forum.opennet.ru

Составление сообщения

Исходное сообщение

"Уязимость в удостоверяющем центре Comodo позволила получить ..."
Отправлено opennews, 21-Окт-16 23:43

Исследователи безопасности продемонстрировали (https://bugzilla.mozilla.org/show_bug.cgi?id=1311713) наличие в удостоверяющем центре Comodo уязвимости, позволившей им получить сертификат для не принадлежащего им домена. Информация о проведённом эксперименте была направлена в Comodo и  проблема уже устранена (https://www.mail-archive.com/dev-security-policy@lists....).
Comodo использует для получения контактного адреса владельца домена сервис WHOIS, но так как серверы WHOIS для доменов .eu и .be выдают информацию не в текстовом виде, а показывая картинку, в Comodo для перевода информации в текст используется система распознавания текста (OCR).  Суть проблемы в том, что OCR неверно интерпретирует некоторые похожие по начертанию символы и цифры, например, путает "1" (один) и "l" (строчная L). Для обхода этой особенности, в OCR была  добавлена специальная проверка, которая интерпретировала спорный знак как цифру, если рядом расположены цифры, или как букву, если знак окружают буквы.

Исследователи провели эксперимент и успешно получили сертификат для сайта a1-telekom.eu австралийского провайдера A1 Telekom, имеющего несколько миллионов клиентов. WHOIS-сервис выдаёт в качестве контактного адреса для домена  a1-telekom.eu картинку с email  domain.billing@a
1
telekom.at, но OCR распознаёт адрес как domain.billing@a
l
telekom.at и отправляет не него код подтверждения. Исследователи зарегистрировали новый домен a
l
telekom.at и успешно получили полноценный сертификат для домена a1-telekom.eu.
URL: https://www.mail-archive.com/dev-security-policy@lists....
Новость: https://www.opennet.ru/opennews/art.shtml?num=45359

Исходное сообщение
"Уязимость в удостоверяющем центре Comodo позволила получить ..." Отправлено opennews, 21-Окт-16 23:43
Исследователи безопасности продемонстрировали (https://bugzilla.mozilla.org/show_bug.cgi?id=1311713) наличие в удостоверяющем центре Comodo уязвимости, позволившей им получить сертификат для не принадлежащего им домена. Информация о проведённом эксперименте была направлена в Comodo и проблема уже устранена (https://www.mail-archive.com/dev-security-policy@lists....). Comodo использует для получения контактного адреса владельца домена сервис WHOIS, но так как серверы WHOIS для доменов .eu и .be выдают информацию не в текстовом виде, а показывая картинку, в Comodo для перевода информации в текст используется система распознавания текста (OCR). Суть проблемы в том, что OCR неверно интерпретирует некоторые похожие по начертанию символы и цифры, например, путает "1" (один) и "l" (строчная L). Для обхода этой особенности, в OCR была добавлена специальная проверка, которая интерпретировала спорный знак как цифру, если рядом расположены цифры, или как букву, если знак окружают буквы. Исследователи провели эксперимент и успешно получили сертификат для сайта a1-telekom.eu австралийского провайдера A1 Telekom, имеющего несколько миллионов клиентов. WHOIS-сервис выдаёт в качестве контактного адреса для домена a1-telekom.eu картинку с email domain.billing@a 1 telekom.at, но OCR распознаёт адрес как domain.billing@a l telekom.at и отправляет не него код подтверждения. Исследователи зарегистрировали новый домен a l telekom.at и успешно получили полноценный сертификат для домена a1-telekom.eu. URL: https://www.mail-archive.com/dev-security-policy@lists.... Новость: https://www.opennet.ru/opennews/art.shtml?num=45359

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Исследователи безопасности продемонстрировали (https://bugzilla.mozilla.org/show_bug.cgi?id=1311713) 
> наличие в удостоверяющем центре Comodo уязвимости, позволившей им получить сертификат 
> для не принадлежащего им домена. Информация о проведённом эксперименте была направлена 
> в Comodo и  проблема уже устранена (https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg04654.html).

> Comodo использует для получения контактного адреса владельца домена сервис WHOIS, но так 
> как серверы WHOIS для доменов .eu и .be выдают информацию не 
> в текстовом виде, а показывая картинку, в Comodo для перевода информации 
> в текст используется система распознавания текста (OCR).  Суть проблемы в 
> том, что OCR неверно интерпретирует некоторые похожие по начертанию символы и 
> цифры, например, путает "1" (один) и "l" (строчная L). Для обхода 
> этой особенности, в OCR была  добавлена специальная проверка, которая интерпретировала 
> спорный знак как цифру, если рядом расположены цифры, или как букву, 
> если знак окружают буквы.

> Исследователи провели эксперимент и успешно получили сертификат для сайта a1-telekom.eu 
> австралийского провайдера A1 Telekom, имеющего несколько миллионов клиентов. WHOIS-сервис 
> выдаёт в качестве контактного адреса для домена  a1-telekom.eu картинку с 
> email  domain.billing@a 
> 1 
> telekom.at, но OCR распознаёт адрес как domain.billing@a 
> l 
> telekom.at и отправляет не него код подтверждения. Исследователи зарегистрировали новый 
> домен a 
> l 
> telekom.at и успешно получили полноценный сертификат для домена a1-telekom.eu.

> URL: https://www.mail-archive.com/dev-security-policy@lists.mozilla.org/msg04654.html 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=45359

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру