Hlavní navigace

Názor k článku Co dál s WoSign? Odebrat důvěru už nestačí od Heron - Zepta se te poprvy a naposled, pricemz ten...

  • Článek je starý, nové názory již nelze přidávat.
  • 14. 9. 2016 18:13

    Heron

    Zepta se te poprvy a naposled, pricemz ten fingerpint je svazanej se zcela konkretni adresou/IP.

    Stejně jako prohlížeč se mě zeptá jednou na pro něj dosud neznámý crt. A když si jej přidám, tak už se víc neptá. Na druhou část už jsem odpovídal. To, že prohlížeč neobsahuje možnost s tím pracovat trochu víc (třeba připnout konkrétní crt na konkrétní adresu je chyba, ale existují pluginy nebo třeba HPKP).

    Prihlasovani do toho netahej, kdyz sshcku reknes ze se pripojit muze kdokoli bez hesla, tak se proste pripoji, ale sifrovat se bude.

    Přihlašování do toho tahám, protože to považuju za nedílnou součást toho připojení. To, že to jde vykastrovat na věci nic nemění.

    A uzivatel o bezpecnost nestoji

    Zajímavé. O kousek níž se strachuješ o lidi z OKD nebo z firem, které krachnou, ale současně bys je nechal jít (třeba) do bankovnictví prostřednictvím klienta, který vůbec nic neřeší, takže snifování provozu nebo mitm se stává hračkou i pro mentálně postižené script kiddies.

    Všichni si asi uvědomují, že současný stav rozhodně není ideální, ale je stále řádově mnohem lepší, než tvůj slavný prohlížeč, který na jakoukoliv bezpečnost z vysoka kašle a kde by bylo získání přístup k zajímavým datům toho uživatele hračkou.

    A ne, vykonutim "nekterych" CA se nevyresi vubec nic. Protoze celej koncept CA je od pocatku zcela vadnej. A jasne, je udrzovanej v chodu a to vyhradne proto, aby si ofce myslely, jak sou v bezpeci, pricemz jak statni tak soukromy smiraci si vesele a v klidu muzou smirovat koho chteji. Staci mit pristup k libovolny "duveryhodny" CA.

    Jenže to je věc, která se dá dost snadno odhalit. Stačí používat pluginy jako cert partol a když se z ničeho nic na konkrétním webu změní crt (ale je stále platný), tak na to uživatele upozorní. A kdyby se ty vládní agentury mohly dostat k soukromému klíči na tom serveru (aby se nezměnil pár klíčů), tak už rovnou mají přístup k těm datům a nemusí dělat útok na spojení. Nehledě na to, že se dá vždy použít end to end šifrování ale tak se opět řeší tentýž problém, jak předat klíč druhé straně.