Új hozzászólás Aktív témák
-
#82729984
törölt tag
Mondjuk én nem kifejezetten látom hogy mivel lesz biztonságosabb. Inkább csak álbiztonságot ad.
Álcaoldalakat eddig is főleg https oldalakra hoztak létre (tipikusan banki adatok ellopásához, banki bejelentkező weboldalak szimulálásával), ez ellen a https eddig sem védett, ezután sem fog. (legalábbis viszonylag kevesen szokták fejből nyomni a bank tanúsítványának sha hashét, többség számára ez a mondatom is kínaiul van).
Valid (de fake) certet (amit a böngésző hitelesként elfogad) is pikk-pakk lehet csináltatni mint az számtalanszor kiderült, a CA kibocsátok sokszor alapvető dolgokat sem ellenőriznek, már amikor épp nem lopják el tőlük a CA titkosító kulcsát...
És ekkor ezután adja magát a kérdés hogy vajon egy sima tartalomfogyasztásra szánt oldalnál tényleg mi értelme a https-nek.
-
#82729984
törölt tag
Bele van integrálva egy csomó CA mint trusted. Nem csak a chrome-ba, a firefoxba is (sőt a windowsban is van pár alapból).
Innentől kezdve csak annyit kell tenned, hogy bekopogsz valamelyik ilyen CA kibocsátohoz és kérsz (veszel) tőlük egy tanusitványt mondjuk az otp-bank.hu címre vagy az otp2.hu címre.
A korábbi tapasztalatok azt mutatják hogy simán átmész az ellenörzésen, mert leginkább csak azt nézik hogy kifizesd a tanusitvány díját.Innentől kezdve már nincs más dolgod mint létrehozol egy kamu https oldalt mondjuk otp-bank.hu címen amin teljesen lemásolod az otp oldalát, majd szépen emailben kiküldöd a korábban már megvásárolt email listán szereplő címekre, hogy biztonsági okokból kéretik megváltoztatni a jelszót amit a bank oldalán megtehetsz, amit _erre a linkre_ kattintva egyből oda juthatsz.
És ekkor a user odajut a te általad preparált otp-bank.hu oldalra, a böngésző szerint minden szép és zöld és ha nincs az adott banknál több faktoros authentikálás vagy az adott user nem él vele, akkor már meg is van a felhasználónév:jelszó páros a többit a fantáziadra bizom.
Ezért mondtam hogy a https eddig sem védett az álca oldalak ellen.
-
#82729984
törölt tag
"felvetheti ez a jogi felelősségvállalás kérdését a CA részéről?"
Nem valószinü. Azért talán perelhető lenne hogy elmulaszotta a teljes körü ellenörzést (bár ez inkább a hatályos jogi szabályozás megsértése lenne -ha van- amiért az állam büntethet), de az okozott kárért biztos nem.
Kb. mintha bérelnél egy autót amivel kirabolsz egy bankot, a kereskedőt nem perelheti be a bank hogy térítse meg az okozott kárt mert az ő autójával rabolták ki a bankot.
"kitől perelhető vissza a pénz ha nem kapják el a rosszfiút?"
Attól tartok akkor azt bebuktad.
-
#82729984
törölt tag
"elmegyek a bank oldalára ilyen mitm víruskergetővel, mit ír ki a böngésző a cert details alatt?"
A virusirtó saját CA-javal lesz aláírva, nem a bankéval. Jó esetben ott lesz a leírásban hogy ezt ő (mármint a virusirtó csinálta). Rossz esetben csak és kizárólag akkor tudod felismerni ha már előre tudod hogy az adott bank certjének mi az sha hashe mert az el fog térni. A többi adat gyakorlatilag lehet ugyanaz.
"milyen engedély kell mondjuk Win alatt, hogy betegye a viruskergető a saját certjét a trusted poolba?"
rendszergazdai. Ezt meg telepítéskor úgy is bekéri, máskülönben amúgy sem tudna müködni. -
#82729984
törölt tag
válasz
#14595328
#32
üzenetére
Az a baj hogy itt sok kavar van a fogalmakkal. Pl. a google a biztonság szóval operál, holott a https ezt nem garantálja.
Csak a titkosítást, tehát attól nem lesz biztonságosabb a web hogy a forgalom https-en keresztül megy.
A Let's Encrypttel viszont az a baj (és minden más hasonlóan könnyen megszerezhető certtel kecsegtető szervezettel), hogy ez annyit hogy jelent hogy innentől kezdve bárki bárkinek a nevére generálhat certet ami a rosszindalatú hackerek vágyálma.
Mert honnan fogja tudni egy program, hogy én vajon az otp.hu jogos birtokosa vagyok? Onnan hogy a checkboxot bepipáltam hogy isten bizony én vagyok az?
Eddig legalább kicsit küzdeni kellet érte, mondjuk személyesen megjelenni a megfelelő papírok birtokában.
-
#41
#82729984
törölt tag
fordfairlane
#37
#82729984
törölt tag
válasz
fordfairlane
#37
üzenetére
Kiadhatna, de akkor már magánszemélynek is (hisz nem kötelező cégnek lenni).
és ekkor bejön az a probléma, hogy vajon az amerikában bejegyzett lets encrypt elfogadhatja és/vagy képes-e ellenörizni, hogy az állítólagos kambodzsai cégbiróság által aláírt certet ami szerint az otp.hu egy kambodzsai cég tulajdona az valid-e. Vagy hogy nem vonták-e időközben vissza a certet, vagy épp a kambodzsai cégbiróság certjét.
És itt máris megérkeztünk az egész rákfenéjéhez és amiért nem müködik túl jól ez az egész rendszer. Baromi nehéz ezt a láncot ellenörizni és végig hitelesen tartani, miközben elég ha bekerül a trusted ca-k közül egy utolsó kis afrikai porfészek országban lévő akármilyen szervezet, ahol néhány dollárért arról is kapni fogsz egy plecsnit hogy te vagy a dalai láma
-
#82729984
törölt tag
Azért ez az autós példád sántít. Ha már hülye autós példák, akkor ez inkább olyan mintha a hatóság bejelentené hogy mostantól mindenkinek kötelező a a biztonsági öv aki a közlekedésben részt vesz.
A kerékpárosnak, a rolleresnek és a gyalogosnak is! Punk-tum, mert ők is részt vesznek a közlekedésben.
Új hozzászólás Aktív témák
it A Google hamarosan büntetni kezdi a titkosítással el nem látott honlapokat. A mottó: minden adatforgalom legyen titkosított!
