Új hozzászólás Aktív témák
-
#85
Buuster
tag
Neil Watts
#7
Buuster
tag
válasz
Neil Watts
#7
üzenetére
-
#82
#14595328
törölt tag
dragon1993
#81
#14595328
törölt tag
válasz
dragon1993
#81
üzenetére
Mivel nem vagyok ilyen helyzetben, mint Te, valóban csak a magam dolgaiból indulok ki. Az érthető, hogy bevált szolgáltatást ajánlotok, én is csak olyat ajánlok, amit már kipróbáltam és jónak tartottam.
Igazából nem egészen értem, hogy jutottunk el idáig egy SSL-ről szóló témában, amiben (#73) lionhearted által írtakra reagáltam
A saját VPS-t meg teljesen megértem, ahogy látom Te is szeretsz próbálgatni dolgokat és vannak egyedi igényeid.
-
#81
dragon1993
addikt
#14595328
#80
dragon1993
addikt
válasz
#14595328
#80
üzenetére
Az a gond, hogy magadból indulsz ki, a cég ahol dolgozok csinált pl: 100 weblapot (sokkal többet de ez egy példa), ha az ügyfél megkérdni, hogy hova tegye fel akkor nem fogunk neki VPS-t ajánlani amit karban kell tartani, hanem egy megbízható szolgáltatást ajánlunk amihez soha nem kell hozzányúlni és fasza a support ha valami gondunk van akkor tudjunk velük beszélni. Egy kis/közepes látogatottságú webshopot elbír egy osztott tárhely.
A saját lapomat én is VPS-en tartom, azért mert így egyszerűbb az ssl valamint a Laravel szereti ha van composered illetve pár php extension be lett fordítva, mert így gyorsabb mint PHP kódból.
-
#80
#14595328
törölt tag
dragon1993
#79
#14595328
törölt tag
válasz
dragon1993
#79
üzenetére
Hát nem is webshop volt rajta
De egy rendes, nagy látogatottságú webshopnak nem is osztott hostingon vagy VPS-en kellene futnia. -
#78
#14595328
törölt tag
dragon1993
#77
#14595328
törölt tag
válasz
dragon1993
#77
üzenetére
Használtam 128-as VPS-t egy VestaCP-vel (Centos 6 - PHP+Nginx+MySQL+PostgreSQL+Dovecot+Exim), 4-5 domaint szolgált ki. Fogalmam sincs, mit visz a MikroVPS, de nem volt ezzel sem gond. Igaz nem voltak nagyon látogatott oldalak. Tárhelyre volt inkább szükség, 80 Gb meg nem rossz 5000 Ft/év-ért.
-
#76
#14595328
törölt tag
dragon1993
#75
#14595328
törölt tag
válasz
dragon1993
#75
üzenetére
Nem, csak VPS-t. De van olyan VPS-ük, ami 15 dodó egy évre.
-
#74
#14595328
törölt tag
lionhearted
#73
#14595328
törölt tag
válasz
lionhearted
#73
üzenetére
Azért ezeken kívül is vannak nagyon is jól működő, népszerű cégek, pl. RamNode, DigitalOcean, Vultr, Linode.
-
#73
lionhearted
őstag
dragon1993
#72
válasz
dragon1993
#72
üzenetére
Google/Amazon/Azure Cloud mellett az ilyen cégeknek nem is értem honnan van ügyfele. No sebaj.
-
#72
dragon1993
addikt
#00784640
#61
dragon1993
addikt
válasz
#00784640
#61
üzenetére
Én megfontolnám a szolgáltató váltást, osztott tárhelyből a MikroVPS-t ajánlom náluk van SNI és profi a support.
-
#14595328
törölt tag
Úgy jött ki, hogy korlátlan számú wildcard tanúsítványt csinálhatsz évi 120-ból. Ja és nem mellesleg a 6. legnagyobb kibocsátó a cég, nem bevezető certes.
"StartCom only charge the identity validation fee, all certificates are FREE and unlimited."
Nézd meg a StartSSL oldalán az összehasonlító táblázatot és rájössz!
Konkrétan a StartSSL™ Organization Validation-ről beszélek.
-
bugger
tag
Direkt nem említettem a wildcardot, mert nem 100%-os megoldás.
Évente 100-200k
Azaz évente 1-200k extra költség per domain. Ha kevés aldomained van egy oldalon, akkor nagyon nem éri meg, mert egy nagyságrendekkel olcsóbb a nem wildcard. (azaz pl 3 aldomaines oldalra hülye lennél venni.)Vegyünk egy fix példát: 300 domaines cég extraköltsége wildcard-dal 30-60 misi, mondjuk átlag 5 aldomainnel (számoljunk 10k huf/domain árral, lejjebb is van, feljebb is) 15 millió a google ötlete egy ilyen - világviszonylatban nem túl nagy - webes cég számára. (pl egyszerűbb vállalkozásoknak viszi az oldalait, stb) Ha volt pl egy secure. aldomain eddig is, akkor mondjuk 12 millió.
@efs: azt a $60-120-t felszoroznád néhány százzal, mint ahogyan a példámban említettem? Kérlek váltsd át forintra, és újból próbáld megválaszolni a kérdést: milliós vagy sem? (segítség: 100-zal, $60-ral számolva 1,7 300-zal, $120-szal számolva meg 10+.) Ez neked hogy jött ki 50e-re? (dollárban még igen, de forintban nagyon nem.) Plusz az ilyen ingyenes, és "bevezető" certes cégektől érthető okokból tartanak a normálisabb piaci szereplők.
-
#14595328
törölt tag
válasz
#00784640
#68
üzenetére
Lehet, hogy egyszerűen nem engedélyezik az SNI-t. InterWorxben pl. kikapcsolható az admin felület alatt egy gombnyomással. Kérdezz rá, az a biztos!
Vannak tanúsítványok, amik www-vel és www nélkül készülnek automatikusan (Comodo PositiveSSL pl.), vannak, ahol Te adhatod meg mi legyen az egy aldomain (pl. az ingyenes StartSSL), van a wildcard, ami *.domain.tld (ez szinte mindenkinél van, és viszonylag drágább), tehát az összes aldomainre érvényes.
-
válasz
#82729984
#34
üzenetére
Igazából rendszergazdai sem. A felhasználó a saját fiókjába bármikor betehet egy trusted CA-t, nem kell hozzá magasabb jog. Persze a víruskergetők úgyis admin joggal települnek, szóval a gép központ cert tárába is bele tudja rakni.
BTW a vírusírtó a lokális gépen nem vacakol a titkosítás feltörésével (kinyitásával és újralakatolásával). Böngésző beépülű modullal lát már mindent, amit a böngésző kititkosít. Így működik amúgy a legtöbb lokális malware is.
A proxy mitm ellen meg véd a cert pinning, illetve a szimmetrikus kulcs-használat (a felhasználó számára is adnak ki kulcsot). Ezeket nem tudja megkerülni az SSL proxy (ami nem a lokális gépen fut).
-
Snoop-y
veterán
válasz
#00784640
#61
üzenetére
Valoszinuleg olyan Apache vagy IIS van fent ami nem tamogatja az SNI-t olyan elgondolas alapjan hogy ami mukodik azt ne javitsuk. Eddig annyira elenyeszo szamu embernek kellett ez hogy azokat megoldottak az egy ip egy cert megoldassal.
Ha tomeges igeny lesz ra majd valtanak de egy webhostingnal ahol van tobb ezer domain nem kis munka konfigot valtani ( plane ha jol be is van automatizalva ) ha nem kis kezukkel akarjak mindenki SSL tanusitvanyat pakolgatni a megfelelo helyekre.Az megint mas kerdes hogy nagyobb szolgaltatok erre fel vannak keszulve a kisebbek meg vagy valtanak vagy mennek majd a levesbe
-
#56
Neil Watts
veterán
Neil Watts
veterán
Üdv. core2
-
-
"amennyire én tudom, néhány vírus/malware/stb védelmi program, amelyik képes a webes forgalmat ellenőrizni, szabályos mitm támadásnak elfogadható módon néz bele a https forgalomba."
Ennek az az első lépése, hogy a vírusírtó certificate-jét a böngészőben installálni kell, mint trusted root certificate-et.
Az általad leírt hipotetikus vírusnak meg a vírusírtót kellene megfertőznie, de akkor már célratörőbb egyből a böngészőt támadni, hiszen ott akkor is meglesz a titkosítatlan forgalom, ha nincs is vírusírtó.
-
#82729984
törölt tag
válasz
#79563158
#43
üzenetére
Azért ez az autós példád sántít. Ha már hülye autós példák, akkor ez inkább olyan mintha a hatóság bejelentené hogy mostantól mindenkinek kötelező a a biztonsági öv aki a közlekedésben részt vesz.
A kerékpárosnak, a rolleresnek és a gyalogosnak is! Punk-tum, mert ők is részt vesznek a közlekedésben.
-
"Nem azt mondjuk hogy felesleges de egy sima oldalon a hasznalatnak semmi elonyet nem latjuk."
De van, mert annak vannak privacy vetületei, hogy látja-e a fél internet, hogy milyen URL-eket kérsz le vagy hogy milyen jelszóval lépsz be.
"Szerver oldalrol legalabbis windows eseteben meg minden oldalnak adni https-t nem is annyira egyszeru."
De. Apache-on legalábbis tök egyszerű (és az van mindenre, Windowsra is), nem hiszem, hogy a többiben elbonyolították volna.
-
#47
lionhearted
őstag
Neil Watts
#7
válasz
Neil Watts
#7
üzenetére
És itt még jelszó is van a fórumon.
Ehhez mondjuk nem kell HTTPS, elég lenne, ha a form nem közvetlenül, hanem akár egy jQuery által titkosított szövegre cserélt jelszót küldene a szerverre (pl jCryption). De láttam már Flash alapút is, de van még sok más. -
#79563158
törölt tag
Amikor azt mondjátok, hogy felesleges a HTTPS, mert így meg úgy meg lehet kerülni, akkor kábé azt mondjátok, hogy felesleges a biztonsági öv, mert a vezetők ki tudják kapcsolni, ha akarják. Amikor meg azt, hogy minek, az NSA úgyis ki tudja kerülni, akkor meg azt mondjátok, hogy azért felesleges a biztonsági öv, mert egy bérgyilkos simán lelő az kocsiablakon keresztül.
-
fene_vad
senior tag
válasz
#82729984
#34
üzenetére
tehát akkor egyik progi helyett egy másikat bízok meg azzal, hogy validálja a certeket... önmagában ez nem akkora baj, pláne ha figyelembe vesszük, hogy !elvileg! egy biztonsági progi feladatából kiindulva akár még megbízhatóbb is lehet, mint egy böngésző, és a választék is nagyobb (oké, ez hátrány is egyben)...
-
#41
#82729984
törölt tag
fordfairlane
#37
#82729984
törölt tag
válasz
fordfairlane
#37
üzenetére
Kiadhatna, de akkor már magánszemélynek is (hisz nem kötelező cégnek lenni).
és ekkor bejön az a probléma, hogy vajon az amerikában bejegyzett lets encrypt elfogadhatja és/vagy képes-e ellenörizni, hogy az állítólagos kambodzsai cégbiróság által aláírt certet ami szerint az otp.hu egy kambodzsai cég tulajdona az valid-e. Vagy hogy nem vonták-e időközben vissza a certet, vagy épp a kambodzsai cégbiróság certjét.
És itt máris megérkeztünk az egész rákfenéjéhez és amiért nem müködik túl jól ez az egész rendszer. Baromi nehéz ezt a láncot ellenörizni és végig hitelesen tartani, miközben elég ha bekerül a trusted ca-k közül egy utolsó kis afrikai porfészek országban lévő akármilyen szervezet, ahol néhány dollárért arról is kapni fogsz egy plecsnit hogy te vagy a dalai láma
-
#14595328
törölt tag
válasz
#82729984
#36
üzenetére
A web biztonságán nem fog ez annyit javítani, mint várják / hirdetik, de a semminél azért több.
Igen, a Let's Encryptről nekem is ez a véleményem, nem feltétlen tartom jó ötletnek. Teszt környezeten kívül én sem használtam sehol, amit használunk, ott azért kellettek papírok és telefonhívás, valamiféle minimális ellenőrzés. Bár nem mintha ez nem lenne kijátszható. De ez a látogatót nem fogja izgatni.
Maga a megvalósítása tetszik, mert egész jól összerakott dolog, viszont amit Te is írtál, eléggé elgondolkodtató. Eddig még nem hallottam ilyen visszaélésről, de biztos vagyok benne, hogy lesz ilyen.
-
jerry311
nagyúr
-
#38
#14595328
törölt tag
fordfairlane
#35
#14595328
törölt tag
válasz
fordfairlane
#35
üzenetére
Pontosan, ahogy írod!
Itt van egy leírás. Ez alapján egy ezzel foglalkozó fejlesztő néhány sorral (meg egy ütemezéssel) meg tudja oldani a teljes automatizálást. És innentől lényegében el lehet tüntetni a self-signed tanúsítványokat és alapértelmezetté lehet tenni a https-t, viszonylag rövid idő alatt.
-
#37
fordfairlane
veterán
#82729984
#36
fordfairlane
veterán
válasz
#82729984
#36
üzenetére
Eddig legalább kicsit küzdeni kellet érte, mondjuk személyesen megjelenni a megfelelő papírok birtokában.
Akár elérhetünk oda, hogy a Cégbíróságok kiadhatnának cégeket azonosító certeket. Senki nem lehet biztos semmiben, de mégis csak a céget bejegyző hatóság az, amelynek a legtöbb hiteles papírra van rálátása.
Ez a hitelesítés tipikusan olyan dolog, ami szerintem nem működik igazán jól piaci alapon.
-
#82729984
törölt tag
válasz
#14595328
#32
üzenetére
Az a baj hogy itt sok kavar van a fogalmakkal. Pl. a google a biztonság szóval operál, holott a https ezt nem garantálja.
Csak a titkosítást, tehát attól nem lesz biztonságosabb a web hogy a forgalom https-en keresztül megy.
A Let's Encrypttel viszont az a baj (és minden más hasonlóan könnyen megszerezhető certtel kecsegtető szervezettel), hogy ez annyit hogy jelent hogy innentől kezdve bárki bárkinek a nevére generálhat certet ami a rosszindalatú hackerek vágyálma.
Mert honnan fogja tudni egy program, hogy én vajon az otp.hu jogos birtokosa vagyok? Onnan hogy a checkboxot bepipáltam hogy isten bizony én vagyok az?
Eddig legalább kicsit küzdeni kellet érte, mondjuk személyesen megjelenni a megfelelő papírok birtokában.
-
#35
fordfairlane
veterán
#14595328
#32
fordfairlane
veterán
válasz
#14595328
#32
üzenetére
A self-signet cert. is ugyanazt tudja, mint pl. egy VeriSign által hitelesített, csak nem hiteles.
Persze, létezik ilyen, csak épp laikus számára ez sem olyan egyszerű, és ami a lényeg, hogy az aláíratlan cert szigorúbban van szankcionálva a böngészőkben (piros ikon, egyéb figyelmeztetés), mint a sima, titkosítatlan http-s kapcsolat. Nem véletlen, hogy nem használják. Inkább egyáltalán nem használnak https-t.
-
#82729984
törölt tag
"elmegyek a bank oldalára ilyen mitm víruskergetővel, mit ír ki a böngésző a cert details alatt?"
A virusirtó saját CA-javal lesz aláírva, nem a bankéval. Jó esetben ott lesz a leírásban hogy ezt ő (mármint a virusirtó csinálta). Rossz esetben csak és kizárólag akkor tudod felismerni ha már előre tudod hogy az adott bank certjének mi az sha hashe mert az el fog térni. A többi adat gyakorlatilag lehet ugyanaz.
"milyen engedély kell mondjuk Win alatt, hogy betegye a viruskergető a saját certjét a trusted poolba?"
rendszergazdai. Ezt meg telepítéskor úgy is bekéri, máskülönben amúgy sem tudna müködni. -
#33
fene_vad
senior tag
fordfairlane
#31
fene_vad
senior tag
válasz
fordfairlane
#31
üzenetére
"hitelesítéshez viszont szükség van egy harmadik félre."
Web of trust?
mondjuk az feltételeid közül az elérhetőségen megbukik...
-
#32
#14595328
törölt tag
fordfairlane
#31
#14595328
törölt tag
válasz
fordfairlane
#31
üzenetére
Persze, hogy hitelesítés != titkosítás
A self-signet cert. is ugyanazt tudja, mint pl. egy VeriSign által hitelesített, csak nem hiteles.Ezért írtam a Let's Encryptet példának, mert azt lehet részben, de akár teljesen automatizálni, ingyenes és hiteles. Itt már igazából csak az implementációra kell várni, amin a cPanel, VestaCP, InterWorx biztosan dolgozik (láttam a fórumukon), vagy kínál beépülő megoldást.
-
#31
fordfairlane
veterán
#14595328
#29
fordfairlane
veterán
válasz
#14595328
#29
üzenetére
A hitelesítést és a titkosítást ketté kellene választani. Titkosításhoz nem kell hitelesítés, hitelesítéshez viszont szükség van egy harmadik félre. Ennek a harmadik félnek viszont olyan olcsónak, egyszerűnek, és elérhetőnek kellene lennie, mint bármely más webes szolgáltatásnak. Ezután megteheti a google, hogy szankcionálja a sima http-t, addig jobb lenne, ha nem tenné.
-
#29
#14595328
törölt tag
fordfairlane
#26
#14595328
törölt tag
válasz
fordfairlane
#26
üzenetére
A körülményességet nem vitatom, valóban az (lehet).
De, ha CP gyártók elkezdik implementálni a Let's Encryptet, ezt akár lehet teljesen automatikusra csinálni, vagy max egy pipálást kell vele foglalkozni. Ingyenes és teljesen automatikus (is lehet). Az, hogy mit ér egy ilyen hitelesített tanúsítvány, már más kérdés, de a böngészők még jelenleg elfogadják.
-
Egon
nagyúr
-
#26
fordfairlane
veterán
#14595328
#17
fordfairlane
veterán
válasz
#14595328
#17
üzenetére
Miszerint "A mottó: minden adatforgalom legyen titkosított!", ebben a fényében nevetséges, hogy végponttól végpontig titkosításhoz autoritásoktól kell vásárolnom igazolást.
Ha ez olyan sima ügy lenne, mint egy tárhelybérlés, akkor azt mondom, hogy oké, de hogy egy laikusnak kell felkutatni ezeket az autoritásokat, majd átrágni magukat a masszív technológiai bullshiten, hogy drágán vehessenek egy néhány száz bites pecsétet, ami, mit is igazol? Na szóval ez az egész el van cseszve, méghozzá alapjaiban.
-
#25
Bluesummers
őstag
#82729984
#5
-
jerry311
nagyúr
Annyira nem bonyolult és nem is drága, hogy 2 domainhez is vásároltam magamnak, mert így egyszerűbb az életem.
Sok aldomainre pedig ott van a wildcard certificate-t. Annyi aldomained lehet amennyit csak akarsz. Évente 100-200k HUF, attól függ kitől veszed.
De ha elég pénzed van és elég megbízhatónak talál a root CA, akkor lehetsz intermediate CA, amivel aztán olyan cert-et készítesz, amilyet akarsz. Ez viszont elég kockázatos a root CA számára, szóval rendesen megválogatják kinek adnak ilyet. Nem is foglalkozik vele mindegyik root.(#21) fene_vad
Annyira azért nem, mert most is több olyan víruskereső (vagy egyéb "biztonsági" program) van forgalomban, ami telepítéskor saját certificat-et tesz a trusted listába és bekapcsolja az SSL/TLS kapcsolatok ellenőrzését is. Pontosan a leírtnak megfelelően 2 SSL/TLS kapcsolat lesz, a kettő közt pedig a víruskereső. Több esetben is kiderült már, hogy a víruskeresők nem feltétlen kezelik biztonságosan a mindenféle certificate-ek on-the-fly előállítását. Így tehát megoldható, hogy az API olyan kérésre is válaszoljon, ami nem a víruskeresőtől jött. -
#14595328
törölt tag
Nem kell minden aldomainre külön cert, erre jó a wildcard tanúsítvány.
Ott van a már említett Let's Encrypt, ingyenes. StartSSL wildcard 60-120$ egy évre, korlátlan tanúsítványt lehet létrehozni, ami 2 vagy 3 évig érvényes.
Amit Te milliós tételnek írtál, azt meg lehet oldani max 50e Ft-ból!Ja és mindkettőt elfogadják a böngészők!
-
bugger
tag
válasz
#14595328
#17
üzenetére
"A Certificate-k használata drága és körülményes a jelenlegi rendszerben."
Ezt hogy érted?
Viszonylag egyszerű: minden egyes aldomain-re külön cert kell. Ha a céged pl pár száz kisebb oldalt tart fent, és mindegyiknek van egy-két aldomainje (ez a mennyiség egyáltalán nem meglepő, vagy nagy mennyiség) akkor ez könnyen milliós extraköltséget jelenthet, még olcsóbbik certek használatával is. Persze a Google könnyen megoldja, root CA, annyit állít ki magának ingyen, amennyit csak akar. A többiek meg fizessenek a semmiért. -
#82729984
törölt tag
"felvetheti ez a jogi felelősségvállalás kérdését a CA részéről?"
Nem valószinü. Azért talán perelhető lenne hogy elmulaszotta a teljes körü ellenörzést (bár ez inkább a hatályos jogi szabályozás megsértése lenne -ha van- amiért az állam büntethet), de az okozott kárért biztos nem.
Kb. mintha bérelnél egy autót amivel kirabolsz egy bankot, a kereskedőt nem perelheti be a bank hogy térítse meg az okozott kárt mert az ő autójával rabolták ki a bankot.
"kitől perelhető vissza a pénz ha nem kapják el a rosszfiút?"
Attól tartok akkor azt bebuktad.
-
#17
#14595328
törölt tag
fordfairlane
#16
#14595328
törölt tag
válasz
fordfairlane
#16
üzenetére
"A Certificate-k használata drága és körülményes a jelenlegi rendszerben."
Ezt hogy érted?(#15) bambano: Azért remélhetőleg ezt a víruskergető kiszúrná.
"következmény: a https titkosítás a certek ennyire laza kezelése mellett nullát ér." +1 -
#16
fordfairlane
veterán
fordfairlane
veterán
A Certificate-k használata drága és körülményes a jelenlegi rendszerben. Úgyhogy ez így ebben a formában baromság.
A Google gyorsuló mértékben májkroszoftosodik, és ez szomorú.
-
bambano
titán
amennyire én tudom, néhány vírus/malware/stb védelmi program, amelyik képes a webes forgalmat ellenőrizni, szabályos mitm támadásnak elfogadható módon néz bele a https forgalomba. ha a saját pc-den futó program képes olyan gyorsan betörni a titkosításodba, hogy neked nem lassú, a böngésző meg elfogadja érvényesnek, akkor az egész pontosan nullát ér.
mert miből tart megírni egy vírust, ami a víruskergetővel csináltatja meg azt a certet, aminek a fedése alatt átirányítják a banki forgalmadat a phising oldalra? sőt, az is lehet, hogy egyáltalán nem kell már semmilyen certet csinálni, mert a víruskergetőd megcsinálta...
hogy is működhet ez a dolog... a böngésződ be akar menni a bankodhoz. közédáll http proxyként a víruskergető. elindítod a kérést a bank felé, a víruskergetőproxy elkapja, majd ő indít egy kérést a bank felé, amiben megkapja a certet. erre gyorsan generál egy másik certet, aminek a neve hasonlít, ezt eltolja a böngésződ felé, a hivatalos banki certtel meg megy a bank felé. lesz két diszjunkt https kapcsolatod, amiből a feléd esőnek a certje ott helyben generálódott ellenőrzés nélkül, és a böngésződ mégis elfogadja.
ezek után ha írnak egy vírust, ami elkapja a https forgalmat, akkor neki már ott van a kész cert, amit a víruskergető generált és a böngésződ érvényesnek hisz. A dupla https kapcsolat másik felét ezek után kedvére olyanra cseréli, amilyenre akarja, mert a böngésző ezt biztosan nem veszi észre.
következmény: a https titkosítás a certek ennyire laza kezelése mellett nullát ér.
-
fene_vad
senior tag
felvetheti ez a jogi felelősségvállalás kérdését a CA részéről?
Pl ha kiadnak egy nem megfelelően validált certet, amit egy phising oldalon elhelyez a rosszfiú, és ellop x dollárt vele a "trusted tag" miatt a weboldalban megbízó felhasználóktól?
ki itt a hunyó a rosszfiún kívül? a Chrome, mert trustednek jelölt egy inkompetens CA-t?
vagy a CA, aki úgy adott ki certet hogy nem ellenőrizte le az rosszfiút?kitől perelhető vissza a pénz ha nem kapják el a rosszfiút?
szerk: Porthoszx neked is szól a kérdés
-
#82729984
törölt tag
Bele van integrálva egy csomó CA mint trusted. Nem csak a chrome-ba, a firefoxba is (sőt a windowsban is van pár alapból).
Innentől kezdve csak annyit kell tenned, hogy bekopogsz valamelyik ilyen CA kibocsátohoz és kérsz (veszel) tőlük egy tanusitványt mondjuk az otp-bank.hu címre vagy az otp2.hu címre.
A korábbi tapasztalatok azt mutatják hogy simán átmész az ellenörzésen, mert leginkább csak azt nézik hogy kifizesd a tanusitvány díját.Innentől kezdve már nincs más dolgod mint létrehozol egy kamu https oldalt mondjuk otp-bank.hu címen amin teljesen lemásolod az otp oldalát, majd szépen emailben kiküldöd a korábban már megvásárolt email listán szereplő címekre, hogy biztonsági okokból kéretik megváltoztatni a jelszót amit a bank oldalán megtehetsz, amit _erre a linkre_ kattintva egyből oda juthatsz.
És ekkor a user odajut a te általad preparált otp-bank.hu oldalra, a böngésző szerint minden szép és zöld és ha nincs az adott banknál több faktoros authentikálás vagy az adott user nem él vele, akkor már meg is van a felhasználónév:jelszó páros a többit a fantáziadra bizom.
Ezért mondtam hogy a https eddig sem védett az álca oldalak ellen.
-
Egon
nagyúr
mi lenne, ha végre elkezdenék büntetni a google-t?
minimum akkor, mikor ilyen vaskos baromságokat erőltet?+1.
a https semmi olyan biztonságot nem nyújt, amire a látogatott oldalak zöménél valóban szükség lenne. mondjuk én abban sem hiszek, hogy a fontos oldalaknál van érdemi biztonság a https-nek köszönhetően, de mindegy...
Az első mondatot osztom. A folytatás kapcsán: kérdés, hogy mit tekintünk "érdemi biztonság"-nak. Szerintem a támadások jelentős része kivédhető https segítségével (önmagában nyilván nem csodafegyver, de szvsz fontos és nem elhanyagolható része egy jól átgondolt és kialakított védelemnek).
-
jerry311
nagyúr
A root certnél is alapvetően bukó a self-signed, csak azért nem mert be van jelölve trustednek.
Egy CA attól lesz trusted, hogy a böngésző fejlesztők valamilyen kritériumrendszer alapján* annak ítélik és berakják az alap trusted root készletbe.* Ez lehet akár külső cég listája is.
-
bambano
titán
mi lenne, ha végre elkezdenék büntetni a google-t?
minimum akkor, mikor ilyen vaskos baromságokat erőltet?a https semmi olyan biztonságot nem nyújt, amire a látogatott oldalak zöménél valóban szükség lenne. mondjuk én abban sem hiszek, hogy a fontos oldalaknál van érdemi biztonság a https-nek köszönhetően, de mindegy...
-
emelhu
aktív tag
Volt szó róla, hogy lesz egy világszinten kontrollált .bank fődomain és ezt csak valóban bankok kaphatják meg.
Ezt a legtöbb laikus is képes lenne ellenőrizni, hogy a webcim vége .bank (már csak a böngészőknek kellene odafigyelni, hogy ezek ne lehessenek elirányitva ip feloldáskor, mondjuk valami másodlagos ellenörzéssel nem automatikusan elfogadva a DNS feloldását)
Mivel az NSA úgyis megoldja, valóban félbiztonságot nyújt.
Szerintem üzletpolitikailag a google attól tart, hogy a plain text honlapok adatforgalmának elemzésével mások (pl. a kábelszolgáltatók) is képesek lehetnek a jövőben kiharapni valamit a user-elemzés-alapú-célzott-reklámozás piacból.
-
#7
Neil Watts
veterán
Neil Watts
veterán
Adja magát a kérdés: A PH mikor vált?
Üdv. core2
-
#82729984
törölt tag
Mondjuk én nem kifejezetten látom hogy mivel lesz biztonságosabb. Inkább csak álbiztonságot ad.
Álcaoldalakat eddig is főleg https oldalakra hoztak létre (tipikusan banki adatok ellopásához, banki bejelentkező weboldalak szimulálásával), ez ellen a https eddig sem védett, ezután sem fog. (legalábbis viszonylag kevesen szokták fejből nyomni a bank tanúsítványának sha hashét, többség számára ez a mondatom is kínaiul van).
Valid (de fake) certet (amit a böngésző hitelesként elfogad) is pikk-pakk lehet csináltatni mint az számtalanszor kiderült, a CA kibocsátok sokszor alapvető dolgokat sem ellenőriznek, már amikor épp nem lopják el tőlük a CA titkosító kulcsát...
És ekkor ezután adja magát a kérdés hogy vajon egy sima tartalomfogyasztásra szánt oldalnál tényleg mi értelme a https-nek.
-
#4
dragon1993
addikt
dragon1993
addikt
A Let's Encrypt lassan megjelenhetne az osztott tárhelyeknél is.
![;]](http://cdn.rios.hu/dl/s/v1.gif)
De egy rendes, nagy látogatottságú webshopnak nem is osztott hostingon vagy VPS-en kellene futnia.
Új hozzászólás Aktív témák
- szinteÚJ Lenovo ThinkPad L14 Gen5 i7 155U 32GB 1TB FHD+
- Lenovo ThinkPad L13 Gen 3 i5-1245U FHD+ 16GB 512GB 1 év teljeskörű garancia
- GYÖNYÖRŰ iPhone 11 128GB Black-1 ÉV GARANCIA -Kártyafüggetlen, MS4360, 100% Akksi
- ÚJ akksi! GigaAKCIÓ! Lenovo ThinkPad P15 Gen 2 Intel i7-11850H 32GB 512GB Nvidia RTX A3000 1 év gar
- 264 - Lenovo ThinkBook 16 (G7 ARP) - AMD Ryzen 5 7535HS, no GPU
Állásajánlatok
Cég: Laptopműhely Bt.
Város: Budapest