Microsoft is aware of nine fraudulent digital certificates

confguru · 29 Мар 2011

http://www.microsoft.com/technet/security/advisory/2524375.mspx

Executive Summary
Microsoft is aware of nine fraudulent digital certificates issued by Comodo, a certification authority present in the Trusted Root Certification Authorities Store on all supported versions of Microsoft Windows. Comodo advised Microsoft on March 16, 2011 that nine certificates had been signed on behalf of a third party without sufficiently validating its identity. These certificates may be used to spoof content, perform phishing attacks, or perform man-in-the-middle attacks against all Web browser users including users of Internet Explorer.
These certificates affect the following Web properties:
•
login.live.com
•
mail.google.com
•
www.google.com
•
login.yahoo.com (3 certificates)
•
login.skype.com
•
addons.mozilla.org
•
"Global Trustee"

zerkms · 29 Мар 2011

Да давненько уже это обновление упало как бы

confguru · 29 Мар 2011

Published: March 23, 2011

Ко мне пришло только вчера

Не у всех же автообновление стоит, а потерять skype, gmail и прочие аккаунты не каждый захочет.

craz · 29 Мар 2011

admin написал(а):
Published: March 23, 2011

Ко мне пришло только вчера Не у всех же автообновление стоит, а потерять skype, gmail и прочие аккаунты не каждый захочет.

ну вы так еще кинули)) я если бы не видел где-то этой новости не понял про че тут написано.

Короче объясняю Comodo лоханулись и выдали совсем другим компаниям сертификаты
Вот компании:
login.live.com
•
mail.google.com
•
www.google.com
•
login.yahoo.com (3 certificates)
•
login.skype.com
•
addons.mozilla.org
•
"Global Trustee"

Теперь на каких то сайтах левых может быть подписанный сертификат от гугла... И будет плохо если на нем оставишь свой логин пароль - потеряешь почту.

Я правильно понял?

zerkms · 29 Мар 2011

craz
Нет, неправильно. Подобные сертификаты позволяют успешное проведение атак man-in-the-middle.

craz · 29 Мар 2011

zerkms написал(а):
craz
Нет, неправильно. Подобные сертификаты позволяют успешное проведение атак man-in-the-middle.

вы издеваетесь надо мной?))) man-in-the-middle - че это?) первый раз не понял так вы еще круче описали) я теперь ваще не понимаю чем это чревато))))

zerkms · 29 Мар 2011

craz
Маленький штоле?

http://en.wikipedia.org/wiki/Man-in-the-middle_attack

craz · 29 Мар 2011

блин ну по-русски... ((( ну принцип немного понял, там по некой схеме...

Может все таки кто-то объяснит популярно на межгалактическом?)

Ragazzo · 29 Мар 2011

craz
man-in-the-middle - крыса среди свои, он же крот...

craz · 29 Мар 2011

Ragazzo написал(а):
craz
man-in-the-middle - крыса среди свои, он же крот...

передав кому-то какой то ключ, я могу получить в обратку ключ третей стороны?

zerkms · 29 Мар 2011

craz
омг

Смотри. У тебя у провайдера есть нечистоплотный администратор. Как раз тот самый MitM. У него есть сертификат от login.skype.com

Он перехватывает всё запросы на этот домен (а ты веришь что домен валидный, потому что сертификат из доверенных центров). Он расшифровывает твои логины-пароли, дальше передаёт их настоящему login.skype.com, шифруя их НАСТОЯЩИМ сертификатом. В обратную сторону шифруется-дешифруется так же.

Результат - ты ничего не замечаешь, а тебя уже поимели.

craz · 29 Мар 2011

zerkms написал(а):
craz
омг

Смотри. У тебя у провайдера есть нечистоплотный администратор. Как раз тот самый MitM. У него есть сертификат от login.skype.com

Он перехватывает всё запросы на этот домен (а ты веришь что домен валидный, потому что сертификат из доверенных центров). Он расшифровывает твои логины-пароли, дальше передаёт их настоящему login.skype.com, шифруя их НАСТОЯЩИМ сертификатом. В обратную сторону шифруется-дешифруется так же.

Результат - ты ничего не замечаешь, а тебя уже поимели.

спасибо большое

fixxxer · 29 Мар 2011

craz написал(а):
блин ну по-русски... ((( ну принцип немного понял, там по некой схеме...

Может все таки кто-то объяснит популярно на межгалактическом?)

И правда, как маленький.

В википедии есть слева снизу список всех языков, на которых есть данная статья. Русский для данной статьи там есть.

fixxxer · 29 Мар 2011

Наглядный литературный пример можно увидеть в «Сказке о царе Салтане» Пушкина, где фигурируют три «человека посередине»: ткачиха, повариха и Бабариха. Именно они подменяют письма, адресованные царю, и его ответную корреспонденцию.

ааа, отлично

Alice и Bob отдыхают

craz · 30 Мар 2011

fixxxer написал(а):
И правда, как маленький.

В википедии есть слева снизу список всех языков, на которых есть данная статья. Русский для данной статьи там есть.

я чето не всегда умен) раз в год такое со мной случаеться - авитаминоз мож...

Microsoft is aware of nine fraudulent digital certificates

confguru

ExAdmin

zerkms

TDD infected

confguru

ExAdmin

craz

Нестандартное звание

zerkms

TDD infected

craz

Нестандартное звание

zerkms

TDD infected

craz

Нестандартное звание

Ragazzo

TDD interested

craz

Нестандартное звание

zerkms

TDD infected

craz

Нестандартное звание

fixxxer

К.О.

fixxxer

К.О.

craz

Нестандартное звание