Új hozzászólás Aktív témák
-
Ha a pálinkafőzési technikádat szeretnéd megosztani a világgal 1997-es Geocities stílusban (de akkor ahhoz 3D-ben pörgő kukacjel is dukál, legalább három per oldal), akkor valóban kevés haszna van. Egy kevés azért még akad, hogy garantáltan a te pálinkafőzésedet fogják olvasni. Nem a gonoszoké jeleneik meg, ami azt mondja, hogy az első kortyokat kóstold meg, és ha finom, folytasd a főzést. Aztán mikor papó otthon megmurdál, és asszony beperel, hogy te tehetsz papó haláláról, akkor nézhetsz nagyokat.
-
djsilas
tag
Mi a baj a Netlockkal? Mármint Erstének "B"-s tanúsítványa van: ember ellenőrzi, hogy létezik-e a cég, érvényesek-e a beadott céges iratok, sőt, az igénylőt (vagy képviselőjét) személyesen face-to-face validálják. Nem mellékesen felelősség biztosítás van mögötte... Hol itt a probléma?
Igazából... ez szerintem pont egy általad is említett EV Certnek felel meg!
Szubjektívan azért egy banktól elvárnék (legalább a netbankos rendszerben) egy "A" osztályt, de sima publikus oldalra szerintem bőven elfogadható a Netlockos tanúsítvány.
-
-
TomMusic
őstag
Na, megoldottam máshogy. Külön tanusítványt csináltam a www nélküli domainre, és hozzáadtam az apache configban.
Úgy néz ki, működik.
Egy észrevétel, ugyebár 3db fájlt kell megadni az apache configban. Van egy issuer, azaz a kibocsájtó tanusítvány. Ebből látszólag lett generálva egy ugyanolyan nevű ("ca-<kód>-crt.pem") mint ami eddig is volt, de nem írta felül a régit (amit pár hete csináltam még, a www domainre), mondjuk az érvényes még vagy 3 évig. De ez így oké? Szóval ha több domainre van egy-egy tanusítvány, akkor ebből a fajta tanusítványból (tehát ami a kibocsájtó [Let's Encrypt Authority X3] tanusítványa) elég csak 1db, jól gondolom? -
togvau
senior tag
tudom értelmezni a kamuanimációkat, csak nem foglalkozom velük. A titkosított úgy is lassabb mint a nem titkosított. Nem 1% a lassulás, + a fölösleges meló a titkosítással, és a a kisebb szereplők kiszorítása káros. Még szerencse hogy van másik kereső is, ami nem sorolja a nagyobb szereplőket a kisebbek elé.
-
De ez az EV leginkább csak bankoknak kell
Apropó, az Erste Banknak primitív, netlockos tanúsítványa van, kész röhej. Amikor először megláttam (tavaly számlát nyitottam náluk), azt hittem elraboltak.De ha megszenjuk a szegény bankot, és mindenki bedob a közösbe itt párszáz forintot, akkor hamar összejön egy 70 dolláros EV tanúsítványra való, amit felajánlhatunk nekik szeretetből.
-
válasz
TomMusic
#131
üzenetére
A certbot letsencrypt-auto scriptje így kezdi:
Which names would you like to activate HTTPS for?
-------------------------------------------------------------------------------
1: cxxxxxx.com
2: www.cxxxxxx.com
-------------------------------------------------------------------------------
Select the appropriate numbers separated by commas and/or spaces, or leave input
blank to select all options shown (Enter 'c' to cancel):Szóval izé, ez megy magától. Egyszerűen felsorolod a szükséges domaineket egy listában, és mindre megkapod a certet.
-
azbest
félisten
jaja erre gondoltam alias alatt, de közben látom, hogy ez a hivatalos neve:
Can I get a certificate for multiple domain names (SAN certificates or UCC certificates)?
Yes, the same certificate can contain several different names using the Subject Alternative Name (SAN) mechanism. [link] -
-
azbest
félisten
Nekem google találatokban fordult elő általában, ez a különösen vicces.Azt hiszem főleg mobilarénás tartalomnál. Lehet valami bot konfigban kell tiltás a www-re, hogy azt ne indexeljék be a keresők.
Ja, nem a tanusítványra magára gondoltam, hanem a www és nem www változatra, hogy persze nem passzol ha nincs alias a tanusítványban rá vagy valami más mágia -
Ez nem a LE tanúsítvány problémája. Van neki egy apache konfigurátora, ami auto megcsinálja a virtualhostokra a HTTPS-t. Na most ez csak úgy működik, ha minden egyes virtualhost külön fájlban van definiálva. És ugye pl a prohardver.hu és a www.prohardver.hu az két külön host, ha ezek egy fájlban vannnak, csak az egyikhez tud tanusítványt csinálni az auto konfigurátor.
Persze nálunk még az a fura, hogy sehol nem használunk www-t, mégis egy csomó ilyen link van a google-ben. A sima http www az átirányít a www nélküli https-re, ez jó. De a www https verziója meg nem értem honnan került elő, nem használjuk sehol, nem irányítunk át rá, stb. Mindenesetre úgy tűnik mindenképp kell ezekre tanúsítvány, csak ehhez ugye a konfigot megfelelő formába kell hozni.
-
-
-
borg25
senior tag
válasz
#03412736
#118
üzenetére
Ha a proxyn vizsgálni akarják az átmenő https forgalmat is nem csak a http-t, akkor Man-In-The-Middle módszerrel élnek, s a proxy tanúsítványát berakják a megbízhatóak közé. Aztán a proxyra van bízva, hogy mit tesz a nem biztonságos tanúsítványokkal, megtagadja a forgalom továbbítását, vagy figyelmen kívül hagyja. Egyik oldalt a biztonság, másik oldalt a tömeg user akarat.
A felhasználók minden egyes alkalommal azt látják, hogy megbízható https-t használnak. -
Ja, az EV az már elvileg tényleg maxivalid, ellenőrzött. Csak hát az se ér semmit, ha a júzer nem tudja hogy azt kéne nézni. De ez az EV leginkább csak bankoknak kell, minden másra ott a Lets Encrypt. Utóbbiból egyedül a wildcard support hiányzik, de két hét múlva az is itt lesz.
Neked mire kell EV? És miért cumi a LE?
-
Azért lássuk be, hogy az üzleti feladatokra nem a Let's Encrypt a nyerő. Olcsó, meg minden, de gyakran van vele cumi. Én is azt használom, de most inkább előfizetek egy EV-re, és ne is lássak tanusítványokat 2 évig.
A LE arra való, hogy MINDENKInek lehessen saját tanusítványa.
-
0xmilan
addikt
válasz
TomMusic
#115
üzenetére
Erre borg25 tudna valaszolni. En ilyen gyakorlattal meg nem talalkoztam, csak a technikai oldala miatt irtam, hogy nem olyan egyszeru kivitelezni, mert vagy elore kell telepiteni a gepekre a tanusitvanyt vagy a bongeszoben hozza kell adni a kivetelekhez.
A cel az adatforgalom megfigyelese, esetleg modositasa lehet, de erre most hirtelen nem tudok torvenyes indokot mondani. Normalis ceg szerintem nem csinal ilyet. -
0xmilan
addikt
Gondoltam en is, hogy reagalok valamit, de nem tudtam eldonteni, hogy komolyan irta-e. Ha igen, akkor valami hasonlo lett volna a valaszom.
viszont
Ha a céges tűzfal az összes https forgalmat felbontja és mindenhol kicseréli a saját tanúsítványával, akkor szerinted a tanúsítványból honnan fogja a felhasználó tudni, hogy épp nem az otp szerverével kommunikál?
Ilyenkor a bongeszo sikitozik, hogy nem ismeri a mokolt certet, ezert nem szeretne tovabbengedni. Elofordulhat, hogy az osszes ceges gepre telepitve van a sajat root cert, de akkor mar reg rossz, valoszinuleg illegalis is lenne. Meg persze a r=1 usernek az elso dolga a figyelmezteto uzenet lattan, hogy gondolkodas nelkul hozzaadja az ismeretlen certet a kivetelekhez. Csak mukoggyon ma'.
-
bhonti
aktív tag
Fenntartom, az égvilágon semmi szükség nincs rá, hogy pl. a napi menüt, vagy az időjárást https-en kelljen megnézni. Meg úgy 90%-ban bármit ami belépés nyilvános információ mindenkinek. És nem kattintgatok rajta, csak megnyitom 1x... De ahogy nézem úgyis hiába mondom, pedig tök nyilvánvaló.
-
Gondoltam, csak tisztáztam, hogy közérthető legyen.
A HTTPS maga szerintem nem ad bizalmat, de a semminél jobb. Inkább úgy fogalmaznék, hogy eleve megbízható oldal esetén jön jól, mert nem fogják pl ellopni az accodat egy mezei sniffeléssel.
Szabvány szerint a HTTP 2.0 támogat titkosítatlan adatforgalmat. De a böngészők ezt egyáltalán nem támogatják, ezzel sarkallva a weboldalakat a TLS használatára. Így minden eseteben https:// lesz a protokoll. Ami nem kerül semmibe. Legacy cuccok meg maradhatnak régebbi HTTP verzión, majd kikopnak.
-
Ordas baromság. TLS-t kb minden támogat, ráadásul Forward Secrecy-vel. Lásd itt. XP-n IE alatt nem megy a PH meg Android 4.0 előtti verziók alatt, de azok se a TLS, hanem az SNI hiánya miatt. Ezek nem 5 éves rendszerek, hanem jóval régebbiek.
Legacy rendszereket meg hagyjuk már ki a buliból, főleg, hogy a böngészős Java hiányának semmi köze a HTTPS-hez. Ezek nagyon speciális esetek. Ha ezekre az érvekre hallgatnának, akkor máig XP-t használnák.
-
borg25
senior tag
"Senkinek nem árt a HTTPS, viszont annál jóval több jót hoz. Értelemszerűen nem 100%-os védelem, de röhej, hogy az internet leghasználtabb protokolja nem titkosított. "
Viszont amit mondasz az fordítva is igaz:
Senkinek sem árt a HTTP, viszont a (HTTPS-nél) jóval egyszerűbb, kis mértékben gyorsabb. Értelemszerűen nem 100%-os védelem, de röhej, hogy mindenhol titkosítani kellene. Akkor is, ha van egy 5 éves eszközöd ami nincs felkészítve a titkosításra és a böngésző nyomja a képedbe az üzenetet, hogy a felhasználói név és jelszó amit megadsz az nem biztonságos. (esetleg majd nem hajlandó kommunikálni a böngésző a géppel) Te is tudod ezt, de frissítés hiányában csak annyit tudsz tenni, hogyha nem otthonról akarod elérni az eszközt, akkor VPN-t használsz. Megbízol abban, hogy a tv-det nem törték fel, nem fut rajta tcpdump, és a router/switch arp tábláját nem terhelik túl, hogy mezei hubként viselkedjen és a tv is lássa milyen kommunikáció zajlik a két számítógéped, vagy a router és a pc közt a pc felé.Az számomra hátborzongatóbb, hogy fent kell legyen a gépemen a Firefox 40.0 változata, mert az IE-n kívül még az hajlandó java-t futtatni. Te is tudod, én is tudom, sőt a fejlesztő is tudja, hogy java-t nem kéne 2018-ban használni egy webes programban. De ha egy szoftvert ez előtt 10 éve abban írtak meg, a fejlesztése dollármillió volt, és a fejlesztőnek dollármilliárdokat hoz, nem fogja kidobni belőle a java-t, mert ilyen a termék életciklusa. A végén meg szívsz, és használsz ősöreg böngészőt, http-t mert nincs más.
Aztán jönnek az önjelölt próféták és beüvöltik, hogy le a http-vel. Persze, ha lehet, de van úgy hogy nem. Megszoksz, vagy megszöksz. -
TomMusic
őstag
Vagy csak lehet a konfiggal van baj. Nekem is letsencrypt van, és ha www nélkül akarok a szerveren olyan anyagra hivatkozni, ami nincs, akkor nem azt kapom a böngészőben, hogy hülye vagyok, hanem hogy nem biztonságos az oldal.. De ha www-vel írom be, akkor már az apache üzenete jelenik meg, biztonságos weboldalként. Nyilván ez amiatt van, hogy a tanusítványt a www.<domain>-re kértem, de bekonfigoltam az apache-ban az átirányítást, csak hát mint látni, nem teljesen jól. Sajnos nem teljesen látom át a cfg-ben lévő direktívákat (vagy modulokat), szóval kissé szöszölni kell vele...
-
elithun
őstag
Lehet túgy hangzott, hogy a https külön protokollnak gondolom, de nem gondolom azt.
Jelenlegi állapot szerint https mellett lehet némi bizalmat szavazni egy weboldalnak.Ellenben azt nem tudom, hogy http 2.0-nál lesz-e valamilyen megkülönböztetés a titkosított és titkosítatlan kommunikáció között, főleg olyan szempontból, hogy, ha böngészők csak a titkosítottat engedik, akkor a user számára annyi lesz csak az újdonság (ránézésre), hogy már a http is biztonságosnak tekinthető?
-
Male
nagyúr
Alapból valóban pillanatok alatt megvan a Let's Encrypt megoldás, de van amikor gond van vele. Pl egyik ügyfélnél, visszadobja, hogy a DNS bejegyzés más IP-re mutat, ezért nem megy. ("The domain “xxxxxx.xx” resolved to an IP address “y.y.y.y” that does not exist on this server." ...namost az y.y.y.y valóban nem az a szerver ahová mutatnia kéne, nem ott van az oldal, de valahogy mégiscsak bejön az oldal, és onnan ahonnan kell
mondjuk az ügyfél intézte a DNS beállításokat, én majd csak pénteken látom, hogy mi van esetleg elcseszve.... na most, hogy ezt megírtam, ránéztem, ha pingelem, akkor az y.y.y.y IP-t dobja erre a domainre valóban, ugyanakkor az oldal nem ott van... lehet, hogy az IP beadása helyett valami átirányítást csinált ) Négy oldal van nála, amikre ő intézte, és mind a négynél ez van... amiket én intéztem, azoknál semmi gond, valóban.
Illetve az automatikus hosszabbítással is volt már gond, amitől https-sel elérhetetlenné vált az egyik oldal, igaz, azóta eltelt legalább egy év, talán már megbízhatóvá vált. -
Tegyük ezt kicsit rendbe:
1. Csak HTTP protokoll van, a HTTPS az valójában csak HTTP + SSL/TLS.
2. HTTP-ből az 1.1 megy mostanában kb mindenhol, de két éve van már HTTP 2.0.
3. Ezt a böngészők csak TLS mellett supportálják, hiába enged a 2.0 szabvány szerint titkosítatlan adatforgalmat.
4. Előbb-utóbb a HTTP 1.1 kuka lesz, csak HTTP 2.0 lesz és az is csak TLS-sel, azon belül is TLS 1.2, mert ugye a régebbi verziók nem vagy kevésbé biztonságosak.
-
Szalmabáb érvelés.
Senkinek nem árt a HTTPS, viszont annál jóval több jót hoz. Értelemszerűen nem 100%-os védelem, de röhej, hogy az internet leghasználtabb protokolja nem titkosított. Persze pl intranetre publikus ip nélkül nem lehet érvényes tanusítványt csinálni, ott maradhat, de amúgy mindenhová ahol lehet kötelezővé tenném a HTTPS-t. Pillanatok alatt, ingyen lehet rá upgradelni, lásd Lets Encrypt.
-
elithun
őstag
[link]
A https kezd lenni a standard, aki nem akar hétvégi projektes fejlesztőnek tűnni, és érdeke, hogy ne legyen biztonsági kockázatra felhívó üzenet az oldala előtt mikor a keresőből lép rá, akkor https-t kell használnia.
A plusz biztonság nem árt. Még statikus portfóliós oldal esetén sem. -
borg25
senior tag
válasz
#03412736
#97
üzenetére
Akkor térj át mihamarabb ARM-re ne használj már olyan elavult 30 éves technológiát mint az x86 architektúra, oké, hogy folyamatosan pofozgatják, de akkor is, az elv az elv. Nem is értem miért lehetnek egyes számítógépfarm üzemeltetők ennyire begyöpösödöttek, hogy x86-ot használnak.
A szalonna is káros, ne is egyél, a paradicsom meg zöldség belegondolni is rossz hányszázezer éves, éljenek a vegyipar élelmiszer remekei, persze ha nem zavar, hogy a benne lévő protonok 11 milliárd évesek.Az nem zavar, hogy a HTTP sok helyen például otthoni hálózatban még tökéletesen elegendő? Hogy nem az S-től lesz biztonságos a web hanem a felhasználótól? Hogy oké, hogy lehet titkosítani a kapcsolatot, meg tanúsítvány ellenőrzés tartani, de ha a felhasználót nem zavarja, hogy az az otp tanusítványát a Kualalupuri Hamis Bt állította ki, akkor szerinted a https biztonságos? Ha a céges tűzfal az összes https forgalmat felbontja és mindenhol kicseréli a saját tanúsítványával, akkor szerinted a tanúsítványból honnan fogja a felhasználó tudni, hogy épp nem az otp szerverével kommunikál?
Kijelentés megfogalmazása előtt gondolkodni szabad. -
-
#95
TomMusic
őstag
harusakura1
#94
TomMusic
őstag
válasz
harusakura1
#94
üzenetére
Hát igen, ha jóskapista hekker beregisztál egy gmaail.com domaint, csinál rá egy SSL-t, nyilván látszólag minden okés lesz az oldallal, de az a felhasználón múlik, hogy elolvassa, milyen címet is nyitott meg. Az unicode domain problémát most egyelőre meg tegyük félre..
(Vagy az már javítva lett a böngészőkben?)
Szóval nem csak azt kell nézni, hogy zöld, hanem a domain (weboldal) címét is. -
borg25
senior tag
Rámutattatok, de nem lett kimondva, az egésznek egyetlen hibája van:
Az egyszeri user innentől kezdve meg fog nyugodni hogyha https-t lát, mert a google most belesulykolja, hogy https-től lesz biztonságos a világ, és boldogan adja meg a jelszavát a https://opt.hu-n
Eddig legalább benne volt, hogy a web nem biztonságos, és oda kell figyelnie, hogy az az oldal tényleg-az-e amit ő akar. Talán még a certificatet is megnézte, hogy ki állította ki... oké bilibe lóg a kezem -
#81
hcl
titán
KergeK@csa
#80
válasz
KergeK@csa
#80
üzenetére
Mondjuk én sem értem, hogy találták ki a lassítást, mikor azt a CPU vágzi, a sebesség pedig inkább az adatátviteltől függ - a titkosítás semmilyen észrevehető lassulást nem okoz.
-
#80
KergeK@csa
tag
KergeK@csa
tag
Vicces, amikor fogalmatlan emberek aggodnak a HTTPS altaluk velt lassitasa miatt (letezik, kb 1%-os nagysagrendu...), de kozben persze fogalmuk nincs a HTTP/2-rol, ami ellenben rengeteget gyorsit, ellenben ahhoz szukseges a HTTPS is.
-
TomMusic
őstag
Azért páran itt jó merész kijelentéseket tesznek.
Szerintem nem értik hogy mi is az a HTTPS, vagy legalább hogy mire jó.
Elméletileg nem tudnak a kliens és szerver közé beférkőzni a hekkerek, ezáltal saját oldalukra irányítani, és/vagy adatot kiszivárogtatni/injektálni.
Még ha nem is 100%-os a védelem (amit tudunk nagyon jól, hogy még elméletileg sem létezhet), azért egy nagy fokkal biztonságosabb, mint a sima HTTP.
Amúgy ez az "újítás" nem is újítás.. Ugyanis ha adatbevitelre kerül sor egy nem secure oldalon, rögtön megjelenik a "nem biztonságos" felirat az "i" betű mellett.
Amin viszont a napokban nagyot csodálkoztam, hogy pl. a Vatera nem HTTPS.
-
-
Hát root után nem sok különbség van némely telefonnál
Amúgy nem gyári ROM-ból sem kell minden kókányt feltenni. Lehet tudni, mi van rendesen összerakva, Cyanogen/Lineage stabil verziókkal nem sok bajom volt eddig. Van még 1-2 ilyen színvonalon megalkotott cucc, csak egyre kevesebb telefonra.
Arról nm beszélve, hogy sok esetben ezek a gyártói supporton túl is patcheltek. -
Male
nagyúr
Igen, ebben teljesen igazad van. Ahogy látom, azért elindultak végre ők is abba az irányba, hogy legalább biztonsági frissítéseket ki lehessen adni a gyári belemókolások mellett is... ( mondjuk én eleve nem engedném, hogy nagyon belenyúljanak.... tegyék be a drivereket, a saját appjaikat meg a GUI-ba nyúlhassanak bele, de ennyi... innentől, főleg ha a drivereket elérhetővé is kell tenni, simán bárki feltehetne egy alap droidot a gyárilag szállított helyett, kb ahogy a winnél van desktopon )
-
Keem1
veterán
"Mi a raknak oda HTTPS? "
Esetleg mert a Google a keresésnél hátrébb sorolja az oldalt?
Tetszik vagy sem, ma a Google diktál, mindenki más pedig úgy táncol, ahogy a G fütyül. Ezért van webmaster tools, ezért van egy csomó pénz a SEO-ban, satöbbi. A Google-nek megfelelni akarás miatt. A https is azért lesz egy grafikus weboldalán default, nem azért, hogy jelszavakat ne lehessen ellopni róla. -
djsilas
tag
- ingyen max .tk domain nevet kapsz,
- .hu -nal mar van elektronikus eljaras, ahol azt hazudsz, amit akarsz - egeszen addig, amig fel nem merulnek bizonyos kerdesek...
- otthon altalaban dinamikus IP van. Az otr.hu-t valami fix IP-re tolnam, ami redirectel a www.otr.hu -ra - ez mar siman lehet az otthoni neted DynDNS cimere egy CNAME, es siman kapni fogod ra az ervenyes DV certet. Let's encrypt eseten ingyen.
- mondjuk ha klonozni akarnek valamit, biztos nem otthonrol uzemeltetnem, de egyebkent igen, nagyjabol jol osszefoglaltad. Es semmi nem fog pampogni ervenytelen tanusitvany miatt... Nem erre van kitalalva, es "sima" weblapoknal, ahol csak egy iranyu kommunikacio van en is feleslegesnek tartom. Pl egy grafikus portfolioja, statikus tartalmakkal!? Mi a raknak oda HTTPS? (...) -
Male
nagyúr
Mondjuk az Android és a frissesség... pl Java 7 end of support volt 2015. áprilisában, a Google még ez után októberben adta csak ki a 6-os Androidot, ami még mindig Java 7-tel volt... Java 8 elérhető 2014 márciustól, ők ezt sikeresen betették a 7-es Androidba ami 2016 augusztusban jelent meg... mindössze két és fél év...
( így most Androidra ha nem a piac <30%-át akarom célozni, akkor nem használhatom még 2018-ban sem a 8-as Java dolgait ) -
Amúgy ezt a figyelmeztetést a userek 99%-a észre se veszi... Sokat érhet.
A full https amúgy szerintem nem hülyeség annyira, még sok esetben feleslegesnek is tűnik (még ha nem is tudom, van-e olyan támadási lehetőség, hogy a letöltött adatfolyamban lehessen elhelyezni rosszindulatú kódot, nem kéne nyitva hagyni a lehetőséget - a hardverek nagy része képes már titkosítani).
(Megjegyzem : az Android biztonságával is illene foglalkozni...)
-
Male
nagyúr
Múltkor elrontottam egy .hu megrendelésnél az adatokat... szó nélkül bejegyezték. Tárhelyet szintén random adatokkal vehetsz, akár külföldön is, vagy választasz egy ingyeneset, hogy a fizetésnél se foghassanak meg... Let's encrypt-et gyak. a tárhely admin felületen bekattintod... nem érzem azt az elképzelhetetlenséget benne. ( amúgy meg a .hu legyen a domain-t nem én hoztam fel... közben átfutottam újra, ingyenes domain megszerzésről meg pláne nem beszéltem... )
-
#60
Dr.FantastiK
őstag
Dr.FantastiK
őstag
megint a google !??
![;]](//cdn.rios.hu/dl/s/v1.gif)
es megint MARHASAGGAL foglalkoznak ?
ki a faxom kerte oket erre ?? ??
-
togvau
senior tag
akkor a porn.com-ra, meg a gézaoldala.hu nem lesz biztonságos? Húha, az nagy veszélyt jelent! Meg nehogymá' a googlen kívül más is lekövethesse a böngészéseket...
Google az új microsoft: pofátlanul rákényszerít dolgokra, és ugyan úgy egyre hulladékabb szofvereket gyárt (android, google maps idővonal 500-as hiba, GWT, stb)
-
Melyik magyar DNS szolgáltatónál regisztrálhatnak domain címet anélkül, hogy megadják a személyes adataimat? Ki akarom próbálni, mert már tényleg érdekel a dolog...
Én végig arról a felállásról beszéltem, hogy mondjuk én vagy más magyar állampolgér ezt nem kéne , hogy meg tudja tenni... Nyilván, ha valaki amúgy is el akarja hagyni az országot az akciója után az más kategória.
-
0xmilan
addikt
Amúgy mi a bajod a HTTPS-sel? A vírusölök MITM támadása nem a HTTPS baja. Az csak akkor működik, ha az adott oldal támogatja azokat az insecure TLS verziókat.
Nem kell semmilyen insecure TLS verziót támogatni, ehhez az oldalnak nincs beleszólása.
Ha a víruskergető berakja a saját root CA-ját a trust store-ba, akkor bármelyik oldalhoz tud certet generálni.(#31) bambano
és ha én bejegyeztetem a magyar o, magyar t, orosz r betűből álló domaint, akkor mennyi idő hijackelni az otp.hu-t? hint: 0.005 msec.Hijackelni szerintem nem ilyen egyszerű. Valószínűleg a homograph támadásokra gondolsz, ami már phising kategória.
pl. apple.com Ha ezen a linken apple.com-ot látsz a címsorban, akkor a böngésződben működik a trükk.
A Chrome az 58-as verzió óta védett, a FF-ban az about:config-ban kell a network.IDN_show_punycode-t true-ra állítani; a default sajnos false. -
Tehá akkor otthon van egy gépem,feltelepítek rá egy apache webkiszolgálót, az alá felhúzok egy kamu weboldalt és ingyen megszerzem rá mondjuk az otr.hu domain bejegyzést, és még hozzá egy certificatet is , mindezt pedig úgy, hogy semmi nyoma ne legyen?
Merész elgondolásnak tartom, de lehet bennem van a hiba. -
Male
nagyúr
1: Ingyenest simán szerzel random oldalra, pár kattintás, a kutya nem ellenőriz semmit.
2: Nézd meg az első hszemet... nem azt mondtam, hogy a HTTPS felesleges, azt mondtam, hogy nem kell mindenhová. Ahol bejelentkezel, jelszót adsz meg, az már a zárójeles rész kategóriája, amit említettem: "Ahol bármi érzékeny információ megy, az legyen titkosítva". -
djsilas
tag
Ha mar igy szova tetted mas munkassagat, remelem Te sem vagy szakmabeli... Akkor tudnad, hogy egy klon oldal ellen pont semmit nem er a HTTPS... Egy egyszeru, de valid DV cert 1 perc alatt kesz es maris szep zold lesz a cimsor...
(es igen, valoban nem lesz kiirva pl., hogy OTP, de hiba sem lesz, ergo az atlag user semmit nem fog eszrevenni, ezert balgasag, amit irtal) -
-
Nyilván, de itt a "kolléga" azt vetette fel, hogy Ő majd regisztrál egy otr.hu domaint és arról akciózik... sok sikert.
Mellesleg ahogy már írtam, "bambaság ellen nem véd semmi", és mindig is a felhasználó lesz a leggyengébb láncszem az informatika gépezetében (hiszen már valaki azért sír, hogy ne erőltessenek már lassulással HTTPS-t
). -
bambano
titán
ha ha-n átvernek embereket, akkor tőled ip címet fog kérni a rendőrség, ami alapján az átverős hirdetés feladóját megtalálják.
(#32) Murphy(O.o): "A DNS bejegyzés nem telefonhívásra megy, meg kell adni az adataidat, amiket nyilván ellenőriznek is, ezért, ha bejegyeztetsz egy domaint és utána arról indítasz támadásokat, akkor kezet fogok veled": egyrészt hómleszek nevére mindent el lehet követni, amilyen komoly ellenőrzések vannak, lehet 200 ezer dominókártyát kicipelni a plázából, stb. másrészt nemigen ellenőriznek ott kb. semmit. ha beküldök egy kódolt ékezetes domain igényt, szerintem simán átmegy, nem nézik meg a dekódolást.
(#33) ddekany "de van egy olyan pozitív hatása is a HTTPS-nek, hogy az ISP sem tudja megmondani, hogy adott domain-en belül mit látogattál.": egyrészt ez az isp-t nem érdekli. másrészt ha https-ben megy a cucc, akkor a domaint sem tudják megnézni, csak azt, hogy milyen ip címekre megy a kérés, és ha több domain van azon az ip címen, akkor azt már nem. tehát pl. nem tudja szétválogatni az isp, hogy prohardvert nézel, itcafe-t vagy logoutot.
-
-
-
ddekany
veterán
Nem tudom elhangzott-e, de van egy olyan pozitív hatása is a HTTPS-nek, hogy az ISP sem tudja megmondani, hogy adott domain-en belül mit látogattál. (Azt, hogy melyik domain-t és hányszor, azt persze igen.). Tehát mondjuk tudják, hogy index.hu-t néztél, de azt nem, hogy ott melyik cikkeket preferálod.
-
-
bambano
titán
és ha én bejegyeztetem a magyar o, magyar t, orosz r betűből álló domaint, akkor mennyi idő hijackelni az otp.hu-t? hint: 0.005 msec.
most arról ne beszéljünk, hogy egyes regisztrátoroknál meg domain usereknél akkora kupleráj van, hogy némelyiket legálisan el lehetne lopni...
-
Te remélem nem szakmabeli vagy, mert akkor nagy a baj...
Nekem a cégnél jelenleg 11 webszerverem van, tök különböző tartalomszolgáltatással (KOHA, Alfresco, Filesender, Kibana, Groundwork monitor, Openwayback, egy rakat CMS + Apache kombó...). Nem igazán érzem a szerver lassulást, mert amúgy egy szerver azért szerver, hogy bírja a terhelést
-
-
Maradjunk annyiban, hogy hiteles tanúsítványt általában DNS szerverekre bejegyzett hivatalos címekhez szoktak adni, amit egy leklónozott oldal esetében nem annyira könnyű megtenni (nyilván meglehet, mint mindent, de akkor se annyira könnyű)
Pl. A LetsEncrypt-el én nem is tudok a cégnek olyan szerverére tanúsítványt generálni, ami nincs külső DNS szerverre bejegyezve.
-
Ez a hitelesítéses dolog szerintem annyira nem is lényeges, nem igazán mennek erre rá. Tökmindegy mi a domain egy hamisított oldalnál, a user nem azt nézi. Így simán lehet rajta HTTPS, user át is van verve. Az ilyenek ellen nem a HTTPS véd, nem is tud védeni.
Amúgy mi a bajod a HTTPS-sel? A vírusölök MITM támadása nem a HTTPS baja. Az csak akkor működik, ha az adott oldal támogatja azokat az insecure TLS verziókat.
-
Ezzel próbálják "rákényszeríteni" az embereket, hogy használják a https protokolt, ez kb olyan, hogy a 30-as táblánál se kapcsolod ki a biztonsági övet, pedig ott szinte "fölösleges"
Mellesleg azt remélem mindenki vágja, hogy a "lassítás", amiért sírnak az emberek totál elhanyagolható
-
-
bambano
titán
"Nyilván a bambaság ellen semmi se véd, de azért a leklónozott oldalaknak nem olyan könnyű hiteles tanúsítványt szerezni": az alapján, hogy pár hete/hónapja mekkora hiszti volt root ca-k visszavonásából, azt kell mondani, hogy nagyjából semekkora probléma hiteles tanúsítványt hamisítani.
-
Nem csak "Man In The Middle" támadás van a világon
Weboldal klónozásról hallottál már? A mókus leklónozza mondjuk a Gmail honlapját, és küld egy kamu E-mailt, hogy "ellenőrizd az adataidat", és linkeli az Ő klón oldalát. Amint beírod a felhasználó nevet és jelszót, Ő már tudja is azt Nyilván a bambaság ellen semmi se véd, de azért a leklónozott oldalaknak nem olyan könnyű hiteles tanúsítványt szerezni, így a HTTPS már ez ellen már véd(het).
Meg azért 2018-ben ne küldjük már a jelszavainkat titkosítatlan HTTP csatornán sehova...
-
Male
nagyúr
Ez ám a veszély, pl valaki azért csinál egy MITM támadást, hogy a PH!-s VGA tesztben átírja az eredményeket csak nekem? Nagyon reális egy ilyen támadás.... kb olyan gyakran történhet meg, mint régebben mondjuk hogy valaki egy hamis napilapot gyárt külön egy embernek, és arra cseréli a postaládájában...
-
Male
nagyúr
-
Ixion77
addikt
Azért ne legyen, mert a webfejlesztőknek plusz egy extra nyűg.
Plusz nyűg = plusz hibalehetőség = plusz munka = plusz bér
A top100-as cégeknek nyilván semmi különbséget nem okoz plusz 1-2 embert alkalmazni emiatt, de egy pici alapítványi vagy mikrovállalkozói oldalnak jelentős lehet. Mindezt minek is? Mit számít hogy titkosítva tudod-e meg hogy új örökbe fogadható kiskutya érkezett a Káposztásmegyei állatmenhelyre?... -
bambano
titán
tehát például a facebook, ami emlékeim szerint nagyon régen https, az nem kamu oldal?
nem hekkeltek meg rajta választásokat?ráadásul ugye mit csinálnak a vírusvédelmi rendszerek? megtörik a https-t, hogy tudják ellenőrizni az oldal tartalmát, azaz végrehajtanak egy mitm támadást minden letöltésre. tehát ha van olyan védelmi szoftvered, ami ellenőrzi a webes letöltést, akkor az kamuvá teszi az összes oldalt, amit megnéztél. rotfl. a fagyi visszalőtt.
-
Tetszik vagy sem, ma a Google diktál, mindenki más pedig úgy táncol, ahogy a G fütyül. Ezért van webmaster tools, ezért van egy csomó pénz a SEO-ban, satöbbi. A Google-nek megfelelni akarás miatt. A https is azért lesz egy grafikus weboldalán default, nem azért, hogy jelszavakat ne lehessen ellopni róla.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Weboldal klónozásról hallottál már? A mókus leklónozza mondjuk a Gmail honlapját, és küld egy kamu E-mailt, hogy "ellenőrizd az adataidat", és linkeli az Ő klón oldalát. Amint beírod a felhasználó nevet és jelszót, Ő már tudja is azt 
Új hozzászólás Aktív témák
- 12gen i7 félkonfig, jóáron.
- Lenovo Legion Go 512GB.SSD. MAKULÁTLAN/KARCMENTES,GARANCIÁS. CSERE IS,OLVASS./2.
- Eladó Gamer Config Intel Core i5-11600KF, Z590, EVGA RTX2070, 32 GB DDR4, 1 TB SSD, Lian Li ház
- Gamer/munka PC eladó
- Asus TUF A15 FA507NUR 15.6" FHD IPS Ryzen 7 7435HS RTX 4050 16GB 1TB NVMe gar
- LG 27GR95QL - 27" OLED / Limitált LoL Edition / QHD 2K / 240Hz & 0.03ms / NVIDIA G-Sync / FreeSync
- JBL Xtreme 3/4 akciós áron eladó!
- Sound Blaster AE-7 (B-Stock)
- ÚJ Asus TUF Gaming F17 FX707 - 17.3"FHD IPS 144Hz - i7-13620H - 16GB - 1TB - RTX 4060 -3 év garancia
- Keychrone Q1 V2 billentyűzet / Számla / Garancia /
Állásajánlatok
Cég: FOTC
Város: Budapest