Ogłoszenie

Zwiń
No announcement yet.

[bezpieczeństwo] połączenia nie do końca szyfrowane

Zwiń
X
 
  • Filtr
  • Czas
  • Pokaż
Wyczyść wszystko
new posts

    [bezpieczeństwo] połączenia nie do końca szyfrowane

    Chciałbym zwrócić uwagę na pewną lukę dotyczącą bezpieczeństwa.

    Co prawda połączenie z serwerem jest szyfrowane, ale zanim GG11 się z nim połączy, najpierw pobiera jego adres z serwera HUB (appmsg.gadu-gadu.pl). To połączenie nie jest szyfrowane, więc atakujący może kazać się połączyć z dowolnym innym serwerem. Dzięki innym zabezpieczeniom taki atak może się nie udać, ale lepiej dmuchać na zimne, niż później przepraszać.

    Ponadto, zapytanie do serwera HUB zawiera informacje, których użytkownik być może nie chce wystawiać na podsłuch w sieci lokalnej (być może publicznej): numer GG, płeć, wiek.

    Sugestia: wysyłajcie proszę zapytania do tego serwera przez https. Jeżeli nie ma takiej możliwości, chciałbym usłyszeć argumentację.

    Tomek

    #2
    Dziękujemy za zgłoszenie. Pracujemy nad rozwiązaniem tego problemu. Staramy się sukcesywnie zwiększać liczbę systemów, które komunikują się z aplikacją szyfrowanym kanałem, ale jest to proces dosyć złożony z uwagi na konieczność wprowadzania zmian na serwerach (np. dbanie o kompatybilność ze starymi wersjami GG, zależności między systemami).

    Komentarz


      #3
      yyy a to przypadkiem nie wystarczy dodać po prostu tego samego tylko po https i w nowych wydaniach pobierać stamtąd adresy serwerów GG?

      Komentarz


        #4
        Zgadza się w sytuacji kiedy użytkowników jest niewielu. Jednak w przypadku GG efekt skali powoduje wspomnianą złożoność problemu i komplikuje jego rozwiązanie.

        Komentarz


          #5
          Zamieszczone przez GGAdmin Zobacz posta
          Zgadza się w sytuacji kiedy użytkowników jest niewielu. Jednak w przypadku GG efekt skali powoduje wspomnianą złożoność problemu i komplikuje jego rozwiązanie.
          Problemem jest tutaj pewnie trochę większe obciążenie serwerów, ponieważ tunel SSL jest zestawiany na bardzo krótki okres czasu i zestawienie zajmuje dosyć dużo czasu w stosunku do całej transmisji.
          Google dawało jakieś rady jak opisywali doświadczenia z wdrożeniem SSL na Gmailu.

          Komentarz

          Pracuję...
          X