• Acasă
  • Despre noi
  • Autori
  • Mărturii
  • Arhivă
  • Trimite Articol
  • Contact

WORLDIT

Lumea în 1 și 0.

  • Știri
    • Tehnologie
    • Tehnologie mobilă
    • Securitate
    • Developers
    • Știință
    • Benzi desenate
    • Jocuri
    • Intern
  • Tehnic
    • Browser
    • C#
    • C/C++
    • Challenge
    • HTML/CSS
    • Javascript, Ajax, jQuery
    • Open Source
    • PHP
    • Python
    • Securitate IT
    • Socializare
    • WordPress
    • Altele
  • Recenzii
  • Interviuri
  • Evenimente

SSL este doar o iluzie a comunicaţiilor sigure

10
  • Publicat de Andrei Avădănei
  • în Fără categorie
  • — 13 apr., 2011 at 12:31 pm

Majoritatea pseudo-specialiştilor afirmă că SSL este un protocol care îţi oferă o siguranţă bună atunci când vine vorba de transferul datelor. Realitatea este complet alta, SSL este un protocol ce militează pentru integritatea şi confidenţialitatea datelor, dar atât.

Moxie Marlinspike, specialist în securitate, a demonstrat cum pachetele pot fi interceptate iar encriptia evitată. O soluţie pentru această procedură este SLLstrip, aplicaţia sa, care intervine în comunicaţiile dintre client şi server, funcţionând pe aceleaşi principii ca un atac MItM (Man-in-the-middle). Aplicaţia se pune între requesturile făcute de tine şi server, comunicând cu serverul criptat iar cu tine în text lizibil.

Realizatorul aplicaţiei a făcut o demonstraţie într-un nod de ieşire din Tor, ce rula SSLstrip. Acesta s-a comportat exemplar şi a aflat datele de autentificare a numeroase conturi.

Furtul certificatelor este în ultima perioadă un subiect dezbătut, având în vedere că au fost înregistrate 37,000 de domenii nelegitime săptămâna trecută.

Cred că e momentul unui nou candidat pe partea de protocoale de comunicaţie sigură.

Via CyberArms.

Update : La rugamintea cititorilor clarific ca problema aceasta afecteaza HTTPS strict si nu protocolul in sine. 🙂

Daca acest articol contine o greseala, selecteaza cuvintele sau fraza gresita si tasteaza combinatia de taste Shift + Enter sau apasa click aici pentru a o raporta. Multumim!

— Andrei Avădănei a scris 1246 articole

Andrei scrie pe worldit.info din vara lui 2011. Este fondatorul Asociatiei Centrul de Cercetare in Securitate Informatica din Romania - CCSIR si coordoneaza DefCamp, cea mai importanta conferinta de securitate informatica & hacking din Europa Centrala si de Est. Andrei ofera in cadrul Bit Sentinel servicii de securitate informatica, penetration testing, security management, recuperarea de pe urma unui atac cibernetic, training-uri si workshop-uri.

  • Articolul anterior Google vs Bing – bătălia motoarelor de căutare
  • Articolul următor Cum să apelezi un număr de telefon folosind gândurile?

10 Comentarii

  1. Roland spune:
    aprilie 13, 2011 la 2:41 pm

    Marlinspike a demonstrat doar cum pot fi interceptate pachetele daca conexiunea incepe pe HTTP simplu si doar apoi trece pe HTTPS. Daca din start folosesti HTTPS (ex GMail force HTTPS) atunci se evita pericolul

  2. Andrei Avădănei spune:
    aprilie 13, 2011 la 2:57 pm

    Defapt se intampla invers. In momentul in care SLLstrip gaseste o conexiune HTTPS, intervine in procesul client-server si comunica cu serverul criptat, iar clientului ii returneaza o copie a mesajului necriptata.

    Asta inseamna ca pericolul nu este evitat daca folosesti din start HTTPS. 🙂

    P.S : Ma bucur sa te vad pe aici.

  3. Roland spune:
    aprilie 13, 2011 la 3:08 pm

    A da, nu am inteles eu bine ce am citit pe alte articole de pe net.

    P.S: Ai un typo: SLLstrip

  4. Eduard spune:
    aprilie 14, 2011 la 4:49 am

    Nu SSL-ul este de vina, ci aplicatia utilizatorului, care permite trimiterea datelor prin http simplu.

  5. Robert spune:
    aprilie 14, 2011 la 5:56 pm

    articole de genul acesta nu au ce cauta pe net. toata lumea are pareri … dar sa spui despre SSL ca nu este sigur este o mare aberatie. inainte sa scrii articole … documenteaza-te!

  6. Andrei Avădănei spune:
    aprilie 14, 2011 la 7:04 pm

    Daca doreai sa exprimi ceva imi explicai care e aberatia. Asta este o afirmatie nula.

    „toata lumea are pareri” – asa-i. 🙂

  7. Robert spune:
    aprilie 14, 2011 la 7:57 pm

    Explicatia este in commentariul de mai sus, presupun ca nu ai inteles …”Nu SSL-ul este de vina, ci aplicatia utilizatorului, care permite trimiterea datelor prin http simplu.”

    adica, „SSL este doar o iluzie a comunicatilor sigure” este o aberatie, este o afirmatie falsa!

    cineva care citeste titlul articolului, ramane cu impresia ca SSL nu este sigur de loc si ca tot internetul e plin de hack-eri si crack-eri si nu poti face tranzactii online, nu poti trimite un email pentru ca SSL este doar o iluzie a comunicatilor sigure.

    MITM a fost descoperit si rezolvat in 2002.
    SSL Man-in-the-Middle Attacks

    daca tot esti administratorul acestui site, propun sa schimbi titlul articolului.

    • Andrei Avădănei spune:
      aprilie 14, 2011 la 8:06 pm

      Banuiam ca despre asta era vorba. Va primi un mic update. 🙂

  8. Roland spune:
    aprilie 14, 2011 la 8:55 pm

    @Robert
    SSLstrip e MITM, dar nu e acelasi cu cel despre care vorbeai tu. SSLstrip a fost prezentat functional in 2009, asa ca probabil e varianta mai evoluata.

  9. begood spune:
    aprilie 17, 2011 la 3:43 pm

    SSL este sigur, acea aplicatie nu face altceva decat sa il dezactiveze.

    Nu-mi place nici titlul nici continutul „pseudo-specialistilor”.

    ps: sfat practic: daca vezi ca nu te-ai autentificat prin ssl in browser atunci cand ar trebui sa te loghezi pe e-mail spre exemplu, dai refresh pana reusesti. Daca observi ca nu merge nici asa, incerci sa modifici http din link in https, daca nici asa nu reusesti, sigur cineva intercepteaza traficul (foloseste ceva asemanator cu SSLstrip) => nu te autentifici.


  • Facebook

    WorldIT.info
  • Ultimele Atacuri Cibernetice din Romania – RO Hacked

    • imacoolat-curat.ro
      | Published: februarie 3, 2020 - 2:00 am
    • hotel-palace.ro
      | Published: februarie 2, 2020 - 2:00 am
    • www.tahometru.ro
      | Published: februarie 1, 2020 - 2:00 am
    • alexisart.ro
      | Published: ianuarie 30, 2020 - 2:00 am
    • justshop.ro
      | Published: ianuarie 29, 2020 - 2:00 am
    RO Hacked este registrul atacurilor cibernetice din România.
  • Caută

  • Articole Recomandate

    • Recent Posts
    • Tags
    • Număr record de participanți la DefCamp 2015, cel mai important eveniment dedicat securității cibernetice din Europe Centrala si de Estdecembrie 2, 2015
    • La DefCamp 2015 vei afla prin ce tehnici pot fi evitate măsurile de securitate ale sistemelor informatice criticeoctombrie 16, 2015
    • Ultima sansa sa rezervi bilete de tip Early Bird la DefCamp 2015septembrie 1, 2015
    • 15 sfaturi despre cum poti deveni un programator bun venite de la specialisti romaniaugust 4, 2015
    • algoritmica Android antivirus Apple Avadanei Andrei benzi desenate BitDefender blog browser C++ Chrome concurs eveniment Facebook Firefox Google google chrome hacking html5 infografic informatica internet Internet Explorer IT javascript linux Microsoft Mozilla Firefox online PHP programare retea sociala review Romania securitate Tehnologie Twitter web Windows Windows 7 Wordpress WorldIT worldit.info Yahoo! YouTube
  • ianuarie 2021
    L Ma Mi J V S D
    « dec.    
     123
    45678910
    11121314151617
    18192021222324
    25262728293031
  • Link-uri Sponsorizate

    • laptop second hand

    • Calculatoare Second Hand

    • cod voucher pc garage

  • Home
  • SSL este doar o iluzie a comunicaţiilor sigure
  • Important

    • Bit Sentinel
    • Centrul de Cercetare în Securitate Informatică din România
    • DefCamp
  • Prieteni

    • BetiT.ro
    • bijuterii handmade
    • Computerica | Resurse gratuite PC
    • Descopera.org
    • Gadgeturi si IT – Giz.ro
  • Prieteni

    • PC – Config
    • RO Hacked
    • Stiri IT

Copyright © 2009-2014 WORLDIT. Toate drepturile Rezervate.
Termeni și condiții | Contact | Licența Creative Commons

Multumim foarte mult ca ne-ai raportat greseala! O vom remedia in cel mai scurt timp posibil.