Potentsiaalne HTTPS turvaauk -- ID kaardid sahtlisse?

Autor

Sõnum

olavsu1

Vana Pingviin

Vanus: 48
Liitunud: 01.12.2006
Postitused: 923

Distributsioon: ubuntu, mandriva

postitatud: 07.11.2009, 00:13 postituse pealkiri: Potentsiaalne HTTPS turvaauk -- ID kaardid sahtlisse?


minut kirjutab järgmist: Olavi kirjutab: "Tundub, et https autentimises on avastatud gigantne man-in-the-middle turvaauk, mis avaldub eriti hästi ID kaardi puhul. Patchi ja workaroundi minu arusaamisel ei eksisteeri. Viited: Another Protocol Bites The Dust Renegotiating TLS MITM attack on delayed TLS-client auth through renegotiation Nonii kus mu pin-kalkulaator oligi?" Minuti lühikokkuvõte oleks siis selline: On avastatud väga oluline turvaauk, mis eksisteerib SSL ja TLS protokollides. Üks oluline kõrgema taseme protokoll, mis sellest ohtu sattub on HTTPS, mida kasutavad kõik ennast turvalisena reklaamivad veebisaidid. Sealhulgas netipangad, e-hääletus, i-valimised, kõik ID kaardi rakendused ja mis iganes veel.

indrek
Vana Pingviin

Vanus: 46
Liitunud: 08.07.2005
Postitused: 412
Asukoht: Tallinn
Distributsioon: Kubuntu

postitatud: 07.11.2009, 03:08 postituse pealkiri: (teema puudub)


no ma saan aru näiteks koodilehega netipangast jne, aga miks põrgu pärast peaks see nüüd id-kaardi kasutamist mõjutama. Ok - kirju saab sellepeale vbla läbi valgustada (ei viitsinud süveneda, kui tõsine see probleem nüüd on), kuid see ei tähenda, et keegi su kirja peal olevat allkirja järgi teha saaks.