Hirdetés
Új hozzászólás Aktív témák
-
Ligend
tag
"csak ha te generálod, biztos lehetsz benne, hogy nem adták le az nsa-nak a titkos kulcsot."
Ezt szerintem pontosítsuk, mert félreértésekhez vezet. A 3rd party CA-nak, aki a certificate request aláírását (hitelesítését) végzi, nincs birtokában a privát kulcs. Azt minden esetben az igénylő birtokolja, és nem adja ki. A request mindössze a publikus kulcsot tartalmazza, illetve értelemszerűen a tanúsítvány tárgyát (subject) és egyéb technikai adatokat (verzió, használt algoritmusok megnevezése, hash, attribútumok, stb.).
Nyilvánvalóan egy RSA publikus kulcsból elő lehet állítani annak privát párját, ez azonban rendkívül számításigényes. A prímfaktorizációs algoritmusok fejlettsége és a jelenleg elérhető számítási kapacitások miatt már az 1024 bites RSA kulcsok nem számítanak biztonságosnak, 2048 bites kulcspárok használata javasolt. Amennyiben a privát kulcsot tartalmazó szervert nem kompromittálják egy 0-day vagy ismert sérülékenység kihasználásával (pl: Heartbleed), és szerzik meg róla a privát kulcsot, meglehetősen komoly kihívás egy SSL kommunikációt lehallgatni és visszafejteni.
Ahogy korábban is írták többen, a vállalati környezetben alkalmazott SSL-képes proxy megoldások beékelődéses megoldással működnek. Ennek azonban feltétele, hogy a kliensek hitelesnek fogadják el a proxy által titkosított kommunikációt, vagyis rendelkezzenek azzal a CA tanúsítvánnyal, mely a proxy tanúsítványát hitelesítette, és megbízhatónak tartsák azt. Out-of-box ezt nem tartalmazzák a böngészők, külön telepítést igényel.
-
zolij
tag
na akkor tegyük tisztába a dolgokat:
- a startssl cert ingyenes, teljesen jó https-re, az elterjedt böngészők zokszó nélkül elfogadják (persze csak titkosításra jó, szervezet hitelesítésére nem, de akinek ilyen kell az fizessen)
- ez a fix ip / külön ip kell megint csak hülyeség, utoljára ez a windows xp + ie6 párosnál volt így, de aki még mindig ezeket használja, azoknak még azelőtt ellopják az összes adatát, hogy https oldal közelébe kerülneEttől függetlenül én se értek egyet a https kényszerítéssel, ahol nem közlekedik (user)adat, ott totál felesleges.
-
Kékes525
félisten
-
djgeg
őstag
Szerintem arra gondolt, hogy biztonság fokozása érdekében (vagy ssl összes/kívánt adatcsomagok blokkolása érdekében) vannak tűzfalak amik realtime "fejtik" vissza az SSL, majd saját certin keresztül folyik tovább az adat a felhasználóknak. "man-in-the-middle attack"
Azonban ez gyakorlatilag csak foward, nem SSL "feltörése" menet közben mivel a megfelelő certi kell a tűzfalnak is, hogy vissza tudja fejteni. Annyi a lényeg, hogy a tűzfal az SSL el titkosított adatokba is belenézhet, így növelve a biztonságot...
Ha fontos a Social engineering valahol akkor ajánlatos, de a felhasználók nem szokták komálni
"Inbound SSL decryption
In this case, the administrator imports a copy of the protected server’s certificate and key. Once the SSL server certificate is loaded on the firewall, and a SSL decryption policy is configured for the inbound traffic, the device will be able to decrypt and read the traffic as it forwards it on. No changes will be made to the packet data, and the secure channel will be built from the client system to the internal server. The firewall will be able to detect malicious content and control applications running over this secure channel." -
DaveJr
őstag
Nem az oprendszer oldalról beszélünk.....
buherton Google a barátod. Itt a bankban lévő tűzfal+proxy így működik (leegyszerűsítve)
1) egy saját aláírt SSL tanusítványt raknak a böngésző alá
2) https-t a kulccsal visszafejtik
3) ellenőrzik az adatokat
4) újrakódolják a weboldaltól kapott kulccsal és elküldik -
bambano
titán
fene tudja... nem látom, hogy pontosan mi van mögötte.
sima cert-et tudsz generálni parancssorból, az is ér annyit, mint a nem ellenőrzött startssl. csak ha te generálod, biztos lehetsz benne, hogy nem adták le az nsa-nak a titkos kulcsot.de ez az egész egy értelmetlen huzavona mindaddig, amíg nem ismerünk hibamentes ssl implementációt. márpedig ilyen most nincs.
-
-
Dezsike
tag
Sokkal egyszerűbb megoldás mindent szűrni a tűzfallal és csak azt a forgalmat átengedni amire a munkához szükség van, a céges szoftverek gyártói részletes listát szoktak adni a működéshez szükséges IP és port tartományokról. Ha a munkavégzéshez elengedhetetlen a teljes Internet elérés akkor hasznos ez, de ilyen munkával nem túl gyakran találkoztam.
Hogy a témához is hozzászóljak, sok esetben valóban elfelejtik a HTTPS használatát olyan helyeken, ahol érzékeny adatok mozognak. DE, nagyon sok olyan oldal van, ami szimplán csak információt közöl illetve olyan adatokat kell megadni, ami nem érzékeny. Ilyen helyeken nem szükséges a HTTPS, ezért hátrébb sorolni értelmetlen. Ezt kategóriákra lenne értelme osztani, például a webshopokat valóban jó ötlet ilyen esetben hátrébb sorolni, viszont a kutyafajtákat leíró oldalakat nem.
-
#30
DaveJr
őstag
dragon1993
#24
DaveJr
őstag
válasz
dragon1993
#24
üzenetére
Ja csak nem minden tárhely szolgáltató engedi használni....
Plusz saját fix IP akkor is kell (ha jól tudom) ami megint csak fizetős a legtöbb helyen.buherton: Több dolgot is írtam. Melyikre gondolsz?
-
egak
csendes tag
Szerintem egy teljesen standard man-in-the-middle támadással meg tudja csinálni. A tűzfalnak van egy saját tanúsítványa a google.com-ra kiállítva, te azt látod, ő meg rendesen csatlakozik a Google-höz. Normál esetben a böngésződ észrevenné a támadást és visítana az áltanúsítvány miatt, de itt nem fog, mert böngészőt úgy állítják be, hogy a céges kibocsátó kitörölhetetlenül ott legyen a megbízható kibocsátók listájában.
-
Cathulhu
addikt
Megis mit csinal a hatam mogott? Ha nem toltom ki a profilt, nem lesz adat amit mas is lat.
a) ezt meg el tudom fogadni, de szimplan bolhabol elefantnak erzem
b) netto hulyeseg, ha nem hasznalod, nem igazolsz vissza senkit, senki nem fog rajta keresni#14:
engem sok egyeb dolog zavar, pl az hogy boldog boldogtalan hozzaadhat az o koreihez, tenni nem tudok ellene, vagy hogy az uzenofal total hektikus, kiszamithatatlan epp mit jelenit meg es mit nem, szoval en sem hasznalom, de csak szimplan azert, mert sz@r, amugy nekem elfer az acc -
Krystal_s
addikt
válasz
Krystal_s
#14
üzenetére
Nem csoda, hogy nem találtam a beállítást, ugyanis nem lehet megváltoztatni a régi YouTube felhasználói nevet. Kell hozzá egy G+ fiók.
![;]](//cdn.rios.hu/dl/s/v1.gif)
"Unfortunately, it's not possible to change a traditional YouTube username. You can, however, switch to a Google identity on YouTube." -
Krystal_s
addikt
Én is így gondoltam, hogy elfér az a G+ profil ott üresen, amíg észre nem vettem, hogy bárhogyan állítom be, akkor is nyilvánosan láthatóvá teszi mindenki számára az én Youtube felhasználói nevem, ami egyben az egyik Email címem. Na akkor lett elegem. A legtöbb embernek akadnak olyan ismerősei, akikkel nincs túl jóban, de azok mégis szeretnék követni minden lépését és nem biztos, hogy jó szándékkal.
Amúgy most nézem, hogy lehetne átírni a Youtube felhasználói nevet, hogy ne email cím legyen látható, de nem találom.
-
.mf
veterán
Oh értem, szóval neked az korrekt, hogy engedélyed, beleegyezésed nélkül a hátad mögött csinál ezt-azt, készít rólad publikus profilt, oszt meg adatokat rólad...
De ha az ilyen elvi dolgok nem zavarnak, akkor mondok pragmatikusabbat:
a.) Spameli az értesítőket a postaládámba.
b.) Mivel nem fogok ránézni, ha valaki ott akarja velem felvenni a kapcsolatot, ott akar valamit üzenni, akkor azt nem fogom látni, ami félreértésekre, súrlódásokra adhat okot. -
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
it A cég biztonsági törekvéseit most némi erőszakkal nyomja át: ha valaki nem használja a biztonságosabb sémát, számíthat arra, hogy hátrébb kerül a keresőben.
- Bomba ár! Lenovo ThinkPad E14 Gen2 - Ryzen 7 4700U I 16GB I 256SSD I 14" FHD I Cam I W11 I Garancia!
- Bomba ár! Lenovo L13 Yoga Gen4 - AMD Ryzen 7 7730U I 16GB I 256SSD I 13,3" Touch I W11 I Gari!
- Bomba ár! Lenovo ThinkPad X395 - AMD Ryzen PRO 5 I 8GB I 512GB SSD I 13,3" FHD I Cam I W11 I Gari!
- Bomba ár! Lenovo ThinkPad X280 - i5-G8 I 8GB I 512GB SSD I 12,5" FHD I HDMI I Cam I W10 I Gari!
- Bomba ár! Lenovo ThinkPad T495 - AMD Ryzen PRO 5 I 16GB I 256GB SSD I 14" FHD I Cam I W11 I Gari!
- LG OLED Televíziók -30%
- Xiaomi Redmi Note 9 Pro 64GB / Normál állapotban / 12 hónap jótállással
- ÁRGARANCIA!Épített KomPhone Ryzen 9 5900X 32/64GB RAM RTX 4070 Ti Super GAMER PC termékbeszámítással
- CONCORDE TAB DRACO 8GB 7"
- Telefon felvásárlás!! iPhone 13 Mini/iPhone 13/iPhone 13 Pro/iPhone 13 Pro Max
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest