On Wed, May 14, 2008 at 11:23:29AM +0200, Francesco Dolcini wrote:
On Wed, May 14, 2008 at 11:03:48AM +0200, marco ghidinelli wrote:
http://article.gmane.org/gmane.linux.debian.security.announce/1614
le chiavi ssh di laundry sembrerebbero ok, ora vedo quelle ssl.
buon divertimento. :-/
il tipo di attacco possibile e' del tipo man in the middle se non ho capito male, quindi fortunamentamente non cosi facile da attuare a meno di non essere un isp o di avere compromesso prima anche i dns ... o mi sono perso qualcosa?
da quello che ho letto (il debian cve, nient'altro) sembra che le chiavi private non siano proprio cosi' casuali.
tra l'altro il detector riesce a trovare le chiavi guessabili via rete (connettendosi all'ssh)...
cosi' a naso mi sembra una situazione un po' grave.
bah.