2. Fórumok
  3. OS, alkalmazások
  4. Linux kezdőknek
  5. (kiemelt téma)
Keresés
  • Téma összefoglaló
    Utoljára frissítve: 2023-12-13 05:03

    Fototrend

    Linux kezdőknek - érdemes beleolvasni, mielőtt kérdezel

Új hozzászólás Aktív témák

  • #88985 urandom0 senior tag Rowon #88969
    Új Válasz #88985
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    urandom0

    senior tag

    válasz Rowon #88969 üzenetére

    Azt hittem, hogy weboldalaknál, ami HTTPS-sel kezdődik, az kóser.

    sh4d0w már leírta az ezzel kapcsolatos tudnivalókat, én csak annyit tennék hozzá, hogy ha van egy webszerverem, kb. 3 percbe telik generáltatni hozzá egy teljesen érvényes tanúsítványt, amiről egy átlagos felhasználó soha nem mondja meg, hogy mennyire valid. Ő csak annyit lát, hogy ott a kis lakatka a címsorban, és azt hiszi, hogy ettől kóser a weboldal, miközben simán lehet adathalász is az adott oldal...

    Szerintem a böngészőgyártók nagyban sárosak abban, hogy elhitették az emberekkel, hogy ami https és zöld lakatos, az megbízható és biztonságos, ami nem, az pedig nem. Pedig ez egyáltalán nincs így.

  • #88975 sh4d0w félisten Rowon #88969
    Új Válasz #88975
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    sh4d0w

    félisten

    LOGOUT blog

    válasz Rowon #88969 üzenetére

    Okes, tisztazzuk: ha egy website SSL/TLS titkositast hasznal, az annyit jelent, hogy kozted es a webszerver kozott titkositott csatornan aramlanak az adatok - semmi tobbet. Ha az a webszerver egy tamado kezeben van, fujhatod a titkositast. Ha magaban az SSL/TLS protokoll implementaciojaban hiba van, fujhatod. Ha tegyuk fel, a Google valamelyik oldalara mesz fel, ami SSL/TLS titkositast hasznal, szuper biztonsagban vagy, amig mondjuk egy Yahoo-fele kokler hulyetol be nem huz valamit, akik meg elcseszik a sajat reszuk korrekt deplymentjet/implementaciojat.

    Alapbol egy bizalomra epul az egesz HTTPS koncepcio: megbizol abban, aki kiadja a partnerednek a certifikaciot arrol, hogy o az, akinek mondja magat. Tegyuk fel, hogy a partnered megbizhato, tenyleg az, akinek kiadja magat.
    De mi van a Root CA-val, aki ezt a tanusitvanyt kiallitja? Torhetetlen? Biztos, hogy torhetetlen? Megbizhato? Tudja auditalhatoan bizonyitani, hogy amit o kiad a kezebol, mint tanusitvany, az tenyleg megbizhato?

Új hozzászólás Aktív témák