Сейчас обсуждают

[iSherhan]

Отправляю данные http - серверу. По https соединению. Даные содержат пароль. во время передачи данных может кто - нибудь подсмотреть пароль

[sog]

да

[Jek]

При HTTPS между клиентом и сервером сначала устанавливается SSL-соединение, и после этого все данные, передаваемые по HTTP, включая и пароли, инкапсулируются в SSL. Так что "подсмотреть" пароль или любую другую часть HTTP-трафика никому не удастся.

[HUX__HEYMEI-0]

два противоречивых ответа.

Думаю всегда нужно прислушаться с толком обоснованному ответу.

[iSherhan]

sog - обоснуйте пожалуйста свой ответ
дело касается передачи финансовых данных, вернее самих финансов. Поэтому очень прошу обосновать.

[sog]

вопрос был поставлен не совсем корректно.

вообще, касаемо интернета, нужно понимать, что никакой анонимности и тайна в нем нет.

касаемо наличия криптографии - тут простого копипаста не достаточно. тут книга не менее талмуда нужна.

в любом случае, криптостойкость определяется актуальностью самой информации. все, естественно, меняется с увеличением вычислительной мощности.
сам перехват траффика элементарен - его осуществляют все ))), начиная от провайдера, кончая ребенком, читающим чужую почту скайнетом.
кстати, посмотрите, если настроить соответственно скайнет, сколько всего интересного летит, помимо тысяч страниц почты.

поэтому, если Вы хотите передавать конф. данные через хттпс, нужно понимать, что если они кому-то нужны целенапрвленно - они у него будут. другое дело, через какое время.

зы насколько помню, япошки еще лет 5 назад выкладывали в паблик прогу для перехвата данных хттпс

[Jek]

Если бы в SSL были дыры - его бы не использовали. И уж тем более в банковской сфере.

Кто хочет взломать SSL - пожалуйста. Могу записать логи сниффера с 443 порта на одном из шлюзов. За сутки. Там будет немало банковских проводок . Есть желающие устроить сенсацию века и выудить из этих логов логины/пароли? То-то же. Это вам не чужие аськи читать .

Получить пароль, конечно, можно, но уж никак не атакой на SSL. Можно заюзать кейлоггер. Можно заюзать троян. Но это уже никакого отношения к "подсмотру" не имеет. Так что конкретно во время передачи данных перехват исключен.

[Tabon]

вопрос был поставлен не совсем корректно.

вообще, касаемо интернета, нужно понимать, что никакой анонимности и тайна в нем нет.

касаемо наличия криптографии - тут простого копипаста не достаточно. тут книга не менее талмуда нужна.

в любом случае, криптостойкость определяется актуальностью самой информации. все, естественно, меняется с увеличением вычислительной мощности.
сам перехват траффика элементарен - его осуществляют все ))), начиная от провайдера, кончая ребенком, читающим чужую почту скайнетом.
кстати, посмотрите, если настроить соответственно скайнет, сколько всего интересного летит, помимо тысяч страниц почты.

поэтому, если Вы хотите передавать конф. данные через хттпс, нужно понимать, что если они кому-то нужны целенапрвленно - они у него будут. другое дело, через какое время.

зы насколько помню, япошки еще лет 5 назад выкладывали в паблик прогу для перехвата данных хттпс

угу, лет этак через *надцать логин/пароль у перехватчика будут, но будут ли эти логин/пароль к тому времени актуальны?

[sog]

блаженны верующие...

япошки помимо прожки для хттпс с год назад выложили алгоритм для вафли. 10 минут.

[iSherhan]

блаженны верующие...

япошки помимо прожки для хттпс с год назад выложили алгоритм для вафли. 10 минут.

А сцылку можна. Или куда рыть

[Tabon]

япошки помимо прожки для хттпс с год назад выложили алгоритм для вафли. 10 минут.

ссылку в студию!

ЗЫ вафля и https немножко разные вещи, и здесь вроде как https обсуждается

[sog]

вафля и https немножко разные вещи

касаемо криптографии, есть принципиальные отличия?

[VSL]

касаемо криптографии, есть принципиальные отличия?

Чистые крипто-алгоритмы и протоколы передачи данных это все таки не одно и то же, можно найти уязвимость в протоколе, пользуясь которой получить доступ к данным при невзломанном алгоритме шифрования. Вот именно такую уязвимость в протоколе SSL/TLS не так давно и нашли. Уязвимость может сделать возможным просмотр только при определенных условиях. Пока я думаю этой уязвимостью никто не пользуется, не прочухали, да и возможность есть далеко не у всех. Однако в любом из случаев, при иcпользовании https необходлимо обращать внимание на достоверность сертификата сервера, обмен с которым вы производите. Его сертификат обязательно должен быть подписан цифровой подписью одного из известных удостоверяющих центров, а вот на это к сожалению практически никогда пользователи не обращают внимания. Либо, если это самоподписной сертификат, вы должны убедиться, что он принадлежит нужному серверу, сделать это можно проверив контрольные суммы, заранее располагая правильным ответом. В случае, если вместо настоящего сертификата вам подсунут поддельный, то ваши данные могут уйти напрямую в руки того, кто хочет организовать перехват.
Вообще же аксиома безопасной передачи данных состоит в том, что атакующий может оказаться сильнее защиты, а способов для этого может быть много, те же трояны и черви, социальная инженерия, уязвимости в браузерах и т.п., все зависит от степени ценности информации, исходя из которой необходимо определять крепость систем защиты.

дело касается передачи финансовых данных, вернее самих финансов. Поэтому очень прошу обосновать.

Как я понимаю при финансовых операциях используется, помимо SSL, либо цифровая подпись, либо сеансовые переменные коды или что-то тому подобное, это накладывает дополнительный уровень защищенности. Изучите данный вопрос в разрезе ваших требований для того что бы определить, безопасны ли ваши транзакции.

ps Если вам нужно безопасно передавать данные, пароли и прочую информацию, изучите и пользуйтесь стандартом OpenPGP. Сфера применения - защита передачи мгновенный сообщений, почты, файлов на вашем компьютере, защита от подделки файлов и т.п.

Сообщение отредактировал VSL - 8.8.2010, 10:51

[terraW]

Информация по теме..
http://www.anti-malware.ru/forum/index.php?showtopic=7623
http://www.anti-malware.ru/pda/index.php?a...ost&id=3161
http://news.softline.ru/news.php?id=12398

[Jek]

Информация по теме..

Ну как бы ничего нового. Перехват данных осуществляется на одном из концов. Т.е. нужно иметь доступ к той железке, которая использует HTTPS - и тогда можно перехватывать данные до того, как они упадут в SSL и в сеть. Об этом я уже тут где-то писал.

[VSL]

Перехват данных осуществляется на одном из концов. Т.е. нужно иметь доступ к той железке, которая использует HTTPS...

Не только, там в форуме по ссылке как раз пишут об атаках man in the middle. Смотрите на сертификаты, прежде чем доверить свой трафик сети интернет.

[mephisto]

Ну есть такая штука, как sslstip, внимание стоит обратить не на саму программу, а на способ, которым перехватывается соединение.

[VSL]

Ну есть такая штука, как sslstip, внимание стоит обратить не на саму программу, а на способ, которым перехватывается соединение.

Чего-то ссылка у меня не открылась. Рабочая?

[mephisto]

Похоже уже нет, но можно спросить у гугля.

[Jek]

Посмотрел. И сдается мне, что с современными браузерами надо быть в конец проржавевшим чайником, чтобы на такое попасться .

Путем подмены favicon даже получается имитировать значок защищенного соединения, ну а http там в строке адреса или https - на такую мелочь не каждый обратит внимание.

Ага, и на отсутствующие значки защищенного соединения еще в двух-трех местах тоже. Надпись https большинство браузеров 2010 г.в. выделяет жирным шрифтом. Видел пару браузеров, которые показывают адрес защищенного соединения на другом фоне (не на белом, а на желтом, например). Firefox в этом плане вообще зверь, он у защищенных соединений показывает перед адресом, кому принадлежит сертификат и какая контора его выдала (с настройками по умолчанию). При таких раскладах можно рассчитывать заиметь пароли разве что какого-нибудь masha2009 .

Хотя троянчик оригинальный. Мне понравился.