DNS etc.
Petr Novotny
Petr.Novotny na antek.cz
Pátek Duben 7 11:12:28 CEST 2000
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 7 Apr 00, at 11:01, Pavel Kankovsky wrote:
> Pouze pokud si stanovym *apriorni* limit na objem pameti.
Vy pracujete s potencialne neomezenou pameti? Tedy, vase
financni zdroje bych chtel mit. :-)
Prakticky je to jeste jednodussi: Strasne moc stavu totiz muze byt
ihned vylouceno jako "nespravny vstup". Pokud skutecne je, zbyva
toho pro rozbor mnohem mene...
> Ale porad je ta kes vystavena zlemu svetu tou stranou, ktera dotazy
> preposila dal (a jak jsme si uz vysvetlili, dosahnout, aby se kes na
> neco konkretniho zeptala, neni tezke).
Pokud kes odpovida na dotazy prichazejici pres 127.0.0.1, tak _je_
tezke ji donutit, aby se zeptala. Musite prinutit cloveka nebo
program, aby se v konkretnim okamziku nekam podival. (K tomu
uz potrebujete OPRAVDU hodne vedet.)
Ale cache neduveruje nikomu. Cache _vi_, ze je svetu vystavena
zlou stranou, a kazdy paket povazuje za nepratelsky. Pakety
prijima jen od tech, jichz se ptala, s id, ktere vysilala, a out-of-zone
zaznamy pouziva jen pro domenu, na niz se ptala (povazuje je za
poison, a naklada s nimi presne tak).
> "Podepsan od amazon.com"...to znamena, ze uz mam odnekud nejaky
> verejny klic od Amazonu (jinak by mi jejich podpis byl na dve veci).
> Kdyz ten verejny klic pouziju pro autentizaci spojeni (napr. behem
> vymeny klicu) v IPSecu, tak mi sice NSI muze zkouset podstrcit blby
> zaznam, ale ja se zmast nenecham, protoze podstrcena druha strana
> nebude schopna presvedcive predstirat, ze je Amazon.
Ovsem nepoznam, z jakeho duvodu se mi autentifikace nepovedla.
Jestli mam spatny klic, expirovany klic, nebo na ktere z vrstev mi
kdo keca. Jsem tedy mnohem snadnejsim tercem
psychologickeho utoku "mas spatny klic, spravny si stahnu odtud".
IPSec neni vsespasitelne - treba proto, ze je vypocetne velmi
narocne. Zkuste porovnat, kolik utoku se na Internetu deje pomoci
DNS spoofingu a kolik pomoci "IP+web spoofingu" (unesu linku a
predstiram, ze jsem pes.eunet.cz na 193.85.233.22). Takze
sifrovat _veskere_spojeni_ je mozna zbytecne paranoidni, a
prozatim prilis drahe. (CPU se casem zlevni, ale zase narostou
datove toky. :-))
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.0.2 -- QDPGP 2.60
Comment: http://community.wow.net/grt/qdpgp.html
iQA/AwUBOO2YbFMwP8g7qbw/EQKdrgCg3sHaRGH0Ep/7LT8PO2v0Fp5OENkAn2cq
oJkCvPhJf8h9rxm8SeuFpeIk
=HcUU
-----END PGP SIGNATURE-----
--
Petr Novotny, ANTEK CS
Petr.Novotny na antek.cz
http://www.antek.cz
PGP key ID: 0x3BA9BC3F
-- Don't you know there ain't no devil there's just God when he's drunk.
[Tom Waits]
Další informace o konferenci Linux