Вскрытье SSL
 

Привет всем ! Тут был разговор о SSL, т.е. какой он "молодец". Все это выглядело круто, но вот.. встретил статью на ][акере.
тут сказывается как можно перехватить SSL канал..

ХОтел обсуждать, на самом деле кто небудь пробовал?
С одного стороны все очень просто кажется, а с другого стороны - тупой.

P.S. К статье требуется еще и видео. если смогли бы подкинуть - круто было бы :)

> разработчик Moxie Marlinspike опубликовал рабочую утилиту sslsniff, которая реализовывала простую атаку MITM (Man in the middle), перехватывая весь трафик. Смысл сводился к следующему:

прога перехватывала клиентские запросы на соединение с защищенным HTTPS-сайтом;
сама создавала сертификат для сайта, к которому коннектится клиент, и подписывала его с помощью уже имеющегося сертификата;
со своей стороны устанавливала обычное HTTPS-соединение с нужным сервером и выступала своеобразной проксей, снифая весь трафик.
Все, что требовалась для работы – это предоставить sslsniff действительный сертификат. К сожалению, с 2002-го, когда была опубликована утилита, браузеры стали умнее и такой проверкой больше не пренебрегают. Увы, такой способ нам уже не поможет!

актуально, это же 2002! :)
свой сертификат SSL обновляется ежегодно,
PGP-key хранится на контейнере с двойным шифрованием AES-Twofish с пасс-фразой 20 символов.

Уважаемой публике А-Чата,
PGP-keys - элитные/красивые сочетания символов и цифр. пассворд на ключ - ваш.
вопросы - обсуждаем и решаем в ЛС/АСЯ.

Видео по SSL снифу с помощи MITМ
http://www.youtube.com/watch?v=ESGV9zlo0Zo
http://www.youtube.com/watch?v=aADs2ukNwKw

altblitz

мен, спасибо конечно, но я не очень сильно в сертификатах.. можешь по аське или по ЛС мне обьяснить.. сколько читаю про них, но всегда какой-то парадокс у меня по сертификатам )))

shellz[21h]

+, но хотел бы видео именно из журнала.