URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 99838
[ Назад ]
Исходное сообщение
"Google открыл код nogotofail, инструмента для выявления проб..."
Отправлено opennews , 05-Ноя-14 11:53 
Компания Google представила (http://googleonlinesecurity.blogspot.ru/2014/11/introducing-...) новый инструмент nogotofail (https://github.com/google/nogotofail) для тестирования надёжности защищённых каналов связи на предмет использования некорректно настроенных соединений TLS/SSL, которые могут привести к применению известных видов атак или к непредвиденной передаче данных в открытом виде. По мнению разработчиков nogotofail, простого включения поддержки шифрования трафика недостаточно, так как неправильная настройка параметров защищённого соединения может свести безопасность на нет. Несмотря на предлагаемые в большинстве систем разумные настройки по умолчанию, присутствует обилие различных реализаций SSL/TLS и разработчики приложений часто необдуманно меняют настройки.

Nogotofail анализирует трафик между сервером и приложением, симулируя (https://github.com/google/nogotofail/blob/master/docs/gettin...) проведение MITM-атаки, для оценки наличия типовых пробоем с проверкой SSL-сертификатов, ошибок в библиотеках HTTPS и TLS/SSL, методов раскрытия данных в каналах  SSL и STARTTLS.  Nogotofail может быть запущен на транзитном узле или использован в качестве прокси. Код nogotofail написан на языке Python и распространяется (https://github.com/google/nogotofail) под лицензией Apache.


Первичной задачей nogotofail является предоставление разработчикам приложений инструмента для удобной оценки защищённости каналов связи. Кроме того, вместе с nogotofail предлагается два клиентских приложения для Android и Linux, которые позволяют оценить общее состояние шифрования трафика на устройстве,  изменить настройки и отследить возникновение проблем.

URL: http://googleonlinesecurity.blogspot.ru/2014/11/introducing-...
Новость: http://www.opennet.me/opennews/art.shtml?num=41005

Содержание
Сообщения в этом обсуждении
"Google открыл код nogotofail, инструмента для выявления проб..."
Отправлено Аноним , 05-Ноя-14 12:09 
инструкция по использованию слишком запутана
"Google открыл код nogotofail, инструмента для выявления проб..."
Отправлено Аноним , 05-Ноя-14 16:27 
Чтение инструкции это первый этап проверки...
"Google открыл код nogotofail, инструмента для выявления проб..."
Отправлено YetAnotherOnanym , 05-Ноя-14 16:36 
..., иногда называемый "проверка на вшивость".
"Google открыл код nogotofail, инструмента для выявления проб..."
Отправлено dscdvf , 06-Ноя-14 02:18 
>Чтение инструкции это первый этап проверки...

Качество написания инструкции это первый этап проверки...

"Google открыл код nogotofail, инструмента для выявления проб..."
Отправлено Аноним , 06-Ноя-14 06:56 
>  Чтение инструкции это первый этап проверки...

TEST FAILED: SSL/TLS - дерьмо. Хотя-бы потому что требует столько левых приседаний.

"Google открыл код nogotofail, инструмента для выявления проб..."
Отправлено Мегазаычы , 07-Ноя-14 04:52 
как только ты напишешь новый протокол, который гарантированно защищает от MITMа - сразу будешь ходить везде и кричать, что ssl - дерьмо.

а пока - нет.

"Google открыл код nogotofail, инструмента для выявления проб..."
Отправлено Нимо Ан , 18-Ноя-14 23:11 
Факт попытки чтения инструкции уже означает, что юзер лох :-)
"Открыт код nogotofail, созданного в Google инструмента для в..."
Отправлено Аноним , 05-Ноя-14 22:47 
"отследить" и "изменить" значит...