на всех 2-х компьютерах, с которых захожу на него.
| | |
| |
| 8.58, Адекват (ok), 10:43, 30/12/2013 [^] [^^] [^^^] [ответить] | +/– | И даже в хромиумие хроме Цвет не имеет значения - цвет это всего-лишь реак... большой текст свёрнут, показать | | |
| |
| 9.69, arisu (ok), 17:55, 30/12/2013 [^] [^^] [^^^] [ответить] | +/– | за самоподписаные поцоны со двора и одноклассники засмеют будут тыкать пальцами... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| |
| 2.14, Аноним (-), 13:13, 29/12/2013 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> CA проблема безопасности всей сайтов
Система сертификации сторонними центрами дискредитирована и не подлежит серьезному обсуждению.
| | |
| |
| |
| |
| 5.70, arisu (ok), 17:58, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> DANE - хороший кандидат.
да не. опять какая-то фигня централизованная, шило на мыло.
| | |
| |
| 6.77, Xaionaro (ok), 20:12, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
 >> DANE - хороший кандидат.
> да не. опять какая-то фигня централизованная, шило на мыло.
Поясните, пожалуйста. Вы про контроль на корневыми DNS?
| | |
| |
| 7.84, Аноним (-), 21:12, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> Поясните, пожалуйста. Вы про контроль на корневыми DNS?
Про все в целом.
1) Это не умееет и не будет уметь уйма клиентов еще уйму времени, так что со стороны MITM'а можно без палива задеградировать все до "просто DNS" и никто не заметит подвоха вот так сходу.
2) Опять же, опасности разные бывают. Захочет АНБ или кто там еще у вас сайт отжать - фиг оспоришь.
| | |
| |
| |
| 9.92, arisu (ok), 18:21, 31/12/2013 [^] [^^] [^^^] [ответить] | –1 +/– | DANE enables the administrator of a domain name to certify the keys used in that... текст свёрнут, показать | | |
| |
| |
| 11.94, arisu (ok), 19:03, 31/12/2013 [^] [^^] [^^^] [ответить] | –2 +/– | порошок, уходи рассказывать в 100500-й раз, почему это фигня, мне лень хинты ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 5.82, Аноним (-), 20:47, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> DANE - хороший кандидат.
Хороший кандидат - tor hidden service: не централизован, ибо адрес - лишь хэш ключа. И сложно отобрать, закрыть, запретить и непущать. И подделать тоже сложно - угадать ключ такого размера, и чтоб приватный к нему в пару был... легче миллион в лотерею выиграть.
| | |
| |
| 6.90, Xaionaro (ok), 15:14, 31/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> DANE - хороший кандидат.
> Хороший кандидат - tor hidden service: не централизован, ибо адрес - лишь
> хэш ключа. И сложно отобрать, закрыть, запретить и непущать. И подделать
> тоже сложно - угадать ключ такого размера, и чтоб приватный к
> нему в пару был... легче миллион в лотерею выиграть.
Мне кажется, эти вещи решают разные задачи. :)
… поправьте, пожалуйста, если ошибаюсь. :)
| | |
|
| 5.83, Аноним (-), 20:50, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– | |
> DANE - хороший кандидат.
Черта с два. В ближайшие 20 лет будет навалом тех кто это не умеет. Поэтому будет катить простейшая деградация до "просто DNS".
| | |
| |
| 6.89, Xaionaro (ok), 15:12, 31/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
>> DANE - хороший кандидат.
> Черта с два. В ближайшие 20 лет будет навалом тех кто это
> не умеет.
На то он и «кандидат», что является хорошим вариантом, если его начнут поддерживать и использовать. А пока его не поддерживают и не используют, он особо-то и не помогает.
Лет 10 назад у меня не получалось доказывать людям, что gnu/linux - это жизнеспособная и полезная вещь. Люди пытались меня убедить, что она нах не нужна, так как «ей никто не пользуется» и «под неё нет никаких полезных программ» (что по сути одно и то же, по-моему).
> Поэтому будет катить простейшая деградация до "просто DNS".
Что такое «просто DNS»? Это отсутствие DNSSEC? bind9 умеет DNSSEC, а его использует огромное множество ISP для своих пользователей.
| | |
|
|
|
| 3.34, Аноним (-), 15:59, 29/12/2013 [^] [^^] [^^^] [ответить]
| +3 +/– |
Скорее всего, на это и хотели намекнуть взломщики разработчиков "безопасных" методов соединений. Даже если взлом - не вина собственно разработчиков, вся их работа не стоит ломаного гроша при такой реализации на практике.
| | |
| |
| 4.56, Аноним (-), 09:39, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Скорее всего, на это и хотели намекнуть взломщики разработчиков "безопасных" методов соединений.
> Даже если взлом - не вина собственно разработчиков, вся их работа
> не стоит ломаного гроша при такой реализации на практике.
Если валидный сертификат, выданный авторизованным центром (Stuxnet etc), возможно использовать в деструктивных целях, то идея использования сторонних центров, находящихся вне Вашего контроля, порочна изначально. Если хотите, архитектурно.
Если взломан DNS + социальная инженерия, то это совсем другое дело и к конфигурации безопасности сайта история не имеет отношения.
| | |
| |
| 5.65, Аноним (-), 14:21, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Нет, не о конфигурации сайта речь, не о конкретном взломе. О том, зачем вообще нужен openssl? Малые проекты можно защитить и по-другому, а крупные он не защищает просто потому, что в подавляющем большинстве случаев имеют место злоупотребления и халатность при выдаче сертификатов. Да и в принципе, текущая организация сети Интернет далека от.
Каким бы ни был взломоустойчивым замок, но если повесить его на калитку рядом с открытыми настеж воротами, а вокруг разбросать побольше ключей, толку от него не будет.
| | |
|
|
|
|
| 1.32, Клыкастый (ok), 15:53, 29/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 говорил год назад и повторю ещё раз. атаки на сервера инфраструктуры опенсорса будут всё чаще. это касается линуксоидов, фряшников, конкретных проектов - все в одной упряжке. цель этого отнюдь не дискредитация - поиск механизмов контроля и раздачи троянов. раз это не может быть с приемлемой частотой сделано по схеме венды (ну вот так вот, там где венда решето и адЪ, там *никсы и хорошо защищены и слабоуязвимы), значит будут пытаться найти другие слабые места.
| | |
| 1.64, Аноним (-), 13:04, 30/12/2013 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Прочитал оставленное взломщиком послание и мне тут представилась аналогия: Вася из Усть-Пердыщенска приехал в Москву, пришел в Большой театр и в холле на стене нацарапал гвоздем "вася любит бальшой тятр" :)
| | |
| |
| 2.67, anonymous (??), 15:33, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной Москвы и забитого Усть-Пердыщенска.
| | |
| |
| 3.86, Af (?), 22:21, 30/12/2013 [^] [^^] [^^^] [ответить]
| +/– |
> Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной
> Москвы и забитого Усть-Пердыщенска.
Не, речь про Васю.
| | |
| 3.100, Аноним (-), 13:11, 02/01/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Заучу эту великое изречение наизусть. Особенно понравилось осторумное сравнение культурной
> Москвы и забитого Усть-Пердыщенска.
Да, остроумно.
А Москва - это где?
| | |
|
|
|
