MURGAŠ, A. Demonstrace a analýza útoků na protokol HTTPS [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2023.
Aktivita řešení byla na dobré úrovni, kdy práce probíhala rovnoměrně po celé období. Jak samotná podstata práce, tak metoda demonstrace útoků byly konzultovány. Ačkoliv se student setkal s překážkami bránícími vytvoření demonstrace v reálném prostředí (v rámci možností bakalářské práce), student dokázal navrhnout a implementovat alternativní řešení. Toto řešení adekvátně ilustruje principy obou útoků a umožňuje jejich základní analýzu.
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Informace k zadání | Hlavním cílem práce bylo zkoumání a demonstrace dvou útoků na webovou komunikaci. Oproti původnímu očekávání se ukázalo, že úloha je složitější, jelikož v průběhu jejího řešení se objevila řada omezení, především z hlediska dostupného softwarového vybavení. Původní záměr práce byl ukázat výsledky v reálném prostředí. To vyžadovalo použití zastaralých webových a souvisejících technologií. Avšak vzhledem k nedostupnosti webového prohlížeče s potřebnou specifickou zranitelností pro provedení popsaných útoků, musel být původní cíl upraven. Nyní jsou útoky demonstrovány a hodnoceny v simulovaném prostředí. I přes tuto změnu, kvalita práce nebyla nijak negativně ovlivněna a poskytuje hodnotné poznatky a podrobné analýzy uvedených útoků. | ||
| Práce s literaturou | Na základě doporučení si student dohledal další studijní zdroje podle potřeby. | ||
| Aktivita během řešení, konzultace, komunikace | Po celou dobu řešení jsme měli pravidelné schůzky na kterých byly konzultovány dílčí kroky řešení a celkový směr práce. | ||
| Aktivita při dokončování | Student obsah práce konzultoval průběžně a její definitivní obsah mi byl zaslán k připomínkování. V rámci časových možností byly připomínky v práci zapracovány. | ||
| Publikační činnost, ocenění | Publikační činnost není. |
Přestože došlo ke zjednodušení a místo replikace útoku došlo jen simulaci s větším množství abstrakcí, práce dobře zpracovává zadané téma a naplňuje nároky kladené na bakalářskou práci. Práci tak v celkovém hodnocení doporučuji k obhajobě ovšem vzhledem k výše zmíněným nedostatkům navrhuji hodnocení "C".
| Kritérium | Známka | Body | Slovní hodnocení |
|---|---|---|---|
| Náročnost zadání | Cílem práce byla demonstrace vybraných útoků BEAST a CRIME ve vhodném virtuálním prostředí. Student si náročnost zadání snížil vysokou abstrakcí a pouhou simulací útoků. | ||
| Rozsah splnění požadavků zadání | Všechny body zadání byly splněny, nicméně některé mohou být diskutabilní. Útoky jsou pouze simulované s velkou mírou abstrakce, nicméně odůvodnění je akceptovatelné. Student měl dále navrhnout metody detekce útoků, které v práci nevidím, nicméně jsou zpracovány možné ochrany před útoky. | ||
| Rozsah technické zprávy | Rozsah technické zprávy odpovídá požadavkům na bakalářskou práci. | ||
| Prezentační úroveň technické zprávy | 75 | Logická struktura práce je na dobré úrovni, informačně je práce bohatá. Autor vhodným způsobem představuje řešenou problematiku a detailně popisuje princip vybraných útoků. V kap. 2 a 3 mi pro úplnost schází lepší popsání opatření, které implementovaly nové verze protokolů. Nedostatečně je též popsán SPDY protokol. Výsledky simulace jsou dobře prezentovány a jednotlivé útoky jsou srovnány mezi sebou. | |
| Formální úprava technické zprávy | 85 | Jazyková a stylistická stránka práce i úroveň typografie je na dobré úrovni. Obsahuje jen minimum chyb. | |
| Práce s literaturou | 65 | Práce obsahuje poměrně malý počet referencí, což jde vidět zejména u popisu ochran. Použití wikipedie nepovažuji za vhodné u tohoto typu textu. | |
| Realizační výstup | 75 | Realizační výstup implementuje simulaci obou útoků vč. datové sady. Je škoda, že se nepodařila replikace útoku na virtuálním prostředí obsahující staré verze. Navržená náhrada formou simulace je však korektní, ukazuje dobré pochopení principů útoku. Vybrané použité parametry (např. zpoždění) jsou dobře zdůvodněné. V teoretické části práce není okomentována časová složitost útoků (z popisů odhaduji, že je lineární), která pak byla potvrzena simulací. | |
| Využitelnost výsledků |
eVSKP id 148217