Vlákno názorů k článku Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné od Cohen - Nejsem z toho upřímně řečeno příliš nadšený. Pro...
-
BobTheBuilderStříbrný podporovatelNe, ale tohle je něco jiného.
Asi jako když máte doma sejf, který je údajně nedobytný, a teď by výrobce sejfu musel zveřejnit, kde svůj produkt nainstaloval.
To je pak dobrá pozvánka pro kriminálníky: a nechceš to zkusit ještě tady? -
Petr (neregistrovaný)
To mi vysvětli. Pokud zveřejním adresy sejfů, tj. ten seznam bude krátký a bude jasné, že každá ta adresa je zajímavá, protože takový sejf si člověk nekupuje jen tak pro nic za nic, tak to je dost jiná situace než když do seznamu stovek miliónů adres přibude pár dalších, které ani od těch "veřejných" nejde odlišit. Nebo jsem to nepochopil?
-
Kkt1 (neregistrovaný)
Seznam sejfu je jedna vec, ale informace ze dany sejf obsahuje $100M je daleko lepsi, hlavne pokud zjistis, ze ten safe ma treba default password. U tech xxxM adres proste vyfiltrujes admin rozhrani dle klicovych slov a mas zajimave cile. Na druhou stranu security through obscurity nikdy nefungovalo..
-
Petr (neregistrovaný)
Klíčových slov? Jakože microsoft.com má zcela tajnou admin.microsoft.com a budu filtrovat admin a další profláknuté řetězce a to nemohu zkoušet teď, musím čekat na zveřejnění v seznamu? Jen tak mimochodem, na můj web chodí pravidelně útoky na administrátoské rozhraní např. WordPressu a dalších známých systémů, přičemž tam WP atd vůbec nemám, prostě to zkouší. Naprosto souhlasím s tím, že security through obscurity nikdy nefungovalo..
-
Cohen (neregistrovaný)
To je samozřejmě pravda, že ty útoky zkouší. Normálně ale tyto útoky cílí na www záznamy, případně další, získané crawlingem. Teď se ten seznam cílů pěkně rozšíří, takže řekněme WP, který seděl na nějakém virtualhostu a nikdo o něm nevěděl, se najednou může dostat do světla reflektorů. Spousta webhosterů navíc dnes automaticky generuje Letsencrypt certifikáty pro všechny weby.
Já netvrdím, že security through obscurity nějak moc funguje. Jen konstatuji, že se tím zpřístupňuje mnohem větší prostor pro útoky a jde o pandořinu skříňku.
-
nebyt na seznamu (neregistrovaný)
>>Security through obscurity není ideální přístup.
No vsak to nikdo nerika.
Nadruhou stranu, dnes existuje takove mnozstvi nezverejnenych chyb, jeste vetsi mnozstvi neopravenych chyb a nesrovnatelne zdaleka nejvetsi mnozstvi robotu, co to proste zkouseji, ze nebyt na jejich seznamu je zcela jiste "security measure".
--
Jen v dnesni dobe modni obnazovani se vsude a za kazde situace, muze nekomu vadit.Analogie se sejfem je pekne trefna a ani moc netrpi nesrovnatelnosti situaci.
-
Filip JirsákStříbrný podporovatelDojde ke zveřejnění velkého množství nejrůznějších administrativních webů, které se doteď skrývaly za SNI.
Dost lidí tady tvrdí, že dojde ke zveřejnění tajných doménových názvů – vypadá to, že jste do teď používali certifikáty vystavené autoritami, které certifikáty do Certificate Transparency nezveřejňovaly.Můžete napsat, které konkrétně autority jste takhle používali?
