¿cómo puedo omitir close_notify en ssl en Firefox? [cerrado]

Navega tus respuestas
0

Estoy intentando iniciar sesión en mi correo de yahoo, pero no estoy disponible. Hace poco descubrí, después de controlar un poco de tráfico, que el servidor yahoo tonto no envía una respuesta close_notify, sino que actúa de forma ignorante y cierra la sesión ssl. Sé que si hago esto puedo ser vulnerable a los ataques de truncamiento, pero lo deshabilitaré tan pronto como importe todo lo que tengo de yahoo y luego elimine mi cuenta de yahoo. Quiero omitir la verificación close_notify en Firefox (o iceweasel como quieras llamarlo). gracias.

También citaré un comentario que se ha hecho en el panel de soporte de pidgin. está aquí abajo:

  

Tanto GnuTLS como CDSA (complemento SSL de Adium) comprueban si un TLS   La conexión se ha cerrado correctamente comprobando si el servidor envió un    close_notify alerta primero.   [ enlace NSS no]. Si   esa alerta no se envió, GnuTLS y CDSA lo consideran un error fatal,   que para el controlador HTTPS significa que la respuesta es completamente   descartado. Eso es lo que está pasando aquí con Yahoo: su servidor HTTPS.   cierra la conexión sin enviar primero close_notify .

     

El peligro de no verificar esa alerta es que cualquier MitM puede causar   una respuesta para ser truncada, sin embargo, no podríamos decir que lo es.

     

¿Es realmente una condición de error que libpurple debería considerar fatal? soy   no del todo seguro.

    
pregunta H3lp3ingth3p33ps 23.07.2014 - 12:35
fuente

1 respuesta

1

Para hacer que una implementación SSL no se queje de la falta de close_notify , el método directo es descargar el código fuente, modificarlo y luego recompilarlo. Esto puede implicar una cantidad sustancial de trabajo. Si su sistema operativo tiene una versión de Linux, entonces el administrador de paquetes puede proporcionar una manera de obtener un árbol de origen ya configurado para una integración adecuada con su sistema (con apt-get source en distribuciones similares a Debian).

Alternativamente, puedes intentar jugar con iptables para bloquear la bandera "FIN" de Yahoo, lo que emula una ausencia de cierre de conexión, lo que explicaría la falta de close_notify ; Desde el punto de vista del cliente, las cosas permanecerían abiertas. Si la respuesta HTTP incluye un encabezado Content-Length , o usa codificación de transferencia fragmentada, entonces esto es una buena oportunidad de funcionar. En particular, la falta de close_notify es un problema de seguridad solo para los protocolos que se basan en el cierre de la conexión para transmitir información semántica, por ejemplo. HTTP 0.9, pero no HTTP "moderno".

Si se trata de una sola vez, puede resultarle más sencillo utilizar temporalmente otro navegador que sea menos exigente con el close_notify al hacer HTTP (y eso no sería realmente incorrecto, siempre y cuando la respuesta HTTP sea automática terminado). Prueba el cromo.

    
respondido por el Thomas Pornin 23.07.2014 - 12:46
fuente

Lea otras preguntas en las etiquetas

Recibiendo datos extraños sobre SMTP donde el cuerpo es una línea de caracteres aleatorios ¿Puedo probar / determinar todos los tipos de descifrado en un tipo de archivo desconocido? Tengo la contraseña [cerrada]