Настоящий Флеймер
Зарегистрирован:
16 August 2006
Сообщения: 1510
Примеры кода: 0
|
Re: Насколько HTTPS защищенный протокол? Или это просто прикол? |
11 December 2007 00:01 |
|
|
|
|
Ужоз! Intel встоила в свои процессоры алгорит... Дорогой КРЭШ - ты забыл еще одну важную фишу - весь криптоанализ проводится из предположения, что ИСХОДНЫЙ ТЕКСТ сообщения неизвестен. Даже закриптованное в первых байтах [q]HTTP/1.1[/q] снижает просто до рантайма устойчивость ЛЮБОГО стандартного алгоритма. Попробуй Асилить почему? Ну ты знаешь точно закриптованный текст и перехваченный. Теперь пашевели мазгами - сложно ключ угадать?
Это даже если не принимать во внимание небольшой заморочки в процессорах INTEL - о которой написано выше и которая просто дает НЕ СОВСЕМ СЛУЧАЙНЫЕ числа. Это выше крыши чтобы просто расшифровывать все тупо в рантайме. А если это еще и памножить на [q]HTTP/1.1[/q] - то SSL становится просто
приколом для идиотов. Как тут уже обьясняли популярно некоторые люди, реально занимающиеся рантаймовой декриптовкой.
Из всего балобольства в этой теме так и небыли озвучены альтернативные решения SSL протоколу - для решения задачи в данном контексте - как то передача данных веб-броузер\веб-сервер!!!
Могу предложить еще одну ШизоИдею, рожденную в моей голове. Юзверь сгружает и устанавливает в один ТЫНЦ клиента - состоящего, скажем из моей виртуальной клавы (но уже в виде WIN-приложения) и что-нибудь ЭДАКОЕ. Ну чтобы далеко не ходить - возбмем самое примитивное из опубликованного - http://microsoft.apress.com/asptodayarchive/73991/steganography-hiding-data-in-images
Как вы понимаете - без виртуальной клавы - это все бред. Кейлоггеры это заглотнут на раз.
Дальше берем нормальный алгоритм, можно конечно не такой примитивный, который выложен выше - собственно требование к нем одно - чтобы ПАРОЛЬ В НЕМ НЕ ЛОВИЛСЯ и делаем АПЛОАД этой кортинки на сервер. Это и есть ЛОГИН/ПАРОЛЬ человека в той или иной системе. По крайней мере мы уходим так и от обьебки под названием SSL, так и от маразма, который меня всегда ваще удивлял до глубины души - СОКРЫТИЕ ПАРОЛЯ ОТ ВВОДЯЩЕГО. И потом передача его в открытом виде через сеть. Рисунок. Это вообще меня всегда в шок вводило. Зачем ОТ-СЕБЯ-ТО-ЕГО-СКРЫВАТЬ. Я у всех это всегда спрашивал. Самое умное, что я услышал - вдруг кто-то сзади тихонько подкрался и через плечо подсматривает прямо в то мгновение, когда тебе приспичило зарегистрироваться! А то что ты это для всех-всех-все остальных свои пароли в открытом виде обьявил - это уже значения не имеет! Главное ИЛЛЮЗИЯ безопасности для себя (и того кто подкрался и подглядывает за спиной). Ну такая же, собственно, иллюзия, как создается при помощи SSL.
Ну а дальше как? А так как я работаю - каждому RANDOM1 писанул в куку - и ибитесь с ним! Ведь все в нем!!! Причем он в каждом реквесте канешна разный. Это вам не микрасофтовская падъебка ASP.NET_SessionId, которая одна, как Родина, на все реквесты сеанса!!!
К сообщению приложен файл (см. оригинал).
|
|