forum.opennet.ru - "Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH" (58)

"Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH"	+/–
Сообщение от opennews (??), 10-Сен-20, 11:35
Раскрыты сведения о новой уязвимости (CVE-2020-1968) в протоколе TLS, получившей кодовое имя... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53686
Ответить \| Правка \| Cообщить модератору

Оглавление

Когда уже всем станет понятно что это не работает Галимотья сделанная для выка, Аноним (1), 11:35 , 10-Сен-20, (1) –42

Предлагай альтернативу, Аноним (2), 11:44 , 10-Сен-20, (2) +8

Игнор, КО (?), 11:45 , 10-Сен-20, (4) –2
troll Обмен ключами заранее на личной встрече troll , YetAnotherOnanym (ok), 12:07 , 10-Сен-20, (7) +11

Ну да, винца не забудь , Иисус (?), 14:55 , 10-Сен-20, (25) +3

Чая же С новичком , Онаним (?), 18:53 , 10-Сен-20, (45) +4

1 Обмен ключами шифрования только при личной встрече2 Работа через специфическ, Брат Анон (?), 12:21 , 10-Сен-20, (8) +1

Ты не понимаешь зачем это всё нужно Это нужно, чтобы доступ к чужим данным был , Аноним (10), 12:31 , 10-Сен-20, (10) +3

Без судебного решения не положено http kremlin ru acts constitution item cha, Аноним (55), 12:58 , 11-Сен-20, (55) +1

Ну да, это смешно, но как есть Нигде и никогда за всё хорошее против всего плох, Аноним (10), 13:19 , 11-Сен-20, (57) +2

Ну надо сказать, что нигде не написано не раздать всю страну своим друзьям, что, Всем Анонимам Аноним (?), 15:05 , 12-Сен-20, (59) +1

ФИДО 2 0, Аноним (63), 00:03 , 15-Сен-20, (63)

Уважаемый, вы так это написали, как-будто в этом есть что-то плохое , Брат Анон (?), 14:34 , 17-Сен-20, (64)

DANE, Сейд (ok), 15:16 , 10-Сен-20, (27) +1

да не , Аноним (33), 16:51 , 10-Сен-20, (33) –1
DANE опирается на dnsseс, а с ним большие проблемы , brlumen (?), 06:28 , 29-Фев-24, (65)

Правильно Сертификаты должно выдавать государство на безвозмездной основе, те д, Gefest (?), 13:13 , 10-Сен-20, (17) +2

Забыл уточнить, что выдавать вместе с приватными ключами Не дело это, когда пол, Sarcastic scutosaurus (?), 14:38 , 10-Сен-20, (22) +5

это неплохо если ключ официально у тов майора, значит все что нехорошее случил, Gefest (?), 15:58 , 10-Сен-20, (31)
Сбер так и делает А нет, не так Он генерит, но ничего тебе не выдаёт Просто от , Аноним (35), 17:20 , 10-Сен-20, (35) +2

Банки нередко используются для аутентификации личности, надо сказать Не знаю хо, Всем Анонимам Аноним (?), 15:07 , 12-Сен-20, (60)

https www opennet ru openforum vsluhforumID10 5512 html, Аноним (55), 13:01 , 11-Сен-20, (56)

По паспорту , Аноним (28), 15:17 , 10-Сен-20, (28) +1
И доменные имена , Сейд (ok), 09:42 , 11-Сен-20, (54)

Если не нужен престиж, то юзай Let s Encrtypt бесплатно Денег никто не просит , Аноним (19), 13:55 , 10-Сен-20, (19) +1

s не просит пока не просит , Аноним (30), 15:55 , 10-Сен-20, (30) +1

Кроме Let 8217 s Encrypt есть ещё Buypass Go , Сейд (ok), 17:40 , 10-Сен-20, (40)

Тогда может сразу в клоудфларе влезть да табуретку шарпнуть, Аноним (1), 17:31 , 10-Сен-20, (37) –1

Ты PKI с алгоритмами шифрования то не путай В новости проблема у реализации шиф, Аноним (41), 17:41 , 10-Сен-20, (41)

Изучай и как работает и для чего нужен TLS Это на компьютере можно сделать если, Аноним (1), 18:12 , 10-Сен-20, (43) –1

Фф как всегда отстает от хрома на годы , Аноним (3), 11:45 , 10-Сен-20, (3) –6

Зато хрому в инновационых методах зондирования прыти не занимать, КО (?), 11:46 , 10-Сен-20, (5) +8

Помимо телеметрии, в фф присутствует бэкдор, который зовется не бэкдором, а Stud, Аноним (3), 12:27 , 10-Сен-20, (9) –1

Ну что вы так волнуетесь Это блобы кого надо блобы, не переживайте так Сесурит, Аноним (10), 12:37 , 10-Сен-20, (11) –2
да, мы себе такого не позволяем, оформлять встроенный троянец так, чтоб его кажд, хромог (?), 12:45 , 10-Сен-20, (14) +2
Ага-ага, а software_reporter_tool, который отправляет на сервера гугла подозрите, zzz (??), 14:06 , 10-Сен-20, (20) –6

software_reporter_tool -- это что-то виндовое, да https source chromium org c, Аноним (3), 14:40 , 10-Сен-20, (23) –4

Это никак не отменяет наличие бэкдора Ты же себя пяткой бил в грудь, мол, Таког, zzz (??), 15:06 , 10-Сен-20, (26) –5

А можно подробнее, ну там файл, номер строки если не затруднит , Аноним (1), 17:33 , 10-Сен-20, (38) –1

Просто очередной хромогуглобой, слышавший звон , Аноним (49), 21:13 , 10-Сен-20, (49)

Только сайты , сами отставшие на годы - в хроме не открываются , Total Anonimus (?), 12:04 , 10-Сен-20, (6)

Ну так для того и брали Ишь чего удумали, немодных устаревших небезопасТных ко, хромог (?), 12:41 , 10-Сен-20, (13) –2
Хром наглый браузер Произошла ошибка при закачке видео файла докачка не поддер, Аноним (47), 19:19 , 10-Сен-20, (47) +1

На дороге в АД Пусть лучше отстаёт - , Аноним (41), 17:44 , 10-Сен-20, (42)

Главное - придумать имя для уязвимости - TLShole, DHildo А там - заживём , Alexey (??), 12:54 , 10-Сен-20, (16) +2

TLSuction, Аноним (34), 16:54 , 10-Сен-20, (34)
И логотип , Аноним (36), 17:23 , 10-Сен-20, (36)

То есть вместо того, чтобы исправить проблему в старой надёжной криптографии на , Аноним (18), 13:47 , 10-Сен-20, (18) +2

NSA Use our curves They were selected randomly Promise, wink wink https , Аноним (-), 15:55 , 10-Сен-20, (29) +1

However, secp256r1 uses the very suspicious seed c49d360886e704936a6 678e1139d, Аноним (-), 18:52 , 10-Сен-20, (44)

Вот бородатым математика не сидится, аж до самых глубин истинности копают хо, Секрет (?), 14:48 , 10-Сен-20, (24) –2

Если б математикам сиделось спокойно, ты б до сих пор бересту царапал, Аноним (32), 16:08 , 10-Сен-20, (32) +6

Ну вот, а кто-то возмущался что я на своих веб проектах поддерживаю только 1 3 , Аноним (48), 21:13 , 10-Сен-20, (48) +1

Я тоже для межсерверного сообщения включаю только TLS 1 3 Для клиентов из-за с, Сейд (ok), 22:19 , 10-Сен-20, (52)

А из-за актуальных Яндо-Гуглоботов, не , Ilya Indigo (ok), 17:13 , 13-Сен-20, (61)

Нет Да и вряд ли они пользуются джаббером и почтой , Сейд (ok), 17:22 , 13-Сен-20, (62)

Вот, мою предыдущую мессагу потёрли Нужно скринить сообщения, потому что тут адм, Demo (??), 08:36 , 11-Сен-20, (53)
Всё зависит от того, ЧТО ты защищаешь Если ты гадишь юзерам для защиты какого-н, Gogi (??), 17:16 , 11-Сен-20, (58)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в TLS, допускающая определение первичного ключа д..." –42 +/–

Сообщение от Аноним (1), 10-Сен-20, 11:35

Когда уже всем станет понятно что это не работает ! Галимотья сделанная для выкачивания бабла за авторизацию сертификатов непонятно у кого. В реальной жизни вы бы им и уборки унитазов не доверили.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в TLS, допускающая определение первичного ключа д..." +8 +/–

Сообщение от Аноним (2), 10-Сен-20, 11:44

Предлагай альтернативу

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в TLS, допускающая определение первичного ключа д..." –2 +/–

Сообщение от КО (?), 10-Сен-20, 11:45

Игнор

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в TLS, допускающая определение первичного ключа д..." +11 +/–

Сообщение от YetAnotherOnanym (ok), 10-Сен-20, 12:07

<troll>Обмен ключами заранее на личной встрече</troll>

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

25. "Уязвимость в TLS, допускающая определение первичного ключа д..." +3 +/–

Сообщение от Иисус (?), 10-Сен-20, 14:55

Ну да, винца не забудь.

Ответить | Правка | Наверх | Cообщить модератору

45. "Уязвимость в TLS, допускающая определение первичного ключа д..." +4 +/–

Сообщение от Онаним (?), 10-Сен-20, 18:53

Чая же. С новичком.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в TLS, допускающая определение первичного ключа д..." +1 +/–

Сообщение от Брат Анон (?), 10-Сен-20, 12:21

1) Обмен ключами шифрования только при личной встрече
2) Работа через специфический симулятор
3) Динамическая генерация ключей от сессии к сессии
4) Побочный канал для убедиться, что сессия не перехвачена по контрольному слову.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. "Уязвимость в TLS, допускающая определение первичного ключа д..." +3 +/–

Сообщение от Аноним (10), 10-Сен-20, 12:31

Ты не понимаешь зачем это всё нужно. Это нужно, чтобы доступ к чужим данным был только у тех, кому положено его иметь.

Ответить | Правка | Наверх | Cообщить модератору

55. "Уязвимость в TLS, допускающая определение первичного ключа д..." +1 +/–

Сообщение от Аноним (55), 11-Сен-20, 12:58

Без судебного решения не положено!!!
http://kremlin.ru/acts/constitution/item#chapter2
Статья 23
1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени.
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Ответить | Правка | Наверх | Cообщить модератору

57. "Уязвимость в TLS, допускающая определение первичного ключа д..." +2 +/–

Сообщение от Аноним (10), 11-Сен-20, 13:19

Ну да, это смешно, но как есть. Нигде и никогда за всё хорошее против всего плохого не будет работать как задекларировано. Это всё пустые декламации.

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость в TLS, допускающая определение первичного ключа д..." +1 +/–

Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:05

Ну надо сказать, что нигде не написано "не раздать всю страну своим друзьям, чтобы доили". Значит можно.

Ответить | Правка | Наверх | Cообщить модератору

63. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от Аноним (63), 15-Сен-20, 00:03

ФИДО 2.0

Ответить | Правка | К родителю #8 | Наверх | Cообщить модератору

64. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от Брат Анон (?), 17-Сен-20, 14:34

> ФИДО 2.0
Уважаемый, вы так это написали, как-будто в этом есть что-то плохое.

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в TLS, допускающая определение первичного ключа д..." +1 +/–

Сообщение от Сейд (ok), 10-Сен-20, 15:16

DANE

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

33. "Уязвимость в TLS, допускающая определение первичного ключа д..." –1 +/–

Сообщение от Аноним (33), 10-Сен-20, 16:51

да не!

Ответить | Правка | Наверх | Cообщить модератору

65. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от brlumen (?), 29-Фев-24, 06:28

DANE опирается на dnsseс, а с ним большие проблемы.

Ответить | Правка | К родителю #27 | Наверх | Cообщить модератору

17. "Уязвимость в TLS, допускающая определение первичного ключа д..." +2 +/–

Сообщение от Gefest (?), 10-Сен-20, 13:13

Правильно. Сертификаты должно выдавать государство на безвозмездной основе, те даром. Разожрались гады.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

22. "Уязвимость в TLS, допускающая определение первичного ключа д..." +5 +/–

Сообщение от Sarcastic scutosaurus (?), 10-Сен-20, 14:38

> Сертификаты должно выдавать государство на безвозмездной основе, те даром.
Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от Gefest (?), 10-Сен-20, 15:58

это неплохо :если ключ официально у тов майора, значит все что нехорошее случилось - это тов майорова провокация ..

Ответить | Правка | Наверх | Cообщить модератору

35. "Уязвимость в TLS, допускающая определение первичного ключа д..." +2 +/–

Сообщение от Аноним (35), 10-Сен-20, 17:20

Сбер так и делает.
А нет, не так. Он генерит, но ничего тебе не выдаёт.
Просто от твоего имени создаст ключи, подпишет ими документы для пенсионного фонда.
Заверит тебя что это для твоего же блага - "Нет, нет. Мы не подделываем Вашу подпись. Это просто чтоб Вам не ходит и самому все не подписывать."
Непонятно почему фонд доверяет ключам сгенерированным сбером. Или сбер уже удостоверяющим центром стал?

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

60. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:07

Банки нередко используются для аутентификации личности, надо сказать. Не знаю хорошо это или плохо.

Ответить | Правка | Наверх | Cообщить модератору

56. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от Аноним (55), 11-Сен-20, 13:01

> Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.
https://www.opennet.ru/openforum/vsluhforumID10/5512.html

Ответить | Правка | К родителю #22 | Наверх | Cообщить модератору

28. "Уязвимость в TLS, допускающая определение первичного ключа д..." +1 +/–

Сообщение от Аноним (28), 10-Сен-20, 15:17

По паспорту.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

54. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от Сейд (ok), 11-Сен-20, 09:42

И доменные имена.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

19. "Уязвимость в TLS, допускающая определение первичного ключа д..." +1 +/–

Сообщение от Аноним (19), 10-Сен-20, 13:55

Если не нужен престиж, то юзай Let's Encrtypt бесплатно. Денег никто не просит.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

30. "Уязвимость в TLS, допускающая определение первичного ключа д..." +1 +/–

Сообщение от Аноним (30), 10-Сен-20, 15:55

s/не просит/пока не просит/

Ответить | Правка | Наверх | Cообщить модератору

40. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от Сейд (ok), 10-Сен-20, 17:40

Кроме Let’s Encrypt есть ещё Buypass Go.

Ответить | Правка | Наверх | Cообщить модератору

37. "Уязвимость в TLS, допускающая определение первичного ключа д..." –1 +/–

Сообщение от Аноним (1), 10-Сен-20, 17:31

Тогда может сразу в клоудфларе влезть да табуретку шарпнуть

Ответить | Правка | К родителю #19 | Наверх | Cообщить модератору

41. "Уязвимость в TLS, допускающая определение первичного ключа д..." +/–

Сообщение от Аноним (41), 10-Сен-20, 17:41

Ты PKI с алгоритмами шифрования то не путай. В новости проблема у реализации шифрования, а не в PKI.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

43. "Уязвимость в TLS, допускающая определение первичного ключа д..." –1 +/–

Сообщение от Аноним (1), 10-Сен-20, 18:12

Изучай и как работает и для чего нужен TLS. Это на компьютере можно сделать если что

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в TLS, допускающая определение ключа для соединен..." –6 +/–

Сообщение от Аноним (3), 10-Сен-20, 11:45

> В Chrome поддержка DH была прекращена ещё в 2016 году
> Начиная с Firefox 78 проблемные шифры отключены.
> Firefox 78 Release Date: 2020-06-30
Фф как всегда отстает от хрома на годы.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в TLS, допускающая определение ключа для соединен..." +8 +/–

Сообщение от КО (?), 10-Сен-20, 11:46

Зато хрому в инновационых методах зондирования прыти не занимать

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в TLS, допускающая определение ключа для соединен..." –1 +/–

Сообщение от Аноним (3), 10-Сен-20, 12:27

Помимо телеметрии, в фф присутствует бэкдор, который зовется не бэкдором, а Studies. Такого себе даже гугл не позволял: идти и слепо скачивать какой-то запускаемый код, а потом втихаря выполнять его без спроса и ведома пользователя. Прайваси-фокусед бравзер, не иначе!

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в TLS, допускающая определение ключа для соединен..." –2 +/–

Сообщение от Аноним (10), 10-Сен-20, 12:37

Ну что вы так волнуетесь. Это блобы кого надо блобы, не переживайте так. Сесурити на самом высоком уровне и мы пока даже не заметили подмены. А если заметили, то сделаем вид, что ничего не было, так что, поводов для беспокойства ровным счётом никаких нет.

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в TLS, допускающая определение ключа для соединен..." +2 +/–

Сообщение от хромог (?), 10-Сен-20, 12:45

> Такого себе даже гугл не позволял
да, мы себе такого не позволяем, оформлять встроенный троянец так, чтоб его каждому было видно!
А то еще, чего доброго, и отключать научитесь, как это и вышло с фуфлофоксой.
А если бы у вас был мозг - то вы бы задумались, каким это интересным образом гугль "включил для части пользователей поддержку DoH", например.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

20. "Уязвимость в TLS, допускающая определение ключа для соединен..." –6 +/–

Сообщение от zzz (??), 10-Сен-20, 14:06

Ага-ага, а software_reporter_tool, который отправляет на сервера гугла подозрительные файлы - наверное, мозиловцы подбросили. И эксперименты с хромом гугл проводит с помощью молитвы - никаких бинарей, что вы. И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

23. "Уязвимость в TLS, допускающая определение ключа для соединен..." –4 +/–

Сообщение от Аноним (3), 10-Сен-20, 14:40

software_reporter_tool -- это что-то виндовое, да? https://source.chromium.org/chromium/chromium/src/+/master:c...
> эксперименты с хромом гугл проводит с помощью молитвы
Эксперименты проводятся при помощи явно напечатанного пользователем sudo dnf update. Но в этих ваших вендах любая софтина вынуждена переизобретать самоскачивание и самообновление.
> И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок.
Хромиум: гугловая телеметрия.
Файрфокс: мозилловская телеметрия + дефолтный гугл + бэкдор "Studies" <------- Очевидный выбор любителей прайваси!
И чего только существуют бесчисленныЕ проектЫ типа github.com/intika/Librefox (проектЫ, во мн. ч.), че-то там "усиливающие прайваси" в файрфоксе? Ведь в фф нет никаких закладок.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в TLS, допускающая определение ключа для соединен..." –5 +/–

Сообщение от zzz (??), 10-Сен-20, 15:06

>это что-то виндовое, да?
Это никак не отменяет наличие бэкдора.
>Очевидный выбор любителей прайваси!
Ты же себя пяткой бил в грудь, мол, "Такого себе даже гугл не позволял", забыл, пупсик?

Ответить | Правка | Наверх | Cообщить модератору

38. "Уязвимость в TLS, допускающая определение ключа для соединен..." –1 +/–

Сообщение от Аноним (1), 10-Сен-20, 17:33

А можно подробнее, ну там файл, номер строки если не затруднит.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

49. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Аноним (49), 10-Сен-20, 21:13

> А можно подробнее, ну там файл, номер строки если не затруднит.
Просто очередной хромогуглобой, слышавший звон.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Total Anonimus (?), 10-Сен-20, 12:04

Только сайты , сами "отставшие на годы" - в хроме не открываются ...

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

13. "Уязвимость в TLS, допускающая определение ключа для соединен..." –2 +/–

Сообщение от хромог (?), 10-Сен-20, 12:41

Ну так "для того и брали!"
Ишь чего удумали, немодных устаревших небезопасТных котиков смотреть! Марш в факбук и ютупчик, там все безопастно, надежно, каждый ваш не то что клик, а случайное шевеление мышью записан и подшит к делу. БезопасТность высшего уровня!

Ответить | Правка | Наверх | Cообщить модератору

47. "Уязвимость в TLS, допускающая определение ключа для соединен..." +1 +/–

Сообщение от Аноним (47), 10-Сен-20, 19:19

Хром наглый браузер. Произошла ошибка при закачке видео файла (докачка не поддерживалась), так он недокачанный файл удалил, хотя я еще диспетчер загрузок не почистил. Вот наглость. Может, я хотел посмотреть что там.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

42. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Аноним (41), 10-Сен-20, 17:44

На дороге в АД? Пусть лучше отстаёт :-)

Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

16. "Уязвимость в TLS, допускающая определение ключа для соединен..." +2 +/–

Сообщение от Alexey (??), 10-Сен-20, 12:54

Главное - придумать имя для уязвимости - TLShole, DHildo.
А там - заживём...

Ответить | Правка | Наверх | Cообщить модератору

34. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Аноним (34), 10-Сен-20, 16:54

TLSuction

Ответить | Правка | Наверх | Cообщить модератору

36. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Аноним (36), 10-Сен-20, 17:23

И логотип!

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

18. "Уязвимость в TLS, допускающая определение ключа для соединен..." +2 +/–

Сообщение от Аноним (18), 10-Сен-20, 13:47

>В OpenSSL уязвимости присвоен низкий уровень опасности, а исправление свелось к перемещению в выпуске 1.0.2w проблемных шифров "TLS_DH_*" в отключённую по умолчанию категорию шифров с недостаточным уровнем защиты
То есть вместо того, чтобы исправить проблему в старой надёжной криптографии на Z_p^*, заюзав constant time примитивы, или просто измерив время вычисления, и дополнив до нужного спинлоком, они просто отключили её, чтобы заставить всех купить новые ведрофоны, и попутно удовлетворить NSA насаждением эллиптики.
Запомните дети - каждый раз, когда вы решаете на чём-то сэкономить в безопасности, вы лишаетесь безопасности. Security through obscurity как она есть, гарантированную безопасность вам даст только любой из видов одноразового блокнота. Всё остальное - это попытки сэкономить (=считерить), и надеяться, что этим никто не сможет воспользоваться. Вон, Intel и прочие производители процессоров уже дочитерились. Более того, я уверен, что подозрения о возможностях использования этих микроархитектурных решений инженерами осознавались ещё на стадии идеи. Но тут выбор небольшой - либо ты портишь безопасность в угоду скорости, либо твои процессоры проигрывают конкурирующим и ты вылетаешь с рынка. Это если не нанять команду, для поиска уязвимостей в процессорах конкурентов и публикации статей о них в открытом доступе, после которых им придётся выпустить контрмеры, после которых их процессоры станут медленнее, чем если бы были сделаны правильно.
В large scale системах, экономия на одном запросе копеек, выльется в копеечную (в виде отношения к общей прибыли) прибавку к прибыли для корпорации, но некопеечную прибавку к зарплате для её менеджера, даже если только малую долю от этой прибавки выписать себе в премию. А на безопасность пользователей менеджерам плевать, своя премия ближе к телу.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в TLS, допускающая определение ключа для соединен..." +1 +/–

Сообщение от Аноним (-), 10-Сен-20, 15:55

> и попутно удовлетворить NSA насаждением эллиптики.
"NSA: Use our curves. They were selected *randomly*. Promise, wink wink."
https://vnhacker.blogspot.com/2020/09/a-history-of-elliptic-...
речь не о эллиптике вообще, а о анбшной эллиптике.
по эллиптике много прозрачных материалов тут и тут:
http://www.herongyang.com/EC-Cryptography/Group-Abelian-Grou...
https://eprint.iacr.org/2013/734.pdf (Cryptographic Sanity Check)
https://www.math.uchicago.edu/~may/REU2014/REUPapers/Parker.pdf
https://www.ams.org/journals/mcom/1987-48-177/S0025-5718-198...
p.s. в 40-е гб повторно использовало одноразовые блокноты (Venona files), и это не было проблемой блокнотов.

Ответить | Правка | Наверх | Cообщить модератору

44. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Аноним (-), 10-Сен-20, 18:52

"However, secp256r1 uses the very suspicious seed "c49d360886e704936a6 678e1139d26b7819f7e90" which is strangely similar to the backdoor in Dual_EC_DRBG [18]" (A comparison between the secp256r1and the koblitz secp256k1 bitcoin curves)

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость в TLS, допускающая определение ключа для соединен..." –2 +/–

Сообщение от Секрет (?), 10-Сен-20, 14:48

Вот бородатым математика не сидится, аж до самых глубин истинности копают ... хоть отвлеклись, на один язык программирования меньше изобрели, и то славно.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость в TLS, допускающая определение ключа для соединен..." +6 +/–

Сообщение от Аноним (32), 10-Сен-20, 16:08

Если б математикам сиделось спокойно, ты б до сих пор бересту царапал

Ответить | Правка | Наверх | Cообщить модератору

48. "Уязвимость в TLS, допускающая определение ключа для соединен..." +1 +/–

Сообщение от Аноним (48), 10-Сен-20, 21:13

> Уязвимы только протоколы TLS до версии 1.2 включительно, протокол TLS 1.3 проблеме не подвержен
Ну вот, а кто-то возмущался что я на своих веб проектах поддерживаю только 1.3. Ещё и тут и сообщения трут.

Ответить | Правка | Наверх | Cообщить модератору

52. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Сейд (ok), 10-Сен-20, 22:19

Я тоже для межсерверного сообщения включаю только TLS 1.3. Для клиентов (из-за старых версий Android), к сожалению, приходится оставлять TLS 1.2 и TLS 1.3.

Ответить | Правка | Наверх | Cообщить модератору

61. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Ilya Indigo (ok), 13-Сен-20, 17:13

> ...(из-за старых версий Android)...
А из-за актуальных Яндо-Гуглоботов, не?

Ответить | Правка | Наверх | Cообщить модератору

62. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Сейд (ok), 13-Сен-20, 17:22

Нет. Да и вряд ли они пользуются джаббером и почтой.

Ответить | Правка | Наверх | Cообщить модератору

53. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Demo (??), 11-Сен-20, 08:36

> Ещё и тут и сообщения трут.
Вот, мою предыдущую мессагу потёрли.
Нужно скринить сообщения, потому что тут администрация бардак с кнопкой развела.
Товарищ или товарищи с синдромом вахтёра дорвались до кнопки.
Предполагаю, что товарищ ещё думает, что занимается чем-то полезным,
а его труды не ценят.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

58. "Уязвимость в TLS, допускающая определение ключа для соединен..." +/–

Сообщение от Gogi (??), 11-Сен-20, 17:16

Всё зависит от того, ЧТО ты защищаешь. Если ты гадишь юзерам для защиты какого-нть форума, то гореть тебе в аду. А если там магазин какой, то опять же - драконовские меры имеют смысл ТОЛЬКО если ты "автоматом" позволяешь платить за заказ. Если ничего этого нет, то и защита твоя ни***я не стоит.

Ответить | Правка | К родителю #48 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в TLS, допускающая определение первичного ключа д..."	–42 +/–
Сообщение от Аноним (1), 10-Сен-20, 11:35
Когда уже всем станет понятно что это не работает ! Галимотья сделанная для выкачивания бабла за авторизацию сертификатов непонятно у кого. В реальной жизни вы бы им и уборки унитазов не доверили.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+8 +/–
	Сообщение от Аноним (2), 10-Сен-20, 11:44
	Предлагай альтернативу
	Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Уязвимость в TLS, допускающая определение первичного ключа д..."	–2 +/–
	Сообщение от КО (?), 10-Сен-20, 11:45
	Игнор
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+11 +/–
	Сообщение от YetAnotherOnanym (ok), 10-Сен-20, 12:07
	<troll>Обмен ключами заранее на личной встрече</troll>
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	25. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+3 +/–
	Сообщение от Иисус (?), 10-Сен-20, 14:55
	Ну да, винца не забудь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+4 +/–
	Сообщение от Онаним (?), 10-Сен-20, 18:53
	Чая же. С новичком.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+1 +/–
	Сообщение от Брат Анон (?), 10-Сен-20, 12:21
	1) Обмен ключами шифрования только при личной встрече 2) Работа через специфический симулятор 3) Динамическая генерация ключей от сессии к сессии 4) Побочный канал для убедиться, что сессия не перехвачена по контрольному слову.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	10. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+3 +/–
	Сообщение от Аноним (10), 10-Сен-20, 12:31
	Ты не понимаешь зачем это всё нужно. Это нужно, чтобы доступ к чужим данным был только у тех, кому положено его иметь.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	55. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+1 +/–
	Сообщение от Аноним (55), 11-Сен-20, 12:58
	Без судебного решения не положено!!! http://kremlin.ru/acts/constitution/item#chapter2 Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	57. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+2 +/–
	Сообщение от Аноним (10), 11-Сен-20, 13:19
	Ну да, это смешно, но как есть. Нигде и никогда за всё хорошее против всего плохого не будет работать как задекларировано. Это всё пустые декламации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+1 +/–
	Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:05
	Ну надо сказать, что нигде не написано "не раздать всю страну своим друзьям, чтобы доили". Значит можно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	63. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от Аноним (63), 15-Сен-20, 00:03
	ФИДО 2.0
	Ответить \| Правка \| К родителю #8 \| Наверх \| Cообщить модератору


	64. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от Брат Анон (?), 17-Сен-20, 14:34
	> ФИДО 2.0 Уважаемый, вы так это написали, как-будто в этом есть что-то плохое.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+1 +/–
	Сообщение от Сейд (ok), 10-Сен-20, 15:16
	DANE
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	33. "Уязвимость в TLS, допускающая определение первичного ключа д..."	–1 +/–
	Сообщение от Аноним (33), 10-Сен-20, 16:51
	да не!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	65. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от brlumen (?), 29-Фев-24, 06:28
	DANE опирается на dnsseс, а с ним большие проблемы.
	Ответить \| Правка \| К родителю #27 \| Наверх \| Cообщить модератору


	17. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+2 +/–
	Сообщение от Gefest (?), 10-Сен-20, 13:13
	Правильно. Сертификаты должно выдавать государство на безвозмездной основе, те даром. Разожрались гады.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	22. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+5 +/–
	Сообщение от Sarcastic scutosaurus (?), 10-Сен-20, 14:38
	> Сертификаты должно выдавать государство на безвозмездной основе, те даром. Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от Gefest (?), 10-Сен-20, 15:58
	это неплохо :если ключ официально у тов майора, значит все что нехорошее случилось - это тов майорова провокация ..
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+2 +/–
	Сообщение от Аноним (35), 10-Сен-20, 17:20
	Сбер так и делает. А нет, не так. Он генерит, но ничего тебе не выдаёт. Просто от твоего имени создаст ключи, подпишет ими документы для пенсионного фонда. Заверит тебя что это для твоего же блага - "Нет, нет. Мы не подделываем Вашу подпись. Это просто чтоб Вам не ходит и самому все не подписывать." Непонятно почему фонд доверяет ключам сгенерированным сбером. Или сбер уже удостоверяющим центром стал?
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	60. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:07
	Банки нередко используются для аутентификации личности, надо сказать. Не знаю хорошо это или плохо.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	56. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от Аноним (55), 11-Сен-20, 13:01
	> Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ. https://www.opennet.ru/openforum/vsluhforumID10/5512.html
	Ответить \| Правка \| К родителю #22 \| Наверх \| Cообщить модератору


	28. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+1 +/–
	Сообщение от Аноним (28), 10-Сен-20, 15:17
	По паспорту.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	54. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от Сейд (ok), 11-Сен-20, 09:42
	И доменные имена.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	19. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+1 +/–
	Сообщение от Аноним (19), 10-Сен-20, 13:55
	Если не нужен престиж, то юзай Let's Encrtypt бесплатно. Денег никто не просит.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	30. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+1 +/–
	Сообщение от Аноним (30), 10-Сен-20, 15:55
	s/не просит/пока не просит/
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от Сейд (ok), 10-Сен-20, 17:40
	Кроме Let’s Encrypt есть ещё Buypass Go.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Уязвимость в TLS, допускающая определение первичного ключа д..."	–1 +/–
	Сообщение от Аноним (1), 10-Сен-20, 17:31
	Тогда может сразу в клоудфларе влезть да табуретку шарпнуть
	Ответить \| Правка \| К родителю #19 \| Наверх \| Cообщить модератору


	41. "Уязвимость в TLS, допускающая определение первичного ключа д..."	+/–
	Сообщение от Аноним (41), 10-Сен-20, 17:41
	Ты PKI с алгоритмами шифрования то не путай. В новости проблема у реализации шифрования, а не в PKI.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	43. "Уязвимость в TLS, допускающая определение первичного ключа д..."	–1 +/–
	Сообщение от Аноним (1), 10-Сен-20, 18:12
	Изучай и как работает и для чего нужен TLS. Это на компьютере можно сделать если что
	Ответить \| Правка \| Наверх \| Cообщить модератору