Zum Abfangen der DNS Abfragen geh�rt einiges dazu; vor allem in Zeiten von Switches ist es um einiges schwerer geworden.
Chris At 11:30 AM 4/17/2002 +0200, you wrote: >Nein; musst du nicht... > >Du must nur schneller sein... > >Must in der Position sein, dass du die DNS Anfragen des Client mitbekommst >(in der N�he des Clients oder in der N�he des DNS Servers sein) > >Dann kannst du (wenn du schneller bist) eine falsche Antwort zur�ckgeben >(mit IP Spoofing)... >Dann kommt es nur noch auf die Intelligenz des Users an... >->Da sehe ich das riesige Problem von SSL >->nicht umbedingt bei den Krypto Algorythmen > >Gruss > >Christian Thuer > > > -----Original Message----- > > From: Claudius Ceteras [mailto:[EMAIL PROTECTED]] > > Sent: Mittwoch, 17. April 2002 11:24 > > To: AspGerman Kaffeehaus > > Subject: [aspdecoffeehouse] Re: Sicherheit von SSL > > > > > > Ok, ich sehe das Problem... > > Aber daf�r muss ich den DNS Server unter meine Macht bringen - oder? > > > > Claudius > > > > > > > > Naja... da haben wir aneinander vorbeigemailt... > > > > > > Angenommen E-Banking: > > > Du loggst dich per SSL ein... > > > -> Klar es kommt keine Fehlermeldung... > > > > > > Nun, wenn mal eine Meldung kommt, dass das Zertifikat bei keiner CA > > > validiert werden kann, wie viele User klicken auf dennoch auf OK? > > > ` > > > Dann bist du schon drin denn: > > > > > > Normaler Ablauf > > > (Bitte MailFenster gross machen!) > > > > > > Client - DNS Abfrage > > > Client > > > WebServer > > > > > > Man in the Middle > > > Client - DNS Abfrage > > > Ich gebe meine IP zur�ck > > > Client SSL zu Mir; ich SSL zu WebServer > > > WebServer > > > Client erh�lt meldung, dass CA nicht validieren kann... > > > Klickt auf OK... > > > Client SSL verbindung zu Mir Ich lese alle Daten und sende > > > das gleiche > > > Per WebServer merkt nicht, dass > > > SSL zum WebServer > > > da jemand zwischengeschaltet ist > > > > > > Wurde schon oft getan; funktioniert wunderbar, wenn der > > > Client einfach auf > > > OK klickt. > > > > > > L�sst sich erst mit STunnel (SSH) oder IPSec unterbinden. > > > > > > Gruss > > > > > > Christian Thuer > > > > > > > -----Original Message----- > > > > From: Claudius Ceteras [mailto:[EMAIL PROTECTED]] > > > > Sent: Mittwoch, 17. April 2002 11:14 > > > > To: AspGerman Kaffeehaus > > > > Subject: [aspdecoffeehouse] Re: Sicherheit von SSL > > > > > > > > > > > > > Naja... > > > > > > > > > > Denke auch mal, dass 128 Bit nicht sicher ist... > > > > > Habe es nicht von der Krypto angeschaut... (DES ist ja > > > > > wirklich katastrophe) > > > > > -> �brigens; es wird wohl Tripple-DES sein? Oder? > > > > > > > > > > Denke da mehr an etwas anderes... > > > > > Wie viele user klicken einfach auf ok, wenn die Meldung > > > > > erscheint, dass das > > > > > Zertifikat bei keiner CA. authentifiziert werden kann? > > > > > > > > Wenn schon, dann besorgtg man sich ein richtiges anerkanntes > > > > Zertifikat... > > > > Ansonsten: soll das ein Gegen-Argument sein, dass Surfer > > auch nicht > > > > anerkannt Zertifikate zulassen? Wo ist das Problem? > > > > > > > > > > > > > > Da kannst du einen simplem "Man in the Middle" machen; und so > > > > > gut wie kein > > > > > User merkt was... > > > > > > > > Das will ich sehen, wie Du innerhalb der kurzen Zeit > > zwischen ersten > > > > Verbindungsaufbau und der Server-Antwort einen > > > > 128bit-Schl�ssel knacken > > > > willst... > > > > Nat�rlich kannst Du das als "Mann in the Middle" diese > > Zeit beliebig > > > > verl�ngern, aber irgendwann ist der Surfer weg und dann > > > > bekommst Du sein > > > > passwort doch nicht.... | [aspdecoffeehouse] als [email protected] subscribed | http://www.aspgerman.com/archiv/aspdecoffeehouse/ = Listenarchiv | Sie k�nnen sich unter folgender URL an- und abmelden: | http://www.aspgerman.com/aspgerman/listen/anmelden/aspdecoffeehouse.asp
