позволяет man-in-the-middle вставлять в защищенную сессию собственные данные.

Дыра в дизайне протокола, от реализации не зависит.

Ссылки по теме: http://www.phonefactor.com/sslgap/ http://extendedsubset.com/?p=8

Для плохо понимающих по-английски: http://www.opennet.ru/opennews/art.shtml?num=24132

via sem_lj

Вынесено из комментов.

А вот интересно, разработчики хоть одного языка, кроме php, додумались автоматически поддерживать fopen(”scheme://”) ?

Если кто не понял, это такая специальная заготовка для эксплойтов, при некоторой криворукости разработчиков [очень частый случай] позволяющая запустить Remote File Inclusion со всеми вытекающими.

Суждения об информационной безопасности мудреца и учителя Инь Фу Во записанные его учениками

via pashok

Upd: переставил ссылку на оригинал. (C) Николай Николаевич Федотов. Несмотря на моё в целом отрицательное к нему отношение, сие произведение есть хорошо.

Если вдруг кто ещё не видел: http://habrahabr.ru/blogs/infosecurity/70330/

Всюду ненатуралы. Пошел сегодня пополнять счёт в nic.ru, и получил в лоб предупреждение от браузера:

Посмотрел в код страницы - натурально, никакого https не предполагается:

<form method=”POST” action=”http://money.yandex.ru/eshop.xml” style=”margin-bottom:5em”>
<input type=”hidden” name=”scid” value=”***”>
<input type=”hidden” name=”ShopID” value=”***”>
<input type=”hidden” name=”Sum” value=”***”>

<input type=”hidden” name=”CustomerNumber” value=”***/NIC-D”>
<br>
<input type=”submit” name = “BuyButton” value = “Платить через Яндекс.Деньги” onClick = “OnByButtonClick();”>
</form>

Там, конечно, никаких особо секретных данных нет, но осадочек, ОСАДОЧЕК…

Некорректная обработка нулевого символа в CN позволяет получить честно заверенный сертификат, который будет приниматься за сертификат от чужого домена. Какая лепота..

Подробности

via motto