come posso bypassare close_notify in ssl in firefox? [chiuso]

0

Sto tentando di accedere alla mia posta yahoo, ma inutilmente. ho scoperto di recente dopo aver monitorato del traffico che il server di muto yahoo non invia una risposta close_notify ma agisce in modo ignorante e chiude la sessione ssl. so che se lo faccio potrei essere vulnerabile agli attacchi di troncamento, ma lo disabiliterò non appena importerò tutto quello che ho da yahoo e poi cancellerò il mio account yahoo. Voglio bypassare la verifica close_notify in firefox (o iceweasel come vuoi chiamarlo). grazie.

citerò anche un commento che è stato fatto nel pannello di supporto pidgin. è qui sotto:

Both GnuTLS and CDSA (Adium's SSL plugin) check whether a TLS connection has been closed properly by checking if the server sent a close_notify alert first. [https://bugzilla.mozilla.org/show_bug.cgi?id=508698 NSS doesn't]. If that alert wasn't sent, GnuTLS and CDSA consider it a fatal error, which for the HTTPS handler means the response is completely discarded. That's what's happening here with Yahoo: their HTTPS server closes the connection without sending close_notify first.

The danger of not checking for that alert is that any MitM may cause a response to be truncated, yet we'd be unable to tell that it is.

Is it really an error condition libpurple should consider fatal? I'm not entirely sure.

    
posta H3lp3ingth3p33ps 23.07.2014 - 12:35
fonte

1 risposta

1

Per fare in modo che un'implementazione SSL non si lamenti della mancanza di close_notify , il metodo diretto è scaricare il codice sorgente, modificarlo, quindi ricompilarlo. Ciò può implicare una notevole quantità di lavoro. Se il tuo sistema operativo è un po 'Linux, allora il gestore dei pacchetti può fornire un modo per ottenere un albero dei sorgenti già configurato per una corretta integrazione con il tuo sistema (con apt-get source su distribuzioni di tipo Debian).

In alternativa, potresti provare a giocare con iptables in modo da bloccare il flag "FIN" di Yahoo, emulando così un'assenza di chiusura della connessione, che spiegherebbe quindi la mancanza di close_notify ; dal punto di vista del cliente, le cose rimarrebbero aperte. Se la risposta HTTP include un'intestazione Content-Length , o usa la codifica di trasferimento chunked, allora questa è una buona possibilità di funzionare. In particolare, la mancanza di close_notify è un problema di sicurezza solo per i protocolli che si basano sulla chiusura della connessione per trasmettere informazioni semantiche, ad es. HTTP 0.9, ma non "moderno" HTTP.

Se quello è uno scatto, potresti trovare più semplice usare temporaneamente un altro browser che sarebbe meno schizzinoso su close_notify quando fai HTTP (e questo non sarebbe veramente sbagliato, purché la risposta HTTP sia auto- terminato). Prova il cromo.

    
risposta data 23.07.2014 - 12:46
fonte

Leggi altre domande sui tag