Vlákno názorů k článku Budou mít všechny phishingové weby platný certifikát? od petr_p - Že autorita neřeší obsah, ale identitu je pochopitelné....
-
petr_p (neregistrovaný)
Že autorita neřeší obsah, ale identitu je pochopitelné. Problém ale je, že v tomto případě ani identita není vyřešena. Nic nebraní ISP nebo hostingu, kam směřuje provoz pro určitou doménu, pomocí MITM si nechat vystavit falešný certifikát. To už můžeme dávat certifikáty do DNS záznamů a ušetříme na zbytečné autoritě.
-
karel (neregistrovaný)
Ano také mi příjde, že MITM je díky této iniciativě daleko jednoduší, navíc se trochu obávám, že zmíné 3 písmenkové agentury za tímhle projektem stojí a tedy mají.
Trochu mi to připomíná dobu nedávno minulou, kdy se získávali osobní informace pomocí spyware, pak přišel facebook a dal možnost lidem tyto informace dobrovolně zveřejnit a oni to udělali. -
muf (neregistrovaný)
Naprosto přesně jste vystihl podstatu toho všeho.
Narveme pod tlakem HTTPS skoro všude, certifikát získá doslova každý, uživatel získá falešný pocit bezpečí a co je nejdůležitější - odposlech se zjednoduší.
Lojza s Kismetem a Wiresharkem sice obsah webu hned neuvidí, ale nám to usnadní naši práci.
Užitečných idiotů máme k dispozici dost... -
Filip JirsákStříbrný podporovatelMohl byste popsat, jak přesně nasazení HTTPS někomu zjednoduší odposlech?
-
muf (neregistrovaný)
Získání certifikátu pro realizaci MiM, který browser v klidu sežere, bude zase o něco snazší.
Uživatel bude ukolébán pohádkami o bezpečném webu a nebude dávat pozor už vůbec na nic.
Jen ten Lojza s Wiresharkem, který se zrovna nudí v kavárně, neuvidí v dumpu paketů supertajné informace z veřejného webu. -
Ondřej CaletkaZlatý podporovatelO co snazší? O těch 99 Kč, co stál DV certifikát doteď? Vlastně počkat, některé autority nabízeli už dlouho testovací certifikát na 3 měsíce zdarma, například crt.simplia.cz.
Když už se někdo odhodlá provádět MitM (což je aktivita, za kterou může snadno skončit ve vězení), rozhodně bude mít dostatečný rozpočet na to, aby si mohl dovolit i dražší certifikát než za 0 Kč – takovou akci přece musí provádět jen s vidinou velkého zisku na konci. Přece nebude riskovat vězení jen tak pro nic.
-
lol (neregistrovaný)
Ano a nie. Povedzte, kolko z root CA ktore mate v systeme ste overili, resp. ste si isty ze certifikaty vydavaju naozaj zodpovedne? Ono staci ze na bezpecnost prdi jedna z takychto CA a dovera v certifikaty je v tahu.
Uz sa tu vela krat spominalo, ze certifikaty su zo strany BFU glorifikovane a vobec nechapu pred cim ich maju chranit a co im zabezpecuju.
S prichodom LE to nebude horsie, pretoze ten co chcel pachat nekalu cinnost na to pouzival certifikaty od inych CA a nadalej to tak bude robit.
A sifrovanie nie je nezmyselne, spravit MitM u http je nepomerne jednoduchsie nez u https. Staci k tomu `tcpflow`. U https potrebujete este platny certifikat a privatny kluc k nemu, co znamena ze jednoduchsie si je ho zakupit u vagnej CA nez hackovat webserver kvoli vystaveniu suboru. Tu uz mozete rovno zobrat privatny kluc z toho webserveru. A to sa dostavame do uplne inej debaty o bezpecnosti tej-ktorej domeny
-
Ondřej CaletkaZlatý podporovatel
Ano, bezpečnost webu přes https stála za prd už dřív, stále byla a je ale na mnohonásobně vyšší úrovni než bezpečnost webu přes http. Kampaň letsencrypt je především o odstranění bariér, kvůli kterým byly malé weby doteď provozované na http.
-
lojza (neregistrovaný)
Aha, takže místo toho, aby útočník realizoval mitm přímo na nezabezpečeném spojení, bude žádat o certifikát, aby zabezpečil půlku komunikace mezi sebou a klientem a zanechával další stopy nekalého jednání, třeba až vlastník serveru zjistí, že na jeho doménu existuje vystavený certifikát o který nežádal. To dává smysl.
-
Filip JirsákStříbrný podporovatel
Tak ještě jednou:
Narveme pod tlakem HTTPS skoro všude, […] - odposlech se zjednoduší.
Tedy tím, že se všude místo HTTP (podle vás) narve pod tlakem HTTPS, odposlech se zjednoduší. Ptám se tedy znovu, jak se odposlech zjednoduší tím, že se někde použije libovolné HTTPS místo HTTP. -
lojzik (neregistrovaný)
Za falešný pocit bezpečí nemůže LE, ale koncept globálního pki s předinstalovanými autoritami. Díky LE to jenom vyhřezlo. Kromě LE mají uživatelé předinstalovány mraky různých autorit a většina uživatelů ani netuší které to jsou a za jakých podmínek certifikáty vydávají. Občas si tam výrobce kompu nějakou tu autoritu podstrčí, občas nějaká autorita vydá certifikát který vydat neměla. Bohužel si uživatelé od začátku zvykli na to, že "důvěryhodnost" za ně plně zajišťuje dodavatel prohlížeče a prohlížeče cokoliv co vybočuje z tohoto předinstalovaného vztahu vybočuje prezentuje jako fatální chybu, místo aby měli nějakého rozumného průvodce pro ověření důvěryhodnosti serveru.
