#59 que mala suerte que la contraseña de cifrado cambie de sesión a sesión.
Eso que dices siempre se ha podido hacer, coges una película la encriptas y miras a ver si puedes distinguir un patrón para romper el cifrado.
Eso llevan intentandolo hace años con AES y no han conseguido nada.
#63 Si cambia clave te joden la marrana efectivamente, o vuelta a empezar. Pero se puede.
Como comentaba otro usuario este mismo hilo el ataque BEAST, o algo similar se podría utilizar apoyado en esto para descifrar el contenido. Y en SSL si que se ha conseguido varias veces descifrar por patrones, no es la primera vez que encuentra una debilidad de repeticion/patrones y de forma general y han puesto a cuatro patas la conexión https, no como esta que solo en principio afecta a netflix y otras similares, aun más grave.
#57 voy a morder el anzuelo: ¿Como usas esta técnica para robar credenciales que no conoces?
Si te digo que es absurdo es porque es absurdo, no pasa nada por reconocer que te equivocas.
#58 Repito, si conoces como cifra algo conocido y con las suficientes muestras se puede llegar averiguar el contenido de otra cosa codificada utilizando la misma clave sin romper el algoritmo, los patrones, predicciones y el saber que esta codificando y enviando no se llevan bien con ningún algoritmo.
Luego solo tienen que interceptar la comunicación donde el cliente envía la cookie que lo identifica en sus servidores. Y esas son las credenciales que robas.
De esa forma solo puedes acceder a la comunicación de ese cliente y en ese servidor, no a otro.
Lo haré cuando me confirméis que me equivoco, de momento lo que decis tu y el otro campeón no vale para nada.
#59 que mala suerte que la contraseña de cifrado cambie de sesión a sesión.
Eso que dices siempre se ha podido hacer, coges una película la encriptas y miras a ver si puedes distinguir un patrón para romper el cifrado.
Eso llevan intentandolo hace años con AES y no han conseguido nada.
#63 Si cambia clave te joden la marrana efectivamente, o vuelta a empezar. Pero se puede.
Como comentaba otro usuario este mismo hilo el ataque BEAST, o algo similar se podría utilizar apoyado en esto para descifrar el contenido. Y en SSL si que se ha conseguido varias veces descifrar por patrones, no es la primera vez que encuentra una debilidad de repeticion/patrones y de forma general y han puesto a cuatro patas la conexión https, no como esta que solo en principio afecta a netflix y otras similares, aun más grave.
#59 En futuro cualquier algoritmo de cifrado se romperá, es cuestión de tiempo. Pero estamos hablando de décadas o incluso siglos en el futuro (incluso teniendo en cuenta el aumento en la potencia de cálculo). Nadie dice que no se pueda romper. Para romperlo se utilizarán miles de técnicas diferentes, puede que entre ellas esté la que se comenta aquí para detectar patrones de bytes en los datos enviados. Es una técnica extremadamente conocida y documentada. Pero a día de hoy no hay nada ni se le espera y por ello se considera un algoritmo seguro. En el momento en que ya no sea así entonces dejará de considerarse seguro. Lo gracioso de ésto es que se sabe cuando deberíamos de dejar de usar un algoritmo concreto.
Detectar patrones de la manera descrita en el articulo no supone en absoluto un problema de seguridad para Netflix ni para youtube ni para cualquier banco del mundo o web del mundo. Punto.
Un saludo, campeón.
#59 Si, pero ojo con eso. Robas esa cookie en concreto, en el momento en que esa cookie caduque ya no tienes un login. Y basta con que el atacado haga logout+login para caducar esa cookie, dejarte en tierra y que tengas que romper otra vez la sesión.
#97 si con peros dependiendo de cuando regenera la semilla, realmente secuestras la session y si se regenera la semilla se queda el fuera y el logout no vale, y si no tiene métodos de comprobación de una session por cuenta tampoco el login.
Me explico....
La mayoría de aplicaciones web no regeneran la semilla en cada petición, tampoco es recomendable pero si es recomendable regenerarla cuando accedes a partes delicados como cuando cambias las preferencias, con lo cual te quedarías tu la nueva valida y el fuera de la session por invalida.
El tio se quedaria desconectaría por invalido y el logout no lo reconoceria y tu no tendrías problemas, luego hacer login muchos permiten dos sesiones con la misma cuenta. Claro que posiblemente sitios muy delicados como bancos no permitan eso, pero aun así posiblemente si vas a preferencias, cambias contraseña/email evitas el logout de el y lo pones en un aprieto hasta que contacte con la web.
#99 Touché. Iva por ahi, pero lo has explicado mejor...
#102 Como sois los de backend 
#54 me parece super absurdo, peras con manzanas.
Si se rompiera el RSA/AES, no solo Netflix estaría comprometida. Sino todas las transacciones bancarias del mundo.
Pero esque este exploit no afecta en nada a estos algoritmos.
#57 voy a morder el anzuelo: ¿Como usas esta técnica para robar credenciales que no conoces?
Si te digo que es absurdo es porque es absurdo, no pasa nada por reconocer que te equivocas.
#58 Repito, si conoces como cifra algo conocido y con las suficientes muestras se puede llegar averiguar el contenido de otra cosa codificada utilizando la misma clave sin romper el algoritmo, los patrones, predicciones y el saber que esta codificando y enviando no se llevan bien con ningún algoritmo.
Luego solo tienen que interceptar la comunicación donde el cliente envía la cookie que lo identifica en sus servidores. Y esas son las credenciales que robas.
De esa forma solo puedes acceder a la comunicación de ese cliente y en ese servidor, no a otro.
Lo haré cuando me confirméis que me equivoco, de momento lo que decis tu y el otro campeón no vale para nada.
#59 que mala suerte que la contraseña de cifrado cambie de sesión a sesión.
Eso que dices siempre se ha podido hacer, coges una película la encriptas y miras a ver si puedes distinguir un patrón para romper el cifrado.
Eso llevan intentandolo hace años con AES y no han conseguido nada.
#63 Si cambia clave te joden la marrana efectivamente, o vuelta a empezar. Pero se puede.
Como comentaba otro usuario este mismo hilo el ataque BEAST, o algo similar se podría utilizar apoyado en esto para descifrar el contenido. Y en SSL si que se ha conseguido varias veces descifrar por patrones, no es la primera vez que encuentra una debilidad de repeticion/patrones y de forma general y han puesto a cuatro patas la conexión https, no como esta que solo en principio afecta a netflix y otras similares, aun más grave.
#59 En futuro cualquier algoritmo de cifrado se romperá, es cuestión de tiempo. Pero estamos hablando de décadas o incluso siglos en el futuro (incluso teniendo en cuenta el aumento en la potencia de cálculo). Nadie dice que no se pueda romper. Para romperlo se utilizarán miles de técnicas diferentes, puede que entre ellas esté la que se comenta aquí para detectar patrones de bytes en los datos enviados. Es una técnica extremadamente conocida y documentada. Pero a día de hoy no hay nada ni se le espera y por ello se considera un algoritmo seguro. En el momento en que ya no sea así entonces dejará de considerarse seguro. Lo gracioso de ésto es que se sabe cuando deberíamos de dejar de usar un algoritmo concreto.
Detectar patrones de la manera descrita en el articulo no supone en absoluto un problema de seguridad para Netflix ni para youtube ni para cualquier banco del mundo o web del mundo. Punto.
Un saludo, campeón.
#59 Si, pero ojo con eso. Robas esa cookie en concreto, en el momento en que esa cookie caduque ya no tienes un login. Y basta con que el atacado haga logout+login para caducar esa cookie, dejarte en tierra y que tengas que romper otra vez la sesión.
#97 si con peros dependiendo de cuando regenera la semilla, realmente secuestras la session y si se regenera la semilla se queda el fuera y el logout no vale, y si no tiene métodos de comprobación de una session por cuenta tampoco el login.
Me explico....
La mayoría de aplicaciones web no regeneran la semilla en cada petición, tampoco es recomendable pero si es recomendable regenerarla cuando accedes a partes delicados como cuando cambias las preferencias, con lo cual te quedarías tu la nueva valida y el fuera de la session por invalida.
El tio se quedaria desconectaría por invalido y el logout no lo reconoceria y tu no tendrías problemas, luego hacer login muchos permiten dos sesiones con la misma cuenta. Claro que posiblemente sitios muy delicados como bancos no permitan eso, pero aun así posiblemente si vas a preferencias, cambias contraseña/email evitas el logout de el y lo pones en un aprieto hasta que contacte con la web.
#99 Touché. Iva por ahi, pero lo has explicado mejor...
#46 tu algoritmo empezara a tener problemas cuando haya varios archivos con el mismo tamaño.
Además estas suponiendo que no hay ninguna ltra conexión con el servicio mientras.
#40 la contraseña de cifrado varía de sesión a sesión y de cliente a cliente. Asi que no habría un patrón claro aún conociendo el contenido.
#52 Al contrario, existe un patrón y muy grande... ¡todo el streaming que se descarga! Si tiene identificado que vídeo es, si no hacen nada para insertar diferencias entre el fichero que te bajas tu y el que me bajo yo, tenemos en común todo ese fichero.
Me recuerda un poco a esos ataques contra el paquete de datos para conectarte a una Wifi. Uno solo es irrompible, pero si juntas suficientes paquetes, se vuelve vulnerable... aqui lo veo parecido, si puedo saber que te mandaban, aunque venga cifrado, a partir de un volumen de datos tan grande que los dos tenemos, yo creo que se podria atacar al cifrado de la sesión.
#96 ese ataque siempre se ha podido hacer. Cifras archivos de tu disco duro y miras el binario que se genera.
No se ha reportado ningún ataque exitoso contra AES, por mucha cantidad de archivos que hagas.
#30 no, no puedes sacar esa conclusión de ahí.
No podrías descifrar contraseñas, emails, metadata con esta técnica. El cifrado no se ha roto en ningún momento.
#54 me parece super absurdo, peras con manzanas.
Si se rompiera el RSA/AES, no solo Netflix estaría comprometida. Sino todas las transacciones bancarias del mundo.
Pero esque este exploit no afecta en nada a estos algoritmos.
#57 voy a morder el anzuelo: ¿Como usas esta técnica para robar credenciales que no conoces?
Si te digo que es absurdo es porque es absurdo, no pasa nada por reconocer que te equivocas.
#58 Repito, si conoces como cifra algo conocido y con las suficientes muestras se puede llegar averiguar el contenido de otra cosa codificada utilizando la misma clave sin romper el algoritmo, los patrones, predicciones y el saber que esta codificando y enviando no se llevan bien con ningún algoritmo.
Luego solo tienen que interceptar la comunicación donde el cliente envía la cookie que lo identifica en sus servidores. Y esas son las credenciales que robas.
De esa forma solo puedes acceder a la comunicación de ese cliente y en ese servidor, no a otro.
Lo haré cuando me confirméis que me equivoco, de momento lo que decis tu y el otro campeón no vale para nada.
#59 que mala suerte que la contraseña de cifrado cambie de sesión a sesión.
Eso que dices siempre se ha podido hacer, coges una película la encriptas y miras a ver si puedes distinguir un patrón para romper el cifrado.
Eso llevan intentandolo hace años con AES y no han conseguido nada.
#59 En futuro cualquier algoritmo de cifrado se romperá, es cuestión de tiempo. Pero estamos hablando de décadas o incluso siglos en el futuro (incluso teniendo en cuenta el aumento en la potencia de cálculo). Nadie dice que no se pueda romper. Para romperlo se utilizarán miles de técnicas diferentes, puede que entre ellas esté la que se comenta aquí para detectar patrones de bytes en los datos enviados. Es una técnica extremadamente conocida y documentada. Pero a día de hoy no hay nada ni se le espera y por ello se considera un algoritmo seguro. En el momento en que ya no sea así entonces dejará de considerarse seguro. Lo gracioso de ésto es que se sabe cuando deberíamos de dejar de usar un algoritmo concreto.
Detectar patrones de la manera descrita en el articulo no supone en absoluto un problema de seguridad para Netflix ni para youtube ni para cualquier banco del mundo o web del mundo. Punto.
Un saludo, campeón.
#59 Si, pero ojo con eso. Robas esa cookie en concreto, en el momento en que esa cookie caduque ya no tienes un login. Y basta con que el atacado haga logout+login para caducar esa cookie, dejarte en tierra y que tengas que romper otra vez la sesión.
#146 no, podrían venir a España.
#132 genowhat? Marruecos es bastante avanzado comparado con Oriente Medio. Disponen de una constitución y el poder legislativo recae en un parlamento elegido por los ciudadanos. La primavera árabe ha traido bastantes cambios buenos al país.
#137 claro, en el Sahara Occidental no hay genocidio. Reparten helados de fresa. Tiene cojones la ignorancia.
Por supuesto, Marruecos está de puta madre. Seguro que si pasan a pertenecer a Marruecos van a cobrar lo mismo, van a tener jubilación, van a tener el mismo salario mínimo, van a tener las mismas leyes de protección laboral (siniestralidad incluida), van a tener sanidad, van a tener derechos sociales, van a respetar su libertad de expresión igual y hasta van a poder votar para el poder legislativo (a los partidos a los que el rey dé el visto bueno). Todo un lujo.
Dejemos de decir tonterías, por favor, con todo el respeto.
#123 Adquirían doble nacionalidad. Podrian seguir estando allí si quieren o podrían volver a España.
#128 claro, a vivir en una monarquía autoritaria genocida y que les jodan. Que pierdan todos sus derechos laborales y sociales y ya está. Total, tú no vives ahí y te da igual, ¿no?
#132 genowhat? Marruecos es bastante avanzado comparado con Oriente Medio. Disponen de una constitución y el poder legislativo recae en un parlamento elegido por los ciudadanos. La primavera árabe ha traido bastantes cambios buenos al país.
#137 claro, en el Sahara Occidental no hay genocidio. Reparten helados de fresa. Tiene cojones la ignorancia.
Por supuesto, Marruecos está de puta madre. Seguro que si pasan a pertenecer a Marruecos van a cobrar lo mismo, van a tener jubilación, van a tener el mismo salario mínimo, van a tener las mismas leyes de protección laboral (siniestralidad incluida), van a tener sanidad, van a tener derechos sociales, van a respetar su libertad de expresión igual y hasta van a poder votar para el poder legislativo (a los partidos a los que el rey dé el visto bueno). Todo un lujo.
Dejemos de decir tonterías, por favor, con todo el respeto.
#27 hombre las ciudades de Ceuta y Melilla no tienen mucho sentido hoy en día. No tienen valor económico y nos supone un buen gasto en defensa y policía.
Melilla tiene 80.000 habitantes y necesita de dos cuerpos antidisturbios, uno para la frontera y otro para la ciudad. Tela.
Eso no significa que haya que cederla gratis. Tendríamos que conseguir algo de Marruecos.
#62 y a la gente que vive allí que le den por culo, ¿no?
#123 Adquirían doble nacionalidad. Podrian seguir estando allí si quieren o podrían volver a España.
#128 claro, a vivir en una monarquía autoritaria genocida y que les jodan. Que pierdan todos sus derechos laborales y sociales y ya está. Total, tú no vives ahí y te da igual, ¿no?
#132 genowhat? Marruecos es bastante avanzado comparado con Oriente Medio. Disponen de una constitución y el poder legislativo recae en un parlamento elegido por los ciudadanos. La primavera árabe ha traido bastantes cambios buenos al país.
#137 claro, en el Sahara Occidental no hay genocidio. Reparten helados de fresa. Tiene cojones la ignorancia.
Por supuesto, Marruecos está de puta madre. Seguro que si pasan a pertenecer a Marruecos van a cobrar lo mismo, van a tener jubilación, van a tener el mismo salario mínimo, van a tener las mismas leyes de protección laboral (siniestralidad incluida), van a tener sanidad, van a tener derechos sociales, van a respetar su libertad de expresión igual y hasta van a poder votar para el poder legislativo (a los partidos a los que el rey dé el visto bueno). Todo un lujo.
Dejemos de decir tonterías, por favor, con todo el respeto.
#62 Que panorama. Es decir que como sale cara abandonamos a los 80.000 melillenses a su suerte...
#146 no, podrían venir a España.
#62 ¿Porqué no te cedemos a ti y tu casa, tu coche y tu perro?
#51 no podrán ver el contenido pero sí a que páginas te conectas.
#13 joder, vaya tela. Una web pequeña-mediana no debería guardar los datos de crédito, o cobras por PayPal o usas un intermediario que te gestione los pagos de las tarjetas de crédito.
Mucho más sencillo y seguro para el usuario.
#22 ñec, no. Un ordenador cuántico es una maquina de turing no determinista. Que es equivalente a una maquina de turing convencional.
Por tanto pueden hacer las mismas cosas
#45 Dicendo esas cosas nadie va a entender nunca nada. Es de lo que me quejo.
Es un error frecuente pensar que un QC (ordeñador cuantíco) es equivalente a un NTM (nondeterministic cosa esa). Se especula, pero no se ha demostrado, que la potencia de un QC no es comparable con el de un NTM. Que es que hay problemas que un NTM podría resolver pero un QC no. Y lo mismo del revés. Es posible (pero nadie lo demuestra) que un problema NP-completo sea solucionable por una NTM pero no por un QC, o sea en tiempo polinómico y esas cosas tan sofis.
La flexibilidad (localización/horario) que me da el teletrabajo no la cambio por nada.
#91 no si las pones en tu tejado
#102 pues eso, si les buscas las cosquillas te la van a buscar a ti también.
Legalmente pueden registrar el maletero sin problema.
#99 joder vuelvete a leer el comentario porque esa es la sensación que da.
No puedes empezar un debate o una crítica constructiva con: "Puyes vaya GC de mierda..."
#106 Si un coche no echa a rodar, es un coche de mierda.
Si un corredor llega el último a la meta, 30 minutos después que el resto de sus competidores, es un corredor de mierda.
Si un abogado no te defiende, es un abogado de mierda.
Si una tele se ve mal, es una tele de mierda.
...
Si un agente de la ley, no conoce la ley, es un agente de mierda.
A las cosas, por su nombre.
#106 No estoy del todo de acuerdo contigo. Si alguien hace un comentario de mierda, pues lo sigue siendo, pero desde luego que queda más como un ataque personal. Sobre todo, porque diría que lo más probable es que no sea GC.
Esto te lo dice un astronauta desde la estación espacial internacional, pero no la que tu conoces, la secreta que se usa como prisión para extraterrestres.
#24 pues si ejerces resistencia activa, detenido por desobediencia.
Si solo le chuleas, nada, pero seguramente sea mucho menos considerado si te ve cualquier infracción.
Vamos que no vas a conseguir nada con eso.
#96 No hablo de resistencia de ningún tipo, ni activa ni pasiva (el resultado de eso lo tengo claro ), simplemente de no dar mi consentimiento, que es lo que haces cuando tu mismo abres el maletero.
Para mi las veces que me pararon a ver el maletero es como si aparecen en mi casa y me preguntan ¿me abres la puerta para ver lo que tienes? en tu casa dirias que no, en el coche cuando te paran te dicen siempre, ábreme el maletero, una forma de pedir consentimiento, y siempre se hace, no conozco a nadie que se negara.
Por que siempre me pararon fue sin mucho tiempo pero el dia que me pillen con tiempo les voy a decir que si quieren abrir no tienen mi consentimiento ni colaboración, tampoco evidentemente se lo voy a impedir de ninguna forma que lo hagan ellos. Solo a ver que pasa, si lo abren sin más o montan alguna película.
Y hablo de la policia nacional, la policia nacional no tiene competencias en trafico como para denunciarme ninguna infracción, si es en ciudad tendrían que llamar a la policia local ante cualquier infracción de trafico y si es fuera a la GC de trafico.
Si me para un control de trafico prefiero no darle excusas para buscar algo por que siempre hay por donde denunciar
#102 pues eso, si les buscas las cosquillas te la van a buscar a ti también.
Legalmente pueden registrar el maletero sin problema.
#47 cuidado con la bilis que te vas a resbalar
#93 ¿Bilis? Menudo nivel... Se señala que un supuesto agente de la ley desconoce la ley (porque todavía estaría por demostrar que es un agente, dado su desconocimiento de la ley) y tú me sales con la bilis.
En este país parece que dan premios al más listo del barrio: si estás recurriendo a la típica imbecilidad que da por supuesto que criticar algo es equivalente a odiarlo, te diré que tengo familia en la policía nacional, el ejército y la propia Guardia Civil.
Pero oiga, que ya carga tanta incompentencia patria, venga de donde venga.
#99 joder vuelvete a leer el comentario porque esa es la sensación que da.
No puedes empezar un debate o una crítica constructiva con: "Puyes vaya GC de mierda..."
#106 Si un coche no echa a rodar, es un coche de mierda.
Si un corredor llega el último a la meta, 30 minutos después que el resto de sus competidores, es un corredor de mierda.
Si un abogado no te defiende, es un abogado de mierda.
Si una tele se ve mal, es una tele de mierda.
...
Si un agente de la ley, no conoce la ley, es un agente de mierda.
A las cosas, por su nombre.
#106 No estoy del todo de acuerdo contigo. Si alguien hace un comentario de mierda, pues lo sigue siendo, pero desde luego que queda más como un ataque personal. Sobre todo, porque diría que lo más probable es que no sea GC.
Esto te lo dice un astronauta desde la estación espacial internacional, pero no la que tu conoces, la secreta que se usa como prisión para extraterrestres.
#44 bueno EEUU no puede hablar de esos temas que en lo que se refiere a las fronteras tienen tela.
#48 Dudo que eso sea verdad.
¿Me estas diciendo que en EEUU no paran coches para buscar drogas?
¿Me estas diciendo que en EEUU no pueden obligar a un conductor a hacer el test de alcoholemia?
¿Me estas diciendo que en EEUU no pueden obligar a un conductor a salir del coche para cachearle?
Eso no tiene ningún sentido.
#91 Tienen que ver que está cometiendo una actitud sospechosa. Te pueden registrar si te pillan consumiendo, si no, no.
Pueden obligar a hacer un test de alcoholemia (puede bastar con que no pueda caminar por una línea recta, muchos no tienen alcohlímetros) si tiene aliento a alcohol, habla arrastrada, ojos vidriosos, etc.
Si no tiene indicios de que esté cometiendo ningún delito, no, porque va contra la presunción de inocencia que es un derecho sagrado, en caso de que lo cacheen y se demuestre que no ha cometido ningún delito podría denunciar al cuerpo de policía.
#91 1.- En Estados Unidos te paran para pedirte el carnet y los papeles del coche (obligatorios para circular) y un perro desde fuera te olisquea el coche, si no huele nada, no tienen motivos para abrirte el coche.
2.- En Estados Unidos te paran para pedirte el carnet y los papeles del coche, si ibas conduciendo erráticamente o huelen alcohol al bajar la ventanilla (cosa que tendrán que justificar en la multa), te podrán realizar la prueba de alcoholemia. (Hay gente que pone el carnet y los papeles del coche en la ventanilla cerrada para que no tengan justificación de "olía a alcohol").
3.- No pueden cachearte sin una justificación. Eso puede ser que te pongas chulo, pero algo tienes que hacer para que te bajen del coche.
Entiende que en EE.UU. se tiene siempre derecho a la libertad de movimiento y a la presunción de inocencia, y la policía solo es autoridad ante el delito, si no tienen "articulated cause" contra ti, sois dos ciudadanos en la vía pública. Si entiendes inglés, busca en Google/Youtube "Am i being detained?", y verás como funciona el procedimiento de la policía.
En España hemos empalmado policía de dictadura y terrorismo, y estamos acostumbrados a que la policía es quien nos dice si estamos haciendo las cosas bien. Eso sí, tenemos una policía estupenda si los llamas cuando tienes problemas.
#91 Si que lo hacen, una cosa es que tengas derecho a negarte y otra muy distinta que la gente lo haga. Y si, pueden hacer todo eso si sospechan de alguna ilegalidad, cuando el tio dice que salga del coche el conductor responde "de que se me acusa", si el policia dice "de llevar drogas" entonces si puede registra rel coche (solo que se juega una denuncia por acusar sin ningun tipo de indicio), si le dice "de conducir borracho" entonces puede sacarle del coche y hacer un control, etc
#18 el problema esque miras las ofertas de empleo y te piden 17373 lenguajes y frameworks con 62737 años de experiencia.
Si cogieran a más Juniors y los formaran no habría problema.
#96 ese ataque siempre se ha podido hacer. Cifras archivos de tu disco duro y miras el binario que se genera.
No se ha reportado ningún ataque exitoso contra AES, por mucha cantidad de archivos que hagas.