Depuis hier circule sur IRC un trou dans le script de download de
shockwave permettant de récupérer n'importe quel fichier sur le serveur
web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas
avec tous), dont la clef privée SSL...
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout
quand même en l'air la sécurité de leur site...
Comme en plus les protocoles de répudiation sont inutilisés (car souvent
inutilisables, essayez d'activer OCSP sur un mac : il faudra 20 minutes
pour établir une connexion SSL (via les bibliothèques Apple) après
téléchargement de plusieurs dizaines de mégas octets de données), on
peut considérer que le site d'adobe est mort jusqu'à la date
d'expiration du certificat actuel.
Mais le silence sur cette affaire me parait plus qu'inquiétant.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
patpro ~ Patrick Proniewski
In article , Erwan David wrote:
Depuis hier circule sur IRC un trou dans le script de download de shockwave permettant de récupérer n'importe quel fichier sur le serveur web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas avec tous), dont la clef privée SSL...
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout quand même en l'air la sécurité de leur site...
ça n'impacte probablement que www.adobe.com, et donc ils pourraient prendre un autre certif pour monter un autre domaine à coté (www2, ...). Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.
Ça reste grave malgré tout, et ils vont surement mettre un moment avant de corriger le tir.
patpro
-- http://www.patpro.net/
In article <87myv8wmw2.fsf@nez-casse.depot.rail.eu.org>,
Erwan David <erwan@rail.eu.org> wrote:
Depuis hier circule sur IRC un trou dans le script de download de
shockwave permettant de récupérer n'importe quel fichier sur le serveur
web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas
avec tous), dont la clef privée SSL...
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout
quand même en l'air la sécurité de leur site...
ça n'impacte probablement que www.adobe.com, et donc ils pourraient
prendre un autre certif pour monter un autre domaine à coté (www2, ...).
Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.
Ça reste grave malgré tout, et ils vont surement mettre un moment avant
de corriger le tir.
Depuis hier circule sur IRC un trou dans le script de download de shockwave permettant de récupérer n'importe quel fichier sur le serveur web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas avec tous), dont la clef privée SSL...
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout quand même en l'air la sécurité de leur site...
ça n'impacte probablement que www.adobe.com, et donc ils pourraient prendre un autre certif pour monter un autre domaine à coté (www2, ...). Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.
Ça reste grave malgré tout, et ils vont surement mettre un moment avant de corriger le tir.
patpro
-- http://www.patpro.net/
Erwan David
patpro ~ Patrick Proniewski écrivait :
In article , Erwan David wrote:
Depuis hier circule sur IRC un trou dans le script de download de shockwave permettant de récupérer n'importe quel fichier sur le serveur web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas avec tous), dont la clef privée SSL...
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout quand même en l'air la sécurité de leur site...
ça n'impacte probablement que www.adobe.com, et donc ils pourraient prendre un autre certif pour monter un autre domaine à coté (www2, ...). Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.
Ça reste grave malgré tout, et ils vont surement mettre un moment avant de corriger le tir.
Ce matin ils présentent toujours le même certificat, et c'est au moins celui permettant d'accéder à son compte sur le store.
-- Erwan
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> écrivait :
In article <87myv8wmw2.fsf@nez-casse.depot.rail.eu.org>,
Erwan David <erwan@rail.eu.org> wrote:
Depuis hier circule sur IRC un trou dans le script de download de
shockwave permettant de récupérer n'importe quel fichier sur le serveur
web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas
avec tous), dont la clef privée SSL...
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout
quand même en l'air la sécurité de leur site...
ça n'impacte probablement que www.adobe.com, et donc ils pourraient
prendre un autre certif pour monter un autre domaine à coté (www2, ...).
Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.
Ça reste grave malgré tout, et ils vont surement mettre un moment avant
de corriger le tir.
Ce matin ils présentent toujours le même certificat, et c'est au moins
celui permettant d'accéder à son compte sur le store.
Depuis hier circule sur IRC un trou dans le script de download de shockwave permettant de récupérer n'importe quel fichier sur le serveur web d'adobe (en fait ça dépend du serveur, ça marche avec certains, pas avec tous), dont la clef privée SSL...
Je n'ai rien vu encore comme annonce officille de ce trou, qui fout quand même en l'air la sécurité de leur site...
ça n'impacte probablement que www.adobe.com, et donc ils pourraient prendre un autre certif pour monter un autre domaine à coté (www2, ...). Typiquement, pour tout ce qui est achat en ligne c'est store*.adobe.com.
Ça reste grave malgré tout, et ils vont surement mettre un moment avant de corriger le tir.
Ce matin ils présentent toujours le même certificat, et c'est au moins celui permettant d'accéder à son compte sur le store.
-- Erwan
Fabien LE LEZ
On 27 Sep 2007 08:09:13 GMT, Erwan David :
Mais le silence sur cette affaire me parait plus qu'inquiétant.
Tu t'attendais vraiment à ce qu'ils annoncent que leur site web est devenu trop dangereux pour être utilisé ?
On 27 Sep 2007 08:09:13 GMT, Erwan David <erwan@rail.eu.org>:
Mais le silence sur cette affaire me parait plus qu'inquiétant.
Tu t'attendais vraiment à ce qu'ils annoncent que leur site web est
devenu trop dangereux pour être utilisé ?
Mais le silence sur cette affaire me parait plus qu'inquiétant.
Tu t'attendais vraiment à ce qu'ils annoncent que leur site web est devenu trop dangereux pour être utilisé ?
Jean-Marc Desperrier
Erwan David wrote:
[...] essayez d'activer OCSP sur un mac : il faudra 20 minutes pour établir une connexion SSL (via les bibliothèques Apple) après téléchargement de plusieurs dizaines de mégas octets de données), [...]
Bizarre, ça ressemble plutôt à un comportement avec CRl de grande taille quand on active la vérification par CRL.
Pour info et comme je crois me rappeler que le sujet t'était cher, les produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai pas testé) peuvent faire la vérification OCSP à travers un proxy.
Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les certificats qui le spécifient, ce qui est le cas de celui de www.adobe.com, pas de révocation visible pour le site. Pour info toujours, le délai d'accès dans ce mode reste raisonnable.
Ah et puis comme le certificat arrive à expiration le 22 novembre on est pas tout à fait dans le pire des cas.
Erwan David wrote:
[...] essayez d'activer OCSP sur un mac : il faudra 20 minutes
pour établir une connexion SSL (via les bibliothèques Apple) après
téléchargement de plusieurs dizaines de mégas octets de données),
[...]
Bizarre, ça ressemble plutôt à un comportement avec CRl de grande taille
quand on active la vérification par CRL.
Pour info et comme je crois me rappeler que le sujet t'était cher, les
produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai pas
testé) peuvent faire la vérification OCSP à travers un proxy.
Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les
certificats qui le spécifient, ce qui est le cas de celui de
www.adobe.com, pas de révocation visible pour le site.
Pour info toujours, le délai d'accès dans ce mode reste raisonnable.
Ah et puis comme le certificat arrive à expiration le 22 novembre on est
pas tout à fait dans le pire des cas.
[...] essayez d'activer OCSP sur un mac : il faudra 20 minutes pour établir une connexion SSL (via les bibliothèques Apple) après téléchargement de plusieurs dizaines de mégas octets de données), [...]
Bizarre, ça ressemble plutôt à un comportement avec CRl de grande taille quand on active la vérification par CRL.
Pour info et comme je crois me rappeler que le sujet t'était cher, les produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai pas testé) peuvent faire la vérification OCSP à travers un proxy.
Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les certificats qui le spécifient, ce qui est le cas de celui de www.adobe.com, pas de révocation visible pour le site. Pour info toujours, le délai d'accès dans ce mode reste raisonnable.
Ah et puis comme le certificat arrive à expiration le 22 novembre on est pas tout à fait dans le pire des cas.
Erwan David
Jean-Marc Desperrier écrivait :
Erwan David wrote:
[...] essayez d'activer OCSP sur un mac : il faudra 20 minutes pour établir une connexion SSL (via les bibliothèques Apple) après téléchargement de plusieurs dizaines de mégas octets de données), [...]
Bizarre, ça ressemble plutôt à un comportement avec CRl de grande taille quand on active la vérification par CRL.
Comme c'est le même démon qui gère ça chez Apple, c'ets possible qu'il y ait mélange.
Pour info et comme je crois me rappeler que le sujet t'était cher, les produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai pas testé) peuvent faire la vérification OCSP à travers un proxy.
AH merci, je vais retester.
Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les certificats qui le spécifient, ce qui est le cas de celui de www.adobe.com, pas de révocation visible pour le site. Pour info toujours, le délai d'accès dans ce mode reste raisonnable.
Ah et puis comme le certificat arrive à expiration le 22 novembre on est pas tout à fait dans le pire des cas.
À condition qu'ils fassent le nouveau certificat avec une nouvelle clef, pas avec l'ancienne.
Mais maintenant que c'ets paru dans The Register, ils vont moins pouvoir faire l'autruche.
[...] essayez d'activer OCSP sur un mac : il faudra 20 minutes
pour établir une connexion SSL (via les bibliothèques Apple) après
téléchargement de plusieurs dizaines de mégas octets de données),
[...]
Bizarre, ça ressemble plutôt à un comportement avec CRl de grande
taille quand on active la vérification par CRL.
Comme c'est le même démon qui gère ça chez Apple, c'ets possible qu'il y
ait mélange.
Pour info et comme je crois me rappeler que le sujet t'était cher, les
produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai
pas testé) peuvent faire la vérification OCSP à travers un proxy.
AH merci, je vais retester.
Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les
certificats qui le spécifient, ce qui est le cas de celui de
www.adobe.com, pas de révocation visible pour le site.
Pour info toujours, le délai d'accès dans ce mode reste raisonnable.
Ah et puis comme le certificat arrive à expiration le 22 novembre on
est pas tout à fait dans le pire des cas.
À condition qu'ils fassent le nouveau certificat avec une nouvelle clef,
pas avec l'ancienne.
Mais maintenant que c'ets paru dans The Register, ils vont moins pouvoir
faire l'autruche.
[...] essayez d'activer OCSP sur un mac : il faudra 20 minutes pour établir une connexion SSL (via les bibliothèques Apple) après téléchargement de plusieurs dizaines de mégas octets de données), [...]
Bizarre, ça ressemble plutôt à un comportement avec CRl de grande taille quand on active la vérification par CRL.
Comme c'est le même démon qui gère ça chez Apple, c'ets possible qu'il y ait mélange.
Pour info et comme je crois me rappeler que le sujet t'était cher, les produits mozilla depuis la 1.8.1 (donc en théorie Fx 2 mais je n'ai pas testé) peuvent faire la vérification OCSP à travers un proxy.
AH merci, je vais retester.
Avec Fx 3.0a9pre, qui active par défaut la vérification OCSP pour les certificats qui le spécifient, ce qui est le cas de celui de www.adobe.com, pas de révocation visible pour le site. Pour info toujours, le délai d'accès dans ce mode reste raisonnable.
Ah et puis comme le certificat arrive à expiration le 22 novembre on est pas tout à fait dans le pire des cas.
À condition qu'ils fassent le nouveau certificat avec une nouvelle clef, pas avec l'ancienne.
Mais maintenant que c'ets paru dans The Register, ils vont moins pouvoir faire l'autruche.