Kremm (11 Февраль 2013 - 22:09) писал:
если у тебя в 2002 железо не тянуло и был 486 на модеме 28к, мне жаль. у меня было иначе.
Софтику в студию, иначе язык под лавку. В таком тоне значит разговаривать будем, ну давай бомби...
Kremm (11 Февраль 2013 - 22:09) писал:
как ты можешь не рассматривать варианты про подмену ссылки и говорить про mim атаку, я не понимаю. вся соль современного виртуального кардинга именно в том чтобы подменить человеку ссылку. потому что после фикса дыры с подменой подписи сертификата на лету в 2002 использовать левые сертификаты можно только для отдельных узких целей.
Легко, ибо без варинга это не пройдет, ибо надо чтобы куча условий совпала, не надо думать, что все вокруг на все ведутся.
Kremm (11 Февраль 2013 - 22:09) писал:
конфа BH '09
запоминай название и гугли речь, войс и видео выступления автора. все есть в инете. ссылки в самом архиве конфы в 2011 уже удалены.
Не убедительно, точно так же я могу написать, что если поеду в Африку, о чудо я там увижу негра, прямо такая неожиданность, как жаль, что уже удалены, такой важный инструмент без всяких вариангов позволяет вклинится в SSL/TLS ссесию и был изничтожен. Да, да опубликовано это было 2002, но применить смогли только в 2009 и то при соблюдении инкубаторных условий, которые в реальной жизни можно и не словить никогда.
Kremm (11 Февраль 2013 - 22:09) писал:
теперь об узком использовании подмены подлинности сертификатов в современных реалиях.
ссылка об известной дыре в сертификатах от 2009:
одна
А это разве не тоже самое? А ты уже проверил магаз EA sslsniff он подвержен? А письмо им накатал? Сознательный гражданин бы накатал. Один фиг они не исправят, но совесть она же важней.
Kremm (11 Февраль 2013 - 22:09) писал:
Как кровожадно, ошибка в софте, а где поделка сертификата? Не подмена, а подделка.
Kremm (11 Февраль 2013 - 22:09) писал:
кстати, актуальна до сих пор с некоторой оговоркой. по ее ключевым словам можешь найти репорты о дырах с принятием левых сертификатов в IE от 08 и начала 09 годов.
еще свежее - особенно актуально было для тех, кто любит платить через пэйпэл экспресс.
Проведем опрос, сколько народу на этом сайте пользуются осликом?
Как страшно жить (с)
Kremm (11 Февраль 2013 - 22:09) писал:
также гугли репорты о хаке сертификатов комодо и фиксе этого хака в 2011.
я морочиться уже не буду.
как и со ссылками по истории подделки сертификатов начала 2000х. найди сам. темболее они есть в более ранних конфах BH и архивах кардинг форумов.
А вот это абсолютно зря, так как нет ни одно ссылки, о том, что можно поделать сертификат, а не проспуфать, подменить etc... Внимательней надо читать вопросы.
Kremm (11 Февраль 2013 - 22:09) писал:
а вот ссылки картинок которые ты привел ни о чем кроме кривого сертификата не говорят
Для этого и привел, ибо если кто то вклинится, типа через прокси, то пользователь увидит, что то подобное и если у него есть голова, то он не станет карточкой махать.
Kremm (11 Февраль 2013 - 22:09) писал:
почитаешь, поймешь. и извинишься за "звучит как бред".
Прочитал... Теория она очень часто звучит как бред, пока нет доказательств. В теории возможно все? Кроме того, что в теории это возможно я не увидел прямых доказательств и работающих решений и не надо говорить, что они есть и их море, но простым смертным они не доступны.
Kremm (11 Февраль 2013 - 22:09) писал:
ну если не поймешь что там написано. о чем нам тогда говорить
Конечно не пойму, куда уж мне. Я ведь не хожу везде через прокси, мне то скрывать нечего. Шапочку из фольги тоже не ношу, пусть в ФБР читают мои мысли. И как ни странно оперой тоже не пользуюсь, не люблю вторичные продукты.
ЗЫ: А почему ни слова про утекший корневой, вот где было раздолье, там без всяких лишних телодвижений можно было любой сертификат поделать, да именно поделать, почему бы не предположить, что люди софты свои не обновили и он у них не отозван?
1
я так и не понял. Пи'саться или писа'ться 
)
