Vlákno názorů k článku Postřehy z bezpečnosti: šifrované DNS soukromí nezvýší od dizzy - ty koxo, tak to eID je teda riadny...

ty koxo, tak to eID je teda riadny masaker. Tak neviem, ci som to spravne pochopil, lebo sa mi az nechce verit ze kvoli nejakej trapnej identifikacii a elektronickemu podpisu mi niekto spusti lokalny web server, otvoreny do celeho sveta, pomocou ktoreho mi niekto vie na dialku mazat subory v mojom domovskom adresari. K dokonalosti snad chyba len, aby aj GET metoda robila to, co sa od nej ocakava. To by ma docela zaujimalo naco tam ten web server vlastne je - mozno k tomu aj existuje nejaka technicka specifikacia a jej obsah by mozno vydal na zopar dalsich dielov "na pobavenie", ale ja by som to asi nedal, lebo by som pri jej citani zrejme chytil infarkt.

Pozeram dodavatel - DXC Technology (samozrejme bez sutaze, lebo SMER) - toto by im mohli dat nejaki novinari vyzrat, lebo to je tak neskutocna lemplovina, ze s takym niecim som sa este vo svojej kariere nestretol...

29. 7. 2019, 08:39 editováno autorem komentáře

Ten web server tam je preto, aby prehliadac vedel komunikovat s eID. Teda ked sa prihlasujes, vola sa XHR reqeust na localhost:15480 co vyvola spustenie aplikacie komunikujucej s citackou.

Megafail je, ze bol nabindovany na vsetky interfejsy (na linuxe a macos) a povolene DELETE a PUT na rozne URL.

Chapem, takze namiesto toho, aby tam dali len jednoduchy socket server (idealne kryptovany) tam sudruhovia radsej spustia plnohodnotny http server a s citackou komunikuju zrejme cez cgi skripty. Spektakularny napad - skoda, ze ma nieco podobne nenapadlo tiez, bol by som uz mozno davno nezamestnany...

https na localhoste ma dost prakticky problem: server musi mat privatny kluc, ktory je podpisany retazou certifikatov az k nejakej CA, ktora je v browseri. No a distribuovat privatny kluc s aplikaciou nie je velmi stastny napad, obzvlast pre hostname 'localhost', co ziadna CA nikdy nepodpise. Generovat ich na zariadeni ich tiez nemozes, pretoze by si musel enrollnut userovi dalsi CA certifikat, na co sa ludia pozeraju cez prsty (pozdravuje Lenovo a SuperFish).

Okrem toho, aky prakticky prinos ocakavas od https na localhoste? Pripadny utocnik si vie attachnut debugger na oba procesy, klienta aj server, takze okrem mrhania usilia na vyriesenie certifikatov este aj mrhas energiou a casom cpu na zbytocne sifrovanie.

Tu to paradoxne vyzera, ze chyba bola psosobena open source kniznicov.