<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
<META content="MSHTML 6.00.6000.16788" name=GENERATOR>
<STYLE></STYLE>
</HEAD>
<BODY bgColor=#ffffff>
<DIV><FONT face=Arial size=2>Honestly this is BH Jeff Moss hype...</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>The weakness is not SSL in my opinion but the fact 
that attacking the user is always the weakest ring of the chain.</FONT></DIV>
<DIV><FONT face=Arial size=2>Now how many user are aware of using HTTPS instead 
of HTTP or even pay attention to a valid SSL certificate? Probably many. Is SSL 
the problem? No.</FONT></DIV>
<DIV><FONT face=Arial size=2>Can we do better? yes, How? Deploy MFA, SSL EV, 
Mutual Certificate etc. So what is new on this that we did not know already 
apart a new tool to prove the point?</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Regards</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2>Marco</FONT></DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><FONT face=Arial size=2></FONT>&nbsp;</DIV>
<DIV><A 
href="http://www.theregister.co.uk/2009/02/19/ssl_busting_demo/">http://www.theregister.co.uk/2009/02/19/ssl_busting_demo/</A><BR><BR>By 
Dan Goodin in San Francisco<BR>The Register<BR>19th February 2009<BR><BR>Website 
encryption has sustained another body blow, this time by an <BR>independent 
hacker who demonstrated a tool that can steal sensitive <BR>information by 
tricking users into believing they're visiting protected <BR>sites when in fact 
they're not.<BR><BR>Unveiled Wednesday at the Black Hat security conference in 
Washington, <BR>SSLstrip works on public Wi-Fi networks, onion-routing systems, 
and <BR>anywhere else a man-in-the-middle attack is practical. It converts pages 
<BR>that normally would be protected by the secure sockets layer protocol 
<BR>into their unencrypted versions. It does this while continuing to fool 
<BR>both the website and the user into believing the security measure is 
<BR>still in place.<BR><BR>The presentation by a conference attendee who goes by 
the name Moxie <BR>Marlinspike is the latest demonstration of weaknesses in SSL, 
the <BR>encryption routine websites use to prevent passwords, credit card 
<BR>numbers, and other sensitive information from being sniffed while in 
<BR>transit. Similar to side jacking attack from 2007 and last year's 
<BR>forging of a certificate authority certificate, it shows the measure 
<BR>goes only so far.<BR><BR>"The attack is, as far as I know, quite novel and 
cool," said fellow <BR>researcher Dan Kaminsky, who attended the Black Hat 
presentation. "The <BR>larger message of Moxie's talk is one that a lot of 
people have been <BR>talking about actually for a few years now: This SSL thing 
is not <BR>working very well."<BR><BR>[...]<BR><BR><BR><?xml:namespace prefix = 
o ns = "urn:schemas-microsoft-com:office:office" /><o:p>&nbsp;</o:p></DIV>
<BLOCKQUOTE 
style="PADDING-RIGHT: 0px; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 2px solid; MARGIN-RIGHT: 0px">
  <DIV style="FONT: 10pt arial">----- Original Message ----- </DIV>
  <DIV 
  style="BACKGROUND: #e4e4e4; FONT: 10pt arial; font-color: black"><B>From:</B> 
  <A title=esumerfd@bitbashers.org href="mailto:esumerfd@bitbashers.org">Edward 
  Sumerfield</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>To:</B> <A 
  title=owasp-cincinnati@lists.owasp.org 
  href="mailto:owasp-cincinnati@lists.owasp.org">OWASP Cincinnati</A> </DIV>
  <DIV style="FONT: 10pt arial"><B>Sent:</B> Friday, February 20, 2009 9:38 
  AM</DIV>
  <DIV style="FONT: 10pt arial"><B>Subject:</B> [Owasp-cincinnati] SSL 
  Strip?</DIV>
  <DIV><FONT face=Arial size=2></FONT><FONT face=Arial size=2></FONT><FONT 
  face=Arial size=2></FONT><FONT face=Arial size=2></FONT><FONT face=Arial 
  size=2></FONT><FONT face=Arial size=2></FONT><BR></DIV>
  <DIV>What do you experts think of this issue? Should we be closing down our 
  merchant sites yet?</DIV>
  <DIV><FONT face=Arial size=2></FONT><FONT face=Arial size=2></FONT><FONT 
  face=Arial size=2></FONT><FONT face=Arial size=2></FONT><FONT face=Arial 
  size=2></FONT><FONT face=Arial size=2></FONT><BR></DIV>&nbsp;&nbsp; &nbsp;<A 
  href="http://www.itpro.co.uk/609932/website-danger-as-hacker-breaks-ssl-encryption">http://www.itpro.co.uk/609932/website-danger-as-hacker-breaks-ssl-encryption</A><BR><BR>Ed 
  Sumerfield<BR>Ed Sumerfield Consulting, LLC<BR><A 
  href="http://www.edsumerfieldconsulting.com">http://www.edsumerfieldconsulting.com</A><BR>513-295-7016<BR><BR>
  <P>
  <HR>

  <P></P>_______________________________________________<BR>Owasp-cincinnati 
  mailing list<BR><A 
  href="mailto:Owasp-cincinnati@lists.owasp.org">Owasp-cincinnati@lists.owasp.org</A><BR>https://lists.owasp.org/mailman/listinfo/owasp-cincinnati<BR></BLOCKQUOTE></BODY></HTML>