'Browsers moeten SSL-sessies beter beschermen'

Gepubliceerd: Woensdag 27 mei 2009

Man-in-the-middle aanvallen waarbij hackers browsersessies van gebruikers kunnen kapen verdienen meer aandacht, aldus de uitvinder van SSL.

Toon volledig artikel

vinylat45 op Woensdag 27 Mei 2009 16:32

Het certificaat van the-man-in-the-middle klopt toch niet met het domein? Je browser geeft een melding dat het een niet-getekend-certificaat betreft.

Verder is er wel een zwakke schakel dat je het ip adres van je DNS vertrouwd.

Of mis ik iets?

1 / 1

Peter Roozemaal op Woensdag 27 Mei 2009 16:56

Als je jouw certificaat tekent met een sleutel die de browser vertrouwt is er niets aan de hand. Binnen een bedrijf kan een systeembeheerder vrij makkelijk zo'n sleutel aan de standaardinstallatie toevoegen.
Hack: de bedrijfsproxy presenteert een SSL-sleutel, ondertekend met de bedrijfs-privésleutel. De publieke bedrijfssleutel zit in de browser alsof het bedrijf een "vertrouwd certificeringsinstituut" is.
DNS is geen enkel probleem, dat doet de HTTP proxy voor de browser.

2 / 2

JDiel op Woensdag 27 Mei 2009 21:56

Mag ik jullie wijzen SSL strip: http://www.thoughtcrime.org/software/sslstrip/

This tool provides a demonstration of the HTTPS stripping attacks that I presented at Black Hat DC 2009. It will transparently hijack HTTP traffic on a network, watch for HTTPS links and redirects, then map those links into either look-alike HTTP links or homograph-similar HTTPS links. It also supports modes for supplying a favicon which looks like a lock icon, selective logging, and session denial. For more information on the attack, see the video from the presentation below.

Deze video van ruim een uur kan ik jullie zeker aanraden.