DNS etc.
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Neděle Duben 9 15:40:58 CEST 2000
On Fri, 7 Apr 2000, Petr Novotny wrote:
> Pokud kes odpovida na dotazy prichazejici pres 127.0.0.1, tak _je_
> tezke ji donutit, aby se zeptala. Musite prinutit cloveka nebo
> program, aby se v konkretnim okamziku nekam podival. (K tomu
> uz potrebujete OPRAVDU hodne vedet.)
Ani moc ne. Trivialni (i kdyz ne vzdy mozny) postup je:
telnet good.guy smtp
HELO evil.guy
MAIL FROM:<foobar na bad.guy>
RCPT TO:<foobar na good.guy>
DATA
.
QUIT
(A to je metoda, ktera ani nezahrnuje zadnou psychologickou manipulaci.)
> Ovsem nepoznam, z jakeho duvodu se mi autentifikace nepovedla.
> Jestli mam spatny klic, expirovany klic, nebo na ktere z vrstev mi
> kdo keca. Jsem tedy mnohem snadnejsim tercem
> psychologickeho utoku "mas spatny klic, spravny si stahnu odtud".
Od toho se k luzerum klice distribuuji zasadne ve ocertifikovane forme
a luzer-friendly software klade velky odpor, kdyz by mel akceptovat klic
bez certifikatu. :)
> IPSec neni vsespasitelne - treba proto, ze je vypocetne velmi
> narocne.
Ja nic takoveho nerikal. (Mimochodem, "sifrovat veskere spojeni" je jednak
drahe a jednak zbytecne, protoze casto jde predevsim o autenticnost
prenasenych dat a ne o jejich utajeni.)
--Pavel Kankovsky aka Peak [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."
Další informace o konferenci Linux