Vlákno názorů k článku Postřehy z bezpečnosti: nestrkejte hlavu do písku! od Ondřej Surý - > Díky soumraku, který se stahuje nad EV...
-
> Díky soumraku, který se stahuje nad EV certifikáty, bude možná tato kontrola brzy téměř nemožná a autoři podobných scamů se tedy budou moci jen smát.
#wat
Autoři podobných scamů se smějí již dnes, a to je přesně ten důvod, proč se na EV certifikáty stahují mračna. EV certifikáty normálnímu koncovému uživateli nepřinášejí vůbec nic pozitivního, jen větší zmatek. EV certifikáty byly od začátku ten největší scam ze všech...
-
Filip JirsákStříbrný podporovatelZrovna u domény steamcommunity.com těžko hádat, co je to vlastně zač, a jedině z EV certifikátu se dozvím, že je to opravdu oficiální doména Valve a ne nějaká stránka např. fanouškovské komunity.
-
To byste se dozvěděl i z OV certifikátu. EV na to nemá žádný vliv.
Nicméně pořád platí, že lidí, kteří si všimnou, jestli je nahoře EV nebo OV nebo DV certifikát a zároveň ví, jaký typ certifikátu tam má být bude pod 1%. EV certifikáty nijak nezabraňují downgrade útokům, a stejně tak vůbec netušíte, jestli https://steamcommunity-a.akamaihd.net také patří Valve.
A teď mi mimochodem bez koukání řekněte, jestli má EV certifikát tumblr.com a komu aktuálně patří ...
-
Filip JirsákStříbrný podporovatel
To byste se dozvěděl i z OV certifikátu. EV na to nemá žádný vliv.
Který prohlížeč zobrazuje jméno z certifikátu v adresním řádku u OV certifikátů? Podle mne to všechny prohlížeče dělají jenom u EV certifikátů. Pokud budou prohlížeče zobrazovat jméno i u OV certifikátů, je to za mne v pořádku – ale nevím o tom, že by se něco takového chystalo (zejména když se odstranění jména u EV certifikátů odůvodňuje ušetřením místa v adresním řádku).Nicméně pořád platí, že lidí, kteří si všimnou, jestli je nahoře EV nebo OV nebo DV certifikát a zároveň ví, jaký typ certifikátu tam má být bude pod 1%.
Což bude plus minus stejně, jako množství lidí, kteří vědí, že by komunikace měla být šifrovaná…EV certifikáty nijak nezabraňují downgrade útokům
Nezabraňují. Ale když do prohlížeče naťukám mojebanka.cz a v adresním řádku rovnou vidím, že je to ta správná moje banka (KB), nemusím to dál řešit. Pokud tam uvidím jenom doménu, musím nějak jinak zjišťovat, komu že to ta doména vlastně patří. Jistě, 99 % lidí to zjišťovat nebude, ale proč tomu zbývajícímu jednu procentu, které bere bezpečnost vážně, házet klacky pod nohy? Pořád mi připadá lepší situace, když si alespoň 1 % lidí ověří, že komunikují skutečně se svojí bankou, než když si to neověří vůbec nikdo.stejně tak vůbec netušíte, jestli https://steamcommunity-a.akamaihd.net také patří Valve
Netuším, ale právě pro to, že to rychle neuvidím v certifikátu, budu ostražitý. U Steamu mi to asi bude jedno, ale u banky nebo PayPalu si to zkontroluju. Zvlášť když mají všichni potřebu pojmenovávat domény jinak, než jak se jmenuje služba i firma.A teď mi mimochodem bez koukání řekněte, jestli má EV certifikát tumblr.com a komu aktuálně patří ...
Nevím a u tumblr.com je mi to celkem jedno, navíc tu službu znám pod jejím doménovým jménem. Kdybych měl účet u Komerční banky, chci při používání internetového bankovnictví vědět, že komunikuju s Komerční bankou. To z domény mojebanka.cz fakt nepoznám. A adresa steamcommunity.com je stejně hloupá. Kdybych používal Steam, je jistá šance, že bych si pamatoval, že mají EV certifikát. Bez něj si budu pamatovat akorát to, že mají nějakou divnou doménu – takže to heslo klidně zadám na steamcommunity-a.akamaihd.net (já teda ne, protože mi ho správce hesel pro tu doménu nenabídne, ale většina uživatelů ano).Zobrazovat jméno certifikátu v adresním řádku prohlížeče samozřejmě není 100% ochrana, ale to nikdo netvrdil. Ale pořád lepší chránit alespoň to 1 % uživatelů, než nechránit vůbec nikoho – když nemáme žádný jiný způsob ochrany.
-
To se mi stalo už několikrát, že nějaká známá instituce (dejme tomu ČSOB) se známou doménou (dejme tomu csob.cz) najednou třeba pošle e-mail z mě neznámé domény (třeba pruzkumcsob.cz).
Zaprvé by mě zajímalo, jakou mají instituce motivaci to dělat? Proč to dělá Steam? Nebylo by lepší tu samou věc mít na community.steam.com ?
Zadruhé bych chtěl jakožto lama v tomto podoboru vědět, co mám v takovém případě na různých *V certifikátech zkoumat, abych si mohl být aspoň trochu jistý, že stále komunikuju s danou institucí...?
Děkuji :)
-
> > stejně tak vůbec netušíte, jestli https://steamcommunity-a.akamaihd.net také patří Valve
> Netuším, ale právě pro to, že to rychle neuvidím v certifikátu, budu ostražitý.Nebudete, protože z této domény se stahují extra zdroje pro stránku https://steamcommunity.com/, takže ten hezký zelený rámeček v address baru je teda naprosto super, až na to, že nemá vůbec žádnou hodnotu.
-
dr_ak (neregistrovaný)
I pro mě je zobrazení podrobností EV certifikátu užitečné. V případě: https://steamcommunity.com vím, že stránky spravuje určitý subjekt a už důvěřuji i tomu, z jakých dalších zdrojů stahuje další obsah.
Tedy má to pro mě větší váhu, než doména, kde musím složitě zjišťovat vlastníka pomocí whois, atd.... -
Filip JirsákStříbrný podporovatel
Odkud se stahují zdroje je mi jako uživateli úplně jedno. Pro mne je důležité, na jaké jsem webové stránce, což ukazuje adresní řádek. Jediné, co může prohlížeč zkontrolovat, je to, zda se to stahuje přes HTTPS, a tedy zda to autor stránky může mít pod kontrolou. Zda to skutečně má pod kontrolou je ale už na autorovi stránky – pokud bude odkazovat špatné zdroje, mohou být úplně stejně na https://steamcommunity-a.akamaihd.net
jako na https://steamcommunity.com/ nebo jako na https://cdnjs.com.Důležitý není ten zelený rámeček, ale název v něm napsaný. A jeho hodnota je v tom, že nemusím někde hledat, zda ten web patří tomu, komu si myslím, že by patřit měl, ale vidím to rovnou.
-
> Důležitý není ten zelený rámeček, ale název v něm napsaný. A jeho hodnota je v tom, že nemusím někde hledat, zda ten web patří tomu, komu si myslím, že by patřit měl, ale vidím to rovnou.
Souhlas, ale pohybujeme se v dost teoretické rovině. Když pak přijde Fio Banka s tím, že její platební brána (používající její jméno a grafiku) je provozována na doméně https://secureshop.firstdata.lv, která má sice EV certifikát, ale vystavený na firmu First Data Corporation [US], tak se s nějakým ověřováním můžeme jít leda tak klouzat.
A takovýhle přehmat udělá banka, u které by člověk tak nějak očekával, že povede uživatele k obezřetnosti. A najednou mám za platbu v českém obchodě zadávat číslo svojí karty do stránek provozovaných na litevské doméně firmou, která (z pohledu zákazníka) nemá s bankou nic společného. A ještě o sobě ta firma tvrdí, že je to Fio banka (grafika na stránce). Skoro bych řekl, že ta stránka plní všechny znaky toho, že se jedná o podvod (a když jsem to viděl poprvé, tak jsem se skutečně lekl a platbu provedl jiným způsobem).
Když takto banky vychovávají uživatele, tak už ten zelený rámeček vlastně k ničemu nepotřebujeme :-(
