NFsec Logo

TLS – Wyciek informacji przez rozszerzenie Server Name Indication (SNI)

09/10/2017 (3 tygodnie temu) w Bezpieczeństwo Brak komentarzy.

M

oże się nam wydawać, że skoro używamy szyfrowanego połączenia TLS/SSL to tylko serwery DNS mogą zdradzać naszą aktywność w sieci. Nic bardziej mylnego. Powodem bardzo szybkiej identyfikacji odwiedzanych przez nas stron może być rozszerzenie TLS – SNI (ang. Server Name Indication) pozwalające na instalację wielu certyfikatów SSL na pojedynczym adresie IP (mogliśmy wcześniej się z nim spotkać przy analizie Cloudflare).
[ czytaj całość… ]

Kilka słów o wdrożeniu SSL i TLS – cz.2

29/03/2017 w Bezpieczeństwo Brak komentarzy.

W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.
[ czytaj całość… ]

Kilka słów o wdrożeniu SSL i TLS – cz. 1

09/02/2017 w Bezpieczeństwo Możliwość komentowania Kilka słów o wdrożeniu SSL i TLS – cz. 1 została wyłączona

S

SL / TLS jest pozornie prostą techniką zapewniającą m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez internet, zachowując przy tym prostotę instalacji i działania – z wyjątkiem, gdy tak nie jest. Przy końcówce 2014 roku, gigant z Mountain View – Google – na swoim blogu poinformował, że strony korzystające z certyfikatów SSL, będą bardziej „lubiane” w wynikach wyszukiwania, a także chętniej indeksowane. Nie jest to jednak ostatnie słowo. Główna litera Alfabetu nie tylko tą akcją chce wprowadzić strony WWW w kolejny etap bezpiecznego internetu. Już na początku 2017 roku, rodzima przeglądarka Chrome będzie posiadała mechanizmy, które podczas łączenia z dowolną witryną jednoznacznie odpowiedzą użytkownikowi na pytanie: czy korzystanie z niej jest bezpieczne?
[ czytaj całość… ]

SLOTH (CVE-2015-7575)

20/01/2016 w Ataki Internetowe Brak komentarzy.

Security Losses from Obsolete and Truncated Transcript Hashes – jeśli jesteś zwolennikiem teorii, że ataki kolizji nie są jeszcze możliwe przeciwko takim funkcją skrótu, jak SHA-1 lub MD5 – to powinieneś zapoznać się z pracą dwóch badaczy z INRIA (The French Institute for Research in Computer Science and Automation), którzy przedstawili nowy rodzaj ataku przyśpieszającego pilną potrzebę odejścia od tych algorytmów kryptograficznych.
[ czytaj całość… ]

HTTP Strict Transport Security – wymuszamy SSL na przeglądarkach

04/11/2012 w Bezpieczeństwo 1 komentarz.

H

TTP Strict Transport Security (HSTS) jest opcjonalnym mechanizmem zabezpieczeń, w którym serwer WWW oświadcza klientowi (np. przeglądarce internetowej), że komunikacja powinna odbywać się tylko po bezpiecznym połączeniu. Oświadczenie serwera WWW odbywa się poprzez zastosowanie specjalnego nagłówka odpowiedzi HTTP: „Strict-Transport-Security„. Klient obsługujący mechanizm HSTS otrzymując ten nagłówek będzie zapobiegał wszelkiej łączności poprzez protokół HTTP w określonej domenie i starał się, aby wszystkie połączenia odbywały się przez HTTPS.
[ czytaj całość… ]

FileZilla 3.5.3 vsftpd GnuTLS error

21/02/2012 w Administracja Brak komentarzy.

P

oblem: po wykonaniu aktualizacji klienta FTP – FileZilla do wersji 3.5.3 pojawił się problem z możliwością logowania się do serwera vsftpd przy pomocy szyfrowania TLS.

Error:	GnuTLS error -12: A TLS fatal alert has been received.
Error:	Could not connect to server

[ czytaj całość… ]

Szyfrowanie w aplikacjach – biblioteka OpenSSL

11/09/2009 w Hakin9 & Linux+ Brak komentarzy.

I

nformacja w dzisiejszych czasach to jedna z bardziej cennych rzeczy, dlatego trzeba o nią odpowiednio zadbać. Sieci firmowe, osiedlowe czy bezprzewodowe często nie są zabezpieczone na odpowiednim poziomie (nierzadko nie pozwalają na to przyczyny techniczne), a więc przesyłając informację w sieci, jej nienaruszalność powinna zagwarantować aplikacja.
[ czytaj całość… ]