Abuse Melding

Je hebt een klacht over de onderstaande posting:

18-05-2016, 10:48 door Erik van Straten

Ach, de bij Office365 nog gebruikte prod.msocdn.com (wildcard cert *.msocdn.com [1]) ondersteunt, naast RC4, zelfs nog de 56bit sterke DES encryptie (ze hebben de eeuwwisseling daar gemist vermoed ik) en gebruikt een SHA1 certificaat (met intermediate cert "Verizon Akamai SureServer CA G14-SHA1", ook met SHA1, en zelfs nog geldig tot 2021-04-02). Na openen van [1] (voor IPv6 sites zie [2]) word je doorgestuurd naar "login.microsoftonline.com" welke geen EV certificaat gebruikt, en met die naam moet je maar gokken dat dit een site is van Microsoft.com. Inloggen kan via [3] waarbij, in die inlogpagina dus, verbinding gemaakt wordt met bovengenoemde prod.msocdn.com (er worden, zo te zien, o.a. fonts en plaatjes vandaan gedownload - maar als een aanvaller die kan manipuleren, kan deze gebruikers natuurlijk volledig op het verkeerde been zetten). Ook [3] gebruikt geen EV certificaat (waardoor een gemiddelde gebruiker geen onderscheid kan maken tussen zo'n certificaat en DV speelgoedcertificaten waaronder die ...

Beschrijf je klacht (Optioneel):

captcha