DaemonLord92 Δημοσ. 25 Ιουλίου 2016 Share Δημοσ. 25 Ιουλίου 2016 Εγώ πάλι μένω στην φωτό που πλαισιώνει το thread . Κανένα νεο για dark theme στο iOS 10 έχουμε ; Αυτο κοιτουσα και εγω. Αμα παιζει κατι τετοιο θα μετραει γτ με ενοχλει αυτο το ασπρο καμια φορα. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
harisma Δημοσ. 25 Ιουλίου 2016 Share Δημοσ. 25 Ιουλίου 2016 Μια φορά πάντως,μπορούσες με mitm να παρεμβληθεις σε facebook,πχ.(που απ οτι βλεπω,θεωρείς σοβαρό site,και οντως ειναι). Δεν σου λεω τι διάβασα δεξια κ αριστερά ή τι ακουσα,αλλα τι εχω κανει ακόμα και ο ίδιος.Και δεν χρειαζοταν καν τρελες γνώσεις. Η ευκολία με την οποία γινόταν,προσωπικά με εκανε να σκεφτομαι 2 φορες πριν logarw σε οτιδήποτε "ευαισθητο" σε δημοσιο wifi. Από αυτά που μου γράφεις συγνώμη αλλά δε μπορώ να σε πάρω στα σοβαρά. Man in the middle σε trusted https πως ακριβώς; Έχεις τα κλειδιά του facebook ή κάποιου trusted authority;Αυτά που λες είναι ασόβαρα. Έχεις ακούσει δεξιά και αριστερά πως περίπου λειτουργεί το όλο θέμα αλλά αγνοείς το πως ακριβώς. Αν το ssl ήταν τόσο διάτρητο δεν θα είχαμε internet banking κτλ. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
AlexKane Δημοσ. 25 Ιουλίου 2016 Share Δημοσ. 25 Ιουλίου 2016 Το payload δε φαίνεται σε καμία σύνδεση πάνω σε https, ενώ το δίκτυο (δημόσιο/ιδιωτικό) δεν έχει καμία σημασία. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
orgixmh Δημοσ. 25 Ιουλίου 2016 Share Δημοσ. 25 Ιουλίου 2016 Από πάνω λες ότι προσοχή στα ανοιχτά δίκτυα γιατί μπορούν να σας πάρουν τους κωδικούς σας στο fb, google κτλ. Αυτό δεν είναι αληθές. Βασικά δε μπορούν να σου υποκλέψουν πληροφορίες από οποιοδήποτε «σοβαρό» secured http. Ούτε google, ούτε FB, ούτε της τράπεζας σου. Τώρα αν μιλάμε για κωδικούς σε αστεία site είναι άλλο θέμα. Οι browsers έχουν τα πιστοποιητικά των λεγόμενων trusted authorities και έτσι μπορούν να ελέγχουν αν όντως το πιστοποιητικό που λαμβάνεις από το server είναι αυθεντικό ή όχι. Μη τρομοκρατείτε τον κόσμο χωρίς λόγο, όλα τα γνωστά sites δεν έχουν τέτοια θέματα. Αφού βρε δεν το κατέχεις γιατί δεν ακούς και εκτίθεσαι; Όταν συνδεθείς στο δικό μου πχ δίκτυο και θέλω πχ να σου ψαρέψω τον κωδικό του winbank, γιατί να σου στείλω το winbank με https; Πριν πετάξεις την επόμενη χαζουμάρα ψάξε τι είναι το ssl striping και σταμάτα να σχολιάζεις αφού δεν ξέρεις. Η ημιμάθεια είναι χειρότερη από την αμάθεια τελικά και αν είσαι και ξεροκέφαλος μεγαλύτερο το κακό. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
harisma Δημοσ. 25 Ιουλίου 2016 Share Δημοσ. 25 Ιουλίου 2016 χ2 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
harisma Δημοσ. 25 Ιουλίου 2016 Share Δημοσ. 25 Ιουλίου 2016 Αφού βρε δεν το κατέχεις γιατί δεν ακούς και εκτίθεσαι; Όταν συνδεθείς στο δικό μου πχ δίκτυο και θέλω πχ να σου ψαρέψω τον κωδικό του winbank, γιατί να σου στείλω το winbank με https; Πριν πετάξεις την επόμενη χαζουμάρα ψάξε τι είναι το ssl striping και σταμάτα να σχολιάζεις αφού δεν ξέρεις. Η ημιμάθεια είναι χειρότερη από την αμάθεια τελικά και αν είσαι και ξεροκέφαλος μεγαλύτερο το κακό. Αν εσύ την υποκλοπή την εννοείς να με κάνεις redirect σε κάτι που θα μοιάζει στο fb και είτε δεν θα είναι https είτε ο browser θα πετάξει λάθος με το πιστοποιητικό και παρόλα αυτά εγώ θα πατήσω να συνεχίσω και θα βάλω το κωδικό μου τότε ναι, έχεις δίκιο, έχω άδικο, είσαι hacker. 1 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
vagosd Δημοσ. 25 Ιουλίου 2016 Share Δημοσ. 25 Ιουλίου 2016 Αφού βρε δεν το κατέχεις γιατί δεν ακούς και εκτίθεσαι; Όταν συνδεθείς στο δικό μου πχ δίκτυο και θέλω πχ να σου ψαρέψω τον κωδικό του winbank, γιατί να σου στείλω το winbank με https; Πριν πετάξεις την επόμενη χαζουμάρα ψάξε τι είναι το ssl striping και σταμάτα να σχολιάζεις αφού δεν ξέρεις. Η ημιμάθεια είναι χειρότερη από την αμάθεια τελικά και αν είσαι και ξεροκέφαλος μεγαλύτερο το κακό. Φήμες λένε πως την ώρα που διδάσκεις τον συμφορουμίτη σε θέματα ασφαλείας το pc σου είναι γεμάτο ιους και οι keylogger κάνουν παρτυ.... φιλικά πάντα !!! Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
orgixmh Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 (επεξεργασμένο) Ρίξτε μια ματιά εδώ και ξεστραβωθείτε γιατί κουραστικά:http://security.stackexchange.com/questions/41988/how-does-sslstrip-work Φήμες λένε πως την ώρα που διδάσκεις τον συμφορουμίτη σε θέματα ασφαλείας το pc σου είναι γεμάτο ιους και οι keylogger κάνουν παρτυ.... φιλικά πάντα !!! Ε για να το λες κάτι θα ξέρεις από ιούς και keyloggers, μάλλον θα κάνουν party στο pc σου, στο δικό μου desktop και laptop τρέχει firewall σε kernel extension και δύσκολα να φύγει κάτι από το σύστημα δίχως να το πάρω χαμπάρι και δίχως να έχει root access αλλά είμαι σίγουρος ότι δεν σκαμπάζεις από kernel extensions οπότε πάλι τσάμπα λόγια γράφω.Διαβάστε λιγάκι, δεν κάνει κακό, ξεκινήστε με το άρθρο που έστειλα μπας και αναθεωρήσετε για το τι γίνετε και τι όχι και ίσως να ασφαλίσετε και τα μηχανήματα σας καλύτερα. Δεν διδάσκω btw προσπαθώ να εξηγήσω γιατί η apple προσπαθεί να αποτρέψει του χρήστες την σύνδεση σε ανασφαλή δίκτυα και το κάθε τρολ πετάγεται και γράφει ότι θέλει χωρίς τουλάχιστον να κάνει μια μικρή έρευνα για το αν αυτά που λέω έχουν βάση, τραγικό.Το μήνυμα σου δεν ήταν καθόλου φιλικό, ειρωνικό και κακοπροαίρετο ήταν και σου ανταποδίδω στο ίδιο ύφος.Φιλικά πάντα. Μια φορά πάντως,μπορούσες με mitm να παρεμβληθεις σε facebook,πχ.(που απ οτι βλεπω,θεωρείς σοβαρό site,και οντως ειναι).Δεν σου λεω τι διάβασα δεξια κ αριστερά ή τι ακουσα,αλλα τι εχω κανει ακόμα και ο ίδιος.Και δεν χρειαζοταν καν τρελες γνώσεις.Η ευκολία με την οποία γινόταν,προσωπικά με εκανε να σκεφτομαι 2 φορες πριν logarw σε οτιδήποτε "ευαισθητο" σε δημοσιο wifi. Έτσι είναι, γινόταν κάποτε (πριν 2 χρόνια) και στο facebook και στο google, πάλι με την τεχνική ssl stripping (υπήρχε ακόμα και εφαρμογή που τα έκανε αυτόματα για android) ακόμα και χωρίς να κάνει login ο χρήστης, αρκούσε να ανοίξει την εφαρμογή του facebook και του έτρωγες τα cookies που είχαν το auth token και έμπαινες με το προφίλ του σε 10 δευτερόλεπτα. Το πρόβλημα διορθώθηκε βέβαια 6 μήνες μετά με την τεχνική HTTP Strict Transport Security. Να συμπληρώσω δε ότι και τότε υπήρχαν παντογνώστες που λέγανε ότι αν μπει κάποιος στο fb τους θα τους έρθει sms και θα τον πάρουν χαμπάρι και έτσι μπαίναμε με το υπάρχων auth token και φυσικά μήνυμα δεν έπαιρναν ποτέ.Ας τα διαβάζουν μερικοί εδώ μέσα γιατί είναι σίγουροι ότι το https τους σώζει πάντα, σώζει δεν λέω εκτός και αν αναγκάσεις τον browser να γυρίσει σε http Επεξ/σία 26 Ιουλίου 2016 από orgixmh 1 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suffocater Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 Από αυτά που μου γράφεις συγνώμη αλλά δε μπορώ να σε πάρω στα σοβαρά. Man in the middle σε trusted https πως ακριβώς; Έχεις τα κλειδιά του facebook ή κάποιου trusted authority;Αυτά που λες είναι ασόβαρα. Έχεις ακούσει δεξιά και αριστερά πως περίπου λειτουργεί το όλο θέμα αλλά αγνοείς το πως ακριβώς. Αν το ssl ήταν τόσο διάτρητο δεν θα είχαμε internet banking κτλ. Έτσι είναι, γινόταν κάποτε (πριν 2 χρόνια) και στο facebook και στο google, πάλι με την τεχνική ssl stripping (υπήρχε ακόμα και εφαρμογή που τα έκανε αυτόματα για android) ακόμα και χωρίς να κάνει login ο χρήστης, αρκούσε να ανοίξει την εφαρμογή του facebook και του έτρωγες τα cookies που είχαν το auth token και έμπαινες με το προφίλ του σε 10 δευτερόλεπτα. Το πρόβλημα διορθώθηκε βέβαια 6 μήνες μετά με την τεχνική HTTP Strict Transport Security. Να συμπληρώσω δε ότι και τότε υπήρχαν παντογνώστες που λέγανε ότι αν μπει κάποιος στο fb τους θα τους έρθει sms και θα τον πάρουν χαμπάρι και έτσι μπαίναμε με το υπάρχων auth token και φυσικά μήνυμα δεν έπαιρναν ποτέ. Ας τα διαβάζουν μερικοί εδώ μέσα γιατί είναι σίγουροι ότι το https τους σώζει πάντα, σώζει δεν λέω εκτός και αν αναγκάσεις τον browser να γυρίσει σε http Τhx,γιατι βαριόμουν να τα γραψω εγω. 1 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
harisma Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 Ρίξτε μια ματιά εδώ και ξεστραβωθείτε γιατί κουραστικά: http://security.stackexchange.com/questions/41988/how-does-sslstrip-work Ε για να το λες κάτι θα ξέρεις από ιούς και keyloggers, μάλλον θα κάνουν party στο pc σου, στο δικό μου desktop και laptop τρέχει firewall σε kernel extension και δύσκολα να φύγει κάτι από το σύστημα δίχως να το πάρω χαμπάρι και δίχως να έχει root access αλλά είμαι σίγουρος ότι δεν σκαμπάζεις από kernel extensions οπότε πάλι τσάμπα λόγια γράφω. Διαβάστε λιγάκι, δεν κάνει κακό, ξεκινήστε με το άρθρο που έστειλα μπας και αναθεωρήσετε για το τι γίνετε και τι όχι και ίσως να ασφαλίσετε και τα μηχανήματα σας καλύτερα. Δεν διδάσκω btw προσπαθώ να εξηγήσω γιατί η apple προσπαθεί να αποτρέψει του χρήστες την σύνδεση σε ανασφαλή δίκτυα και το κάθε τρολ πετάγεται και γράφει ότι θέλει χωρίς τουλάχιστον να κάνει μια μικρή έρευνα για το αν αυτά που λέω έχουν βάση, τραγικό. Το μήνυμα σου δεν ήταν καθόλου φιλικό, ειρωνικό και κακοπροαίρετο ήταν και σου ανταποδίδω στο ίδιο ύφος. Φιλικά πάντα. Έτσι είναι, γινόταν κάποτε (πριν 2 χρόνια) και στο facebook και στο google, πάλι με την τεχνική ssl stripping (υπήρχε ακόμα και εφαρμογή που τα έκανε αυτόματα για android) ακόμα και χωρίς να κάνει login ο χρήστης, αρκούσε να ανοίξει την εφαρμογή του facebook και του έτρωγες τα cookies που είχαν το auth token και έμπαινες με το προφίλ του σε 10 δευτερόλεπτα. Το πρόβλημα διορθώθηκε βέβαια 6 μήνες μετά με την τεχνική HTTP Strict Transport Security. Να συμπληρώσω δε ότι και τότε υπήρχαν παντογνώστες που λέγανε ότι αν μπει κάποιος στο fb τους θα τους έρθει sms και θα τον πάρουν χαμπάρι και έτσι μπαίναμε με το υπάρχων auth token και φυσικά μήνυμα δεν έπαιρναν ποτέ. Ας τα διαβάζουν μερικοί εδώ μέσα γιατί είναι σίγουροι ότι το https τους σώζει πάντα, σώζει δεν λέω εκτός και αν αναγκάσεις τον browser να γυρίσει σε http Πρέπει να κατανοήσεις τη διαφορά μεταξύ του hacking (εκμεταλλεύομαι κενό του συστήματος) και του Phishing (εκμεταλλεύομαι- παραπλανώ τον χρήστη). Στο έγραψα και πριν, το έχεις καταλάβει αλλά ΕΚΕΙ επιμένεις. Και πιστόλι στο κρόταφο άμα βάλεις στον άλλον θα σου δώσει το κωδικό του, αυτό δεν σημαίνει ούτε ότι τον hackαρες, ούτε ότι βρήκες κενό στο σύστημα! Προσβάλεις και λες αρλούμπες για κάτι που έχεις καταλάβει ήδη για ποιον λόγο; Ψηλώνεις; Νιώθεις ωραία; Μάθε να ακούς, μόνο να βελτιώνεσαι σε κάνει. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
orgixmh Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 (επεξεργασμένο) Πρέπει να κατανοήσεις τη διαφορά μεταξύ του hacking (εκμεταλλεύομαι κενό του συστήματος) και του Phishing (εκμεταλλεύομαι- παραπλανώ τον χρήστη). Στο έγραψα και πριν, το έχεις καταλάβει αλλά ΕΚΕΙ επιμένεις. Και πιστόλι στο κρόταφο άμα βάλεις στον άλλον θα σου δώσει το κωδικό του, αυτό δεν σημαίνει ούτε ότι τον hackαρες, ούτε ότι βρήκες κενό στο σύστημα! Προσβάλεις και λες αρλούμπες για κάτι που έχεις καταλάβει ήδη για ποιον λόγο; Ψηλώνεις; Νιώθεις ωραία; Μάθε να ακούς, μόνο να βελτιώνεσαι σε κάνει. 1) "Αν εσύ την υποκλοπή την εννοείς να με κάνεις redirect σε κάτι που θα μοιάζει στο fb" 2) "ιδεα για το πως λειτουργει το ssl :/ " 3) "Από πάνω λες ότι προσοχή στα ανοιχτά δίκτυα γιατί μπορούν να σας πάρουν τους κωδικούς σας στο fb, google κτλ. Αυτό δεν είναι αληθές. Βασικά δε μπορούν να σου υποκλέψουν πληροφορίες από οποιοδήποτε «σοβαρό» secured http. Ούτε google, ούτε FB, ούτε της τράπεζας σου. Τώρα αν μιλάμε για κωδικούς σε αστεία site είναι άλλο θέμα. Οι browsers έχουν τα πιστοποιητικά των λεγόμενων trusted authorities και έτσι μπορούν να ελέγχουν αν όντως το πιστοποιητικό που λαμβάνεις από το server είναι αυθεντικό ή όχι. Μη τρομοκρατείτε τον κόσμο χωρίς λόγο, όλα τα γνωστά sites δεν έχουν τέτοια θέματα." Επιτέλους αναίρεσες αυτά που έλεγες, αυτό μου φτάνει, τώρα πάμε στα επόμενα, Το phishing είναι μέθοδος hacking, σου αρέσει ή όχι, σε βολεύει στην προκειμένη ή όχι είναι μέθοδος hacking. Σου εγγυώμαι ότι ο browser δεν θα πετάξει τίποτα και ναι δεν θα είναι https αλλά θα το πάρεις χαμπάρι; Θέλεις να σου στείλω και link με τον ορισμό του hacking; Αλλά οκ, ακόμα και αυτό στο δίνω, το ότι εκμεταλλεύομαι κενό στον browser και του λέω ότι sorry δεν έχω πλέον ssl πάμε σε non-secure δεν είναι hacking; Θα παίζουμε με τις λέξεις τώρα; Όσο αναφορά το "προσβάλεις" έχεις κάποιο δίκαιο αλλά σκας γάιδαρο. Για το αρλούμπες πάλι εσύ είσαι αυτός που λες να μπαίνουμε άφοβα στα open ap αλλά ξέχασα δεν θα είναι hacking θα είναι phishing, δεν θα είναι τρόικα θα είναι θεσμοί. Ο λόγος που το κάνω είναι γιατί βαρέθηκα ημιμαθείς που αποκλείουν κάθε ενδεχόμενο γιατί ξέρουν τα πάντα και αποκλείετε κάποιος να σκέφτηκε κάτι καινούργιο, δεν έχω κάτι προσωπικό μαζί σου και ούτε σκοπεύω να αποκτήσω, να σου δώσω ένα μάθημα προσπαθώ πριν κρίνεις να κάνεις μια υποτυπώδη έρευνα, δεν είμαι χακεράς ούτε καίω 12 ώρες την ημέρα σε μία οθόνη, γράφω κανένα πρόγραμμα που και που, ασχολούμαι αρκετά χρόνια και έχω φάει τα μούτρα μου πάμπολλες φορές από ασφαλή πρωτόκολλα-λογισμικά-μεθόδους που δεν κοροϊδεύονται όπως το ssl και θεωρό απαράδεκτο όταν προσπαθώ να ενημερώσω τους γύρο μου για το τι συμβαίνει να υπάρχουν φωνές σαν την δικιά σου. Ακόμα και τα ασφαλέστερα συστήματα έχουν αδυναμίες, πολλές φορές είναι απλές, πολλές φορές είναι σύνθετες, άλλοτε παίρνει χρόνια να βρεθούν άλλοτε ημέρες, το μόνο σίγουρο είναι ότι πάντα τρύπες υπάρχουν και η ασφάλεια είναι κάτι προσωρινό, το ssl που τόσο αγαπάς έχει μπαλωθεί 2 φορές τα τελευταία 6 χρόνια. Ένα καλό παράδειγμα σαν του ssl stripping είναι το wpa2, δεν σπάει χωρίς brute force αλλά σπάει to wps και παίρνεις το κλειδί και αυτό που μετρά στο τέλος είναι το αποτέλεσμα. Άλλωστε τα τελευταία χρόνια τα μεγαλύτερα κατορθώματα στο hacking που έχω διαβάσει ήταν βασισμένα σε buffer overflow που με την λογική σου δεν τα λες και hacking αλλά ένα από αυτά full access σε chrome έξω από . sandbox έδινε και κατά συνέπεια και access στο os. Επεξ/σία 26 Ιουλίου 2016 από orgixmh Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
harisma Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 "Μην τα βάζεις ποτέ με ένα βλάκα.Θα σε ρίξει στο επιπεδό του και θα σε νικήσει λόγω εμπειρίας ..." Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
suffocater Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 Ο λόγος που το κάνω είναι γιατί βαρέθηκα ημιμαθείς που αποκλείουν κάθε ενδεχόμενο γιατί ξέρουν τα πάντα και αποκλείετε κάποιος να σκέφτηκε κάτι καινούργιο. Ακόμα και τα ασφαλέστερα συστήματα έχουν αδυναμίες, πολλές φορές είναι απλές, πολλές φορές είναι σύνθετες, άλλοτε παίρνει χρόνια να βρεθούν άλλοτε ημέρες, το μόνο σίγουρο είναι ότι πάντα τρύπες υπάρχουν και η ασφάλεια είναι κάτι προσωρινό, το ssl που τόσο αγαπάς έχει μπαλωθεί 2 φορές τα τελευταία 6 χρόνια. Ένα καλό παράδειγμα σαν του ssl stripping είναι το wpa2, δεν σπάει χωρίς brute force αλλά σπάει to wps και παίρνεις το κλειδί και αυτό που μετρά στο τέλος είναι το αποτέλεσμα. Eκει ειναι η ουσία. Δεν νομίζω κανεις να ηξερε και τότε οτι υπήρχε εκεινο το κενο,και τους πήρε ΠΟΛΥ καιρο να το μπαλώσουν. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
AlexKane Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 Το μοναδικό πρόβλημα που υπάρχει στα δημόσια δίκτυα, αφορά τις πληροφορίες που διακινούνται μέσω εφαρμογών και ιστοσελίδων δίχως κρυπτογράφηση. Σε ένα δημόσιο δίκτυο, εάν ο χρήστης ανοίξει μια τέτοια εφαρμογή - ιστοσελίδα για e-banking και εισάγει τον κωδικό του λογαριασμού, ο κωδικός (plain text) μπορεί να υποκλαπεί μέσω επίθεσης mitm, αφού ο επιτιθέμενος έχει ελεύθερη πρόσβαση στο δίκτυο. Εάν η εφαρμογή - ιστοσελίδα διαθέτει κρυπτογράφηση, τότε το cipher text μπορεί να κυκλοφορεί με απόλυτη εμπιστευτικότητα σε οποιοδήποτε δίκτυο, είτε είναι ιδιωτικό, είτε δημόσιο. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
orgixmh Δημοσ. 26 Ιουλίου 2016 Share Δημοσ. 26 Ιουλίου 2016 "Μην τα βάζεις ποτέ με ένα βλάκα.Θα σε ρίξει στο επιπεδό του και θα σε νικήσει λόγω εμπειρίας ..." Αμοιβαία τα αισθήματα, ιδικά για κάποιον που αποδεδειγμένα αγνοούσε υπάρχουσες ευπάθειες. Το μοναδικό πρόβλημα που υπάρχει στα δημόσια δίκτυα, αφορά τις πληροφορίες που διακινούνται μέσω εφαρμογών και ιστοσελίδων δίχως κρυπτογράφηση. Σε ένα δημόσιο δίκτυο, εάν ο χρήστης ανοίξει μια τέτοια εφαρμογή - ιστοσελίδα για e-banking και εισάγει τον κωδικό του λογαριασμού, ο κωδικός (plain text) μπορεί να υποκλαπεί μέσω επίθεσης mitm, αφού ο επιτιθέμενος έχει ελεύθερη πρόσβαση στο δίκτυο. Εάν η εφαρμογή - ιστοσελίδα διαθέτει κρυπτογράφηση, τότε το cipher text μπορεί να κυκλοφορεί με απόλυτη εμπιστευτικότητα σε οποιοδήποτε δίκτυο, είτε είναι ιδιωτικό, είτε δημόσιο. Συμφωνώ εν μέρη, στο e-banking οι κωδικοί μας δεν φεύγουν ποτέ σε plain-text και ιδικά από τις εφαρμογές e-banking. Στην πραγματικότητα όμως ένα ανοιχτό δίκτυο δεν γνωρίζεις τον σκοπό του, τον dns που κάνεις resolve και δεν μπορείς να είσαι ποτέ σίγουρος για τις τεχνικές που ανακαλύπτονται μέρα με την μέρα και πρόκειται να κοροϊδέψουν την εφαρμογή σου για να πάει σε απλό http και να μην κάνει χρήση του cipher. Δεν νομίζω να γίνεται ιδικά σε τράπεζες αλλά μέχρι πριν 2 χρόνια η google και το facebook την πάτησαν με αυτό τον τρόπο. Μετά δημιουργήθηκε μία "πατέντα" το γνωστό HSTS ( Πηγή: https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security) όπου έκανε το εξής: Στα http headers o server έστελνε ένα επιπλέον header που ενημέρωνε τον browser για πόσο χρόνο θα υποστηρίζει το https, για παράδειγμα το facebook έστελνε στον browser ότι για 365 ημέρες θα έχει https έτσι αν την επόμενη μέρα έπεφτες θύμα mitm και επιτιθέμενος προσπαθούσε να σε βγάλει απο https λέγοντας στον browser ότι ο server δεν το υποστηρίζει πλέον τότε ο browser καταλάβαινα ότι κάτι δεν πάει καλά αφού την τελευταία φορά το site του είπε ότι θα υπάρχει https για τουλάχιστον τον επόμενο χρόνο. Μπορείς να δεις το HSTS στον chrome εδώ: chrome://net-internals/#hsts Προτίμησε τα data του κινητού ιδικά αν έχεις να κάνεις με e-banking. EDIT: μόλις κοίταξα αν το winbank χρησιμοποιεί το HSTS και μάντεψε, γιοκ. Κοινός αν συνδεθείς στο winbank μέσο fake ap και ο επιτιθέμενος τρέχει το ssl strip την έχεις πατήσει. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα