SSL este doar o iluzie a comunicaţiilor sigure
10 Majoritatea pseudo-specialiştilor afirmă că SSL este un protocol care îţi oferă o siguranţă bună atunci când vine vorba de transferul datelor. Realitatea este complet alta, SSL este un protocol ce militează pentru integritatea şi confidenţialitatea datelor, dar atât.
Moxie Marlinspike, specialist în securitate, a demonstrat cum pachetele pot fi interceptate iar encriptia evitată. O soluţie pentru această procedură este SLLstrip, aplicaţia sa, care intervine în comunicaţiile dintre client şi server, funcţionând pe aceleaşi principii ca un atac MItM (Man-in-the-middle). Aplicaţia se pune între requesturile făcute de tine şi server, comunicând cu serverul criptat iar cu tine în text lizibil.
Realizatorul aplicaţiei a făcut o demonstraţie într-un nod de ieşire din Tor, ce rula SSLstrip. Acesta s-a comportat exemplar şi a aflat datele de autentificare a numeroase conturi.
Furtul certificatelor este în ultima perioadă un subiect dezbătut, având în vedere că au fost înregistrate 37,000 de domenii nelegitime săptămâna trecută.
Cred că e momentul unui nou candidat pe partea de protocoale de comunicaţie sigură.
Via CyberArms.
Update : La rugamintea cititorilor clarific ca problema aceasta afecteaza HTTPS strict si nu protocolul in sine. 🙂
Marlinspike a demonstrat doar cum pot fi interceptate pachetele daca conexiunea incepe pe HTTP simplu si doar apoi trece pe HTTPS. Daca din start folosesti HTTPS (ex GMail force HTTPS) atunci se evita pericolul
Defapt se intampla invers. In momentul in care SLLstrip gaseste o conexiune HTTPS, intervine in procesul client-server si comunica cu serverul criptat, iar clientului ii returneaza o copie a mesajului necriptata.
Asta inseamna ca pericolul nu este evitat daca folosesti din start HTTPS. 🙂
P.S : Ma bucur sa te vad pe aici.
A da, nu am inteles eu bine ce am citit pe alte articole de pe net.
P.S: Ai un typo: SLLstrip
Nu SSL-ul este de vina, ci aplicatia utilizatorului, care permite trimiterea datelor prin http simplu.
articole de genul acesta nu au ce cauta pe net. toata lumea are pareri … dar sa spui despre SSL ca nu este sigur este o mare aberatie. inainte sa scrii articole … documenteaza-te!
Daca doreai sa exprimi ceva imi explicai care e aberatia. Asta este o afirmatie nula.
„toata lumea are pareri” – asa-i. 🙂
Explicatia este in commentariul de mai sus, presupun ca nu ai inteles …”Nu SSL-ul este de vina, ci aplicatia utilizatorului, care permite trimiterea datelor prin http simplu.”
adica, „SSL este doar o iluzie a comunicatilor sigure” este o aberatie, este o afirmatie falsa!
cineva care citeste titlul articolului, ramane cu impresia ca SSL nu este sigur de loc si ca tot internetul e plin de hack-eri si crack-eri si nu poti face tranzactii online, nu poti trimite un email pentru ca SSL este doar o iluzie a comunicatilor sigure.
MITM a fost descoperit si rezolvat in 2002.
SSL Man-in-the-Middle Attacks
daca tot esti administratorul acestui site, propun sa schimbi titlul articolului.
Banuiam ca despre asta era vorba. Va primi un mic update. 🙂
@Robert
SSLstrip e MITM, dar nu e acelasi cu cel despre care vorbeai tu. SSLstrip a fost prezentat functional in 2009, asa ca probabil e varianta mai evoluata.
SSL este sigur, acea aplicatie nu face altceva decat sa il dezactiveze.
Nu-mi place nici titlul nici continutul „pseudo-specialistilor”.
ps: sfat practic: daca vezi ca nu te-ai autentificat prin ssl in browser atunci cand ar trebui sa te loghezi pe e-mail spre exemplu, dai refresh pana reusesti. Daca observi ca nu merge nici asa, incerci sa modifici http din link in https, daca nici asa nu reusesti, sigur cineva intercepteaza traficul (foloseste ceva asemanator cu SSLstrip) => nu te autentifici.