| 1.2, pavlinux (ok), 15:49, 21/04/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
 Надо форсировать США ракетами Тополь-М, дабы отбить желание на ограничение длины ключа.
Сейчас, разрешаемые 256 бит, в связи с появлением Fermi и CUDA это уже смешно.
А тем более на своих кластерах, Roadrunner_ах, прямым бутфорсом подбирается за 6 минут.
| | |
| |
| 2.4, Аноним (-), 16:26, 21/04/2011 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вы ничего не путаете? Подбор 256 битного ключа за разумное время? Что-то сомнительно.
| | |
| |
| 3.8, pavlinux (ok), 17:53, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Вы ничего не путаете? Подбор 256 битного ключа за разумное время? Что-то
> сомнительно.
Ну посчитай, 2^256/1.5 Петафлопа
| | |
|
| 2.5, Аноним (-), 16:38, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– |
Ты что-то путаешь. Длина ключа сертификата - 1024, 2048, ... бит, а для сессионного ключа - разве AES определён для большего чем 256 бит размера ключа?
| | |
| |
| 3.7, pavlinux (ok), 17:51, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты что-то путаешь. Длина ключа сертификата - 1024, 2048, ... бит,
Это не ключ, это сам сертификат.
> а для сессионного ключа - разве AES определён для большего чем 256
> бит размера ключа?
Вот именно.
И вообще, AES закопать надо, это ихний стандарт, принятый АНБ, он такой "сильный"
что даже они не могут расшифровывать за приемлемое время.
| | |
|
|
| 1.3, Marbleless (?), 15:49, 21/04/2011 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Непонятно только, почему вся информация вносится вручную? Почему нельзя установить SSL-соединение с целевым веб-сайтом и запросить все данные? Тем более, что на их же сайте есть ссылка на сервис от Qualys SSL Labs, который ровно это и делает.
| | |
| |
| 2.21, Aleksey (??), 19:45, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Непонятно только, почему вся информация вносится вручную? Почему нельзя установить SSL-соединение
> с целевым веб-сайтом и запросить все данные? Тем более, что на
> их же сайте есть ссылка на сервис от Qualys SSL Labs,
> который ровно это и делает.
Там от силы 2 поля можно автоматом получить. Все остальное надо уже смотреть.
| | |
| |
| 3.24, Marbleless (?), 20:08, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>Там от силы 2 поля можно автоматом получить. Все остальное надо уже смотреть.
Не думаю.
Вот поля:
0.Сайт существует - можно проверить автоматом. Важный признак, надо сказать.
1.Uses HSTS - можно проверить автоматом.
2.Uses HTTPS - можно проверить автоматом.
3.No mixed content - да, вот здесь уже нельзя полностью автоматом проверить, поскольку нужно проверять все возможные страницы. С другой стороны, если хотя бы на главной есть Mixed Content, можно сразу сказать, что нет.
4.All HTTPS - аналогично
5.All Identifying - тут только вручную
6.Uses secure cookies - тут окончательный вердикт только вручную, да.
7.Valid SSL Certificate - проверяется автоматически.
Да, не все поля можно заполнить автоматом, но облегчить жизнь и занести хотя бы формальные критерии можно.
| | |
|
|
| 1.9, anonymous (??), 18:14, 21/04/2011 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 SSL? это та криво сделаная ерунда, которая тормозит, реализации которой в UI браузеров пугают пользователя непонятными окнами, а шаражки, выдающие корневые сертификаты сплошь коммерческие, никому не подконтрольные и умудряются при этом выдавать сертификаты кому не попадя?
благодарим за такую нужную и чудесно централизованую вещь, но принять не можем: слишком уж царский подарок, оставьте себе.
| | |
| |
| 2.10, Marbleless (?), 18:17, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>благодарим за такую нужную и чудесно централизованую вещь, но принять не можем: слишком уж царский подарок, оставьте себе.
А вместо SSL что использовать предлагается?
| | |
| |
| 3.11, anonymous (??), 18:31, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– | |
> А вместо SSL что использовать предлагается?
а это смотря для чего. я вот вообще не понимаю, какая ниша у SSL, зачем оно надо? банковские системы? выдавать флешину с ключом и гоу-гоу-ту-впн. проверки подлинности? вообще не его ниша. зачем оно?
| | |
| |
| 4.12, Marbleless (?), 18:36, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>какая ниша у SSL, зачем оно надо?
1.Шифрование данных, защита от снифферов.
2.Подтверждение подлинности источника.
>выдавать флешину с ключом и гоу-гоу-ту-впн.
1.И как защитить флэшину с ключом от подделки?
2.И что, "флэшина с ключом" - это намного лучше, чем стандартное решение, которое не лишено недостатков, но ведь работает?
>И гоу-гоу-ту-впн
Зачем здесь вообще VPN?
>проверки подлинности? вообще не его ниша.
Да ну?
| | |
| |
| 5.13, anonymous (??), 18:40, 21/04/2011 [^] [^^] [^^^] [ответить]
| –1 +/– |
>>какая ниша у SSL, зачем оно надо?
> 1.Шифрование данных, защита от снифферов.
VPN.
> 2.Подтверждение подлинности источника.
VPN.
> 1.И как защитить флэшину с ключом от подделки?
зачем? ключ вообще можно на сайт положить, просто юзеру обычно лень его скачивать, так что вручать флэшину.
> 2.И что, "флэшина с ключом" - это намного лучше, чем стандартное решение,
> которое не лишено недостатков, но ведь работает?
конечно, лучше.
>>И гоу-гоу-ту-впн
> Зачем здесь вообще VPN?
угадай.
>>проверки подлинности? вообще не его ниша.
> Да ну?
ну да.
| | |
| |
| 6.14, Marbleless (?), 18:44, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– | |
>зачем? ключ вообще можно на сайт положить, просто юзеру обычно лень его скачивать, так что вручать флэшину.
Так, и что же мешает организовать атаку "человек посередине" следующим образом: отдавать вместо ключа с сайта свой собственный ключ, и после этого расшифровывать весь трафик от клиента и записывать перед отправкой на настоящий сервер?
| | |
| |
| 7.15, anonymous (??), 18:49, 21/04/2011 [^] [^^] [^^^] [ответить]
| +/– |
> Так, и что же мешает организовать атаку "человек посередине" следующим образом: отдавать
> вместо ключа с сайта свой собственный ключ, и после этого расшифровывать
> весь трафик от клиента и записывать перед отправкой на настоящий сервер?
вот в частности для этого и дать флэшину.
точно такую же хрень можно спокойно делать с SSL. разница в том, что здесь никто не зависит от дураков в корневых конторах. т.е. в цепочке как минимум на одного дурака меньше.
| | |
|
|
|
|
|
|
|
