Quali sono i limiti di sicurezza del protocollo di autenticazione RealVNC 5.0?

1

Nella vecchia versione di RealVNC, la lunghezza della password era limitata a 8 caratteri, più facile da decifrare. Ora hanno aumentato la lunghezza della password di 255 caratteri, questo renderà l'autenticazione Realvnc più sicura ora?

    
posta user236501 29.12.2012 - 06:16
fonte

2 risposte

0

Poiché amo il concetto KISS, (Keep It Simple as Stupid), sono pronto a fidarmi degli sviluppatori di VNC per rendere il mio desktop trasportabile. Ma è più probabile che mi fido degli sviluppatori di OpenSSL per creare Secured Transport Layer.

In effetti, preferisco non autenticare VNC, piuttosto che legare le sue porte TCP a OpenSSL per renderlo così strong ed efficiente (usando i certificati autofirmati protetti da password e memorizzando le impronte digitali nel server).

Esempio:

Esecuzione del server VNC per l'ascolto solo su localhost ( 127.0.0.1 ) e forse, blocco porta VNC ( tcp 5900 , da verificare) sul firewall.

Per impostazione predefinita, la prima sessione VNC utilizza la porta tcp 5900, ma potrebbe cambiare se si dispone di molti server VNC sullo stesso host (multisessione) o se si configura un'altra porta manualmente.

Accesso tramite SSH, instradamento della porta VNC tramite SSH:

ssh -f -L 5900:127.0.0.1:5900 user@host sleep 10 && xvncviewer localhost

Nota: alcune implementazioni della riga di comando xvncviewer accettano un parametro -via . In effetti, è un wrapper di ssh:

xvncviewer -via user@host localhost

farebbe qualcosa del tipo:

ssh -f -L 5599:127.0.0.1:5900 user@host sleep 20 && xvncviewer localhost:5599

Semplice ed efficiente!

Usa il tuo SSH con tutte le tue configurazioni, chiavi, facilità e gestione delle password. (potrebbe essere necessario cygwin per il server vnc su Windows).

    
risposta data 29.12.2012 - 14:17
fonte
0

Avere una password lunga non significa che sia sicuro - il client VNC potrebbe ancora avere vulnerabilità, come il bug di bypass di autenticazione nelle versioni dalla 4.0 alla 4.2.2. Tuttavia, un limite di 255 caratteri è sicuramente migliore di un limite di 8 caratteri, poiché puoi almeno escludere una forza bruta.

    
risposta data 29.12.2012 - 12:14
fonte

Leggi altre domande sui tag