Új hozzászólás Aktív témák
-
bambano
titán
Nem sokat érnek ezek a beállítások...
Ha az isp-d el akarná fogni a dns kéréseidet, simán elfogná, átirányítaná, meghamisítaná, akármit csinálnál.
Az mitm ellen a https nagyjából nullát ér, a víruskergetők rutinszerűen mitm-eznek.
nyílt wifin konkrétan mi értelme van kulcsot támadni? ki van plakátolva a falra, mit akarsz rajta támadni?[ Szerkesztve ]
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Pikari
őstag
A nyílt wifi hotspotok nagy része nem fogja engedni, hogy csak úgy titkosítva internetezgessél rajta keresztül. Szépen dekódolja, és logolja a forgalmadat. Teljesen mindegy, hogy milyen DNS szervert használsz, a https oldalakhoz csak a speciális/kivétel hozzáadása nyomógombbal férsz majd hozzá.
A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.
-
nagyúr
-
bambano
titán
válasz aprokaroka87 #3 üzenetére
nem értem a kérdést.
ami átmegy rajtuk, abba bele tudnak nézni.
ami nem megy át rajtuk, abba nem tudnak belenézni.
egyébként nagyjából semmibe nem nézhet bele az isp. de ilyenkor nem arról beszélünk, hogy mi törvényes, hanem arról, hogy mi lehetséges.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
nagyúr
Pedig én azt hittem hogy ott ülnek emberek a monitorok előtt, és azt nézik hogy Lacika melyik pornó oldalt nézte meg 😁
Egyébként ez a leírás is inkább arról szól hogy a felhasználó legyen nagyobb biztonságban, mert a komolyabb dns szolgáltatók rendelkeznek olyan dolgokkal amik őket is védhetik, viszont a leírás címe sem teljesen jó, mert az internet adott esetben nem egy biztonságos hely, szóval attól hogy valaki másik dns-t használ, még nem lesz teljesen biztonságban.
-
A következő két feltételezés valóban szükséges még a biztonsághoz: az (1) es és (2) es pont összetartozik, egymás nélkül mit sem érnek; illetve a másik hogy a telefon előélete során bizonságos(abb) hálózathoz is kellett csatlakoznia.
"ami átmegy rajtuk, abba bele tudnak nézni"
Ezt a hülyeséget ne terjeszd mert nem igaz.
Ha bele tudnának nézni akkor azt bal felül észre lehetne venni.Az viszont igaz hogy van akikben meg kell bízni. Pl a telefon gyártója, az android fejlesztője, a microsoft, stb
Ha ezekben sem bízol akkor ne netezzél. -
nagyúr
-
dabadab
titán
Az mitm ellen a https nagyjából nullát ér, a víruskergetők rutinszerűen mitm-eznek.
Ezt a hülyeséget még mindig terjeszted?
El tudnád mondani, hogy a viruskergetőknek mit kell megcsinálniuk ahhoz, hogy meg tudják csinálni a MITM-et, csak hogy érezzük, hogy miről van szó?DRM is theft
-
-
nagyúr
-
dabadab
titán
válasz aprokaroka87 #11 üzenetére
Szerintem arra gondolt ami az ISP dns szerverén megy át
Persze, de kb. minden forgalom titkosítva megy, amibe az ISP nem lát bele.
DRM is theft
-
válasz aprokaroka87 #7 üzenetére
-
nagyúr
-
bambano
titán
válasz aprokaroka87 #11 üzenetére
ami átmegy a kijárati routeremen, azt meg tudom nézni.
többek között azért is, mert törvény kötelez rá, hogy ha az illetékes "hatóság" meg akarja nézni, akkor nekem a szükséges technológiát biztosítanom kell.
Tehát ha te beírod dns szervernek a gépeden, hogy 1.1.1.1 vagy 8.8.8.8, akkor nekem ezt a két ip címet kell kifordítanom a "törvényi megfelelés" portra (nem röhög, durva fordításban így hívja a doksi), és akkor látom, hogy mit akarsz. Ha bele akarok babrálni, le is natolom, és amit te 1.1.1.1-hez küldesz, az majd nálam landol, és csinálok vele amit akarok.A telekom (vagy én) a cloudflare forgalmát nem tudom megnézni. Az én előfizetőm cloudflare felé menő forgalmát viszont igen.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
bambano
titán
A víruskergetők ca-ját be szokták írni a böngészők trusted ca-jaba. Ezek után a víruskergető elfogja a https kérést, gyorsan hamisít egy ca-t, és nyit egy másik kapcsolatot a cél felé. A hamisított ca-t a böngésző elfogadja, mert az azt aláíró kulcsot elismeri megbízható kulcsként.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
dabadab
titán
válasz aprokaroka87 #14 üzenetére
Mármint DNS-nél? De. Nagyjából emiatt van a "kb." Mert ezen kívül tényleg minden másnál alap a titkosítás, emailnél, webnél, miegyébnél (főleg, hogy a "miegyéb" java része szintén HTTPS-en keresztül megy).
[ Szerkesztve ]
DRM is theft
-
bambano
titán
mitől lenne hülyeség? elindítasz egy dns kérést, kapsz rá választ, amit vagy meghamisítottam, vagy nem. ezek után indítasz egy https kérést, ott is látom, hogy a korábban lekért domainedhez tartozó ip címre megy a kérés, tehát belenéztem a forgalmadba akkor is, ha esetleg a https-t nem törtem fel.
Ha valami kamu módszerrel eljuttatnék egy megbízható kulcsot a gépedre, akkor még azt se vennéd észre (oké, mondjuk azt, hogy átlagbéla userek 99%-a nem venné észre), hogy nem az a titkosítás él.
Márpedig amíg az userek gépét az isp konfigurálja, addig mocskos gyorsan oda lehet rakni nagyjából bármit.
Ezek itt lehetőségek, nem pedig a szokás.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
dabadab
titán
és hogy rezolválod a doh ip címét? rajtam keresztül?
Mondjuk DNS szerver címének domain nevet használni komoly "ezt így hogy? (és főleg: minek)" kérdéseket vet fel, de ha emberünk a te DNS szervereddel bootolja be a dolgot, akkor is kibukik az egész, mivel a TLS sikítani fog, hogy a túloldalnak nincs érvényes certificate-je.
[ Szerkesztve ]
DRM is theft
-
bambano
titán
"Ha ezekben sem bízol akkor ne netezzél": én ezt teszem.
a mobil telefonomon gyakorlatilag semmi nincs, a tabletemen nagyjából semmi, ami fontos. ami netezés, az itthon a desktopom és a saját megbízható hálózatom.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Pikari
őstag
Egy nap a kezemben nyomkodtam a telefonomat, és láttam, hogy új SMS-em érkezett. A telefon kiírta a tartalmát a képre, így nézett ki: ascii karakterek, 5-10 betűnyi kriksz kraksz, majd így folytatódott: ELF.
Villant egyet a kép, mintha elindulna valami... majd mintha mi sem történt volna, működött tovább a teló. Még kb 3 másodpercig. Ugyanis olyan kurva gyorsan nem láttál még embert telefonból egy aksit kitépni, mint engem akkor Onnantól kezdve okos eszközről már én sem internetezem.
A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.
-
bambano
titán
hát ja, azt az alapvető kérdést felejtette el Doky586 is, hogy a helyi kávézó ingyen wifijének az üzemeltetőjétől kell jobban félni, vagy a nagy adathörcsög cégektől, akik mindent, még a dns kéréseidet is maguknak akarják tudni.
vagyis hogy amikor például áttérsz doh-ra, az vajon cseberből vederbe? hint: igen.
Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
Nem így működik (androidon).
A DNS itt nem egy ip cím. Be sem lehet ip címet írni dns-nek. Csak https-en kommunikál, és ha nem egyezik a régebben meglevő aláírással akkor nem fogadja el, nem változtatja meg.A routereden csak azt tudod nyomonkövetni hogy kivel kommunikál (pl otpbank.hu), de azt nem hogy mit. A forgalomba nem látsz bele. Esetleg a forgalom mennyiségét látod hogy 1 óra alatt 3 GB forgalom ment át köztük, és ennyi...
-
El kell fogadni, hogy internetkapcsolatnál nincs privát, lekövethetetlen zóna. Kényes tartalmat, atombomba farigcsálást csak a szomszéd/ cég biztosította wifin, céges eszközön érdemes nézegetni.
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat. Szerencsére nincs rá elég kapacitás hogy minden ember minden apró stiklijét lekövessék. Vannak szavak, amik egy szűrőn megakadnak, és ha gyakran, ugyanannál az ip címen ismétlődik, utánanézhetnek az illetőnek. -
dabadab
titán
válasz Jack Hunter #30 üzenetére
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat.
Amíg az ember ki nem kapcsolja a 3rd party cookie-kat vagy még inkább installálja mondjuk a Ghosteryt vagy az uBlock Origint.
Ne csináljunk már úgy, mintha ezek valami misztikus, kikerülhetetlen dolgok lennének.
DRM is theft
-
Gargouille
őstag
Privát kulcs nélkül aligha nézel bele a https forgalomba, lévén nem tudod kicsomagolni. Vagy a kliens gépet kell megmókolnod (mint ahogyan leírtad a víruskeresős példával) vagy kommunikáció másik végét kell, mondjuk egy a bank oldalát. Az oké, hogy eltérítheted a forgalmat, meg tükrözhetsz portot és rögzítheted, meg maszkolhatsz, NATolhatsz stb... ellophatod a diót, de feltörni nem tudod.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
bambano
titán
válasz Gargouille #33 üzenetére
Ha egyszer sem tud a megkerülésem nélkül csatlakozni a doh szerverre, akkor van rá esély, hogy legyen kulcsom.
Másrészt ha simán kifilterezem a doh forgalmat, akkor előbb-utóbb visszavált dns-re.Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis
-
-
Arra viszont nem jöttem rá hogy az android beállításaiban szereplő "privát DNS" az DoT (tls 853) vagy DoH (https 443) -at használ-e. Majd kikisérletezem ha jut rá időm. (ámbár ez valószínű android verzió és gyártófüggő is)
A böngészőbe épített biztos hogy DoH-ot használ, így nem szűrhető külön a böngészéstől. De nyilvánvalóan a böngésző beállításai csak a böngészőre vonatkoznak, minden más program az oprendszer beállításait használja.Windows laptopot használóknak csak a böngészőbe épített biztonságos dns funkció marad, mert a windowsok még nem tartalmaznak ilyen funkciót.
[ Szerkesztve ]
-
nagyúr
-
Itt nyilván a rendszer "privát dns" funkciója az 'app'-okat is védi, ámbár nem tudom egy OTP app-ot át lehet e verni egy hamis dns-el. Főleg hogy ezek pl fizetéskor egyenleg-lekérdezéskor is futnak bejelentkeznek, nemcsak a hagyományos értelemben vett bankolásor.
Hagyományos webbankhoz meg ott a böngésző "Biztonságos DNS" funkciója. Amit ha ip alapján leblokkolsz akkor minden weboldal blokkolódik, azaz a józan ész szerint gyanúsnak kell lennie a dolognak és nem a biztonság kikapcsolásával kell reagálni. Nyilván az átlag boltokban (meki, tesco, auchan) nem blokkolják a https dns szolgáltatókat.
[ Szerkesztve ]
-
-
nagyúr
-
válasz Hieronymus #42 üzenetére
Tudtommal csak a Windows server 2022 ben van titkosított dns elérés.
Én még soha senkit nem láttam a mekiben a laptopja mellett Raspberryvel játszadozni a hamburger és a kávé közt..
-
válasz aprokaroka87 #46 üzenetére
Kösz, ezt nem tudtam. W10-et használok.
-
sztanozs
veterán
Ebben a modern DDOS-protection-os korban nem hiszem, hogy konkret certificate-pinning-et hasznal - legfeljebb a root certificate-et ellenorzi le, hogy ott van-e a listan...
Masreszt, ISP-re visszaterve. Az ISP-nel elhelyezett monitoring eszkoznek biztos van olyan wildcard cert-je, amit olyan root cert-el irtak ala, mi benne van a globalis CA listaban, pl. ez:
CN = Főtanúsítványkiadó - Kormányzati Hitelesítés Szolgáltató
O = NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.
L = Budapest
C = HU[ Szerkesztve ]
JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...
-
Pikari
őstag
Kizárólag a TÜBİTAK UEKAE Kök Sertifika Hizmet Sağlayıcısı - Sürüm 3 gyökértanúsítványban bízom. (nem)
A Dunning−Kruger-hatás az a pszichológiai jelenség, amikor korlátozott tudású, kompetenciájú vagy képességű emberek rendkívül hozzáértőnek tartják magukat valamiben, amiben nyilvánvalóan nem azok.
-
"Én még soha senkit nem láttam a mekiben a laptopja mellett Raspberryvel játszadozni a hamburger és a kávé közt.. "
Én sem, bár nekem nem jut eszemben ennyire groteszkben gondolkodni. Szükség nincs rá bár megvalósítható.
Legyen béke! Menjenek az orosz katonák haza, azonnal!
Új hozzászólás Aktív témák
- Call of Duty: Mobile
- Autós topik látogatók beszélgetős, offolós topikja
- Okos Otthon / Smart Home
- Kormányok / autós szimulátorok topicja
- Súlyos adatvédelmi botrányba kerülhet a ChatGPT az EU-ban
- Eredeti játékok OFF topik
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- Samsung Galaxy S24 - nos, Exynos
- iPhone topik
- A Play Áruházban is fellelhető a legjobb Samsung segédalkalmazás
- További aktív témák...
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen