Hlavní navigace

Názor k článku Hardening webového serveru Apache: šifrování a certifikáty od Filip Jirsák - Kdybyste nepsal do článku nesmysly a pak se...

  • 12. 2. 2020 8:56

    Filip Jirsák

    Kdybyste nepsal do článku nesmysly a pak se v diskusi nevymlouval, tolik bychom se netrápili.

    O plain-text-attack psát nemusíte, ani o tom, že je zmíněný v dokumentu BSI. To všichni vědí. Co ale uniklo vám, je to, že to neznamená, že jsou přihlašovací jména a hesla protokoly SSLv2, SSLv3 a TLS 1.0 přenášena nešifrovaně. Resp. vám už to také došlo, akorát to nechcete naplno přiznat. Asi jste si uvědomil, že bych vám mohl předložit dump TLS 1.0 komunikace a chtít po vás, ať z něj ten login a heslo získáte – když je to podle vás nešifrované.

    A pro priste - pokud necemu nerozumite, pak staci se normalne (a zdvorile) zeptat. Autor rad normalne (a zdvorile) odpovi. Staci obvykle dotaz typu "co jste vlastne myslel vetou typu ....".
    Takže já se zde normálně a zdvořile zeptám: Proč píšete články o bezpečnosti, když na to nemáte? Sice znáte názvy jednotlivých protokolů, šifer nebo útoků, ale nedokážete to propojit dohromady.

    Tady je hlavní problém v tom, že jste do článku napsal nesmyslnou zkratku, a místo abyste to přiznal a opravil to, jenom se do toho dál zamotáváte a vymýšlíte si, že citujete dokumenty BSI.

    Můžete se jak chcete dál tvářit, že vy tomu rozumíte a já ne, bohužel jste ale před tím napsal nesmysl do článku, tady do diskuse jste několikrát napsal, že citujete BSI nebo že něco plyne z textu BSI, ale ani jednou jste z toho textu nic necitoval ani nic neodkázal. Každému soudnému člověku je už jenom z toho jasné, že si vymýšlíte – což byste neměl zapotřebí, pokud byste problematice alespoň trochu rozuměl. Já bezpečnosti moc nerozumím, bohužel se ukázalo, že vy jí rozumíte ještě méně.

    Jo, a dokumenty narodnich bezpecnostnich autorit pouzivame v branzi naprosto bezne.
    Tady mám také jeden normální a zdvořilý dotaz: Tohle je zbabělý pokus o argumentační faul, nebo opravdu stále nechápete, v čem je váš problém? Dokumenty BSI tu vůbec nikdo nezpochybňuje. Zpochybněna je vaše interpretace. Resp. kdokoli, kdo sleduje tuhle diskusi, kromě vás, už dávno ví, že byla vyvrácena – protože kdyby v těch dokumentech skutečně bylo to, co tvrdíte, už byste to dávno citoval nebo alespoň odkázal. Jenže tvrzení „přihlašovací jména a hesla jsou při použití protokolů SSLv2, SSLv3 nebo TLS 1.0 přenášena v otevřeném tvaru“ v těch dokumentech nikde není, a ani z těch dokumentů nijak neplyne. Je to čistě jen váš výmysl. Což je právě ten důvod, proč nemáte na to psát články o bezpečnosti.

    Neustále se snažíte zaštiťovat BSI, jenže to, co já rozporuju, jsou vaše výroky. Argument, že jen citujete BSI, už jste sám vyvrátil tím, že jste ani v několikátém komentáři nebyl schopen odkázat nebo citovat cokoli od BSI, co by váš výrok potvrzovalo.