[LUGOS] Re: firefox edavki game over
Andraz Tori
Andraz.tori1 at guest.arnes.si
Sun Apr 9 13:15:31 CEST 2006
> > Vsekakor nam do takrat ne ostane nic drugega kot to, da za svoje
> > mlincke skrbimo po najboljsih moceh.
>
> Ja in prav tukaj jaz vidim problem. Drzava nam je podturila svoj applet za
> varnost katerega bomo morali skrbeti mi, "oni" gredo pa zdaj lahko mirno
> na dopust ;)
Stvar je še bolj katastrofalna... komponento, ki nam bo zadevo
podpisovala nam postrežejo kar preko navadnega http protokola in na isti
nekriptirani strani povedo se SHA-1 hash...
http://edavki.durs.si/OpenPortal/Pages/Faq/FaqPreview.aspx?id=45
(vsaj na tej strani so navodila in navadni http linki - pa tudi ko si ze
enkrat na https to po javo in jce pošljejo na navadni http!)
man-in-the-middle napadalec lahko datoteko in SHA na strani brez
problema zamenja!
torej efektivno rešitev ni nič bolj varna, kot če bi uporabljali navadno
SSL konekcijo in nobenih client-side podpisovanj.
ŠE VEČ: rešitev je _NEVARNEJŠA_ od golega zaupanja SSL konekciji, saj te
prisili, da postaneš ranljiv za man-in-the-middle attack, saj te
prisilijo namestiti software, ki mu daš vse varnostne privilegije! ta
software pa dobiš preko nevarovane poti... genijalno!
To sem šele zdajle doumel in se mi zdi v bistvu zelo nevarno.
čao
andraž
More information about the lugos-list
mailing list