Autor: Jakub K. Boguslaw (madej_at_acn.pl)
Data: Wed 17 Oct 2001 - 13:36:14 MET DST
In pl.comp.security Waldemar Thiel <waldemar.thiel_at_ce-market.com> wrote:
[ciach]
> A co je?eli po??czenie jest szyfrowane? Wtedy ta ilo?? informacji jest
> minimalna - chyba tylko IP ?r?d?owe i docelowe - a reszty nie ma raczej
> mo?liwo?ci sprawdzenia, bo sam GET idzie ju? przez kana? szyfrowany...
Dokladnie. Przy szyfrowanych polaczeniach to to wyglada troche inaczej.
Ale: logi z w3cacha ISP przewaznie maja charakter poszlakowy[1]. Fakt
polaczenia wystarczy, bo zobacz:
- Ofiara posiada dokladne (powinna) informacje o polaczeniu (z
firewalli, serwerow WWW, czegos-tam jeszcze): nie bedziesz
mial wielu polaczen do danej maszyny w konrektnym czasie i do
konkretnej uslugi; dzieki temu nawet jak jednego w3cacha uzywa
nascie kilo ludzi to i tak bedziesz mogl wytypowac stosunkowo
waska grupe podejrzanych[2].
- ISP jest strona trzecia potwierdzajaca (lub nie) ze polaczenie
wyszlo z komputera o konkretnym jakims-tam adresie IP (i tutaj
mamy role w3cacha lub innych mechanizmow o ktorych
wspominalem).
[1] Informacje logowane przez w3cache nie zawieraja wszystkiego (np.
POST, GETy do CGI itp. zalezne od konfiguracji, samego w3cacha i
zaawansowania choroby psychicznej administratora :-))
[2] Inna sprawa jest to, czy znajdujac np. 100 kolesi laczacych sie do
https://telepekao24.pl w danym czasie masz prawo ujawnic informacje o
wszystkich tych ludziach.
>
> Waldemar Thiel
> waldemar.thiel_at_ce-market.com
>
Pozdrawiam,
Madej
-- Jakub.K.Boguslaw_at_acn.pl | Aster City Cable Sp. z o.o. | Network Security Administrator "God, root, what's the difference?" -- "God is more forgiving"
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 17:05:12 MET DST