Vulnerabilidade SSL no Youtube?

Question

Vulnerabilidade SSL no Youtube?

#1 resposta do (3 votos)

1

Eu recebi a pequena fechadura de ouro antes do https: // (que estava em cinza) em www.youtube.com

O site usa SSL, mas o Google Chrome detectou conteúdo inseguro na página.

Eu estava conectado ao YouTube através da minha conta do Google, na minha página inicial, notei algumas sugestões bizarras no lado direito da página, a maioria estava em outro idioma (leste europeu). No entanto, estou localizado no Reino Unido e nunca assisti a nenhum vídeo relacionado a essas sugestões.

Imediatamente, suspeitei que alguém estava usando minha conta do YouTube de fora, então removi a conta em pânico. Minha conta do Google continua ativa.

É possível que eu esteja recebendo essa afirmação de um soluço de cromo? Ou algo mais sinistro?

Eu li em SSL e eu entendo o básico do que é, então estou me sentindo bastante preocupado.

ssl youtube google-chrome

por user1212730 16.02.2012 / 01:43

1 resposta

Tags ssl youtube google-chrome

outlook automatic reply com contagem de mensagens não lidas Nova partição foi criada automaticamente

score 3 · Answer 1

Sobre a mensagem de aviso:

Significa apenas que existe um conteúdo inseguro na página, por exemplo:

<img src="http://cdn.sstatic.net/superuser/img/favicon.ico"/>

Estánapágina,háconteúdonapáginaquenãochegaatévocêatravésdossl(aimagem)

Nãohánenhumlinksobreumkeylogger,issosignificaapenasqueaimagememhttpnãoécriptografadaparachegaratévocê.

Mas,comoumanotadelado,terconteúdonãoemhttpstornamaisfácilfalsificá-lo,porexemplo,sehouvessenoyoutubeumarquivo:

<scriptsrc="http://www.example.com/script.js"></script>

se fosse em https exigiria certificado associado a www.example.com, mas em http só você obtendo o resultado ruim de dns para ip (injeção de dns, adicionando linha em /etc/hosts , ...) fica mais fácil (e então o cara bad pode enviar qualquer "script.js" que ele queira).

(Também é possível com https, mas o mau cara precisaria falsificar certificado e validação de certificado e é mais difícil.)

Sobre as suas perguntas:

É possível que eu esteja recebendo essa declaração de um soluço de cromo? = > não, deveria haver elementos (imagens, flash, css, script, ...) exibidos na página, mas não em https.

Ou algo mais sinistro? = > é uma pequena possibilidade, mas apenas para acessar uma conta do Google pode ser exagero (mas a cautela é a segurança, por isso alterar a senha e a pergunta secreta pode ser uma coisa boa).

Sobre o Google :

No YouTube , é possível ver histórico de vídeos assistindo e histórico de pesquisas (mas é possível excluir entradas e colocar em espera o histórico de pesquisa, portanto não é totalmente seguro mesmo se não houver nada de suspeito nos dois históricos )

Da mesma forma, mas melhor, no Gmail (se você tiver uma conta do Gmail com sua conta do Google também), há última actividade da conta que mostra o seu horário, país, IP e método das últimas atividades.

Então, antes de excluir a conta, você poderia ter pesquisado ^^

Sobre a vulnerabilidade do wifi:

Em primeiro lugar, tudo em https será criptografado, por isso, mesmo se o seu wireless for super flexível, as pessoas não poderão descriptografar qualquer solicitação / resposta para / do conteúdo https.

Em segundo lugar, o cara mau deve estar localizado no alcance do seu hotspot Wi-Fi.

Então, acho que o único problema com a vulnerabilidade do wifi (e o site em https) deve ser ter ao mesmo tempo uma vulnerabilidade em seu computador, o que facilitaria o dns injetar você, ou simplesmente instalar diretamente um keylogger no seu computador, ...