Hlavní navigace

Názor ke zprávičce Bicyklový útok na HTTPS od karel - Presně moc dobře vím, že odposlechnutá data lze...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 8. 1. 2016 7:44

    karel (neregistrovaný)

    Presně moc dobře vím, že odposlechnutá data lze použít k přihlášení, ale jde o to, že nejsou posílána hesla v plaintextu čili jak zde zaznělo je složité je použít k přístupu do jiné služby.
    Ono pokud mám možnost poslouchat vaší nešifrovanou komunikaci se serverem, tak je mi úplně jedno jaký typ autentizace se používá. Jak moc to kdo osolil a čím, protože to jsou informace které mám k dispozici z komunikace.
    Jidinym resenim je dvoufaktorová autentizace a i zde mam docela velkou sanci se prihlasit.
    Myslet si ze pres http lze vytvorit bezpecne prihlasovani je chyba, ale to ja vim a jde mi o ochraneni aspon jinzch sluzeb.

    Navic je lepsi nechat dotycneho prihlasit i treba dvofaktorovou autentizaci a pak jednoduse pouzivat aktualni session id nebo tokken :D

    p.s.
    toto neni navod jak na to