Új hozzászólás Aktív témák
-
jerry311
nagyúr
A root certnél is alapvetően bukó a self-signed, csak azért nem mert be van jelölve trustednek.
Egy CA attól lesz trusted, hogy a böngésző fejlesztők valamilyen kritériumrendszer alapján* annak ítélik és berakják az alap trusted root készletbe.* Ez lehet akár külső cég listája is.
-
#82729984
törölt tag
Bele van integrálva egy csomó CA mint trusted. Nem csak a chrome-ba, a firefoxba is (sőt a windowsban is van pár alapból).
Innentől kezdve csak annyit kell tenned, hogy bekopogsz valamelyik ilyen CA kibocsátohoz és kérsz (veszel) tőlük egy tanusitványt mondjuk az otp-bank.hu címre vagy az otp2.hu címre.
A korábbi tapasztalatok azt mutatják hogy simán átmész az ellenörzésen, mert leginkább csak azt nézik hogy kifizesd a tanusitvány díját.Innentől kezdve már nincs más dolgod mint létrehozol egy kamu https oldalt mondjuk otp-bank.hu címen amin teljesen lemásolod az otp oldalát, majd szépen emailben kiküldöd a korábban már megvásárolt email listán szereplő címekre, hogy biztonsági okokból kéretik megváltoztatni a jelszót amit a bank oldalán megtehetsz, amit _erre a linkre_ kattintva egyből oda juthatsz.
És ekkor a user odajut a te általad preparált otp-bank.hu oldalra, a böngésző szerint minden szép és zöld és ha nincs az adott banknál több faktoros authentikálás vagy az adott user nem él vele, akkor már meg is van a felhasználónév:jelszó páros a többit a fantáziadra bizom.
Ezért mondtam hogy a https eddig sem védett az álca oldalak ellen.