Razbijen je,ali nije 0 day exploit.Na sreću.
- +/- sve poruke
- ravni prikaz
- starije poruke gore
Tacno, TLS 1.1 i 1.2 su defaultno iskljuceni u Operi. Za omogucavanje:
Tools > Preferences > Security > Security Protocols i stavite kvacice na Enable TLS 1.1 i 1.2
Ako imate problema sa logiranjem na neku stranu onda znate da je problem ovo :)
http://my.opera.com/core/blog/2009/02/25/new-in-opera-presto-2-2-tls-1-2-support
Problem
Warning that a site is using an outdated encryption method
Za Internet Explorer:
Tools > Internet Options > Advanced > [skrolate dole] stavite kvacicu na Use TLS 1.1 i 1.2
Zašto konačno? Pa to nije baš dobra vijest :/
Tema mog diplomskog rada "Slabosti SSL protokola" ...
Vijest je prenesena na vrlo senzacionalistički način. Zapravo je napadaću potreban pristup vašem računalu da bi injektirao JavaScript u browser i pristup vašoj ili mreži servera da bi postavio packetsniffer. Znaći, da bi se iskoristio napad, sigurnost već mora biti kompromitirana.
Također, nije problem samo u browserima već i u serverima koji ne podržavaju TLS1.1 i više. Točnije, ne podržavaju ga serveri temeljeni na Apacheu, barem ne oni koji koriste OpenSSL za HTTPS podršku. IIS podržava TLS1.1 ali ne po defaultu već tu opciju treba upaliti. Jedini browseri koji podržavaju TLS1.1 ili više su IE i Opera s time da Opera ima podršku po defaultu upaljeno a IE ugašenu.
Čemu senzacija za nešto ovako smiješno?
Serveri su također problem, iako primjerice IIS ima podršku za 1.1 kako si rekao. Serversku podršku je lakše riješiti nego onu u preglednicima, jer je nadogradnja ili zakrpa servera manja obimom od prisiljavanja milijuna korisnika na novi ili noviji preglednik. Naravno, problem je jasan sam po sebi.
Doublev nije isto kompromitirati sigurnost izvršavanja JS u pregledniku i pristup i mogućnost dekriptiranju SSL-a. SSL/TLS je zamišljen da spriječi pristup informacijama i kad zlonamjerni korisnik ima pristup paketima/porukama/prometu, a ovo ga čini beskorisnim u tom slučaju. Ovo je ozbiljan propust i mislim da je uistinu trenutno vrlo nezgodan jer pristup izvršavanju JS koda u preglednicima nije tako teško dobiti u mnogim slučajevima. Možda "kraj sigurnog plaćanja" zvuči pretjerano. ublažit ću to.
jer je nadogradnja ili zakrpa servera manja obimom od prisiljavanja milijuna korisnika na novi ili noviji preglednik. Naravno, problem je jasan sam po sebi.
Sto se tice browsera..
Zato i sve one silne nadogradnje browsera koje vendori stancaju na 2-3 mjeseca. Ljudi nas fino zamole da drzimo auto update browsera na on a mi se (vecinom) pravimo pametni pa gasimo te opcije (na pr. Google Update)
Firefox i Chrome drzim zbog moguce nekompatabilnosti neke strane a redovito koristim Operu za koju mogu reci da se vrlo cesto nadograduje sa sigurnosnim zakrpama
ma sta im vrijedi zastititi ssl kad je sslstrip dovoljan za maznut podatke od vecine korisnika
Zasto u mom IE8 ima samo opcija TLS 1.0?
Zasto u mom IE8 ima samo opcija TLS 1.0?
Zato sto nije IE9 (:
Salu na stranu, nadogradi ga!
It's not a joke. Nemaju svi Vistu ili sedmicu. 9-ka be IDE na XP.
Bravo Mozzila, glavno da s vremena na vrijeme izdaju "novu" verziju u kojoj isprave GUI iz prethodne , sve u svem ovo bi mogao biti moj rastanak s Mozzilom, jer eto intenzivno koristim PayPal i e-Bankarstvo te si ne mogu priuštiti da se tamo negdje neki nadobudni lik omasti.
Mozilla još ima vremena, kao i ostali uostalom.
Stvar je u tome sto masu ljudi nezna za exploit a koriste netbanking i paypal.
It's not a joke. Nemaju svi Vistu ili sedmicu. 9-ka be IDE na XP.
Pa nemamo mi magicnu kuglu da vidimo sto koristis. Moj PC ti nije potpunjen
Vijest je prenesena na vrlo senzacionalistički način. Zapravo je napadaću potreban pristup vašem računalu da bi injektirao JavaScript u browser i pristup vašoj ili mreži servera da bi postavio packetsniffer. Znaći, da bi se iskoristio napad, sigurnost već mora biti kompromitirana.
Također, nije problem samo u browserima već i u serverima koji ne podržavaju TLS1.1 i više. Točnije, ne podržavaju ga serveri temeljeni na Apacheu, barem ne oni koji koriste OpenSSL za HTTPS podršku. IIS podržava TLS1.1 ali ne po defaultu već tu opciju treba upaliti. Jedini browseri koji podržavaju TLS1.1 ili više su IE i Opera s time da Opera ima podršku po defaultu upaljeno a IE ugašenu.
Bravo Mozzila, glavno da s vremena na vrijeme izdaju "novu" verziju u kojoj isprave GUI iz prethodne , sve u svem ovo bi mogao biti moj rastanak s Mozzilom, jer eto intenzivno koristim PayPal i e-Bankarstvo te si ne mogu priuštiti da se tamo negdje neki nadobudni lik omasti.
Wood pogle što je napisao doublev par postova iznad. Obrati pozornost na ovo boldano.
Doublev nije isto kompromitirati sigurnost izvršavanja JS u pregledniku i pristup i mogućnost dekriptiranju SSL-a. SSL/TLS je zamišljen da spriječi pristup informacijama i kad zlonamjerni korisnik ima pristup paketima/porukama/prometu, a ovo ga čini beskorisnim u tom slučaju. Ovo je ozbiljan propust i mislim da je uistinu trenutno vrlo nezgodan jer pristup izvršavanju JS koda u preglednicima nije tako teško dobiti u mnogim slučajevima. Možda "kraj sigurnog plaćanja" zvuči pretjerano. ublažit ću to.
Slažem se s tobom. Stvar je vrlo ozbiljna ali ne toliko koliko je bilo naglašeno u originalnom članku. Pogotovo naslov. Sada je puno bolje! ;)
Stvar je u tome sto masu ljudi nezna za exploit a koriste netbanking i paypal.
Da ok, to mi je jasno. Iako, vjerujem da će se vijest ovakvog tipa brzo proširiti fejsbukom. Svi će svima u roku minute reć "e znaš da ti paypal više nije siguran".
Da ok, to mi je jasno. Iako, vjerujem da će se vijest ovakvog tipa brzo proširiti fejsbukom. Svi će svima u roku minute reć "e znaš da ti paypal više nije siguran".
Mislim da treba postojati zastita za "glupe". Npr dosta ljudi ce kliknut i instalirat "Free Antivirus 2012" kad im izleti popup na nekim sumnjivim stranicama. Hrpa ljudi nije educirana, nezna za phishing i slicno. Ne vjerujem da ce se zamarati sa SSL-om i slicno.
Dakle, treba postojati sustav koji ce zastititi korisnike bez da oni znaju da ih stiti.
Isključivanje JavaScripta nije rješenje, jer nije JavaScript problem - ako netko sniffa WiFi vezu, može izvesti istu stvar, ne mora niti imati pristup pregledniku.
Samo što većina banaka za korištenje internet bankarstva traži javu...
Isključivanje JavaScripta nije rješenje, jer nije JavaScript problem - ako netko sniffa WiFi vezu, može izvesti istu stvar, ne mora niti imati pristup pregledniku.
To baziraš na kojoj informaciji točno? Ja mislim da bez javascripta to ne bi bilo moguće, a pozivam se na ovo:
The tool is based on a blockwise-adaptive chosen-plaintext attack, a man-in-the-middle approach that injects segments of plain text sent by the target's browser into the encrypted request stream to determine the shared key.
Isključivanje JavaScripta nije rješenje, jer nije JavaScript problem - ako netko sniffa WiFi vezu, može izvesti istu stvar, ne mora niti imati pristup pregledniku.
Mislim da mora s obzirom da se napad temelji na dekripciji cookija za autentifikaciju. Koliko ja shvaćam, nije mu dovoljan sam TLS stream...
Samo što većina banaka za korištenje internet bankarstva traži javu...
javu ili js?
Isključivanje JavaScripta nije rješenje, jer nije JavaScript problem - ako netko sniffa WiFi vezu, može izvesti istu stvar, ne mora niti imati pristup pregledniku.
To baziraš na kojoj informaciji točno? Ja mislim da bez javascripta to ne bi bilo moguće, a pozivam se na ovo:
The tool is based on a blockwise-adaptive chosen-plaintext attack, a man-in-the-middle approach that injects segments of plain text sent by the target's browser into the encrypted request stream to determine the shared key.
Izvor: http://arstechnica.com/business/news/2011/09/new-javascript-hacking-tool-can-intercept-paypal-other-secure-sessions.ars
Isključivanje JavaScripta nije rješenje, jer nije JavaScript problem - ako netko sniffa WiFi vezu, može izvesti istu stvar, ne mora niti imati pristup pregledniku.
Mislim da mora s obzirom da se napad temelji na dekripciji cookija za autentifikaciju. Koliko ja shvaćam, nije mu dovoljan sam TLS stream...
Zar mislite da cookie ne putuje mrežom? Kako mislite da cookie "šeta" između servera i preglednika? - Zašto Chrome treba posebnu zaštitu i fragmentiranje, ako je dovoljno isključiti JS?
Vijest je prenesena na vrlo senzacionalistički način. Zapravo je napadaću potreban pristup vašem računalu da bi injektirao JavaScript u browser i pristup vašoj ili mreži servera da bi postavio packetsniffer. Znaći, da bi se iskoristio napad, sigurnost već mora biti kompromitirana.
Također, nije problem samo u browserima već i u serverima koji ne podržavaju TLS1.1 i više. Točnije, ne podržavaju ga serveri temeljeni na Apacheu, barem ne oni koji koriste OpenSSL za HTTPS podršku. IIS podržava TLS1.1 ali ne po defaultu već tu opciju treba upaliti. Jedini browseri koji podržavaju TLS1.1 ili više su IE i Opera s time da Opera ima podršku po defaultu upaljeno a IE ugašenu.
Bravo Mozzila, glavno da s vremena na vrijeme izdaju "novu" verziju u kojoj isprave GUI iz prethodne , sve u svem ovo bi mogao biti moj rastanak s Mozzilom, jer eto intenzivno koristim PayPal i e-Bankarstvo te si ne mogu priuštiti da se tamo negdje neki nadobudni lik omasti.
Wood pogle što je napisao doublev par postova iznad. Obrati pozornost na ovo boldano.
OK, ali zar se JS ne može pokupiti s bilo koje stranice , tj čak i sa foruma ako nema zaštitu od izvršavanja client side skripti ?