- Évente ontja majd magából az új AI-chipeket az NVIDIA
- Facebook és Messenger
- Windows 11
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Telekom otthoni szolgáltatások (TV, internet, telefon)
- Aliexpress tapasztalatok
- Középpontba kerültek a hibrid autók, alig fogyaszt a BYD újdonsága
- Tidal
- Nehezebb lesz a dolga a Temunak Európában
- XPEnology
Új hozzászólás Aktív témák
-
bambano
titán
ennek van még semmi értelme...
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
tehát például a facebook, ami emlékeim szerint nagyon régen https, az nem kamu oldal?
nem hekkeltek meg rajta választásokat?ráadásul ugye mit csinálnak a vírusvédelmi rendszerek? megtörik a https-t, hogy tudják ellenőrizni az oldal tartalmát, azaz végrehajtanak egy mitm támadást minden letöltésre. tehát ha van olyan védelmi szoftvered, ami ellenőrzi a webes letöltést, akkor az kamuvá teszi az összes oldalt, amit megnéztél. rotfl. a fagyi visszalőtt.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ViZion
félisten
Mindent értek... csinálják csak. De a szájbatekert directwrite flag kerüljön vissza, mert néha retek rondák a betűk, amin semmi nem segít...
Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy
-
Ixion77
őstag
Azért ne legyen, mert a webfejlesztőknek plusz egy extra nyűg.
Plusz nyűg = plusz hibalehetőség = plusz munka = plusz bér
A top100-as cégeknek nyilván semmi különbséget nem okoz plusz 1-2 embert alkalmazni emiatt, de egy pici alapítványi vagy mikrovállalkozói oldalnak jelentős lehet. Mindezt minek is? Mit számít hogy titkosítva tudod-e meg hogy új örökbe fogadható kiskutya érkezett a Káposztásmegyei állatmenhelyre?...[ Szerkesztve ]
"Seems like humanity needs war and famine to correct itself."
-
Male
nagyúr
-
Male
nagyúr
Ez ám a veszély, pl valaki azért csinál egy MITM támadást, hogy a PH!-s VGA tesztben átírja az eredményeket csak nekem? Nagyon reális egy ilyen támadás.... kb olyan gyakran történhet meg, mint régebben mondjuk hogy valaki egy hamis napilapot gyárt külön egy embernek, és arra cseréli a postaládájában...
-
-
senior tag
Nem csak "Man In The Middle" támadás van a világon Weboldal klónozásról hallottál már? A mókus leklónozza mondjuk a Gmail honlapját, és küld egy kamu E-mailt, hogy "ellenőrizd az adataidat", és linkeli az Ő klón oldalát. Amint beírod a felhasználó nevet és jelszót, Ő már tudja is azt
Nyilván a bambaság ellen semmi se véd, de azért a leklónozott oldalaknak nem olyan könnyű hiteles tanúsítványt szerezni, így a HTTPS már ez ellen már véd(het).
Meg azért 2018-ben ne küldjük már a jelszavainkat titkosítatlan HTTP csatornán sehova...
[ Szerkesztve ]
-
-
bambano
titán
"Nyilván a bambaság ellen semmi se véd, de azért a leklónozott oldalaknak nem olyan könnyű hiteles tanúsítványt szerezni": az alapján, hogy pár hete/hónapja mekkora hiszti volt root ca-k visszavonásából, azt kell mondani, hogy nagyjából semekkora probléma hiteles tanúsítványt hamisítani.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Jajj, ne már. Nem lassít a HTTPS semmit, legalábbis észrevehetetlen.
Egyébként meg nem csak a beléptetéshez kell a HTTPS. Pl session hijacking (login eltérítés) simán lehetséges HTTP-n, nem kell hozzá jelszó, csak a sütid, amit a böngésző minden oldalletöltéskor elküld.
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
senior tag
Ezzel próbálják "rákényszeríteni" az embereket, hogy használják a https protokolt, ez kb olyan, hogy a 30-as táblánál se kapcsolod ki a biztonsági övet, pedig ott szinte "fölösleges"
Mellesleg azt remélem mindenki vágja, hogy a "lassítás", amiért sírnak az emberek totál elhanyagolható
-
Ez a hitelesítéses dolog szerintem annyira nem is lényeges, nem igazán mennek erre rá. Tökmindegy mi a domain egy hamisított oldalnál, a user nem azt nézi. Így simán lehet rajta HTTPS, user át is van verve. Az ilyenek ellen nem a HTTPS véd, nem is tud védeni.
Amúgy mi a bajod a HTTPS-sel? A vírusölök MITM támadása nem a HTTPS baja. Az csak akkor működik, ha az adott oldal támogatja azokat az insecure TLS verziókat.
[ Szerkesztve ]
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
senior tag
Maradjunk annyiban, hogy hiteles tanúsítványt általában DNS szerverekre bejegyzett hivatalos címekhez szoktak adni, amit egy leklónozott oldal esetében nem annyira könnyű megtenni (nyilván meglehet, mint mindent, de akkor se annyira könnyű)
Pl. A LetsEncrypt-el én nem is tudok a cégnek olyan szerverére tanúsítványt generálni, ami nincs külső DNS szerverre bejegyezve.
-
Mióta van LE, simán lehet elvárás a HTTPS, ezért örülök a Google lépésének. Vicc, hogy 2018-ban a weboldalaknál opció a titkosítatlan kapcsolat. A következő lépés az, hogy a weboldalakon csak biztonságos cypher suite-ok legyenek illetve HSTS.
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
senior tag
Te remélem nem szakmabeli vagy, mert akkor nagy a baj...
Nekem a cégnél jelenleg 11 webszerverem van, tök különböző tartalomszolgáltatással (KOHA, Alfresco, Filesender, Kibana, Groundwork monitor, Openwayback, egy rakat CMS + Apache kombó...). Nem igazán érzem a szerver lassulást, mert amúgy egy szerver azért szerver, hogy bírja a terhelést
[ Szerkesztve ]
-
bambano
titán
és ha én bejegyeztetem a magyar o, magyar t, orosz r betűből álló domaint, akkor mennyi idő hijackelni az otp.hu-t? hint: 0.005 msec.
most arról ne beszéljünk, hogy egyes regisztrátoroknál meg domain usereknél akkora kupleráj van, hogy némelyiket legálisan el lehetne lopni...
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
ddekany
veterán
Nem tudom elhangzott-e, de van egy olyan pozitív hatása is a HTTPS-nek, hogy az ISP sem tudja megmondani, hogy adott domain-en belül mit látogattál. (Azt, hogy melyik domain-t és hányszor, azt persze igen.). Tehát mondjuk tudják, hogy index.hu-t néztél, de azt nem, hogy ott melyik cikkeket preferálod.
-
De a facebook az tudni fog mindent, ha ott a lájk gomb (nem kell rákattintani). Ezzel kéne kezdeni valamit, bár ezt maguknak az oldalaknak kéne megcsinálniuk, pl a itt alapból inaktív a lájk, rá kell kattintani, hogy betöltődjön.
[ Szerkesztve ]
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
senior tag
Azt azért megnézném, hogy anonim módon regisztrál valaki egy .hu domaint..
nyilván lehet ilyen ".bla.mivan" domain -t regisztrálni, de azért na, maradjunk a realitás talaján, otr.hu domaint anonim nem regisztrál senki, és a rendőrségnek ki kell adniuk az adatokat...
[ Szerkesztve ]
-
Itthon igen. De külföldivel nem tudnak mit csinálni.
Ellenőrzés alatt meg arra gondolok, hogy pl .us domaint elvileg csak usák lakcímmel lehet regelni, de a gyakorlatban kamu címet szoktak használni hozzá. Nem ellenőrzik.
[ Szerkesztve ]
A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.
-
bambano
titán
ha ha-n átvernek embereket, akkor tőled ip címet fog kérni a rendőrség, ami alapján az átverős hirdetés feladóját megtalálják.
(#32) Murphy(O.o): "A DNS bejegyzés nem telefonhívásra megy, meg kell adni az adataidat, amiket nyilván ellenőriznek is, ezért, ha bejegyeztetsz egy domaint és utána arról indítasz támadásokat, akkor kezet fogok veled": egyrészt hómleszek nevére mindent el lehet követni, amilyen komoly ellenőrzések vannak, lehet 200 ezer dominókártyát kicipelni a plázából, stb. másrészt nemigen ellenőriznek ott kb. semmit. ha beküldök egy kódolt ékezetes domain igényt, szerintem simán átmegy, nem nézik meg a dekódolást.
(#33) ddekany "de van egy olyan pozitív hatása is a HTTPS-nek, hogy az ISP sem tudja megmondani, hogy adott domain-en belül mit látogattál.": egyrészt ez az isp-t nem érdekli. másrészt ha https-ben megy a cucc, akkor a domaint sem tudják megnézni, csak azt, hogy milyen ip címekre megy a kérés, és ha több domain van azon az ip címen, akkor azt már nem. tehát pl. nem tudja szétválogatni az isp, hogy prohardvert nézel, itcafe-t vagy logoutot.
[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
senior tag
Nyilván, de itt a "kolléga" azt vetette fel, hogy Ő majd regisztrál egy otr.hu domaint és arról akciózik... sok sikert.
Mellesleg ahogy már írtam, "bambaság ellen nem véd semmi", és mindig is a felhasználó lesz a leggyengébb láncszem az informatika gépezetében (hiszen már valaki azért sír, hogy ne erőltessenek már lassulással HTTPS-t ).
-
-
djsilas
tag
Ha mar igy szova tetted mas munkassagat, remelem Te sem vagy szakmabeli... Akkor tudnad, hogy egy klon oldal ellen pont semmit nem er a HTTPS... Egy egyszeru, de valid DV cert 1 perc alatt kesz es maris szep zold lesz a cimsor...
(es igen, valoban nem lesz kiirva pl., hogy OTP, de hiba sem lesz, ergo az atlag user semmit nem fog eszrevenni, ezert balgasag, amit irtal)
Új hozzászólás Aktív témák
- sziku69: Fűzzük össze a szavakat :)
- Háztartási gépek
- Milyen TV-t vegyek?
- Tesla topik
- Apple iPhone 15 Pro Max - Attack on Titan
- A fociról könnyedén, egy baráti társaságban
- Milyen légkondit a lakásba?
- LEGO klub
- Parfüm topik
- Folyószámla, bankszámla, bankváltás, külföldi kártyahasználat
- További aktív témák...
Állásajánlatok
Cég: Alpha Laptopszerviz Kft.
Város: Pécs
Cég: Ozeki Kft.
Város: Debrecen