Slo-Tech - Danes smo po daljšem testiranju vklopili TLS (SSL) za vse obiskovalce. Opravičujemo se zaradi težave s sesuvanjem nekega brskalnika, ki je pri tem nastala. Napaka bi sedaj morala biti odpravljena (če imate še vedno težave poskusite izprazniti današnji cache, če tudi to ne bo pomagalo, nam to prosimo sporočite).

V primeru, da vam brskalnik sporoča, da ima stran zaupanja nevreden certifikat, se priporočamo za obvestilo. Prav tako prosimo za obvestila o morebitnih drugih težavah, če se morda pojavijo.

CNet - Google namerava uporabiti brskalnik Chrome kot orodje za reformo omrežja s spodbujanjem uporabe tehnologije, ki bo po besedah podjetja zmanjšala zakasnitve pri pošiljanju podatkov.

Tehnologija False Start je sposobna zgolj z nadgradnjo brskalnika občutno zmanjšati čas komunikacije pri vzpostavljanju kodirane povezave med brskalnikom in strežnikom. Tako bo pri povezavi med Evropo in Kalifornijo mogoče prihraniti priblizno 0.15 sekunde.


Zdi se super, a obstaja problem. Ta popravek bo imel namreč težave z nekaj čez 100 tisoč stranmi. Google to vidi kot priložnost, da popravi tisto kar se mu zdi narobe s spletom.

Trenutni razlog počasnih komunikacij leži v spletnih straneh, ki še vedno uporabljajo že...

Slo-Tech - Konec julija je Moxie Marlinspike na konferenci BlackHat 09 in Defconu 17 predstavil nov napad na SSL in TLS certifikate. Gre za tim. napad z ničelno predpono (ang. null prefix attack), ki izkorišča ranljivosti pri obravnavi SSL in TLS certifikatov. Marlinspike je namreč odkril, da je mogoče registrirati certifikate v obliki www.banka.si\0zlonamernastran.si. CA (Certificate Authority) bo vse znake pred "\0" ignoriral in brez težav podpisal certifikat za zlonamernastran.si, saj bo lastnik zlonamerne strani svojo identiteto in lastništvo strani seveda brez težav dokazal.

Izkaže pa se, da pri uporabi takega certifikata brskalnik certifikat prepozna kot veljaven tudi, če je uporabljen na domeni www.banka.si. Tako ustvarjen zlonamerni certifikat je torej mogoče uporabiti pri prestrezanju s posrednikom (ang. man-in-the-middle napad). Napadalec, ki uspe prestreči komunikacije žrtve (za ta namen je bilo (za okolje Linux) razvito posebno orodje SSLsniff), le-tej sedaj podtakne lažen...

Slo-Tech - Kot na svojem blogu poroča Eddy Nigg, je tokrat Božiček hekerjem prinesel odlično darilo - popoln napad s posrednikom.

Napad s posrednikom, znan tudi pod imenom MITM (man-in-the-middle) napad, je posebna oblika napada, kjer napadalec skuša "prisluškovati" šifriranemu prometu med žrtvijo in spletnim (ali drugim) strežnikom. Deluje tako, da napadalec preko sebe preusmeri ves promet do nekega https strežnika, žrtvi podtakne lažen SSL certifikat, promet pa nato dešifrira in pošilja dalje do pravega strežnika.



Vendar pa se je do sedaj napade s posrednikom dalo zaznati na relativno enostaven način. Ker naj bi izdajatelji SSL certifikatov preverili identiteto oseb, ki se predstavljajo za upravitelje varnih spletnih strani, napadalec ne more dobiti s strani zaupanja...

Slo-Tech - V sredo, 2. novembra ob 19.00, bo v Kiberpipi na Spletnih uricah Jure Koren predaval o tehnologijah SSL/TLS.

Osvetljeno bo ozadje delovanja tehnologij, ki omogočajo varen prenos podatkov med končnimi točkami v omrežju, ki lahko v določenih mejah dokažejo svojo identiteto.

Predstavitev praktične izvedbe s strežnikom Apache in spletnim brskalnikom Firefox je obogatena s komentarjem, ki razjasni tudi omejitve in nekatere nevarnosti, ki prežijo tako na uporabnike kot tudi skrbnike sistemov. Na koncu se predavanje dotakne tudi X509-certifikatov, agencij in hierarhičnega modela zaupanja.

Jure Koren je že približno desetletje borec proti kiberterorizmu (odkar je prestar, da bi sam bil kiberterorist). Pri tem se ukvarja s praktičnimi težavami, ki se pojavljajo ob vsakdanjem razvoju in vzdrževanju varnih internetnih storitev.