Vlákno názorů k článku Kauza DigiNotar, aneb: když certifikační autorita ztratí důvěru od Tomáš Kapler - Já vidím ještě jeden dost zásadní problém -...

Článek je starý, nové názory již nelze přidávat.

Podle hodnocení
Podle vláken
Nejnovější

20. 9. 2011 10:33

Tomáš Kapler (neregistrovaný)

Já vidím ještě jeden dost zásadní problém - nikde jsem nezaznamenal, že by nějak následně zareagoval Google - tj. zneplatnil hesla všem dotčeným osobám (budou nejspíš schopni zjistit z logů) a donutit je udělat si nová. hodně odlišná. Jinak má totiž útočník v držení stále mnoho tisíc hesel a byť útok pominul, stále může napadat své cíle.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 10:49

Jiří Peterka

Podporovatel

Google zareagoval i v tomto ohledu a vydal své doporučení uživatelům v Iránu
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 12:50

Sojkovec (neregistrovaný)

On samozřejmě reagoval obratem, stejně jako Mozilla i Microsoft, hned jak to vyšlo na povrch. Akorát ta kauza už je dost stará (vzhledem k závažnosti), zahraniční média to omílají už tak 2 měsíce. A opravdu, Google hesla svých uživatelů nezná. Zná jejich otisky (hashe). A potencionálně postižení (hlavně Íránci) varováni byli.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 13:00

Sojkovec (neregistrovaný)

http://cs.wikipedia.org/wiki/Kryptografick%C3%A1_ha%C5%A1ovac%C3%AD_funkce
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 13:02

Sojkovec (neregistrovaný)

A BTW vytvoření vlastního (falšeného) certifikátu s PK CA nemá s vlastním přihlašováním moc co společného, umožňuje odposlech (MITM) šifrované komunikace s platně ověřeným certifikátem.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 13:03

Ondřej Surý

Myslím, že předřečník narážel na to, že k hashování hesla použitého k autentizaci dochází až na straně serveru.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 14:02

DgBd

Reagoval jsem konkrétně na toto vaše tvrzení:

A opravdu, Google hesla svých uživatelů nezná. Zná jejich otisky (hashe).

Což není tak úplně pravda pravdoucí, je to jenom vaše nepochopení fungování autentizace u googlu.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 15:20

Tomáš Kapler (neregistrovaný)

jj, jenom doplním, že právě proto, aby bylo bezpečné posílání plaintext hesla při úvodní autentifikaci, je celá komunikace šifrovaná přes 128bitové SSL. A právě problém tohoto útoku je, že někdo kompromitoval onen zašifrovaný kanál, tj. byl schopen přečíst plain text hesla.
A vzhledem k tomu, že asi 80 % lidí používá hesla opakovaně, pak dotyčný mohl přijít k hodně heslům k hodně službám, když by třeba vyzkoušel najít v mailech uživatelů nějaké maily od nějakého iránského bankovního dobu a následně použil hesla z mailu pro přístup do dané banky, pak je dost velká šance (odhadem 10-30 %), že heslo bude stejné (podle způsobu zabezpeční online bankovnictví dané banky). krom toho samozřejmě vyhledávání řetězců typu "heslo" v mailech atd. které by nejspíš odhalilo mnoho tisíc dalších hesel.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 15:30

Roman (neregistrovaný)

A pro změnu váš předřečník narážel na to, že do db neuloží heslo, ale ten hash. Jak důležitý je ten jediný krátký okamžik, kdy Google to heslo "zná"?
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 15:34

DgBd

když ho zná, tak je už jedno, jak dlouho :-)
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
22. 9. 2011 22:38

Pavel Šimerda

Přesně tak. Ale to už jsme kacíři hodní ukřižování. Ale existují metody přihlašování heslem, které zachovávají jak to, aby heslo nebylo odposlouchatelné, tak i to, aby nebylo přímo čitelné z db.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
23. 9. 2011 19:43

NN (neregistrovaný)

Samozrejme. Osobne si myslím, že utočník kľudne mohol mať záujem skôr o obsah komunikácie ako o heslá. Kľudne to mohola byť štátna agentúra v shnahe monitorovať činnosť nejakého politického odboja.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 14:55

turista

Přesně, jestli Google zná hesla, my tady nemůžeme zjistit. My akorát víme, že se mu z přihlašovacího formuláře odesílají přes https POST v plaintextu.

Co se dále s heslem děje a jak si ho ukládají, to už je všechno na straně serveru.
- Skok na další nový názor. K navigaci lze použít i klávesy N pro následující a P pro předchozí nový názor
20. 9. 2011 12:55

DgBd

no a teď ještě vysvětlete, jakým způsobem tedy zjišťují, že heslo je správné, když ho neznají :-) (a neautentizují se certifikátem)

Aktuality

Policiie vyšetřuje kyberkriminalitu, podklady sbírala i v rozhlase. V případu zadržela dvě osoby

V Česku se i díky 3D tisku rozjela výroba ovladačů pro letecké simulátory

Čip z Česka se začal masově vyrábět. Tropic Square jako první na světě nemá tajnosti

Vlákno názorů k článku Kauza DigiNotar, aneb: když certifikační autorita ztratí důvěru od Tomáš Kapler - Já vidím ještě jeden dost zásadní problém -...

Aktuality

Policiie vyšetřuje kyberkriminalitu, podklady sbírala i v rozhlase. V případu zadržela dvě osoby

V Česku se i díky 3D tisku rozjela výroba ovladačů pro letecké simulátory

Čip z Česka se začal masově vyrábět. Tropic Square jako první na světě nemá tajnosti

Dále u nás najdete

Průměrná mzda se utrhla ze řetězu. Vzroste i ta minimální