[Javalist] új cool Java cikk
Tamás Magyar
magyusz at gmail.com
2012. Júl. 27., P, 18:59:43 CEST
2012/7/26 Tamás Demeter <demeterft at dreamgate-design.com>:
> - az ellenőrző kliens-t támadom: elhitetem, hogy az aláírás hiteles, viszont
> az érvényességéről hazudok
Ez a triviális hekkelési lehetőség természetesen felmerült az első
másodpercben az infrastruktura kitalálóiban, és ez úgy van védve, hogy
nem fogja elhinni neked, hogy az aláírás hiteles. Be tudsz avatkozni a
kommunikációba, de nem tudod elhitetni, hogy az aláírás hiteles, mert
neked nem fogja elhinni.
Vagy arra gondolsz, hogy nem pusztán a kommunikációba avatkozol be,
hanem úgy meghekkeled az ügyfeled aláírás ellenőrzőjét, hogy ő azt
higgye hiteles az aláírás, miközben nem is? Hát igen, pl. egy vírussal
bejuttathatsz egy olyan szoftvert (amit akár flashben is írhastz,
hiszen csak UI) ami majdnem teljesen olyan, mint az eredeti aláírás
ellenőrző, de (Tőled) bármit elfogad... Ez már nem annyira
szoftvertechnológiai kérdés, hogy hogy lehet valakit becsapni.
Magyusz
További információk a(z) Javalist levelezőlistáról