19.04.2016 22:30, Vladimir Zhbanov пишет: > On Mon, Apr 18, 2016 at 12:20:02PM +0500, Lev Lamberov wrote: >> - - <p>The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other >> - - products, uses nondeterministic CBC padding, which makes it easier >> - - for man-in-the-middle attackers to obtain cleartext data via a >> - - padding-oracle attack, aka the <q>POODLE</q> issue.</p></li> >> + <p>Протокол SSL 3.0, используемый в OpenSSL в 1.0.1i и других >> + продуктах, использует недетерминированное добавление битов заполнителя, что упрощает >> + злоумышленника, выполняющим атаки по принципу человек-в-середине, получать данные в виде открытого текста с помощью >> + атаки на оракул заполнителя, что также известно как проблема <q>POODLE</q>.</p></li> > думаю, здесь будет более похоже на правду "с помощью атаки типа > «предсказание заполнением»" Тут не «предсказание заполнением», поскольку заполнение производится шифрователем, то есть в данном случае не на стороне злоумышленника. В Poodle злоумышленник от лица клиента отправляет данные на сервер и получает ответ, при накоплении данных (после нескольких запросов) можно выполнить расшифровку из-за того, что заполнение (добавление, например, нолей для того, чтобы сообщение имело строго определённую длину) выполняется предсказуемым образом. Поэтому исправил на "с помощью атаки по предсказанию заполнения".
Attachment:
signature.asc
Description: OpenPGP digital signature