Dyskusja: Forum po SSL
Podgląd pojedynczego posta
Stary 13.02.2011, 13:26   #14
andy
logged out
CDRinfo VIP
 
Avatar użytkownika andy
 
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
andy jest wzorem do naśladowania <650 - 999 pkt>andy jest wzorem do naśladowania <650 - 999 pkt>andy jest wzorem do naśladowania <650 - 999 pkt>andy jest wzorem do naśladowania <650 - 999 pkt>andy jest wzorem do naśladowania <650 - 999 pkt>andy jest wzorem do naśladowania <650 - 999 pkt>andy jest wzorem do naśladowania <650 - 999 pkt>andy jest wzorem do naśladowania <650 - 999 pkt>
Cytat:
Napisany przez pali
andy,
wydaje mi się, że nie rozumiemy się
To raczej Ty nie za bardzo łapiesz do czego SSL jest a do czego nie jest

Cytat:
Ja nie mówię o żadnych odnośnikach. Mówię o contencie z innych domen.
Obrazek w moim scenariuszu nie zawiera żadnego linka (zresztą jak obrazek może linka zawierać?) - jest zwyczajnym JPEG, który chcę zapisać do twojego cache, abym mógł Ciebie zidentyfikować na zupełnie innej witrynie. Jeśli wykryję, że masz w cache ten obrazek, to wyświetlam stronę przygotowaną pod Ciebie. Załóżmy, że było to na serwerze policyjni.pl, do którego uzyskałem dostęp i właśnie wykorzystałem... Nikt inny nie widzi tej strony, każdy kto nie ma w cache tego obrazka widzi oryginalną zawartość. A znowuż Ty na policyjni.pl nie zobaczysz obrazka
Miałem na myśli obrazek który ma linka i prowadzi do strony z malware. No ale to nie ważne już.

Cytat:
Dzięki jednemu obrazkowi wstawionemu na Onion (gdyby można było), widzę wszystkie IP które obejrzały ten wątek.
Jeśli jestem ze służb, to mam też adresy abonentów łącza.
Porównuję uzyskaną listę z listą zboczeńców, wywrotowców itd
I cała prywatność TORa o kant d... przez jeden obrazek.
TOR nie zapewnia prywatności! TOR zapewnia anonimowość o ile potrafi się go używać tak jak powinno - wyłączenie cache w przeglądarce, wyłączenie skryptów JS itd.

Cytat:
To samo dotyczy witryny zabezpieczonej przez SSL. Jeśli wyświetla ona content z innych domen, to jest to dziura we wdrożeniu (nie w SSL), bo nie zapewniamy chociażby poufności.
Bzdurka. SSL służy tylko i wyłącznie do szyfrowania/uwierzytelnienia połączenia z serwerem i nic więcej!

Cytat:
Jeśli przeglądarka wyświetli ostrzeżenie: ZU zaakceptuje bezmyślnie, co jest jeszcze gorsze niż brak zabezpieczeń.
Przeglądarki wyświetlają ostrzeżenie jeżeli się przechodzi z trybu HTTPS do HTTP.

Cytat:
Rozwiązaniem jest wycięcie contentu spoza domeny. Zgadzasz się?
Nie. Cały czas myślisz o SSL jako o czymś co ma chronić wszystko, natomiast SS jak już wielokrotnie wspominałem jest do szyfrowania oraz uwierzytelnienia twojego połączenia z serwerem.


Powiedzenie, że obejmuje całe forum SSLem oznacza, że każde połączenie do serwera WWW jest szyfrowane. Dzięki temu napastnik nie przechwyci twoich sesji, nie podejrzy co wysyłasz/odbierasz.
__________________
XMPP: andrzej(at)czerniak.info.pl
andy jest offline   Odpowiedz cytując ten post