ФорумРазработкаЗащита информации → Уязвимость FREAK в TLS/SSL

Уязвимость FREAK в TLS/SSL

  • master

    Сообщения: 3236 Репутация: N Группа: Джедаи

    Spritz 4 марта 2015 г. 2:59

    https://xakep.ru/2015/03/04/freak/

    Что самое удивительное, этой уязвимости много лет. Она возникла как результат ограничений на экспорт стойкой криптографии, действующих в США ещё с прошлого века. Фактически, сама технология SSL изначально была разработана со встроенной функцией взлома. Это было необходимо, чтобы обойти экспортные ограничения, иначе изобретатель SSL — Netscape Corporation — попросту не смогла бы распространять свой браузер за пределами страны.

    Хотя с тех пор большинство ограничений на экспорт сняты или ослаблены, но набор слабых «экспортных» шифров так и остался. Предполагалось, что современные клиенты (веб-браузеры) ни в коем случае не используют его, так что о проблеме забыли. Но сейчас группа исследователей обнаружила, что есть способ провести MiTM-атаку и заставить TLS-клиента использовать «экспортные» шифры с сервера, даже если клиент их не запрашивал.
    не всё полезно, что в swap полезло
  • Sinkler

    Сообщения: 8083 Репутация: N Группа: в ухо

    Spritz 4 марта 2015 г. 3:27, спустя 27 минут 19 секунд

    нда, если верить сноудену, то https и vpn для анб всегда были семечками, которые ломаются в два счёта

  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 4 марта 2015 г. 3:53, спустя 26 минут 17 секунд

    Прикольно, @master, продолжай постить

    adw/0
  • Ivan.

    Сообщения: 494 Репутация: N Группа: Адекваты

    Spritz 19 марта 2015 г. 16:26, спустя 15 дней 11 часов 32 минуты

    -----BEGIN PGP PUBLIC KEY BLOCK-----
    Version: GnuPG v2

    mQINBFUJ4IoBEADLlo2zlfOL0XsASxlunbxD1k7dSinPknWhFLureyvUzjtG2Apn
    dmAbUq0CFddn+DDtop5gDSz5cNsSdM2ovLOu7Nk386X1esQBxuL5m6GAyJqJOdKH
    itfUFm76Pd2V6RnkaLJ1b12Fa3lQ8jS2l+8R+qwJtJ8ouoR7f3fJGH1AD+fBfgMu
    COXRVvW3fjgrzTp0ol6SXJBqO2IdIMa7z87PAadSRr0QyOcFKZw9oFfz9B+N7Zij
    7nk8m7lFYAc4N4J6uRGmLx1sx1yHskJojJUMLHjBXRl8LAkKYgn1F+U6Xc2FoZYY
    ixLdaSCrWEd1eX0eupCM9j8tAZucIuGW4REsm8F252EuZ1MHWVBok/eh6eoSw4zs
    5+E5Xdqhx+/gXveTrn/kDXCBnSNiex04eaX/N45Jgjgcwz6brXUm+2qF2aAGWWvv
    3pRk/yacjG94E7dd/g30oQekPbEosBhvQRM7EOCLcgEoPytwKk3tbiYGQS1pVJ4H
    FY78B6yw5d+Iykrq3lP2YB3WDqPeqP7Oux72byfIDFGN5bHGevLVBbQ5i5oAhkfz
    k+/CbEmWc4I7QfEkcZ+WygRKk/gl8hQwg6AaT90Nb9VWNeUFoT/lWNc1staovmp7
    HHlBZ4Um9vO/vOg6kprsZ/NcnMNw5tfnOwuRWA4S243HFiN1Lv9fdTgwHwARAQAB
    tEVub3J0aGRha290YTg0QHhtcHAuanAgKG5vcnRoZGFrb3RhODRAeG1wcC5qcCkg
    PG5vcnRoZGFrb3RhODRAeG1wcC5qcD6JAjkEEwECACMFAlUJ4IoCGy8HCwkIBwMC
    AQYVCAIJCgsEFgIDAQIeAQIXgAAKCRCFl4t+w1TNUOPqD/9Wjt/MF3p+8B5zjsnI
    UndmVOKLj74KXKTU5phu2HYRgD632elwKCMdBR8byJdaUG2mIeZnsTwdcbbcvKwH
    Biq5+3CICCJhBh1rlHbvjF5fYJypDgIe2rORmyIRfvboFsoxvVwocgLAixfBlBkR
    CUw3CwFLwHqVTHhxotm7PDO5/t7Ql8RH95gfEhu8//EzEKL1s4u+zAghw9LG6Eux
    PMTtBKzeOcfwFDYi0MXF7ERYsFGxH3IDgjsRwQv7KDm3FmUlpGr4eHpweKtL1CHf
    n8+kzLy/xxQtWAY7uUWiz9COmBou59LnESsJr/K9xo7pBsEoUWydBjwctck3C76F
    2K++9tJUBloFF2KbmzydWkvI4SMngP9dN/zAxpi+oydHXaOchiEeCvNEjOm0nNw5
    ImD+vvt7Pdv0nn2ebnMyzIqfyRY1ecXBiwA47vWFiww+9Prvv7E/M7TYY6Ip1jBy
    M5L0gyNxM9DagIKLti9a5xo46oaudH2mfvUPw/v3eNVF/8t9SL8g64c+/WbfUdPb
    JNyCNbf7QeME8eFe8dnjE11YcFtfR7HFVYCoUoBMeCHRbyAvR89oeh4wymJbbc1g
    n+6iWKBcCNlh3VIu9rKn54iJqJb8UCmixRRF+sWaxYnMwDWc/7SYYRnuElgA1Tuh
    DEqW3upG8E7/+PUJ0cCth9t1zbkCDQRVCeCKARAAw/80LKD8XoDmHcI0PVoWsFmz
    lUU47k7y2jAVxhMIGP3bJKGogd4+2qtF003yATiFIS8+EvNOOciUq/UJv7dZP7xm
    7FnDJUzqDVN7b0P8Rz13D2zoa/VLLl7WIvdRFut2GhZYX82vZtskWvrVGaevQiPD
    10Z4bejElVvp+P34jrKm/tRxZL3+1kOw3sM1s3VxKM+7wrRGDFNzQ0gKDMCKapzb
    zdlZ0MhMZ0gZIVedxGYYtO5SUqz1IRGWJdmeRk1IT7r7GRAFfx+fPN0yMsYaACjA
    h84pXwwCqwbWjIGjQ37ITVT0wrbu02GXzjNksZPYmhfqIi4hd7VQkUKZIe8sN+dP
    kMyieWm62sPBn/MhzE6spW5u2B3Qtin69WlfrQtVRrbmZ9uD3nENWbLpZJO0rLov
    M26Bljyo17aKxOtnR9TaLYyJdLOYRLIelVDKKbRrFie06NSaOHyAGGEAeFC2+ccT
    7SOYVdEnMATg4stk0sdlRhkrHNiDvcj48EdXjm3kns61ZLnO6OV4Qcn7x046c0Tk
    BshFT0sbqXnASZf3cnepzPhUwBDXmfZ9okyYlqZB+y74Op5N4Zopw7XsiGG7GGCD
    rn0oCcUqeQW7YZwYqBsQAhvU9dj4z+J/6ztzgHahtKRG22g6W4XZ0C/oOQYbq0iQ
    k9v5DMuGhrEUjRhzEKcAEQEAAYkEPgQYAQIACQUCVQngigIbLgIpCRCFl4t+w1TN
    UMFdIAQZAQIABgUCVQngigAKCRDtj+gzSXcIJdalEACb81JUV5JR572dozp0G74D
    1HAhnB2sVsPIxACxocQqQ431ITCnVzLjm/3lI0WYUn5Hbo01aG4otrwkt8h7FX2F
    BYtbXDz7qn10JEvoO47SKMB2czJhr8tjqdVXjQQC58JK8EdP2bgyEYxws9ctjveq
    SjgH29Nut0GWp7j5XMhJjHR6npKaxhz7oewcDdurvbFFTz3SkpsopGk6yrGLjlRH
    d0FMsD9bhMEZKxKUA36WuoIexcd1GQGby3tDpfHdaqmuAK9RRVxRsS05W3J+NohO
    CIDoEGF6oxiVBlBTSOi+/4bhQj1PghmKOhbIK1VOyu1TFXyujycg+OEwkVtVUGGo
    kmU3pE4kDVgc6HV90kjmcKY1t35TJkeTflnwA907WxFMcdF8sTToNhB9NONdrDa6
    4oVPvZDv7IloGXqoZeywKxvFvx2W6XyIphjHd98WCI8O4s4QzjDAC1nd4FCAt/Lo
    5L7m4p74ggv0muu989Hbexi5u6YvrGfz4JWBUYDV8jWZ8NLu3CsbcqnfLbC8L5Gl
    v7l47rnolYd2NXQbp13377u1eL7wRuJCS68VF01cDG2pSyUAAp9f+OvOwzIlgcCr
    QXK8e3YGKr8vWhghhtNLht2D6bOeMxfT5MQpKh3R+kGl/onBePaIULwKTODzpJVo
    qPxGohKGvQEDX7cqvk2IMVzhD/wIasMesnwI3YUJYJiEVLxEJ6dV5w+YYl4t8obh
    inGVWi/KJiZfX02IbwzqkY/LK35MObFodDi7Jom419TSKYg0nwHu8mBJ99I6AELI
    9IoL8BchDTQWxt/H4gWq+G/S022jw+ajgbump699DmJlGcFVYftfjG4M7Rdlk5Hx
    b6yON3SknRsQqN4scNBvTsyZgTLxH6iqrATzyX0Uo/D4MfhNl+mhEwnEUvXbG41p
    pW7mWRkDoWQHvTr+JHKcvI1oylgpKoTe0XeSJIl7hW7ubrCekHuaan8q6f91DuLV
    O9BxyvP7d9KwIe42ZdGBZviOZbRX3EzQ9MauxoAbCU3wlvo3gfKRHD4uKEjsUhGR
    awMEmi4T6qF4yTUuprR3Zn6LYmj/CYzTrRWfOR+s5Dld5fmu8tn3c38u/Q2zx6JD
    wZTs8yE1T6Gad/u6daNKLLfzxlULMDyeBV954o235np9Cj/4nUtRKDlJY1G3FVZy
    0xPxOBPFlVyBxzOdbNUZ5ZnZueu0DxhdU3L6qXIGKouAvY+NAyMfe/riA9NTxWzF
    wGmbrV8e9Wg8TeRynjDN9JR0UxQQEqotISHUeDEEor2PBgVhfD1knfs2Flz3QWqQ
    g8Kqk9UF+dJaDeRJHoLRnKQlyURUigNfIveJqZpp/mwz+xDQtX8EayKsDNpiym6b
    zxrtyg==
    =deZB
    -----END PGP PUBLIC KEY BLOCK-----

  • Frozzeg

    Сообщения: 5641 Репутация: N Группа: Джедаи

    Spritz 5 апреля 2015 г. 20:59, спустя 17 дней 4 часа 33 минуты

    Уязвимость в реализации дистрибутива Debian

    В Debian версии 0.9.8c-1 к OpenSSL был применён патч, преднамеренно повреждавший генератор случайных чисел. Эта версия OpenSSL была включена в релиз Debian 17 сентября 2006. Все ключи, сгенерированные через эту версию генератора, и все данные, зашифрованные такими ключами, могут считаться скомпрометированными. Проблема была исправлена в версии 0.9.8c-4etch3 дистрибутива Debian 4.0; в версии 0.9.8g-9 дистрибутива Debian 5.0.

    Жизнь - боль, в общем.

    Спустя 132 сек.

    WYSIWYG на пыхе некорректно заворачивает в цитату текст, разделенный пустой строкой.

    You can be anything you want to be. Just turn yourself into anything you think that you could ever be.
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 6 апреля 2015 г. 2:40, спустя 5 часов 41 минуту 7 секунд

    Пустая

    Строка

    Спустя 15 сек.

    Пустая

    Строка

    @adw0rd, тест

    Спустя 22 сек.

    @Frozzeg, что именно некорректно?

    adw/0
  • Frozzeg

    Сообщения: 5641 Репутация: N Группа: Джедаи

    Spritz 6 апреля 2015 г. 4:14, спустя 1 час 34 минуты 19 секунд

    Символом ">" предваряется только первый обзац у выделенного текста.

    You can be anything you want to be. Just turn yourself into anything you think that you could ever be.
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 6 апреля 2015 г. 5:46, спустя 1 час 32 минуты

    Символом ">" предваряется только первый обзац у выделенного текста.

    @Frozzeg, а, ты про это. Да, такой вот вузивуг ебнутый. Еще для кода он тоже самое делает. Если кто поправит js, то будет заебисть, знания жанги тут не требуются

    adw/0
  • adw0rd

    Сообщения: 22905 Репутация: N Группа: в ухо

    Spritz 24 августа 2015 г. 10:52, спустя 140 дней 5 часов 5 минут

    Символом ">" предваряется только первый обзац у выделенного текста.

    @Frozzeg, fixed

    adw/0
  • Frozzeg

    Сообщения: 5641 Репутация: N Группа: Джедаи

    Spritz 24 августа 2015 г. 10:55, спустя 3 минуты 31 секунду

    Ура!

    You can be anything you want to be. Just turn yourself into anything you think that you could ever be.

Пожалуйста, авторизуйтесь, чтобы написать комментарий!