Latest posts for the topic " Điểm yếu bảo mật https"

Điểm yếu bảo mật https

Gió Lào — GMT

Hii các bác ! Em được thầy giao 1 cái đề tài Tấn công https , khảo sát các điểm yếu bảo mật của https. Đến giờ em vẫn đang bị "mơ hồ" về cái gọi là điểm yếu của https , em đã search thì cũng chỉ nhận được một số khái niệm chung chung về ssl , mong các bác vào trao đổi và giúp em hiểu rõ hơn vấn đề này . Tks các bác nhiều !

Điểm yếu bảo mật https

conmale — GMT

Gió Lào wrote:

Hii các bác ! Em được thầy giao 1 cái đề tài Tấn công https , khảo sát các điểm yếu bảo mật của https. Đến giờ em vẫn đang bị "mơ hồ" về cái gọi là điểm yếu của https , em đã search thì cũng chỉ nhận được một số khái niệm chung chung về ssl , mong các bác vào trao đổi và giúp em hiểu rõ hơn vấn đề này . Tks các bác nhiều !

Kết quả của việc 'tấn công' này là gì?

Điểm yếu bảo mật https

Gió Lào — GMT

conmale wrote:

Gió Lào wrote:

Hii các bác ! Em được thầy giao 1 cái đề tài Tấn công https , khảo sát các điểm yếu bảo mật của https. Đến giờ em vẫn đang bị "mơ hồ" về cái gọi là điểm yếu của https , em đã search thì cũng chỉ nhận được một số khái niệm chung chung về ssl , mong các bác vào trao đổi và giúp em hiểu rõ hơn vấn đề này . Tks các bác nhiều !
Kết quả của việc 'tấn công' này là gì?

Em nghĩ kết quả ở đây là làm vô hiệu hoá chữ "s" trong https !

Điểm yếu bảo mật https

conmale — GMT

Gió Lào wrote:

conmale wrote:

Gió Lào wrote:

Hii các bác ! Em được thầy giao 1 cái đề tài Tấn công https , khảo sát các điểm yếu bảo mật của https. Đến giờ em vẫn đang bị "mơ hồ" về cái gọi là điểm yếu của https , em đã search thì cũng chỉ nhận được một số khái niệm chung chung về ssl , mong các bác vào trao đổi và giúp em hiểu rõ hơn vấn đề này . Tks các bác nhiều !
Kết quả của việc 'tấn công' này là gì?
Em nghĩ kết quả ở đây là làm vô hiệu hoá chữ "s" trong https !

Làm sao mà vô hiệu hoá chữ "s" được. Hơn nữa, chữ "s" được tạo ra nhằm mục đích gì mà vô hiệu hoá nó?

Điểm yếu bảo mật https

Gió Lào — GMT

Theo em hiểu thì chữ "s" nhằm thêm vào một phương thức xác thực ( Certificate) để mỗi bên chắc chắn rằng mình đang thương lượng đúng đối tượng. Attacker sẽ giả mạo cái Cer or làm cho victim không trải qua giai đoạn chứng thực. Em nghĩ như vậy là vô hiệu hoá chữ "s" chứ ạ ??? ( Vì lúc đó chữ s ko có tác dụng nữa rồi )

Điểm yếu bảo mật https

conmale — GMT

Gió Lào wrote:

Theo em hiểu thì chữ "s" nhằm thêm vào một phương thức xác thực ( Certificate) để mỗi bên chắc chắn rằng mình đang thương lượng đúng đối tượng. Attacker sẽ giả mạo cái Cer or làm cho victim không trải qua giai đoạn chứng thực. Em nghĩ như vậy là vô hiệu hoá chữ "s" chứ ạ ??? ( Vì lúc đó chữ s ko có tác dụng nữa rồi )

Giả mạo thì làm sao gọi là vô hiệu hoá được? Đồ giả mạo là đồ giả mạo và nó không thể vô hiệu hoá cái thật. Cho dù có giả mạo đi chăng nữa, đồ giả mạo không bao giờ có thể triêt tiêu giai đoạn chứng thực cả. Bồ đang cố làm một việc mà bồ không hiểu tính chất của nó. Hãy quay lại căn bản HTTPS là gì đi đã.

Điểm yếu bảo mật https

Gió Lào — GMT

conmale wrote:

Gió Lào wrote:

Theo em hiểu thì chữ "s" nhằm thêm vào một phương thức xác thực ( Certificate) để mỗi bên chắc chắn rằng mình đang thương lượng đúng đối tượng. Attacker sẽ giả mạo cái Cer or làm cho victim không trải qua giai đoạn chứng thực. Em nghĩ như vậy là vô hiệu hoá chữ "s" chứ ạ ??? ( Vì lúc đó chữ s ko có tác dụng nữa rồi )
Giả mạo thì làm sao gọi là vô hiệu hoá được? Đồ giả mạo là đồ giả mạo và nó không thể vô hiệu hoá cái thật. Cho dù có giả mạo đi chăng nữa, đồ giả mạo không bao giờ có thể triêt tiêu giai đoạn chứng thực cả. Bồ đang cố làm một việc mà bồ không hiểu tính chất của nó. Hãy quay lại căn bản HTTPS là gì đi đã.

Hi... Tks bác ! Để e nghiên cứu thêm ... Thật sự là đang rất , rất mơ hồ :(

Điểm yếu bảo mật https

jigorokano — GMT

theo cách hiểu của mình thì trong tấn công man in the middle attack, thì đầu tiên attacker sẽ lấy certificate của server, sau đó, khi victim vào trang web https, thì sẽ có cảnh báo của trình duyệt về độ an toàn của website, sẽ xác nhận user có muốn lấy certificate từ server hay ko ( thật ra là lấy từ máy của attacker ), như vậy là thông tin đc mã hoá từ victim tới attacker và sau đó giữa attacker tới server. mọi người xem kiến thức của mình có sai hay gì ko, bổ sung thêm nhé :)

Điểm yếu bảo mật https

chiro8x — GMT

Gió Lào wrote:

Hi... Tks bác ! Để e nghiên cứu thêm ... Thật sự là đang rất , rất mơ hồ :(

Một chuyện bản thân mình còn mơ hồ lại mang ra thảo luận với người khác thì sẽ đi đến đâu đây ?. Nếu mình không biết thì để title là hỏi đáp như vậy có ổn hơn không ?. Tìm hiểu xem cái HTTP là gì trước. Sau đó tìm hiểu cái SSL/TLS. Bạn nên biết ngoài HTTPS còn có STMPS, FTPS..v....v... Có một công thức mình tự chế : PROTOCOL + SSL/TLS = PROTOCOL[S] [S] <=> SSL/TLS. SSL : Secure Socket Layer. TLS : Transport Layer Security.

Điểm yếu bảo mật https

Mask__ — GMT

@jigorokano: Đọc thêm về cái gọi là "Man in the middle" : http://en.wikipedia.org/wiki/Man-in-the-middle_attack Cậu xem lại cái ví dụ về "đưa thư " là đơn giản và dễ hiểu nhất.

Điểm yếu bảo mật https

xanhkma — GMT

Gió Lào wrote:

Attacker sẽ giả mạo cái Cer or làm cho victim không trải qua giai đoạn chứng thực)

Một số ý kiến của riêng mình: Khi có 1 cái cert lạ trình duyệt sẽ cảnh báo ngay(rõ ràng hơn nếu là cert của bạn tạo). Việc giả mạo cert này đối với các server mà có con root nằm sẵn trong kho của win chắc chắn ko đc. Nếu áp dụng với các server do các tổ chức CA của VN mình cấp như vnpt, fpt,bk... thì có thể sử dung đc với các trg hợp chưa trust con MIC. Còn trg hợp khi client đã kết nới với server dùng ssl thì mình nghĩ khó có thể tấn công trừ khi cert của server lớm(hầu như ko có).