Új hozzászólás Aktív témák
-
jerry311
nagyúr
A root certnél is alapvetően bukó a self-signed, csak azért nem mert be van jelölve trustednek.
Egy CA attól lesz trusted, hogy a böngésző fejlesztők valamilyen kritériumrendszer alapján* annak ítélik és berakják az alap trusted root készletbe.* Ez lehet akár külső cég listája is.
-
#82729984
törölt tag
Bele van integrálva egy csomó CA mint trusted. Nem csak a chrome-ba, a firefoxba is (sőt a windowsban is van pár alapból).
Innentől kezdve csak annyit kell tenned, hogy bekopogsz valamelyik ilyen CA kibocsátohoz és kérsz (veszel) tőlük egy tanusitványt mondjuk az otp-bank.hu címre vagy az otp2.hu címre.
A korábbi tapasztalatok azt mutatják hogy simán átmész az ellenörzésen, mert leginkább csak azt nézik hogy kifizesd a tanusitvány díját.Innentől kezdve már nincs más dolgod mint létrehozol egy kamu https oldalt mondjuk otp-bank.hu címen amin teljesen lemásolod az otp oldalát, majd szépen emailben kiküldöd a korábban már megvásárolt email listán szereplő címekre, hogy biztonsági okokból kéretik megváltoztatni a jelszót amit a bank oldalán megtehetsz, amit _erre a linkre_ kattintva egyből oda juthatsz.
És ekkor a user odajut a te általad preparált otp-bank.hu oldalra, a böngésző szerint minden szép és zöld és ha nincs az adott banknál több faktoros authentikálás vagy az adott user nem él vele, akkor már meg is van a felhasználónév:jelszó páros a többit a fantáziadra bizom.
Ezért mondtam hogy a https eddig sem védett az álca oldalak ellen.
-
#82729984
törölt tag
"felvetheti ez a jogi felelősségvállalás kérdését a CA részéről?"
Nem valószinü. Azért talán perelhető lenne hogy elmulaszotta a teljes körü ellenörzést (bár ez inkább a hatályos jogi szabályozás megsértése lenne -ha van- amiért az állam büntethet), de az okozott kárért biztos nem.
Kb. mintha bérelnél egy autót amivel kirabolsz egy bankot, a kereskedőt nem perelheti be a bank hogy térítse meg az okozott kárt mert az ő autójával rabolták ki a bankot.
"kitől perelhető vissza a pénz ha nem kapják el a rosszfiút?"
Attól tartok akkor azt bebuktad.
-
#82729984
törölt tag
"elmegyek a bank oldalára ilyen mitm víruskergetővel, mit ír ki a böngésző a cert details alatt?"
A virusirtó saját CA-javal lesz aláírva, nem a bankéval. Jó esetben ott lesz a leírásban hogy ezt ő (mármint a virusirtó csinálta). Rossz esetben csak és kizárólag akkor tudod felismerni ha már előre tudod hogy az adott bank certjének mi az sha hashe mert az el fog térni. A többi adat gyakorlatilag lehet ugyanaz.
"milyen engedély kell mondjuk Win alatt, hogy betegye a viruskergető a saját certjét a trusted poolba?"
rendszergazdai. Ezt meg telepítéskor úgy is bekéri, máskülönben amúgy sem tudna müködni. -
jerry311
nagyúr