Внимание! Это временный неофициальный архив старой версии форума Полигон Призраков, созданный сочувствующим форуму участником. Этот сайт просуществует лишь до тех пор, пока администрация Полигона не сдержит своё обещание и не откроет официальный архив по адресу old.sannata.org.

Полигон-2

Форум о старых компьютерах

Объявление форума

Если пользуетесь личными сообщениями и получили по электронной почте оповещение о новом письме, не отвечайте, пожалуйста, почтой. Зайдите на форум и ответьте отправителю через ЛС.

Полигон-2 »   Железные призраки прошлого »   HTTPS
RSS

HTTPS

<<Назад  Вперед>> Страницы: 1 2 3 * 4
Печать
 
ATauenis
Advanced Member


Откуда: Москва
Всего сообщений: 2904
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
30 апр. 2015
alecv написал:
[q]
Можно хоть 3DES/RC4 разрешить для совместимости с MSIE 3. есть еще чудесный cipher NULL то есть SSL без шифрования канала вообще.
[/q]
Одно время были снифферы, которые успешно проворачивали атаку на понижение стойкости шифра (вмешивались в процедуру рукопожатия и умоляли сервер общаться с клиентом с шифром, который по зубам снифферу - прим. для юзеров). Собственно, это причина почему серверы крупных компаний сейчас работают только по серьёзным алгоритмам защиты (TLS 1.2) с недетскими шифрами. Поэтому сейчас эта метода слива полезной информации у лохов не актуальна, и я не слышал, чтобы кто-то ещё использовал этот способ. Но включение старых версий SSL и слабых шифров - дыра в безопасности.

Другое дело,

rw6hrm написал:
[q]
А вообще париться по поводу "сниффания трафика", персональных данных и аналогичной фигни - ей-догу, не стоит. Ерунда всё это.
[/q]
Аудитория форума очень специфическая. Чтобы украденный трафик пригодился, надо написать софт, выковыривающий из ЛС домашние адреса и телефоны, а также e-mail из профиля. И это всё, что можно сделать (по крайней мере, именно на этом сайте). Ещё возможность угона аккаунта с целью рассылки спама возможна. Но движок очень редкий, чтобы кто-то писал под него софт.
Насколько я слышал, все угоны учётных записей здесь были из-за простых паролей.
RT11SJ
Newbie


Всего сообщений: 105
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 мар. 2018
ATauenis написал:
[q]
И количество потенциально добытой тяжким трудом информации будет не соразмерно с расходами заказчиков на неё. Движок сравнительно редкий.
[/q]
И старый, v2.22.
Еще 3,5 года назад капитально обновился.
Текущая версия: 3.00 (сборка от 1 сентября 2016)
xoiss
Гость

Ссылка

тема почищена (см. http://www.phantom.sannata.ru/...#pp482020)

прошу воздержаться от неумеренного флуда
Сейчас на форуме
Часть сообщений этой темы была выделена в тему "Тема для отзывов и предложений" (28 ноября 2018 0:47)
SuperMax
Advanced Member


Откуда: Красноярск
Всего сообщений: 326
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
27 авг. 2012
Предлагаю вернуться к вопросу включения https

1. так как не все могут/хотят использовать https включить его можно опционально - те не делать реврайта на https
2. сертификат можно взять бесплатный - Let's Encrypt включается легко и просто. сам использую и могу ответственно рекомендовать.
3. включать слабые шифры смысла нет, это наоборот может создать проблемы


Поясню необходимость иметь возможность работать через https: если ранее утечки паролей и прочей информации могли быть только через транзитные открытые прокси, общественные wi-fi сети и прочие изначально скомпрометированные точки, то сейчас ситуация для России серьезно усугубляются из-за закона яровой, а именно из-за развертывания у провайдеров DPI (Deep Packet Inspection) и системами хранения данных и трафика.
Сами по себе DPI нам не мешают, но вот то что трафик будет хранится у каждого провайдера и доступ к этим данным будет (точнее уже) иметь почти любой - это проблема.

Как пример использования трафика - мошенники делают грамотные фейковые письма используя данные из реальной переписки. И это уже реальность - первые такие письма были замечены мной уже летом 2018ого. Что будут делать с накопленной базой паролей и email я думаю объяснять не надо.

Соответственно, моя рекомендация, как руководителя ИБ, включить https. Да, это не панацея, но от глупых мошенников убережет. По технической части готов проконсультировать.
Кай
Гость
Divine Assassin

Откуда: извне (from beyond)
Всего сообщений: 13709
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
8 авг. 2010
AnyOne
Advanced Member


Всего сообщений: 671
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
5 янв. 2010
Когда трафик между клиентом и сервером не шифруется, стоит ли удивляться этому:
topic/30008

Не надо подбирать никаких паролей, взламывать хэши ит.п.
Надо просто перехватить трафик и смотреть, что после символов inpassword= . Там ваш пароль.
alecv
Advanced Member


Откуда: Санкт-Петербург
Всего сообщений: 5545
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
5 окт. 2004
SSL на Apache как правило настраивается очень, просто: создается новый сервер на порту 443 с SSLEngine On и на том же месте DocumentRoot .
После этого начинают работать параллельно оба порта и HTTPS и HTTP
Например моя wiki
без SSL
http://wiki.sensi.org/dokuwiki/
с SSL
https://wiki.sensi.org/dokuwiki/

Скрипт DokuWiki нормально работает. Работа незащищенного сайта не нарушается.
Единственное, что авторизоваться на этих 'сайтах' надо индивидуально, куки разные.
RT11SJ
Newbie


Всего сообщений: 105
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
26 мар. 2018
SuperMax написал:
[q]
Предлагаю вернуться к вопросу включения https
...
моя рекомендация, как руководителя ИБ, включить https. Да, это не панацея, но от глупых мошенников убережет.
[/q]
Поддержу.
misha_weba
Newbie


Откуда: СПб
Всего сообщений: 30
Рейтинг пользователя: 0


Ссылка


Дата регистрации на форуме:
14 апр. 2017
dnf | yum | apt install certbot
./certbot

https://certbot.eff.org/

Для того, чтобы на этот сайт можно было по https зайти старым софтом, включить старые / слабые наборы шифров в конфиге.
Всяко лучше. чем на голом http сидеть.
<<Назад  Вперед>> Страницы: 1 2 3 * 4
Печать
Полигон-2 »   Железные призраки прошлого »   HTTPS
RSS

0 посетителей просмотрели эту тему за последние 15 минут
В том числе: 0 гостей, 0 скрытых пользователей

Последние RSS
[Москва] LIQUID-Акция. Сливаются разъемы CF
МС7004 и 7004А на AT и XT
Пайка термотрубок
Проммать s478 PEAK 715VL2-HT ( Full-Size SBC)
Подскажите по 386 материке по джамперам.

Самые активные 5 тем RSS