Új hozzászólás Aktív témák
-
Ligend
tag
"csak ha te generálod, biztos lehetsz benne, hogy nem adták le az nsa-nak a titkos kulcsot."
Ezt szerintem pontosítsuk, mert félreértésekhez vezet. A 3rd party CA-nak, aki a certificate request aláírását (hitelesítését) végzi, nincs birtokában a privát kulcs. Azt minden esetben az igénylő birtokolja, és nem adja ki. A request mindössze a publikus kulcsot tartalmazza, illetve értelemszerűen a tanúsítvány tárgyát (subject) és egyéb technikai adatokat (verzió, használt algoritmusok megnevezése, hash, attribútumok, stb.).
Nyilvánvalóan egy RSA publikus kulcsból elő lehet állítani annak privát párját, ez azonban rendkívül számításigényes. A prímfaktorizációs algoritmusok fejlettsége és a jelenleg elérhető számítási kapacitások miatt már az 1024 bites RSA kulcsok nem számítanak biztonságosnak, 2048 bites kulcspárok használata javasolt. Amennyiben a privát kulcsot tartalmazó szervert nem kompromittálják egy 0-day vagy ismert sérülékenység kihasználásával (pl: Heartbleed), és szerzik meg róla a privát kulcsot, meglehetősen komoly kihívás egy SSL kommunikációt lehallgatni és visszafejteni.
Ahogy korábban is írták többen, a vállalati környezetben alkalmazott SSL-képes proxy megoldások beékelődéses megoldással működnek. Ennek azonban feltétele, hogy a kliensek hitelesnek fogadják el a proxy által titkosított kommunikációt, vagyis rendelkezzenek azzal a CA tanúsítvánnyal, mely a proxy tanúsítványát hitelesítette, és megbízhatónak tartsák azt. Out-of-box ezt nem tartalmazzák a böngészők, külön telepítést igényel.
-
zolij
tag
na akkor tegyük tisztába a dolgokat:
- a startssl cert ingyenes, teljesen jó https-re, az elterjedt böngészők zokszó nélkül elfogadják (persze csak titkosításra jó, szervezet hitelesítésére nem, de akinek ilyen kell az fizessen)
- ez a fix ip / külön ip kell megint csak hülyeség, utoljára ez a windows xp + ie6 párosnál volt így, de aki még mindig ezeket használja, azoknak még azelőtt ellopják az összes adatát, hogy https oldal közelébe kerülneEttől függetlenül én se értek egyet a https kényszerítéssel, ahol nem közlekedik (user)adat, ott totál felesleges.
-
Kékes525
félisten
-
djgeg
őstag
Szerintem arra gondolt, hogy biztonság fokozása érdekében (vagy ssl összes/kívánt adatcsomagok blokkolása érdekében) vannak tűzfalak amik realtime "fejtik" vissza az SSL, majd saját certin keresztül folyik tovább az adat a felhasználóknak. "man-in-the-middle attack"
Azonban ez gyakorlatilag csak foward, nem SSL "feltörése" menet közben mivel a megfelelő certi kell a tűzfalnak is, hogy vissza tudja fejteni. Annyi a lényeg, hogy a tűzfal az SSL el titkosított adatokba is belenézhet, így növelve a biztonságot...
Ha fontos a Social engineering valahol akkor ajánlatos, de a felhasználók nem szokták komálni
"Inbound SSL decryption
In this case, the administrator imports a copy of the protected server’s certificate and key. Once the SSL server certificate is loaded on the firewall, and a SSL decryption policy is configured for the inbound traffic, the device will be able to decrypt and read the traffic as it forwards it on. No changes will be made to the packet data, and the secure channel will be built from the client system to the internal server. The firewall will be able to detect malicious content and control applications running over this secure channel." -
DaveJr
őstag
Nem az oprendszer oldalról beszélünk.....
buherton Google a barátod. Itt a bankban lévő tűzfal+proxy így működik (leegyszerűsítve)
1) egy saját aláírt SSL tanusítványt raknak a böngésző alá
2) https-t a kulccsal visszafejtik
3) ellenőrzik az adatokat
4) újrakódolják a weboldaltól kapott kulccsal és elküldik -
bambano
titán
fene tudja... nem látom, hogy pontosan mi van mögötte.
sima cert-et tudsz generálni parancssorból, az is ér annyit, mint a nem ellenőrzött startssl. csak ha te generálod, biztos lehetsz benne, hogy nem adták le az nsa-nak a titkos kulcsot.de ez az egész egy értelmetlen huzavona mindaddig, amíg nem ismerünk hibamentes ssl implementációt. márpedig ilyen most nincs.
-
-
Dezsike
tag
Sokkal egyszerűbb megoldás mindent szűrni a tűzfallal és csak azt a forgalmat átengedni amire a munkához szükség van, a céges szoftverek gyártói részletes listát szoktak adni a működéshez szükséges IP és port tartományokról. Ha a munkavégzéshez elengedhetetlen a teljes Internet elérés akkor hasznos ez, de ilyen munkával nem túl gyakran találkoztam.
Hogy a témához is hozzászóljak, sok esetben valóban elfelejtik a HTTPS használatát olyan helyeken, ahol érzékeny adatok mozognak. DE, nagyon sok olyan oldal van, ami szimplán csak információt közöl illetve olyan adatokat kell megadni, ami nem érzékeny. Ilyen helyeken nem szükséges a HTTPS, ezért hátrébb sorolni értelmetlen. Ezt kategóriákra lenne értelme osztani, például a webshopokat valóban jó ötlet ilyen esetben hátrébb sorolni, viszont a kutyafajtákat leíró oldalakat nem.
-
#30
DaveJr
őstag
dragon1993
#24
DaveJr
őstag
válasz
dragon1993
#24
üzenetére
Ja csak nem minden tárhely szolgáltató engedi használni....
Plusz saját fix IP akkor is kell (ha jól tudom) ami megint csak fizetős a legtöbb helyen.buherton: Több dolgot is írtam. Melyikre gondolsz?
-
egak
csendes tag
Szerintem egy teljesen standard man-in-the-middle támadással meg tudja csinálni. A tűzfalnak van egy saját tanúsítványa a google.com-ra kiállítva, te azt látod, ő meg rendesen csatlakozik a Google-höz. Normál esetben a böngésződ észrevenné a támadást és visítana az áltanúsítvány miatt, de itt nem fog, mert böngészőt úgy állítják be, hogy a céges kibocsátó kitörölhetetlenül ott legyen a megbízható kibocsátók listájában.
-
Cathulhu
addikt
Megis mit csinal a hatam mogott? Ha nem toltom ki a profilt, nem lesz adat amit mas is lat.
a) ezt meg el tudom fogadni, de szimplan bolhabol elefantnak erzem
b) netto hulyeseg, ha nem hasznalod, nem igazolsz vissza senkit, senki nem fog rajta keresni#14:
engem sok egyeb dolog zavar, pl az hogy boldog boldogtalan hozzaadhat az o koreihez, tenni nem tudok ellene, vagy hogy az uzenofal total hektikus, kiszamithatatlan epp mit jelenit meg es mit nem, szoval en sem hasznalom, de csak szimplan azert, mert sz@r, amugy nekem elfer az acc -
Krystal_s
addikt
válasz
Krystal_s
#14
üzenetére
Nem csoda, hogy nem találtam a beállítást, ugyanis nem lehet megváltoztatni a régi YouTube felhasználói nevet. Kell hozzá egy G+ fiók.
![;]](//cdn.rios.hu/dl/s/v1.gif)
"Unfortunately, it's not possible to change a traditional YouTube username. You can, however, switch to a Google identity on YouTube." -
Krystal_s
addikt
Én is így gondoltam, hogy elfér az a G+ profil ott üresen, amíg észre nem vettem, hogy bárhogyan állítom be, akkor is nyilvánosan láthatóvá teszi mindenki számára az én Youtube felhasználói nevem, ami egyben az egyik Email címem. Na akkor lett elegem. A legtöbb embernek akadnak olyan ismerősei, akikkel nincs túl jóban, de azok mégis szeretnék követni minden lépését és nem biztos, hogy jó szándékkal.
Amúgy most nézem, hogy lehetne átírni a Youtube felhasználói nevet, hogy ne email cím legyen látható, de nem találom.
-
.mf
veterán
Oh értem, szóval neked az korrekt, hogy engedélyed, beleegyezésed nélkül a hátad mögött csinál ezt-azt, készít rólad publikus profilt, oszt meg adatokat rólad...
De ha az ilyen elvi dolgok nem zavarnak, akkor mondok pragmatikusabbat:
a.) Spameli az értesítőket a postaládámba.
b.) Mivel nem fogok ránézni, ha valaki ott akarja velem felvenni a kapcsolatot, ott akar valamit üzenni, akkor azt nem fogom látni, ami félreértésekre, súrlódásokra adhat okot. -
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Dell Latitude 5320 -60% "Kis Gamer" Üzleti Profi Ultrabook 13,3" i5-1145G7 8/256 FHD IRIS Xe
- Apple IPad pro 12.9 4th gen 256GB wifi+sim 97%-os Gyári akku
- PlayStation 5 (PS5.) SLIM 1TB. SSD. Digital Edition & Sony PlayStation VR2. Virtuális szemüveg.
- Dell Precision 3580 i7-1370P//32GB DDR5 RAM// 1TB SSD/ RTX A500
- ÁRCSÖKKENTÉS Menő retró konfig: Q9550, Gigabyte P43, 4GB RAM, ASUS GT730
- BESZÁMÍTÁS! ASROCK B550M R9 5900X 32GB DDR4 1TB SSD RTX 3080TI 12GB ZALMAN I3 NEO GIGABYTE 850W
- Bomba ár! Lenovo ThinkPad X250 - i7-5GEN I 8GB I 256GB SSD I 12,5" HD I Cam I W10 I Garancia!
- Bezámítás! HP Victus 16-D0655NG Gamer notebook - i5 10400H 16GB DDR4 512GB+1TB SSD RTX 3060 6GB W11
- GYÖNYÖRŰ iPhone SE 2020 64GB Red -1 ÉV GARANCIA - Kártyafüggetlen, MS2896, 100% Akkumulátor
- ÁRGARANCIA!Épített KomPhone Ryzen 5 7500F 32/64GB RAM RTX 5060 Ti 8GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: FOTC
Város: Budapest