forum.opennet.ru - "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." (31)

"Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
Сообщение от opennews (??), 09-Июн-20, 10:23
В библиотеке GnuTLS, которая применяется по умолчанию во многих пакетах из состава Debian, включая пакетный менеджер APT и многие утилиты, выявлена уязвимость (CVE-2020-13777), позволяющая возобновить ранее остановленный сеанс TLS без знания сессионного ключа. С практической стороны уязвимость может применяться для осуществления MITM-атак... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53120
Ответить \| Правка \| Cообщить модератору

Оглавление

Минуттачку, мы с вами ещё не закончили , Alen (??), 10:23 , 09-Июн-20, (1) +11

Будьте добры, помедленнее Я записываю , Аноним (16), 22:23 , 09-Июн-20, (16)

может применяться Только опять таки надо знать атакующего, КО (?), 10:35 , 09-Июн-20, (2)
Шикарно , YetAnotherOnanym (ok), 12:03 , 09-Июн-20, (3) +3
Все загрузочные ISO образы, стайджи и пакеты программ должны обязательно проверя, Аноним (4), 15:24 , 09-Июн-20, (4) +6

Зря стараетесь Когда пытаешься донести до местных Свидетелей HTTPS-ца, что шифр, Аноним84701 (ok), 16:18 , 09-Июн-20, (5) +3

Самое удивительное, что в это кто-то верил Мозилла с этими радужными значками т, Аноним (9), 20:03 , 09-Июн-20, (9) –1

https wiki debian org SecureAptНо вы продолжайте, продолжайте, за вашим сеансо, Аноним (10), 21:29 , 09-Июн-20, (10) –2

Не понял, при чём тут дебилиан, извините Но я застал время, когда пакеты в арче, Аноним (9), 21:34 , 09-Июн-20, (11) –1

А зачем См хотя бы ту же авторизацию в WPA-PSK никто не гоняет пароль Ну ил, Аноним84701 (ok), 21:40 , 09-Июн-20, (12)

А это где-то используется в интернете На каких сайтах , Аноним (9), 21:43 , 09-Июн-20, (13)

А нигде хотя конечно может где-то и есть, благо либ с реализацией куча https , Аноним84701 (ok), 21:55 , 09-Июн-20, (14)
Как минимум, при использовании AWS Amplify для AWS Cognito Там из коробки SRP , Аноним (23), 20:59 , 10-Июн-20, (23)

Как сделать логин-форму без скриптов и паролей плейнтекстом , Аноним (24), 08:02 , 11-Июн-20, (24)

И в вакууме Сферическом В 2020м только рассказывать о восьмом чуде света -- сов, Аноним84701 (ok), 13:14 , 11-Июн-20, (25)

В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном с, Аноним (26), 17:41 , 11-Июн-20, (26)

А еще любители читать, хм, не совсем глазами, между строк -- и додумывать все ос, Аноним84701 (ok), 18:02 , 11-Июн-20, (27)

Оно где-то здесь Свидетелей HTTPS-ца RFC это очень хорошо, но на практике то м, Вы забыли заполнить поле (?), 18:33 , 11-Июн-20, (28)

Кто не с нами, тот против нас И энта самое, что там с современными интерактив, Аноним84701 (ok), 19:00 , 11-Июн-20, (29)

Это какие Ну ладно , Аноним (-), 20:21 , 11-Июн-20, (30)

Это вам лучше знать, раз уж задавали такие странные вопросы Я, несмотря на вкуша, Аноним84701 (ok), 21:03 , 11-Июн-20, (31)

Хорошо, что у Микрософт и Эппл библиотеки TLS 1 3 без дыр , Аноним (6), 17:02 , 09-Июн-20, (6)

У нас вообще все библиотеки без дыр Но код мы вам не покажем, вы должны верить , Билл Джобс (?), 17:07 , 09-Июн-20, (7) +6

Всё без дыр В них нет нужды У нас нормальные инженерные входы , supportapple.com (?), 18:10 , 09-Июн-20, (8) +6
Если честно, поверить вам проще чем анонимным волосатым мамкиным хацкерам , Бизнесс по всему миру (?), 08:32 , 10-Июн-20, (19) +1
Всё так Не 171 дыры 187 , а 171 технологические отверстия 187 , Lex (??), 21:40 , 11-Июн-20, (32)

Речь идёт про безопасный Линукс , а не Винду и Мак Не отвлекайся , Аноним (22), 19:32 , 10-Июн-20, (22)

Слоупоки code pacman -Qi gnutls 124 grep -e Version -e Install Date Version, Аноним (15), 22:13 , 09-Июн-20, (15)

В генту ещё 4 обновили, но glsa только сегодня выпустили https security gentoo, Аноним (9), 22:39 , 09-Июн-20, (17)

интересно все же, как вявили этот уязвимость o_0 почему именно сейчас, а не тогд, rtr.ru (?), 23:24 , 09-Июн-20, (18) –1

если б вы хоть краешком были знакомы с концепцией и методологией практического т, rioko (?), 10:35 , 10-Июн-20, (20)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +11 +/–

Сообщение от Alen (??), 09-Июн-20, 10:23

Минуттачку, мы с вами ещё не закончили!  ;)

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (16), 09-Июн-20, 22:23

...Будьте добры, помедленнее! Я записываю...

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от КО (?), 09-Июн-20, 10:35

"может применяться"
Только опять таки надо знать атакующего

Ответить | Правка | Наверх | Cообщить модератору

3. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +3 +/–

Сообщение от YetAnotherOnanym (ok), 09-Июн-20, 12:03

> TLS-сервер не осуществлял привязку сессионного ключа шифрования со значением, переданным приложением
Шикарно...

Ответить | Правка | Наверх | Cообщить модератору

4. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +6 +/–

Сообщение от Аноним (4), 09-Июн-20, 15:24

> GnuTLS, которая применяется по умолчанию во многих пакетах ..., включая пакетный менеджер
Все загрузочные ISO образы, стайджи и пакеты программ должны обязательно проверяться OpenPGP. Не зависимо от того, что скачали их по https.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +3 +/–

Сообщение от Аноним84701 (ok), 09-Июн-20, 16:18

>> GnuTLS, которая применяется по умолчанию во многих пакетах ..., включая пакетный менеджер
> Все загрузочные ISO образы, стайджи и пакеты программ должны обязательно проверяться OpenPGP.
> Не зависимо от того, что скачали их по https.
Зря стараетесь.
Когда пытаешься донести до местных Свидетелей HTTPS-ца, что шифрование канала никак не заменяет подписей, шифрования самих данных или использования нормальных алгоритмов аутентификации  (особенно учитывая весьма идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом "ну а чо, это же в https, а значит сикурно!", где они в обычно в таком виде и хранятся) -- начинается кидание <этим самым, коричневым>, истерика и причитания про луддитов ;)

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." –1 +/–

Сообщение от Аноним (9), 09-Июн-20, 20:03

Самое удивительное, что в это кто-то верил. Мозилла с этими радужными значками так особенно отличилась, вся такая безопасная, угу. А хром вообще сканирует систему. Всё для пущей безопасности, ага.
А как ещё пересылать, если не плейнтекстом? Передаётся плейн (желательно не через GET, но GET это очень удобно пользователю) и сравнивается с хэшем. Md5 в лучшем случае, хаха. Но с плейн текст паролями должно быть проще вернуть аккаунт законному владельцу в случае чего.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." –2 +/–

Сообщение от Аноним (10), 09-Июн-20, 21:29

https://wiki.debian.org/SecureApt
Но вы продолжайте, продолжайте, за вашим сеансом взаимной мастурбации интересно наблюдать.

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." –1 +/–

Сообщение от Аноним (9), 09-Июн-20, 21:34

> https://wiki.debian.org/SecureApt
> Но вы продолжайте, продолжайте, за вашим сеансом взаимной мастурбации интересно наблюдать.
Не понял, при чём тут дебилиан, извините. Но я застал время, когда пакеты в арче и генте никак не верифицировались.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним84701 (ok), 09-Июн-20, 21:40

> А как ещё пересылать, если не плейнтекстом?
А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не гоняет пароль). Ну или PAKE/SRP (Secure Remote Password).

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

13. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (9), 09-Июн-20, 21:43

>> А как ещё пересылать, если не плейнтекстом?
> А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не
> гоняет пароль). Ну или PAKE/SRP (Secure Remote Password).
А это где-то используется в интернете? На каких сайтах?

Ответить | Правка | Наверх | Cообщить модератору

14. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним84701 (ok), 09-Июн-20, 21:55

>>> А как ещё пересылать, если не плейнтекстом?
>> А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не
>> гоняет пароль). Ну или PAKE/SRP (Secure Remote Password).
> А это где-то используется в интернете? На каких сайтах?
А нигде (хотя конечно может где-то и есть, благо либ с реализацией куча https://en.wikipedia.org/wiki/Secure_Remote_Password_protoco...) -- ведь "испокон веков" принято гонять пароли в плейнтексте. Зачем что-то менять, "ведь есть HTTPS и поэтому оно секурно!"(с).
Поэтому в браузеры и стандарты попала вагон и маленькая тележка хлама, но никак не реализация нормальной аутетнификации.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (23), 10-Июн-20, 20:59

Как минимум, при использовании AWS Amplify для AWS Cognito. Там из коробки SRP.

Ответить | Правка | К родителю #13 | Наверх | Cообщить модератору

24. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (24), 11-Июн-20, 08:02

> идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом "
Как сделать логин-форму без скриптов и паролей плейнтекстом?

Ответить | Правка | К родителю #5 | Наверх | Cообщить модератору

25. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним84701 (ok), 11-Июн-20, 13:14

>> идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом "
> Как сделать логин-форму без скриптов и паролей плейнтекстом?
> без скриптов
И в вакууме. Сферическом.
В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, работающем без JS 🙄
Но так и быть:
https://tools.ietf.org/html/rfc2069
>  January 1997
>  An Extension to HTTP : Digest Access Authentication
Оно было еще в IE 5. Но проще ж было просто пересылать формочку (в то время даже без обертки https) и не заморачиваться 🙄
Ну и зачастую логин c (любым) паролем -- на самом деле не нужен:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Это _мое_ сообщение!
Отправленно плейнтекстом.
-----BEGIN PGP SIGNATURE-----
iHUEARYIAB0WIQSqzOsxglhneE9AoANPeamwXnt+nQUCXuIAPwAKCRBPeamwXnt+
nYEdAQC1A9l0HEIXvx9y3x6t6mtpshg/e7aGa4tEIZ/bdzdxRwD+JrNojtRlHM/7
H2DBCNQPhtVtZ6vgEo07MarPvVbHoQk=
=89pk
-----END PGP SIGNATURE-----

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (26), 11-Июн-20, 17:41

> И в вакууме. Сферическом.
В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, работающем без JS 🙄
Опеннет удивительный сайт. Здесь собираются анти-https и любители модных уеб-технологий (bloatware) в одном лице.
> January 1997
>  An Extension to HTTP : Digest Access Authentication
> Obsolete
Ну такое.
> Ну и зачастую логин c (любым) паролем -- на самом деле не нужен:
-----BEGIN PGP SIGNED MESSAGE-----
Теперь для каждого сайта надо новый ключ создавать и хранить?

Ответить | Правка | Наверх | Cообщить модератору

27. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним84701 (ok), 11-Июн-20, 18:02

>> И в вакууме. Сферическом.
> В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте,
> работающем без JS 🙄
> Опеннет удивительный сайт. Здесь собираются анти-https и любители модных уеб-технологий (bloatware) в одном лице.
А еще любители читать, хм, не совсем глазами, между строк -- и додумывать все остальное. Или аноним может процитировать мое "анти-https" высказывание?
>> January 1997
>>  An Extension to HTTP : Digest Access Authentication
>> Obsolete
> Ну такое.
Ну, можно сделать вид, что там нет ссылки на следующий RFC https://tools.ietf.org/html/rfc2617
1999 года (и оттуда - на версию 2014).
И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с)
>> Ну и зачастую логин c (любым) паролем -- на самом деле не нужен:
> -----BEGIN PGP SIGNED MESSAGE-----
> Теперь для каждого сайта надо новый ключ создавать и хранить?
1) не на каждый сайт, а лишь на каждый ID.
2) какая принципиальная разница-то?

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Вы забыли заполнить поле (?), 11-Июн-20, 18:33

> Или аноним может процитировать мое "анти-https" высказывание?
Оно где-то здесь: "Свидетелей HTTPS-ца"
> И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с)
RFC это очень хорошо, но на практике то можно?
> 1) не на каждый сайт, а лишь на каждый ID.
2) какая принципиальная разница-то?
Очень неудобно. Софта то для этого нет.

Ответить | Правка | Наверх | Cообщить модератору

29. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним84701 (ok), 11-Июн-20, 19:00

>> Или аноним может процитировать мое "анти-https" высказывание?
> Оно где-то здесь: "Свидетелей HTTPS-ца"
"Кто не с нами, тот против нас!"?
И энта самое, что там с современными интерактивными сайтами без JS?
>> И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с)
> RFC это очень хорошо, но на практике то можно?
Можно. Этот RFC поддерживался еще IE5(.x)

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (-), 11-Июн-20, 20:21

> И энта самое, что там с современными интерактивными сайтами без JS?
Это какие?
> Можно. Этот RFC поддерживался еще IE5(.x)
Ну ладно.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним84701 (ok), 11-Июн-20, 21:03

>> И энта самое, что там с современными интерактивными сайтами без JS?
> Это какие?
Это вам лучше знать, раз уж задавали такие странные вопросы:
>>>> Как сделать логин-форму без скриптов и паролей плейнтекстом?
Я, несмотря на вкушание какту^W^W NoJS по умолчанию в основном браузере -- ничем не могу вам помочь.

Ответить | Правка | Наверх | Cообщить модератору

6. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (6), 09-Июн-20, 17:02

> Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3
Хорошо, что у Микрософт и Эппл библиотеки TLS 1.3 без дыр!

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +6 +/–

Сообщение от Билл Джобс (?), 09-Июн-20, 17:07

У нас вообще все библиотеки без дыр.
(Но код мы вам не покажем, вы должны верить нам, потому что у нас серьезные корпорации).

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +6 +/–

Сообщение от supportapple.com (?), 09-Июн-20, 18:10

Всё без дыр. В них нет нужды. У нас нормальные инженерные входы.

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +1 +/–

Сообщение от Бизнесс по всему миру (?), 10-Июн-20, 08:32

Если честно, поверить вам проще чем анонимным волосатым мамкиным хацкерам.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

32. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Lex (??), 11-Июн-20, 21:40

Всё так.
Не «дыры», а «технологические отверстия» :)

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

22. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (22), 10-Июн-20, 19:32

Речь идёт про "безопасный Линукс", а не Винду и Мак. Не отвлекайся.

Ответить | Правка | К родителю #6 | Наверх | Cообщить модератору

15. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (15), 09-Июн-20, 22:13

>Уязвимость устранена в выпуске 3.6.14
>В дистрибутивах уязвимость устранена в Debian, SUSE, FreeBSD, Fedora, Ubuntu, EPEL, RHEL 8
Слоупоки.
pacman -Qi gnutls | grep -e Version -e 'Install Date'
Version         : 3.6.14-1
Install Date    : Fri 05 Jun 2020 01:18:03 PM MSK

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от Аноним (9), 09-Июн-20, 22:39

В генту ещё 4 обновили, но glsa только сегодня выпустили https://security.gentoo.org/glsa/202006-01

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." –1 +/–

Сообщение от rtr.ru (?), 09-Июн-20, 23:24

интересно все же, как вявили этот уязвимость?o_0 почему именно сейчас, а не тогда когда создавали-тестировали ОС!!!

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..." +/–

Сообщение от rioko (?), 10-Июн-20, 10:35

если б вы хоть краешком были знакомы с концепцией и методологией практического тестирования вопрос отпал бы сам собой.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+11 +/–
Сообщение от Alen (??), 09-Июн-20, 10:23
Минуттачку, мы с вами ещё не закончили! ;)
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним (16), 09-Июн-20, 22:23
	...Будьте добры, помедленнее! Я записываю...
	Ответить \| Правка \| Наверх \| Cообщить модератору

2. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
Сообщение от КО (?), 09-Июн-20, 10:35
"может применяться" Только опять таки надо знать атакующего
Ответить \| Правка \| Наверх \| Cообщить модератору

3. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+3 +/–
Сообщение от YetAnotherOnanym (ok), 09-Июн-20, 12:03
> TLS-сервер не осуществлял привязку сессионного ключа шифрования со значением, переданным приложением Шикарно...
Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+6 +/–
Сообщение от Аноним (4), 09-Июн-20, 15:24
> GnuTLS, которая применяется по умолчанию во многих пакетах ..., включая пакетный менеджер Все загрузочные ISO образы, стайджи и пакеты программ должны обязательно проверяться OpenPGP. Не зависимо от того, что скачали их по https.
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+3 +/–
	Сообщение от Аноним84701 (ok), 09-Июн-20, 16:18
	>> GnuTLS, которая применяется по умолчанию во многих пакетах ..., включая пакетный менеджер > Все загрузочные ISO образы, стайджи и пакеты программ должны обязательно проверяться OpenPGP. > Не зависимо от того, что скачали их по https. Зря стараетесь. Когда пытаешься донести до местных Свидетелей HTTPS-ца, что шифрование канала никак не заменяет подписей, шифрования самих данных или использования нормальных алгоритмов аутентификации (особенно учитывая весьма идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом "ну а чо, это же в https, а значит сикурно!", где они в обычно в таком виде и хранятся) -- начинается кидание <этим самым, коричневым>, истерика и причитания про луддитов ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	–1 +/–
	Сообщение от Аноним (9), 09-Июн-20, 20:03
	Самое удивительное, что в это кто-то верил. Мозилла с этими радужными значками так особенно отличилась, вся такая безопасная, угу. А хром вообще сканирует систему. Всё для пущей безопасности, ага. А как ещё пересылать, если не плейнтекстом? Передаётся плейн (желательно не через GET, но GET это очень удобно пользователю) и сравнивается с хэшем. Md5 в лучшем случае, хаха. Но с плейн текст паролями должно быть проще вернуть аккаунт законному владельцу в случае чего.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	–2 +/–
	Сообщение от Аноним (10), 09-Июн-20, 21:29
	https://wiki.debian.org/SecureApt Но вы продолжайте, продолжайте, за вашим сеансом взаимной мастурбации интересно наблюдать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	–1 +/–
	Сообщение от Аноним (9), 09-Июн-20, 21:34
	> https://wiki.debian.org/SecureApt > Но вы продолжайте, продолжайте, за вашим сеансом взаимной мастурбации интересно наблюдать. Не понял, при чём тут дебилиан, извините. Но я застал время, когда пакеты в арче и генте никак не верифицировались.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним84701 (ok), 09-Июн-20, 21:40
	> А как ещё пересылать, если не плейнтекстом? А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не гоняет пароль). Ну или PAKE/SRP (Secure Remote Password).
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	13. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним (9), 09-Июн-20, 21:43
	>> А как ещё пересылать, если не плейнтекстом? > А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не > гоняет пароль). Ну или PAKE/SRP (Secure Remote Password). А это где-то используется в интернете? На каких сайтах?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним84701 (ok), 09-Июн-20, 21:55
	>>> А как ещё пересылать, если не плейнтекстом? >> А зачем? См. хотя бы ту же авторизацию в WPA-PSK (никто не >> гоняет пароль). Ну или PAKE/SRP (Secure Remote Password). > А это где-то используется в интернете? На каких сайтах? А нигде (хотя конечно может где-то и есть, благо либ с реализацией куча https://en.wikipedia.org/wiki/Secure_Remote_Password_protoco...) -- ведь "испокон веков" принято гонять пароли в плейнтексте. Зачем что-то менять, "ведь есть HTTPS и поэтому оно секурно!"(с). Поэтому в браузеры и стандарты попала вагон и маленькая тележка хлама, но никак не реализация нормальной аутетнификации.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним (23), 10-Июн-20, 20:59
	Как минимум, при использовании AWS Amplify для AWS Cognito. Там из коробки SRP.
	Ответить \| Правка \| К родителю #13 \| Наверх \| Cообщить модератору


	24. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним (24), 11-Июн-20, 08:02
	> идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом " Как сделать логин-форму без скриптов и паролей плейнтекстом?
	Ответить \| Правка \| К родителю #5 \| Наверх \| Cообщить модератору


	25. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним84701 (ok), 11-Июн-20, 13:14
	>> идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом " > Как сделать логин-форму без скриптов и паролей плейнтекстом? > без скриптов И в вакууме. Сферическом. В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, работающем без JS 🙄 Но так и быть: https://tools.ietf.org/html/rfc2069 > January 1997 > An Extension to HTTP : Digest Access Authentication Оно было еще в IE 5. Но проще ж было просто пересылать формочку (в то время даже без обертки https) и не заморачиваться 🙄 Ну и зачастую логин c (любым) паролем -- на самом деле не нужен: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 Это _мое_ сообщение! Отправленно плейнтекстом. -----BEGIN PGP SIGNATURE----- iHUEARYIAB0WIQSqzOsxglhneE9AoANPeamwXnt+nQUCXuIAPwAKCRBPeamwXnt+ nYEdAQC1A9l0HEIXvx9y3x6t6mtpshg/e7aGa4tEIZ/bdzdxRwD+JrNojtRlHM/7 H2DBCNQPhtVtZ6vgEo07MarPvVbHoQk= =89pk -----END PGP SIGNATURE-----
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним (26), 11-Июн-20, 17:41
	> И в вакууме. Сферическом. В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, работающем без JS 🙄 Опеннет удивительный сайт. Здесь собираются анти-https и любители модных уеб-технологий (bloatware) в одном лице. > January 1997 > An Extension to HTTP : Digest Access Authentication > Obsolete Ну такое. > Ну и зачастую логин c (любым) паролем -- на самом деле не нужен: -----BEGIN PGP SIGNED MESSAGE----- Теперь для каждого сайта надо новый ключ создавать и хранить?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним84701 (ok), 11-Июн-20, 18:02
	>> И в вакууме. Сферическом. > В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, > работающем без JS 🙄 > Опеннет удивительный сайт. Здесь собираются анти-https и любители модных уеб-технологий (bloatware) в одном лице. А еще любители читать, хм, не совсем глазами, между строк -- и додумывать все остальное. Или аноним может процитировать мое "анти-https" высказывание? >> January 1997 >> An Extension to HTTP : Digest Access Authentication >> Obsolete > Ну такое. Ну, можно сделать вид, что там нет ссылки на следующий RFC https://tools.ietf.org/html/rfc2617 1999 года (и оттуда - на версию 2014). И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с) >> Ну и зачастую логин c (любым) паролем -- на самом деле не нужен: > -----BEGIN PGP SIGNED MESSAGE----- > Теперь для каждого сайта надо новый ключ создавать и хранить? 1) не на каждый сайт, а лишь на каждый ID. 2) какая принципиальная разница-то?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Вы забыли заполнить поле (?), 11-Июн-20, 18:33
	> Или аноним может процитировать мое "анти-https" высказывание? Оно где-то здесь: "Свидетелей HTTPS-ца" > И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с) RFC это очень хорошо, но на практике то можно? > 1) не на каждый сайт, а лишь на каждый ID. 2) какая принципиальная разница-то? Очень неудобно. Софта то для этого нет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним84701 (ok), 11-Июн-20, 19:00
	>> Или аноним может процитировать мое "анти-https" высказывание? > Оно где-то здесь: "Свидетелей HTTPS-ца" "Кто не с нами, тот против нас!"? И энта самое, что там с современными интерактивными сайтами без JS? >> И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с) > RFC это очень хорошо, но на практике то можно? Можно. Этот RFC поддерживался еще IE5(.x)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним (-), 11-Июн-20, 20:21
	> И энта самое, что там с современными интерактивными сайтами без JS? Это какие? > Можно. Этот RFC поддерживался еще IE5(.x) Ну ладно.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним84701 (ok), 11-Июн-20, 21:03
	>> И энта самое, что там с современными интерактивными сайтами без JS? > Это какие? Это вам лучше знать, раз уж задавали такие странные вопросы: >>>> Как сделать логин-форму без скриптов и паролей плейнтекстом? Я, несмотря на вкушание какту^W^W NoJS по умолчанию в основном браузере -- ничем не могу вам помочь.
	Ответить \| Правка \| Наверх \| Cообщить модератору

6. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
Сообщение от Аноним (6), 09-Июн-20, 17:02
> Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 Хорошо, что у Микрософт и Эппл библиотеки TLS 1.3 без дыр!
Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+6 +/–
	Сообщение от Билл Джобс (?), 09-Июн-20, 17:07
	У нас вообще все библиотеки без дыр. (Но код мы вам не покажем, вы должны верить нам, потому что у нас серьезные корпорации).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+6 +/–
	Сообщение от supportapple.com (?), 09-Июн-20, 18:10
	Всё без дыр. В них нет нужды. У нас нормальные инженерные входы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+1 +/–
	Сообщение от Бизнесс по всему миру (?), 10-Июн-20, 08:32
	Если честно, поверить вам проще чем анонимным волосатым мамкиным хацкерам.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	32. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Lex (??), 11-Июн-20, 21:40
	Всё так. Не «дыры», а «технологические отверстия» :)
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору


	22. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним (22), 10-Июн-20, 19:32
	Речь идёт про "безопасный Линукс", а не Винду и Мак. Не отвлекайся.
	Ответить \| Правка \| К родителю #6 \| Наверх \| Cообщить модератору

15. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
Сообщение от Аноним (15), 09-Июн-20, 22:13
>Уязвимость устранена в выпуске 3.6.14 >В дистрибутивах уязвимость устранена в Debian, SUSE, FreeBSD, Fedora, Ubuntu, EPEL, RHEL 8 Слоупоки. pacman -Qi gnutls \| grep -e Version -e 'Install Date' Version : 3.6.14-1 Install Date : Fri 05 Jun 2020 01:18:03 PM MSK
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	+/–
	Сообщение от Аноним (9), 09-Июн-20, 22:39
	В генту ещё 4 обновили, но glsa только сегодня выпустили https://security.gentoo.org/glsa/202006-01
	Ответить \| Правка \| Наверх \| Cообщить модератору

18. "Уязвимость в GnuTLS, позволяющая возобновить сеанс TLS 1.3 б..."	–1 +/–
Сообщение от rtr.ru (?), 09-Июн-20, 23:24
интересно все же, как вявили этот уязвимость?o_0 почему именно сейчас, а не тогда когда создавали-тестировали ОС!!!
Ответить \| Правка \| Наверх \| Cообщить модератору