Domande con tag 'tls'

domande con tag
2
risposte

Scelta delle suite di crittografia TLS / SSL: quali considerazioni ci sono?

La maggior parte dei consigli sulla scelta delle suite di crittografia che trovo tende ad essere una di queste forme: Ecco una stringa da incollare nell'applicazione o Ecco un elenco di criteri generici da 30.000 piedi da utilizzare ("favo...
posta 24.11.2014 - 20:28
2
risposte

Come simulare l'uomo nell'attacco centrale nell'emulatore Android?

Sono nuovo nel test delle penne. Ieri ho analizzato un'applicazione Android utilizzando l'applicazione dex2jar e ho visto un'applicazione Android implementata con la connessione https utilizzando il gestore di attendibilità vuoto. class miTM...
posta 12.08.2014 - 09:31
1
risposta

Avvisi del browser incoerenti per SSL

Sto facendo un test di penetrazione al momento, in cui il cliente ha una profonda ispezione dei pacchetti per SSL abilitato (suppongo), poiché ogni connessione SSL sembra essere MITMed. Ora, alcuni siti HTTPS, come Gmail, lanciano un avviso s...
posta 24.07.2014 - 17:36
2
risposte

Perché lo standard 802.11 non implementa TLS per gli handshake wireless tra client e router?

Perché gli handshake wireless non vengono inviati utilizzando TLS? Sembra che sarebbe relativamente semplice da implementare, forse facendo in modo che il venditore inserisca la chiave privata nei router. In questo modo non è stato possibile cra...
posta 02.10.2014 - 18:55
1
risposta

Come proteggere la mia chiamata ajax al back-end?

Nel mio sito web sto usando una chiamata Ajax per ottenere alcune informazioni dal back-end. Anche se sto usando SSL qualcuno può intercettare la chiamata e sostituire la risposta reale con una falsa. C'è un modo per essere sicuro che nessuno ab...
posta 03.10.2014 - 13:11
1
risposta

Esecuzione dell'attacco di POODLE

Sto cercando di eseguire l'attacco POODLE su un server ospitato che ho configurato per supportare solo SSLv3. Lo scenario è che ho effettuato l'accesso al mio server e invia il cookie in risposta che verrà archiviato dal client. Non ho bisogno d...
posta 16.10.2014 - 12:06
1
risposta

Le suite di crittografia definite in TLSv1.2 possono essere negoziate dai client che supportano solo TLSv1.0?

Se il mio server ha solo le suite di crittografia abilitate che sono definite da TLSv1.2, questo costringe un client a utilizzare anche TLSv1.2, altrimenti non è in grado di connettersi o può eseguire il fallback della connessione a TLSv1.1 o 1....
posta 16.10.2014 - 01:21
2
risposte

Applicazione client abilitata per SSL OpenSSL, verifica server?

Sto scrivendo un'applicazione client abilitata per SSL OpenSSL che si connette a un server di Google. Ho l'SSL funzionante e posso monitorare il traffico e vedere che è sicuramente crittografato. Sto usando la funzione API OpenSSL SSL_CTX_load_v...
posta 26.05.2014 - 00:08
1
risposta

Cosa succede quando i certificati intermedi sono installati nell'ordine sbagliato?

Ho notato che i certificati intermedi su un servizio web sono installati nell'ordine sbagliato. Quali effetti posso aspettarmi da questo? Ho utilizzato il verificatore di certificati Symantec che ha dichiarato: Certificates installed i...
posta 28.04.2014 - 17:52
1
risposta

La versione SSL / TLS cambia ragione

Sto studiando il protocollo SSL / TLS, più specificamente la sua stretta di mano. So che inizialmente un client invia un messaggio Client Hello al server che include la versione TLS supportata dal client. Ho un'applicazione che utilizza con...
posta 15.05.2014 - 09:28