Привет всем ! Тут был разговор о SSL, т.е. какой он "молодец". Все это выглядело круто, но вот.. встретил статью на ][акере. тут сказывается как можно перехватить SSL канал.. ХОтел обсуждать, на самом деле кто небудь пробовал? С одного стороны все очень просто кажется, а с другого стороны - тупой. P.S. К статье требуется еще и видео. если смогли бы подкинуть - круто было бы
> разработчик Moxie Marlinspike опубликовал рабочую утилиту sslsniff, которая реализовывала простую атаку MITM (Man in the middle), перехватывая весь трафик. Смысл сводился к следующему: прога перехватывала клиентские запросы на соединение с защищенным HTTPS-сайтом; сама создавала сертификат для сайта, к которому коннектится клиент, и подписывала его с помощью уже имеющегося сертификата; со своей стороны устанавливала обычное HTTPS-соединение с нужным сервером и выступала своеобразной проксей, снифая весь трафик. Все, что требовалась для работы – это предоставить sslsniff действительный сертификат. К сожалению, с 2002-го, когда была опубликована утилита, браузеры стали умнее и такой проверкой больше не пренебрегают. Увы, такой способ нам уже не поможет! актуально, это же 2002! свой сертификат SSL обновляется ежегодно, PGP-key хранится на контейнере с двойным шифрованием AES-Twofish с пасс-фразой 20 символов. Уважаемой публике А-Чата, PGP-keys - элитные/красивые сочетания символов и цифр. пассворд на ключ - ваш. вопросы - обсуждаем и решаем в ЛС/АСЯ.
Видео по SSL снифу с помощи MITМ http://www.youtube.com/watch?v=ESGV9zlo0Zo http://www.youtube.com/watch?v=aADs2ukNwKw
altblitz мен, спасибо конечно, но я не очень сильно в сертификатах.. можешь по аське или по ЛС мне обьяснить.. сколько читаю про них, но всегда какой-то парадокс у меня по сертификатам ))) shellz[21h] +, но хотел бы видео именно из журнала.