Sifreleme ile ilgili bi soru

[Vidar]

şu anda kullanılan ssl implamantasyonları mim'a karşı aciz kalmaktadır, bunu da hatırlatmak isterim ayrıca. https ile proxy bir arada kullanmayın.

[reyou]

niyeki?

[Vidar]

orasını karıştırma :D hazır tool var ama kullanılabilecek script kiddyler dahi yapabilir yani.

mim olduktan sonra neler yapılır zaten. asıl zor kısmı mim olabilmek.

[reyou]

mim ne yaw?

[Kojiroh]

Man in the middle attack. A ile B arasındaki iletişimde araya giren bi C'nin kendini A veya B olarak tanıtarak diğeriyle iletişim kurması.

[reyou]

Vidar said:

orasını karıştırma :D hazır tool var ama kullanılabilecek script kiddyler dahi yapabilir yani.

mim olduktan sonra neler yapılır zaten. asıl zor kısmı mim olabilmek.

man in the middle mis ok,

iide ortadaki adam olabilmeyi basardiktan sonra
nasi integrity bozucan?

zaten ssl man in the middle icin tasarlanmis birsey??

algoritmasindan bahsedermisin?

[Vidar]

integrityi bozmuyorsun dediğim saldırıda, şifresiz gibi sniff etme imkanı sağlıyor. saldırının detaylarını bilmiyorum.

[Ceday]

bu arada ben öle cok fazla bu işlerle ugrasmadım ama cookienin içine yazacagın encrypted data sadece sanki şifrenin encrypted hali olmasa daha ii olur.

kullanıcının baska local bilgileri de alabiliosan (ip veya makineye dair bişiler mesela, -ip felan alınıyordur da-), onlarla beraber appendleyip encrypt etmek sanki daha ii bişi gibi.

yani cookie bile calınsa diger adamın login olamaması icin.

[reyou]

ip ile combine etme olayi cok iimis bakiyim ben buna bi :)

[reyou]

Vidar said:

integrityi bozmuyorsun dediğim saldırıda, şifresiz gibi sniff etme imkanı sağlıyor. saldırının detaylarını bilmiyorum.

abi public key ile sifrelenmis birseyi
sniff edip calsan nolur calmasan nolur?

data zaten sifrelenmis
e sende primary key yok??

integrityi 1 bit oynatsan bile bozarsin,
burada min degil birebir adamlardan biri olman gerekiyor
yani ya A noktasina sizacan yada B noktasina oteki turlu
sen bisi yapana kadar data expire olur zaten

[Vidar]

şifreli gidenin düz halini görüyorsun diyorum.

senin senaryon her şeyin yolunda gittiği senaryo, her şey yolunda gitse adı saldırı olmaz zaten.

[Vidar]

sen üzümü ye bağını sorma abi :) proxy ile ya da public wireless networklerde kredi kartı, banka işlemleri yapma, gerisini sorma :P

[Ceday]

bi de mesela şöle bişi de yapabiliyorlar, giden bir packeti replike ediyorlar.

sizin kişisel olarak yaptıgınız bir işlemin duplike olması demek bu. bunun icin de mesela önlem olarak client unique bir id üretip gönderebiliyor. aynı packet bir sekilde tekrar gelirse, işlem yapılmıyor.

[reyou]

Vidar said:

sen üzümü ye bağını sorma abi :) proxy ile ya da public wireless networklerde kredi kartı, banka işlemleri yapma, gerisini sorma :P

abicim nie sormiyim
sonucta isin icindeyiz ole yada bole :)

dedigin yol sanirim
dandik WEP sifresini bulup kirmaktan oteye gidemiyorki
zaten oda hashed degil two way enycription kullaniliyor,

onun disinda diyelim isbankasinin hesabina temiz bir makineden baglanir islemlerini yaparsan arada yakalayacagin paketler senin hic bir isine yaramaz

bir ikincisi bize ogretilen security dersinden o paketlerin bir session time i olur sen onlari alipta manupile edene kadar zaten time out olursun

[Vidar]

yahu WEPi nerden çıkardın. bildiğin https işte. mim ile yalan oluyor diyorum. inanıp inanmamak sana kalmış.

[Vidar]

googlelayıp bulamıyorsun diye yok öyle bişi tabi :) benim de burda bilmiyorum falan dememin bi sebebi var herhalde aa illa konuşturucaksınız adamı.

[Vidar]

neyse tüm söylediklerimi geri aldım, https ultra mega secure gönül rahatlığıyla her yerde kullanabilirsiniz.

[reyou]

Vidar said:

yahu WEPi nerden çıkardın. bildiğin https işte. mim ile yalan oluyor diyorum. inanıp inanmamak sana kalmış.

ahahah abi bana sifir madde ile geliyosun ve benden
haaaa diye inanmami bekliyosun
komik yani biraz
ha dogrudur belki ama aksi ispatlanana kadar inanmam yani

[reyou]

said:

if I type in a password over a https site at the library wireless
network , how easy would it be for someone to get my password ?


Impossible.

https connections are SSL secured between you and the web server and
anybody intercepting the communication would be unable to decrypt the
data so you can use a public hotspot to go on secure sites (though make
sure it is actually secure as people can hijack routers and serve up a
fake but non-secure version of PayPal).
http://wi-fi-hotspot.blogspot.com http://thehackman.blogspot.com
http://adsensical-adsense.blogspot.com

[Kharon]

mitm ile gerekli sertifikalari mimicleyip adamin sifresini almak imkansiz degil.

alintida soruya cevap verenin bilmiyor olusu kanit sayilmaz.

[aquila]

impossible mi? canin saolsun.

[reyou]

matematiktede sifira cok yakin olan degerlere sifir deniliyor
buda onun gibi birsey
tabiki hicbirsey 100% secure degildir

[Kojiroh]

Abi en basitinden, bi X sitesi kendi sertifika sağlayıcısını kurar, browserın seni uyarır "abi bak bu adam kendi sertifika sağlayıcısını kullanıyo ha ona göre", sen de bi şey olmaz diyip devam edersin, gitti kredi kartı.

Hatta millet tanımlanamayanını bile yapmış http://www.phreedom.org/research/rogue-ca/

Ha çok maliyetli, o yüzden pek olası değil, ama mümkün yine de.

[reyou]

abi hayalgucunun erisebilecegi hersey mumkun sonucta onda degilim
benim demek istedigim

yapilabilirlik/security orani su anda cok cok dusuk oldugundan
ona kirilamaz denilebilir

ona bakarsan 10 yasindaki bir cocugun nasa sifrelerini kirma olasiligida yok denecek kadar az ama yinede bir olasilik var
ha onada halk arasinda "nasayi 10 yasindaki cocuk hackleyemez"
deniyor