Comments | alexcohn: кое-что о паролях

alexcohn

кое-что о паролях

Mar 08, 2009 00:14

Несколько дней назад мой "друг" в "одноклассниках" прислал мне линк, на который я, не задумываясь, кликнул. Там появился привычную совершенно уже до омерзения страничку логина в "одноклассников", так что я конечно не задумываясь ввел имя (я все время забываю, что в поле "имя пользователя" они ожидают мой e-mail) и пароль. После чего увидел некий ( Read more... )

программистское

Comments 16

lamed March 8 2009, 00:31:34 UTC

Только вот в случае ВКонтакте, Одноклассников, mail.ru и т.п. это все не нужно, потому что они и так передают все данные в открытом виде.

alexcohn March 8 2009, 10:24:37 UTC

Конечно, это средство предназначено, чтобы взламывать банковские и кредитные сервисы в первую очередь.

nechaman March 8 2009, 06:01:16 UTC

О, а я забыла, что там имя - мейл. Думала уже никогда туда не попаду.

alexcohn March 8 2009, 10:23:05 UTC

То есть, несмотря на все мои усилия, и моя запись непроизвольно стала фактором завлечения в "одноклассников",

nechaman March 8 2009, 10:25:10 UTC

Да, нужны они мне! (То есть ни на фиг) Просто иногда знакомые пишут, а я и отозваться не могу.

yulkar March 8 2009, 12:07:13 UTC

про одноклассников - круто! смуся порадую

vitaly_il March 8 2009, 20:17:48 UTC

Читал я про это чудо недавно, но так и не понял, в чем тут "изюминка" - если можно внедрить перехватчик клавиатуры на компьютер жертвы, то не надо никаких хитрых прокси и т.п.
А если нельзя, то где подслушивать?

alexcohn March 9 2009, 10:56:52 UTC

достаточно, чтобы один - любой - компьютер в локальной сети был "захвачен". Дальше его сетевая карта переводится в promiscuous mode и он начинает следить за всем траффиком. Это уже хорошо (с точки зрения шпиона), но недостаточно, потому что информацию, которая передается через SSL, так не украдешь. Фокус состоит в том, чтобы заставить клиента говорить с прокси. Протокол TCP/IP позволяет вторжение man-in-the-middle, поэтому нужно отловить линк на https: и превратить его в http: Если юзер не догадается, а он чаще всего таки не догадается, то этот прокси будет работать https клиентом (ведь обычно никто не спрашивает client certificate, только пароль), а юзеру отдавать по открытому каналу.

И все супер-защищенные серверные сертификаты оказываются ни при чем.

vitaly_il March 9 2009, 11:27:22 UTC

что-то у меня все равно не складывается - надо еще описание почитать.

ведь даже если забыть о том, что в современных хабов практически нет, а значит сниффером поймать чужой трафик непросто; то как sslstrip заставляет клиента использовать себя как прокси так, чтобы тот ничего не заметил?

alexcohn March 9 2009, 11:40:48 UTC

Я как раз о том и пишу, что люди не обращают внимания на такие "мелочи", как отсутствие золотистого замочка, слова https:// в поле адреса, и проч. и проч.

А вот про современные свичи - не надо рассчитывать, что они обеспечат защиту. Их-то легко заставить перейти в режим хаба.

Thread 10