Abuse Melding

Je hebt een klacht over de onderstaande posting:

16-10-2014, 22:41 door Erik van Straten

@cluc-cluc, in tegenstelling tot bij een Poodle aanval door een cybercrimineel (zie https://www.security.nl/posting/405457/SSLv3+%22Poodle%22+lek+voor+leken) spelen bij OpenDNS twee zaken: 1) Als jij OpenDNS om het IP-adres van mijn.ing.nl vraagt kunnen zij met een adres naar hun eigen keuze antwoorden. OpenDNS zegt zelf dat dit een adres van een van hun servers kan zijn! Normaal gesproken is daarmee nog geen aanval op https mogelijk, tenzij die OpenDNS server als MitM het netwerkverkeer doorzet naar de bank en de hierboven beschreven Poodle aanval uitvoert (en dat kan alleen indien zowel de browser als de webserver SSLv3 ondersteunen). In dat geval krijg je gewoon het EV certificaat van ING, een slotje, een groene balk etcetera te zien. ECHTER: dit is geen realistisch scenario, want OpenDNS heeft iets veel "slimmers" bedacht - zie punt 2. 2) OpenDNS vraagt jou om hun *.opendns.com certificaat te vertrouwen als je een https site van een derde partij bezoekt, en OpenDNS -om de een of andere reden- heeft ...

Beschrijf je klacht (Optioneel):

captcha