Объявление форума |
Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС. |
Полигон-2 » Железные призраки прошлого » HTTPS |
<<Назад Вперед>> | Страницы: 1 2 3 * 4 | Печать |
ATauenis
Advanced Member
Откуда: Москва Всего сообщений: 2904 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 30 апр. 2015 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 21 ноября 2018 21:30 Сообщение отредактировано: 21 ноября 2018 21:39
alecv написал: Одно время были снифферы, которые успешно проворачивали атаку на понижение стойкости шифра (вмешивались в процедуру рукопожатия и умоляли сервер общаться с клиентом с шифром, который по зубам снифферу - прим. для юзеров). Собственно, это причина почему серверы крупных компаний сейчас работают только по серьёзным алгоритмам защиты (TLS 1.2) с недетскими шифрами. Поэтому сейчас эта метода слива полезной информации у лохов не актуальна, и я не слышал, чтобы кто-то ещё использовал этот способ. Но включение старых версий SSL и слабых шифров - дыра в безопасности. Можно хоть 3DES/RC4 разрешить для совместимости с MSIE 3. есть еще чудесный cipher NULL то есть SSL без шифрования канала вообще. Другое дело, rw6hrm написал: Аудитория форума очень специфическая. Чтобы украденный трафик пригодился, надо написать софт, выковыривающий из ЛС домашние адреса и телефоны, а также e-mail из профиля. И это всё, что можно сделать (по крайней мере, именно на этом сайте). Ещё возможность угона аккаунта с целью рассылки спама возможна. Но движок очень редкий, чтобы кто-то писал под него софт. А вообще париться по поводу "сниффания трафика", персональных данных и аналогичной фигни - ей-догу, не стоит. Ерунда всё это. Насколько я слышал, все угоны учётных записей здесь были из-за простых паролей. |
RT11SJ |
ATauenis написал: И старый, v2.22. И количество потенциально добытой тяжким трудом информации будет не соразмерно с расходами заказчиков на неё. Движок сравнительно редкий. Еще 3,5 года назад капитально обновился. Текущая версия: 3.00 (сборка от 1 сентября 2016) |
xoiss |
NEW! Сообщение отправлено: 26 ноября 2018 22:30 Сообщение отредактировано: 27 ноября 2018 1:15
тема почищена (см. http://www.phantom.sannata.ru/...#pp482020) прошу воздержаться от неумеренного флуда |
Сейчас на форуме |
Часть сообщений этой темы была выделена в тему "Тема для отзывов и предложений" (28 ноября 2018 0:47) |
SuperMax
Advanced Member
Откуда: Красноярск Всего сообщений: 326 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 27 авг. 2012 |
Предлагаю вернуться к вопросу включения https 1. так как не все могут/хотят использовать https включить его можно опционально - те не делать реврайта на https 2. сертификат можно взять бесплатный - Let's Encrypt включается легко и просто. сам использую и могу ответственно рекомендовать. 3. включать слабые шифры смысла нет, это наоборот может создать проблемы Поясню необходимость иметь возможность работать через https: если ранее утечки паролей и прочей информации могли быть только через транзитные открытые прокси, общественные wi-fi сети и прочие изначально скомпрометированные точки, то сейчас ситуация для России серьезно усугубляются из-за закона яровой, а именно из-за развертывания у провайдеров DPI (Deep Packet Inspection) и системами хранения данных и трафика. Сами по себе DPI нам не мешают, но вот то что трафик будет хранится у каждого провайдера и доступ к этим данным будет (точнее уже) иметь почти любой - это проблема. Как пример использования трафика - мошенники делают грамотные фейковые письма используя данные из реальной переписки. И это уже реальность - первые такие письма были замечены мной уже летом 2018ого. Что будут делать с накопленной базой паролей и email я думаю объяснять не надо. Соответственно, моя рекомендация, как руководителя ИБ, включить https. Да, это не панацея, но от глупых мошенников убережет. По технической части готов проконсультировать. |
Кай
Гость
Divine Assassin Откуда: извне (from beyond) Всего сообщений: 13709 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 8 авг. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 7 января 2019 14:29 Сообщение отредактировано: 7 января 2019 14:34 |
AnyOne
Advanced Member
Всего сообщений: 671 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 5 янв. 2010 |
Профиль | Сообщить модератору
NEW! Сообщение отправлено: 9 февраля 2019 0:24 Сообщение отредактировано: 9 февраля 2019 0:26
Когда трафик между клиентом и сервером не шифруется, стоит ли удивляться этому: topic/30008 Не надо подбирать никаких паролей, взламывать хэши ит.п. Надо просто перехватить трафик и смотреть, что после символов inpassword= . Там ваш пароль. |
alecv
Advanced Member
Откуда: Санкт-Петербург Всего сообщений: 5545 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 5 окт. 2004 |
SSL на Apache как правило настраивается очень, просто: создается новый сервер на порту 443 с SSLEngine On и на том же месте DocumentRoot . После этого начинают работать параллельно оба порта и HTTPS и HTTP Например моя wiki без SSL http://wiki.sensi.org/dokuwiki/ с SSL https://wiki.sensi.org/dokuwiki/ Скрипт DokuWiki нормально работает. Работа незащищенного сайта не нарушается. Единственное, что авторизоваться на этих 'сайтах' надо индивидуально, куки разные. |
RT11SJ |
SuperMax написал: Поддержу. Предлагаю вернуться к вопросу включения https |
misha_weba
Newbie
Откуда: СПб Всего сообщений: 30 Рейтинг пользователя: 0 Ссылка Дата регистрации на форуме: 14 апр. 2017 |
dnf | yum | apt install certbot ./certbot https://certbot.eff.org/ Для того, чтобы на этот сайт можно было по https зайти старым софтом, включить старые / слабые наборы шифров в конфиге. Всяко лучше. чем на голом http сидеть. |
<<Назад Вперед>> | Страницы: 1 2 3 * 4 | Печать |
Полигон-2 » Железные призраки прошлого » HTTPS |
0 посетителей просмотрели эту тему за последние 15 минут |
В том числе: 0 гостей, 0 скрытых пользователей |
Последние | |
[Москва] LIQUID-Акция. Сливаются разъемы CF МС7004 и 7004А на AT и XT Пайка термотрубок Проммать s478 PEAK 715VL2-HT ( Full-Size SBC) Подскажите по 386 материке по джамперам. |
Самые активные 5 тем | |