TLS/SSL Vulnerabilità

6 novembre 2009 - Fonte: http://n3mes1s.org

Il protocollo TLS/SSL sarabbe a richio. Causa una vulnerabilità, non da poco, che sta proprio nel protocollo, più precisamente quando c’è la rinegozazione e nella sua gestione consentendo così attacchi Man in the middle.

Ad esempio è possibile, in SSL, quando è in atto la rinegozazione, un’inject di un nuovo prefisso nella sessione SSL, che non può essere intercettato più alla fine.

Vulnerabili risultano Apache, IIS, OpenSSL e tutti gli altri software che utilizzano il protocollo, anche siti https.

Le prime correzioni che ci sono state,...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , , ,

Disabilitare SSLv2 e abilitare SSLv3 per le connessioni https

29 ottobre 2009 - Fonte: http://www.deec.it

In questa guida descriveremo come configurare apache per accettare connesioni solo con SSLv3, nel caso il vostro server accetti ancora l’insicuro SSLv2. Per l’installazione del webserver e la configurazione di openssl potete consultare questa guida.

Editiamo questo file, se non esiste possiamo crearlo:

vi /etc/apache2/conf.d/ssl.conf

SSLProtocol -All +SSLv3 +TLSv1
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:!SSLv2:+EXPRestart

Ora possiamo riavviare il webserver:

/etc/init.d/apache2 restart

Per verificare che venga correttamente utilizzato SSLv3:

openssl...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , ,

Intercettare i dati scambiati sulle “connessioni sicure” SSL

2 ottobre 2009 - Fonte: http://www.erriko.it
Abbiamo già trattato in precedenti articoli del concetto e dei rudimenti dell’attacco Man In The Middle (MITM), focalizzandoci sul software Ettercap. Grazie ad Ettercap ed ai sui plug-ins abbiamo scoperto come è possibile per un hacker sniffare molti dei dati di accesso (username e password) che transitano per un determinato network. La mole di dati intercettabili, però, [...]...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Redirect da HTTP su HTTPS e viceversa con Apache2

20 agosto 2009 - Fonte: http://www.ilportalinux.it

Poniamo che nel vostro sito abbiate un sottopercorso che vi piacerebbe avere sotto HTTPS.

Sarebbe giusto che chi digita http://percorso/sotto/https venga redirezionato in automatico sotto https, e viceversa chi scrive https://percorso/sotto/http venga redirezionato sotto http in maniera automatica.

Vediamo come fare.

 

Related posts:
  1. Come ti setto l’https su porte non-443 con apache2
  2. ...

    Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , , , , ,

Kit portable per la riparazione di Windows Update e del protocollo SSL.

10 agosto 2009 - Fonte: http://www.tuttovolume.net
Rizone’s Internet Recovery Kit è un programma portable per la riparazione di Windows, che si occupa essenzialmente di correggere due tipologie di problemi del sistema, e cioè il gestore degli aggiornamenti Windows Update, e il supporto per il protocollo SSL, quello che ci permette la connessione ai siti HTTPS. Può capitare che un impostazione [...]

...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , , , , , ,

Reverse proxy con cifratura con Mod_JK

24 giugno 2009 - Fonte: http://www.spippolazione.net

Abbiamo sulla nostra lan un web service scritto in Java (che gira su Tomcat) che non può essere cifrato in https direttamente da TOMCAT per vari motivi.

Quindi, fino a che detto web service lo si deve usare in una lan sicura, non ci sono problemi.

Il problema esce al momento in cui lo si deve esporre su internet e la connessione deve essere cifrata per riservatezza.

La cosa più semplice da fare è esporre su internet qualche cosa di cifrabile e poi forwardare le richieste al sito in questione.

A causa di alcune applet java che non si fanno imbrogliare il Mod_proxy di Apache non funziona,...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , , , , , , ,

Gmail ancora più sicuro

20 giugno 2009 - Fonte: http://www.ilsitoblu.com
Gmail

Gmail

La sicurezza è una delle cose a cui facciamo poco caso e, fino a quando non abbiamo seri problemi, decidiamo di accantonare l’argomento.

Sembra invece che non tutti la pensino allo stesso modo: 37 esperti di sicurezza hanno contattato il direttore generale di Google, Ericka Schmidta, per invitarlo ad aumentare il livello di sicurezza del servizio di posta elettronica.

Il famosissimo Gmail non ha mai avuto particolari problemi di sicurezza. E’ molto funzionale, veloce, gratuito e tra poco sarà anche più sicuro.

La...

Leggi il seguito »

Nessun commento »

Inserito in , , , , , ,