Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в TLS, допускающая определение ключа для соединений на базе шифров DH"	+/–
Сообщение от opennews (??), 10-Сен-20, 11:35
Раскрыты сведения о новой уязвимости (CVE-2020-1968) в протоколе TLS, получившей кодовое имя... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53686
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 10-Сен-20, 11:35	–42 +/–
Когда уже всем станет понятно что это не работает ! Галимотья сделанная для выкачивания бабла за авторизацию сертификатов непонятно у кого. В реальной жизни вы бы им и уборки унитазов не доверили.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #17, #19, #41

2. Сообщение от Аноним (2), 10-Сен-20, 11:44	+8 +/–
Предлагай альтернативу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4, #7, #8, #27

3. Сообщение от Аноним (3), 10-Сен-20, 11:45	–6 +/–
> В Chrome поддержка DH была прекращена ещё в 2016 году > Начиная с Firefox 78 проблемные шифры отключены. > Firefox 78 Release Date: 2020-06-30 Фф как всегда отстает от хрома на годы.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #5, #6, #42

4. Сообщение от КО (?), 10-Сен-20, 11:45	–2 +/–
Игнор
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

5. Сообщение от КО (?), 10-Сен-20, 11:46	+8 +/–
Зато хрому в инновационых методах зондирования прыти не занимать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #9

6. Сообщение от Total Anonimus (?), 10-Сен-20, 12:04	+/–
Только сайты , сами "отставшие на годы" - в хроме не открываются ...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #13, #47

7. Сообщение от YetAnotherOnanym (ok), 10-Сен-20, 12:07	+11 +/–
<troll>Обмен ключами заранее на личной встрече</troll>
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #25

8. Сообщение от Брат Анон (?), 10-Сен-20, 12:21	+1 +/–
1) Обмен ключами шифрования только при личной встрече 2) Работа через специфический симулятор 3) Динамическая генерация ключей от сессии к сессии 4) Побочный канал для убедиться, что сессия не перехвачена по контрольному слову.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10, #63

9. Сообщение от Аноним (3), 10-Сен-20, 12:27	–1 +/–
Помимо телеметрии, в фф присутствует бэкдор, который зовется не бэкдором, а Studies. Такого себе даже гугл не позволял: идти и слепо скачивать какой-то запускаемый код, а потом втихаря выполнять его без спроса и ведома пользователя. Прайваси-фокусед бравзер, не иначе!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11, #14, #20, #38

10. Сообщение от Аноним (10), 10-Сен-20, 12:31	+3 +/–
Ты не понимаешь зачем это всё нужно. Это нужно, чтобы доступ к чужим данным был только у тех, кому положено его иметь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #55

11. Сообщение от Аноним (10), 10-Сен-20, 12:37	–2 +/–
Ну что вы так волнуетесь. Это блобы кого надо блобы, не переживайте так. Сесурити на самом высоком уровне и мы пока даже не заметили подмены. А если заметили, то сделаем вид, что ничего не было, так что, поводов для беспокойства ровным счётом никаких нет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

13. Сообщение от хромог (?), 10-Сен-20, 12:41	–2 +/–
Ну так "для того и брали!" Ишь чего удумали, немодных устаревших небезопасТных котиков смотреть! Марш в факбук и ютупчик, там все безопастно, надежно, каждый ваш не то что клик, а случайное шевеление мышью записан и подшит к делу. БезопасТность высшего уровня!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

14. Сообщение от хромог (?), 10-Сен-20, 12:45	+2 +/–
> Такого себе даже гугл не позволял да, мы себе такого не позволяем, оформлять встроенный троянец так, чтоб его каждому было видно! А то еще, чего доброго, и отключать научитесь, как это и вышло с фуфлофоксой. А если бы у вас был мозг - то вы бы задумались, каким это интересным образом гугль "включил для части пользователей поддержку DoH", например.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

16. Сообщение от Alexey (??), 10-Сен-20, 12:54	+2 +/–
Главное - придумать имя для уязвимости - TLShole, DHildo. А там - заживём...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #34, #36

17. Сообщение от Gefest (?), 10-Сен-20, 13:13	+2 +/–
Правильно. Сертификаты должно выдавать государство на безвозмездной основе, те даром. Разожрались гады.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #22, #28, #54

18. Сообщение от Аноним (18), 10-Сен-20, 13:47	+2 +/–
>В OpenSSL уязвимости присвоен низкий уровень опасности, а исправление свелось к перемещению в выпуске 1.0.2w проблемных шифров "TLS_DH_*" в отключённую по умолчанию категорию шифров с недостаточным уровнем защиты То есть вместо того, чтобы исправить проблему в старой надёжной криптографии на Z_p^*, заюзав constant time примитивы, или просто измерив время вычисления, и дополнив до нужного спинлоком, они просто отключили её, чтобы заставить всех купить новые ведрофоны, и попутно удовлетворить NSA насаждением эллиптики. Запомните дети - каждый раз, когда вы решаете на чём-то сэкономить в безопасности, вы лишаетесь безопасности. Security through obscurity как она есть, гарантированную безопасность вам даст только любой из видов одноразового блокнота. Всё остальное - это попытки сэкономить (=считерить), и надеяться, что этим никто не сможет воспользоваться. Вон, Intel и прочие производители процессоров уже дочитерились. Более того, я уверен, что подозрения о возможностях использования этих микроархитектурных решений инженерами осознавались ещё на стадии идеи. Но тут выбор небольшой - либо ты портишь безопасность в угоду скорости, либо твои процессоры проигрывают конкурирующим и ты вылетаешь с рынка. Это если не нанять команду, для поиска уязвимостей в процессорах конкурентов и публикации статей о них в открытом доступе, после которых им придётся выпустить контрмеры, после которых их процессоры станут медленнее, чем если бы были сделаны правильно. В large scale системах, экономия на одном запросе копеек, выльется в копеечную (в виде отношения к общей прибыли) прибавку к прибыли для корпорации, но некопеечную прибавку к зарплате для её менеджера, даже если только малую долю от этой прибавки выписать себе в премию. А на безопасность пользователей менеджерам плевать, своя премия ближе к телу.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #29

19. Сообщение от Аноним (19), 10-Сен-20, 13:55	+1 +/–
Если не нужен престиж, то юзай Let's Encrtypt бесплатно. Денег никто не просит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #30, #37

20. Сообщение от zzz (??), 10-Сен-20, 14:06	–6 +/–
Ага-ага, а software_reporter_tool, который отправляет на сервера гугла подозрительные файлы - наверное, мозиловцы подбросили. И эксперименты с хромом гугл проводит с помощью молитвы - никаких бинарей, что вы. И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #23

22. Сообщение от Sarcastic scutosaurus (?), 10-Сен-20, 14:38	+5 +/–
> Сертификаты должно выдавать государство на безвозмездной основе, те даром. Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #31, #35, #56

23. Сообщение от Аноним (3), 10-Сен-20, 14:40	–4 +/–
software_reporter_tool -- это что-то виндовое, да? https://source.chromium.org/chromium/chromium/src/+/master:c... > эксперименты с хромом гугл проводит с помощью молитвы Эксперименты проводятся при помощи явно напечатанного пользователем sudo dnf update. Но в этих ваших вендах любая софтина вынуждена переизобретать самоскачивание и самообновление. > И чего только существует проект ungoogled chromium, ведь в хромиуме нет никаких закладок. Хромиум: гугловая телеметрия. Файрфокс: мозилловская телеметрия + дефолтный гугл + бэкдор "Studies" <------- Очевидный выбор любителей прайваси! И чего только существуют бесчисленныЕ проектЫ типа github.com/intika/Librefox (проектЫ, во мн. ч.), че-то там "усиливающие прайваси" в файрфоксе? Ведь в фф нет никаких закладок.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #26

24. Сообщение от Секрет (?), 10-Сен-20, 14:48	–2 +/–
Вот бородатым математика не сидится, аж до самых глубин истинности копают ... хоть отвлеклись, на один язык программирования меньше изобрели, и то славно.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

25. Сообщение от Иисус (?), 10-Сен-20, 14:55	+3 +/–
Ну да, винца не забудь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #45

26. Сообщение от zzz (??), 10-Сен-20, 15:06	–5 +/–
>это что-то виндовое, да? Это никак не отменяет наличие бэкдора. >Очевидный выбор любителей прайваси! Ты же себя пяткой бил в грудь, мол, "Такого себе даже гугл не позволял", забыл, пупсик?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #23

27. Сообщение от Сейд (ok), 10-Сен-20, 15:16	+1 +/–
DANE
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #33, #65

28. Сообщение от Аноним (28), 10-Сен-20, 15:17	+1 +/–
По паспорту.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

29. Сообщение от Аноним (-), 10-Сен-20, 15:55	+1 +/–
> и попутно удовлетворить NSA насаждением эллиптики. "NSA: Use our curves. They were selected *randomly*. Promise, wink wink." https://vnhacker.blogspot.com/2020/09/a-history-of-elliptic-... речь не о эллиптике вообще, а о анбшной эллиптике. по эллиптике много прозрачных материалов тут и тут: http://www.herongyang.com/EC-Cryptography/Group-Abelian-Grou... https://eprint.iacr.org/2013/734.pdf (Cryptographic Sanity Check) https://www.math.uchicago.edu/~may/REU2014/REUPapers/Parker.pdf https://www.ams.org/journals/mcom/1987-48-177/S0025-5718-198... p.s. в 40-е гб повторно использовало одноразовые блокноты (Venona files), и это не было проблемой блокнотов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #44

30. Сообщение от Аноним (30), 10-Сен-20, 15:55	+1 +/–
s/не просит/пока не просит/
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #40

31. Сообщение от Gefest (?), 10-Сен-20, 15:58	+/–
это неплохо :если ключ официально у тов майора, значит  все что нехорошее случилось - это тов майорова провокация ..
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

32. Сообщение от Аноним (32), 10-Сен-20, 16:08	+6 +/–
Если б математикам сиделось спокойно, ты б до сих пор бересту царапал
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

33. Сообщение от Аноним (33), 10-Сен-20, 16:51	–1 +/–
да не!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

34. Сообщение от Аноним (34), 10-Сен-20, 16:54	+/–
TLSuction
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

35. Сообщение от Аноним (35), 10-Сен-20, 17:20	+2 +/–
Сбер так и делает. А нет, не так. Он генерит, но ничего тебе не выдаёт. Просто от твоего имени создаст ключи, подпишет ими документы для пенсионного фонда. Заверит тебя что это для твоего же блага - "Нет, нет. Мы не подделываем Вашу подпись. Это просто чтоб Вам не ходит и самому все не подписывать." Непонятно почему фонд доверяет ключам сгенерированным сбером. Или сбер уже удостоверяющим центром стал?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #60

36. Сообщение от Аноним (36), 10-Сен-20, 17:23	+/–
И логотип!
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

37. Сообщение от Аноним (1), 10-Сен-20, 17:31	–1 +/–
Тогда может сразу в клоудфларе влезть да табуретку шарпнуть
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

38. Сообщение от Аноним (1), 10-Сен-20, 17:33	–1 +/–
А можно подробнее, ну там файл, номер строки если не затруднит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #49

40. Сообщение от Сейд (ok), 10-Сен-20, 17:40	+/–
Кроме Let’s Encrypt есть ещё Buypass Go.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

41. Сообщение от Аноним (41), 10-Сен-20, 17:41	+/–
Ты PKI с алгоритмами шифрования то не путай. В новости проблема у реализации шифрования, а не в PKI.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #43

42. Сообщение от Аноним (41), 10-Сен-20, 17:44	+/–
На дороге в АД? Пусть лучше отстаёт :-)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

43. Сообщение от Аноним (1), 10-Сен-20, 18:12	–1 +/–
Изучай и как работает и для чего нужен TLS. Это на компьютере можно сделать если что
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41

44. Сообщение от Аноним (-), 10-Сен-20, 18:52	+/–
"However, secp256r1 uses the very suspicious seed "c49d360886e704936a6 678e1139d26b7819f7e90" which is strangely similar to the backdoor in Dual_EC_DRBG [18]" (A comparison between the secp256r1and the koblitz secp256k1 bitcoin curves)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29

45. Сообщение от Онаним (?), 10-Сен-20, 18:53	+4 +/–
Чая же. С новичком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

47. Сообщение от Аноним (47), 10-Сен-20, 19:19	+1 +/–
Хром наглый браузер. Произошла ошибка при закачке видео файла (докачка не поддерживалась), так он недокачанный файл удалил, хотя я еще диспетчер загрузок не почистил. Вот наглость. Может, я хотел посмотреть что там.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

48. Сообщение от Аноним (48), 10-Сен-20, 21:13	+1 +/–
> Уязвимы только протоколы TLS до версии 1.2 включительно, протокол TLS 1.3 проблеме не подвержен Ну вот, а кто-то возмущался что я на своих веб проектах поддерживаю только 1.3. Ещё и тут и сообщения трут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #52, #53, #58

49. Сообщение от Аноним (49), 10-Сен-20, 21:13	+/–
> А можно подробнее, ну там файл, номер строки если не затруднит. Просто очередной хромогуглобой, слышавший звон.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38

52. Сообщение от Сейд (ok), 10-Сен-20, 22:19	+/–
Я тоже для межсерверного сообщения включаю только TLS 1.3. Для клиентов (из-за старых версий Android), к сожалению, приходится оставлять TLS 1.2 и TLS 1.3.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #61

53. Сообщение от Demo (??), 11-Сен-20, 08:36	+/–
> Ещё и тут и сообщения трут. Вот, мою предыдущую мессагу потёрли. Нужно скринить сообщения, потому что тут администрация бардак с кнопкой развела. Товарищ или товарищи с синдромом вахтёра дорвались до кнопки. Предполагаю, что товарищ ещё думает, что занимается чем-то полезным, а его труды не ценят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

54. Сообщение от Сейд (ok), 11-Сен-20, 09:42	+/–
И доменные имена.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

55. Сообщение от Аноним (55), 11-Сен-20, 12:58	+1 +/–
Без судебного решения не положено!!! http://kremlin.ru/acts/constitution/item#chapter2 Статья 23 1. Каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени. 2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #57

56. Сообщение от Аноним (55), 11-Сен-20, 13:01	+/–
> Забыл уточнить, что выдавать вместе с приватными ключами. Не дело это, когда пользователь сам себе генерит ключ. https://www.opennet.ru/openforum/vsluhforumID10/5512.html
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

57. Сообщение от Аноним (10), 11-Сен-20, 13:19	+2 +/–
Ну да, это смешно, но как есть. Нигде и никогда за всё хорошее против всего плохого не будет работать как задекларировано. Это всё пустые декламации.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #59

58. Сообщение от Gogi (??), 11-Сен-20, 17:16	+/–
Всё зависит от того, ЧТО ты защищаешь. Если ты гадишь юзерам для защиты какого-нть форума, то гореть тебе в аду. А если там магазин какой, то опять же - драконовские меры имеют смысл ТОЛЬКО если ты "автоматом" позволяешь платить за заказ. Если ничего этого нет, то и защита твоя ни***я не стоит.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48

59. Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:05	+1 +/–
Ну надо сказать, что нигде не написано "не раздать всю страну своим друзьям, чтобы доили". Значит можно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

60. Сообщение от Всем Анонимам Аноним (?), 12-Сен-20, 15:07	+/–
Банки нередко используются для аутентификации личности, надо сказать. Не знаю хорошо это или плохо.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

61. Сообщение от Ilya Indigo (ok), 13-Сен-20, 17:13	+/–
> ...(из-за старых версий Android)... А из-за актуальных Яндо-Гуглоботов, не?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #52 Ответы: #62

62. Сообщение от Сейд (ok), 13-Сен-20, 17:22	+/–
Нет. Да и вряд ли они пользуются джаббером и почтой.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #61

63. Сообщение от Аноним (63), 15-Сен-20, 00:03	+/–
ФИДО 2.0
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #64

64. Сообщение от Брат Анон (?), 17-Сен-20, 14:34	+/–
> ФИДО 2.0 Уважаемый, вы так это написали, как-будто в этом есть что-то плохое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #63

65. Сообщение от brlumen (?), 29-Фев-24, 06:28	+/–
DANE опирается на dnsseс, а с ним большие проблемы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема