Tag: TLS

TLS bajt po bajcie - ilustrowany podręcznik

12 października 2018, 21:57 | W biegu | 0 komentarzy

Jak wypada każdej niskopoziomowej książce - ilustracje mamy tu w formie nieco tekstowej: Można zobaczyć pełną "wizualizację" danego fragmentu komunikacji (np. Client Hello) oraz wersję z objaśnieniami konkretnych fragmentów / bajtów komunikacji. Czasem mamy też fragmenty do potwierdzenia w command line: --ms

Czytaj dalej »

Kilka słów o wdrożeniu SSL i TLS - cz. II

29 marca 2017, 19:11 | Teksty | komentarzy 7
Kilka słów o wdrożeniu SSL i TLS - cz. II

W poprzedniej części poznaliśmy teoretyczne przesłanki, na które należy zwrócić uwagę podczas przygotowania się do wdrożenia mechanizmów szyfrowania SSL/TLS. W tej części postaramy się skupić na konfiguracji, która gwarantuje nam poprawne prezentowanie odwiedzającym naszą stronę stosowanych zabezpieczeń i szyfrów kryptograficznych.

Czytaj dalej »

Kilka słów o wdrożeniu SSL i TLS - cz. I

09 lutego 2017, 07:44 | Teksty | komentarzy 19
Kilka słów o wdrożeniu SSL i TLS - cz. I

SSL / TLS jest pozornie prostą techniką zapewniającą m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez internet, zachowując przy tym prostotę instalacji i działania – z wyjątkiem, gdy tak nie jest. Przy końcówce 2014 roku, gigant z Mountain View – Google - na swoim blogu poinformował, że strony...

Czytaj dalej »

DROWN: nowa podatność w OpenSSL - można deszyfrować TLS przy pewnych warunkach

01 marca 2016, 21:08 | W biegu | 0 komentarzy

Opublikowany został błąd w OpenSSL (Severity: High) , umożliwiający odszyfrowanie przechwyconej komunikacji zaszyfrowanej bezpiecznym protokołem TLS. Całość wymaga aby na serwerze terminującym TLS obsługiwany był też SSLv2. Istotne jest, że przechwycona sesja wcale nie musi korzystać z tego starego protokołu, wystarczy że jest on obsługiwany po stronie serwerowej. Co więcej,...

Czytaj dalej »

HTTPS jednak obowiązkowy w HTTP/2 ?

07 marca 2015, 12:06 | W biegu | komentarzy 5

Niedawno pisaliśmy o już finalnym standardzie HTTP/2, który przynosi przede wszystkim rewolucję w wydajności. Od strony bezpieczeństwa nie ma tu wielu zmian, choć jak opisuje jeden z Mozilla hackerów - mimo że użycie TLS nie jest obowiązkowe w specyfikacji (dopuszczony jest HTTP/2 over TCP lub TLS), to zarówno twórcy Chrome...

Czytaj dalej »

Deszyfrowanie ruchu SSL/TLS w Wiresharku

12 lutego 2015, 20:37 | W biegu | komentarze 4

Funkcjonalność deszyfrowania ruchu SSL/TLS w Wiresharku istniała od dawna (oczywiście po podaniu do tego narzędzia odpowiedniego klucza prywatnego, co było możliwe do zablokowania mechanizmem forward secrecy - czyli sam klucz prywatny nie wystarczał do odszyfrowania ruchu). Jednak już od wersji Wiresharka 1.6+ istnieje możliwość bezpośredniego podania klucza symetrycznego sesji SSL/TLS...

Czytaj dalej »

Wydobywanie sekretów z SSL / TLS

01 sierpnia 2013, 21:55 | Aktualności | komentarze 2
Wydobywanie sekretów z SSL / TLS

BREACH to nowy rodzaj ataku, dzięki któremu możliwe jest wydobywanie niektórych interesujących informacji z komunikacji zabezpieczonej za pomocą httpsa, bez względu na zastosowaną wersję protokołu oraz rodzaj szyfrowania. Brzmi niepokojąco, jednak nie warto panikować, gdyż potencjalny intruz musi spełnić całą gamę wstępnych wymogów. Spójrzmy.

Czytaj dalej »

Lucky thirteen - nowy typ ataku na SSL / TLS. Nie panikuj?

08 lutego 2013, 16:44 | Aktualności | 1 komentarz
Lucky thirteen - nowy typ ataku na SSL / TLS. Nie panikuj?

Protokół SSL czy nowszy TLS to zestawy protokołów będących podstawą bezpieczeństwa w Internecie. Łączysz się do swojego banku z wykorzystaniem https? Używasz zatem jednego z tych protokołów. Kilka dni temu pokazano słabości tych protokołów umożliwiające rozszyfrowanie ruchu chronionego TLS (wszystkie wersje tego protokołu). Brzmi groźnie? Zobaczmy.

Czytaj dalej »