Поддерживаете ли вы Навального?

[Интеррапт]

Я, кстати, не удивлюсь, если все это было practical joke большого брата. Как хайджекать TSL, если весь снифится весь трафик и есть контроль над DNS, - уже знают даже начинающие хацкеры. Взять хешь из куки внутри хайджекнутой HTTPS сесси уже сможет и детсадовец. Большой брат возможно хотел подставить Навального и пошутить с СК.

Тоже вполне себе вариант. Не для красоты же всякие СОРМы ставят у операторов.

[dotcom]

В инфу, как хакер Хелл сидел и дистанционно расшифровывал пароль от gmail - слабо верится. Хотя все возможно. А вот то, что ему передали disk image с компьютера Навального, откуда он уже подоставал разнообразную информацию - вот в это легко верится.

Хелл ничего не расшифровывал. На проводе сидят ребята их тех отдела и маятся от безделья.

[varenuha]

Как хайджекать TLS, если весь снифится весь трафик и есть контроль над DNS, - уже знают даже начинающие хацкеры.

Urban legends. Весь смысл ssl и tls протоколов: передавать зашифрованное в открытом доступе, хоть "обснифся" а не прочитаешь...

[varenuha]

Могли и альтернативный е-мейл добавить к основному gmail аккаунту, чтобы позже опять зайти на основную почту и залезть в твиттер.

Если он поменял пароли раньше чем они залезли - тоже не работает. А если не поменял или поменял не везде, тогда все возможно...

[dotcom]

Как хайджекать TLS, если весь снифится весь трафик и есть контроль над DNS, - уже знают даже начинающие хацкеры.

Urban legends. Весь смысл ssl и tls протоколов: передавать зашифрованное в открытом доступе, хоть "обснифся" а не прочитаешь...

Гуглим BEAST.

[PavelM]

Мда, совсем все плохо. Для вас слово сессия - это автоматически обозначает HTTP сессия и ничего иного? Про persistent session никогда не слышали? Печально. И какая разница чем эта персистент сессия поддерживается - кукисами ли, html5 local storage или через какой-нибудь device fingerprint.

Мешать все кучу не надо. Речь о том что у gmail достаточно украсть всего одну куки.
И сие даст результат лишь если автооткрытие сессии включено и пароль не сменен.
Хотите называть куки сессией - называйте, я Вам запретить не могу.

Если злоумышленники (в лице следственного комитета и хакера Хелла) - получили физический доступ к компьютеру Навального, то сложно сказать, на что они там наложили лапу.
Автоматическое открытие сессии нафиг не нужно, если они с его компьютера расшифровали пароль, зашли через его браузер и в браузере стоял auto fill.

Это грубо говоря лишь другой вариант автооткрытия сессии, который опять же должен быть включен и пароль не сменен.

Резюме: Если дядя Леша себя понавключал везде автоматику да еще и не поменял пароли после изъятия компьютеров, то ломать его будут еще не раз. Не думаю что он настолько туп. А значит, это вряд ли идет от СК.

[varenuha]

Как хайджекать TLS, если весь снифится весь трафик и есть контроль над DNS, - уже знают даже начинающие хацкеры.

Urban legends. Весь смысл ssl и tls протоколов: передавать зашифрованное в открытом доступе, хоть "обснифся" а не прочитаешь...

Гуглим BEAST.

Приведу лишь одну цитату:

Mozilla updated the development versions of their NSS libraries to mitigate BEAST-like attacks.

Идет бесконечный и нормальный процесс - да, постоянно, обнаруживаются различные уязвимые моменты и в этой технологии, но и точно также они оперативно исправляются. Спецслужбы со своими СОРМАМИ все равно тащатся в обозе и в принципе не могут использовать новейшие "дырки". Просто не успевают - все уже "пропатчено", если, конечно, не использовать древние версии браузеров...

[PavelM]

Как хайджекать TLS, если весь снифится весь трафик и есть контроль над DNS, - уже знают даже начинающие хацкеры.

Urban legends. Весь смысл ssl и tls протоколов: передавать зашифрованное в открытом доступе, хоть "обснифся" а не прочитаешь...

Гуглим BEAST.

Приведу лишь одну цитату:

Mozilla updated the development versions of their NSS libraries to mitigate BEAST-like attacks.

Идет бесконечный и нормальный процесс - да, постоянно, обнаруживаются различные уязвимые моменты и в этой технологии, но и точно также они оперативно исправляются. Спецслужбы со своими СОРМАМИ все равно тащатся в обозе и в принципе не могут использовать новейшие "дырки". Просто не успевают - все уже "пропатчено", если, конечно, не использовать древние версии браузеров...

[varenuha]

Речь о том что у gmail достаточно украсть всего одну куки.

Из ваших же собственных доводов видно, что, если это сделали не через его домашний компьютер, другие варианты выглядят еще менее вероятными...

[fusion]

Раз пошла такая бодяга хочу спросить. можно ли узнать ip адрес пользователя например с форума, если сообщение, например на форуме, было сделано год назад?

[PavelM]

Речь о том что у gmail достаточно украсть всего одну куки.

Из ваших же собственных доводов видно, что, если это сделали не через его домашний компьютер, другие варианты выглядят еще менее вероятными...

Из-за чего это это такие выводы?
Из-за того что Вы неосведомлены о других атаках?
Или из-за того что Навальный настолько туп чтоб не поменять пароли и поставить автооткрытие сессии?
Кража того же куки удаленно через какой-нибудь XSS гораздо более вероятнa.

[VladG2]

То что СК сливает, всем понятно, фотографии конвертов и т.д Собчак слили практически мгновенно. Так что подмочив репутацию кто же им теперь поверит?

[cowboy]

То что СК сливает, всем понятно, фотографии конвертов и т.д Собчак слили практически мгновенно. Так что подмочив репутацию кто же им теперь поверит?

Да, как вы можете такое говорить? В СК работают честные профессионалы. Не мешайте им работать, они же занимаются сейчас очень важным делом - спасают страну от оранжевой чумы. Им помогать надо, а вы наоборот мешаете . Напраслину на мужей государственных наводите. Нехорошо это. За клевету есть статья между прочим (кстати надо бы и ее подправить тоже).

[Интеррапт]

Кража того же куки удаленно через какой-нибудь XSS гораздо более вероятнa.

В данном случае - маловероятно. В прошлый раз Навального действительно взломали через XSS атаку. Gmail эту дыру закрыл уже. Да и Хелл сейчас в интервью хвастался, что именно пароль взламывал, а не куки стырил. А раз взламывал пароль, то не исключено, что получил имидж диска с компьютера Навального.

[Интеррапт]

Хотите называть куки сессией - называйте, я Вам запретить не могу.

IBM-у тоже не запрещайте пожалуйста, у них целая вкладка в WebSphere есть для того, чтобы enable persistent session.

http://publib.boulder.ibm.com/infocente ... ession.htm

WebSphere Commerce can be configured to enable persistent sessions, meaning that some session-related information of the registered or guest user will be stored as permanent cookies.