Masonlar.org - Harici Forumu
Site, Forum ve Uyeler Hakkinda => Duyurular => Konuyu başlatan: MASON - Ağustos 21, 2011, 12:31:16 ös
-
Sayin Uyeler,
Site dahilinde girilen her bilgi SSL guvenlik sertifikasi dahilinde korunmaktadir. Genellikle bankalarda yada alisveris sitelerinde bulunan bu ozellik nedeniyle sitede goruntulediginiz butun sayfalarin adresleri http yerine https ile degistirilmis, gerekli yonlendirme yapilmistir.
Masonlar.org`un suanki mevcut guvenlik seviyesinde internet baglantiniza bir kisi girerse, baglantinizi dinlerse, yada internetteki aktivitelerinizi bir kisi uzaktan takip etmeye calisirsa, bu site dahilinde yazdiklariniza erisemeyecektir.
Https (Http Secure) ve SSL guvenlik sertifikasi hakkinda detayli bilgiyi asagidaki adreslerden bulabilirsiniz.
http://tr.wikipedia.org/wiki/Secure_Sockets_Layer (http://tr.wikipedia.org/wiki/Secure_Sockets_Layer)
http://tr.wikipedia.org/wiki/Https (http://tr.wikipedia.org/wiki/Https)
Saygilarimla
-
Sayın MASON,
kriptoloji ilgi alanım diye yazıyorum Extended Validation Certificate tipindeki ssl cryptolama methodu daha iyidir, bir çok banka bunu kullanmaktadır ayrıca sanırım bir problem var X işareti var sslde...
(http://oi55.tinypic.com/2d848ht.jpg)
Saygılarımla,
418
-
wikipediada geçen,
HTTP'den Farkları [değiştir]
Öncelikle HTTP ön tanımlı olarak 80. portu kullanır. HTTPS'in kullandığı ön tanımlı port ise 443'tür.
HTTP man-in-the-middle attack, yani ortadaki kişi saldırılarına ve dinlemelere karşı korumasızdır. Ağı dinleyerek verileri toplayan bir saldırgan kolaylıkla bilgileri okuyabilir ve gizli kalması gereken parolaları, kullanıcı hesaplarını ele geçirebilir. HTTPS ise bu tür saldırılardan korunmak amacıyla tasarlanmıştır. Bu nedenle HTTPS, çoğunlukla parola ve kullanıcı adlarının gönderildiği form sayfalarında tercih edilir. Tamamen HTTPS ile yayın yapan web siteleri de mevcuttur.
bu kısım tamamen yanlıştır hurafedir... sanırım hatalı çevirim....
Saygılarımla,
418
-
Sayın MASON,
Değişiklik güzel olmuş fakat https protokolleri de dinleniyor bunu kendim yaptım biliyorum https protokollü sitelerde güvenlik açığı oluşturulup hackleniyor
Saygılarımla
-
Sayin Uyeler,
Site performansini dusurmesi nedeni ile varsayilan gorunum tekrar http olarak degistirilmistir. Dileyen uyeler/ziyaretciler sitenin herhangi bir sayfasini https olarakda goruntuleyebilirler. Bu ozellik bir degisiklik degil bir secenektir.
Saygilarimla
-
Sayın MASON,
Değişiklik güzel olmuş fakat https protokolleri de dinleniyor bunu kendim yaptım biliyorum https protokollü sitelerde güvenlik açığı oluşturulup hackleniyor
Saygılarımla
Sayın Servan,
o dediğiniz açıklar Extended Validation Certificate tipindeki ssl'lerde yoktur dediğiniz güvenlik açığı saldırısı mitm ile kırılmaktadır,
https kullanan üyelerimizin şifrelerini değiştirmesi makul olacağı görüşündeyim , şifrelerini kriptolu ortamda girmeleri daha iyi olur....
Saygılarımla,
418
-
Sayın MASON,
Değişiklik güzel olmuş fakat https protokolleri de dinleniyor bunu kendim yaptım biliyorum https protokollü sitelerde güvenlik açığı oluşturulup hackleniyor
Saygılarımla
Sayın Servan,
o dediğiniz açıklar Extended Validation Certificate tipindeki ssl'lerde yoktur dediğiniz güvenlik açığı saldırısı mitm ile kırılmaktadır,
https kullanan üyelerimizin şifrelerini değiştirmesi makul olacağı görüşündeyim , şifrelerini kriptolu ortamda girmeleri daha iyi olur....
Saygılarımla,
418
Tabi ki şifreli giriş daha iyi olur ama benim dediğim saldırı tipi o değil http sniffer olayıdır
Saygılarımla
-
Sayın Servan,
http sniffer ile https dinlenemez aldığınız veri cryptolu olur, elinizde private key ve public key olması gerekir , public keyi bulabilirsiniz hatta private key de, fakat private keyler başka bir key ile korunur kırmanız o tarz bir algoritmayı kırmak için elinizde mükemmel bir bilgisayar olması gerekir özel yapım... elinizde key yoksa bunu yapmak çok zor
serverda kullanılan,
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
tipinde bir algoritma pek mümkün görünmüyor normal pc için kırmak...
Saygılarımla,
418
-
Sayın Servan,
http sniffer ile https dinlenemez aldığınız veri cryptolu olur, elinizde private key ve public key olması gerekir , public keyi bulabilirsiniz hatta private key de, fakat private keyler başka bir key ile korunur kırmanız o tarz bir algoritmayı kırmak için elinizde mükemmel bir bilgisayar olması gerekir özel yapım... elinizde key yoksa bunu yapmak çok zor
serverda kullanılan,
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Secure Renegotiation IS supported
tipinde bir algoritma pek mümkün görünmüyor normal pc için kırmak...
Saygılarımla,
418
Sayın 418 hotmailin sitesinde https den sniffer ile yararlanılıp sisteme sızılıyor ise bu sitede de mümkündür.
Saygılarımla
-
Sayın Servan,
hotmail 2 ayrı ssl kullanıyor kendinizde görebilirsiniz
accountservices.passport.net isimli website : VeriSign Class 3 Secure Server CA - G2 , Cipher is AES128-SHA
login.live.com isimli website : VeriSign Class 3 Extended Validation SSL CA , Cipher : AES128-SHA
ssl'e sızmak farklı yöntemleri gerektirir, fakat Extended Validation tipindeki bir sisteme sızmak mümkün değildir , bunu kullanıcı farketmediyse kullanıcının hatasıdır...
zaten ssl tipinin parmak izi kullanıcıda varsa sızılamaz iki sslde'de ama normal kullanıcıyı kandırmak mümkün....
https kriptolu bir protokoldür, normal bir snifferla dinlerseniz hattı cryptolu veri çıkar karşınıza....
Saygılarımla,
418
-
internette gezinirken denk geldi, paylaşmak istedim güzel bir grafik anlatım tarzı...
umarım faydası olur...
(https://www.ssllabs.com/downloads/SSL_Threat_Model.png)
Saygılarımla,
418