Page principale >Hacking / Sécurité
Suite...
Suite...
Suite...
Suite...
Suite...
IE 6 et le SSL : pas si Secure Socket que cela
Dans certains cas, Internet Explorer 6 n'avertit pas les utilisateurs lorsque la chaine du certificat de securité du serveur est invalide.
Pendant le processus SSL/TLS, le serveur peut optionnelement envoyé la chaine complete du certificat de sécurité au client.
Pour cela, ce client doit disposer de son propre serveur de certificat (SERVER-CERT) et de un ou plusieurs CA-CERT avec le(s)quel(s) la signature du SERVER-CERT peut etre vérifiée.
Si un de ces CA-CERT, envoyés par le serveur, est invalide, IE 6 recherche un CA-CERT valide dans son propre dossier de certificat. Il essaye de vérifier le SERVER-CERT avec un des certificats présent dans son dossier.
Si un CA-CERT est "meilleur" ( on pourrait presque dire "moins invalide" ), le processus SSL se poursuit et le navigateur n'avertit pas l'internaute qui est alors persuadé d'échanger des données en toute sécurité.
Tout cela n'est possible que si old_ca_public_key==new_ca_public_key et si old_ca_cert==issuer_ca_cert. Autrement, la signature du SERVER-CERT ne fonctionnera pas ou bien le CA-CERT ne sera pas validé.
Microsoft aurait été avertit le 9 mars 2002 de cette vulnérabilité. Aucune réponse n'est parvenue à ce jour.
source:securiteam
Pour cela, ce client doit disposer de son propre serveur de certificat (SERVER-CERT) et de un ou plusieurs CA-CERT avec le(s)quel(s) la signature du SERVER-CERT peut etre vérifiée.
Si un de ces CA-CERT, envoyés par le serveur, est invalide, IE 6 recherche un CA-CERT valide dans son propre dossier de certificat. Il essaye de vérifier le SERVER-CERT avec un des certificats présent dans son dossier.
Si un CA-CERT est "meilleur" ( on pourrait presque dire "moins invalide" ), le processus SSL se poursuit et le navigateur n'avertit pas l'internaute qui est alors persuadé d'échanger des données en toute sécurité.
Tout cela n'est possible que si old_ca_public_key==new_ca_public_key et si old_ca_cert==issuer_ca_cert. Autrement, la signature du SERVER-CERT ne fonctionnera pas ou bien le CA-CERT ne sera pas validé.
Microsoft aurait été avertit le 9 mars 2002 de cette vulnérabilité. Aucune réponse n'est parvenue à ce jour.
source:securiteam
Les + Lus Dans Cette Catégorie
Le Processus d activation de Windows XP mis a nu
Mais quel sont les informations que windows XP envoit à microsoft lors de l'activation du systeme d'exploitation? Quand on connait la politique de la vie privée de redmond, on s'attend au pire....Suite...
Savoir si La RIAA vous en veut
Vous etes un acharné du download sur Kazaa. Votre mule tourne a 110 % et votre disque dur pullule de DivX. Ce que vous ne savez peut etre pas, c'est que vous etes peut etre le prochain sur la liste des poursuites judiciaires de la RIAA.Suite...
le portable Orange SPV vulnerable
Une faille de securité touche le portable Orange SPV ( sound picture video ). Le probleme provient des signatures numériques gerées par un logiciel developpé par ... Microsoft :)Suite...
17 ans et 2000 sites hackes, dont 1 de trop !
DKD, 17 ans et demi, lycéen, a été arrèté chez ses parents à Vélizy-Villacoublay après une enquête de policiers de la criminalité informatique. Après s'etre attaqué au site de la NAVY, c'est le site ..... d'une préfecture qui lui aurait été fatal.Suite...
et de 1 pour office 2003
"Overview of the Office 2003 Critical Update", c'est le nom du premier rejeton d'une grande lignée de bug et patch que s'apprete a connaitre le nouveau Microsoft Office 2003.Suite...
Navigation Rapide
|
Astuces Webmaster Astuces WINDOWS Astuces WINDOWS XP Comment ça marche DVD / Secret Evenements Exploits Hacking / Sécurité | Hardware Jeux Vidéo linux News Script(php,java...) Telephonie/GSM Virus |
