Vlákno názorů k článku SHA-1 není bezpečná, Google ukázal kolizi od Petr M - Tak. A teď bude zajímavý sledovat remcaly, co...

Masina za 100M se bude pouzivat 30let. Sem si skoro jistej, ze porad najdes v provozu "CNCcka" programovany dratovanim.

Pristup je danej smlouvou, pokud mas smlouvu na ktery dodavatel nic negarantuje, tak mas servis tomu presne odpovidajici = zadnej. Samo, muzes reagovat tak, ze od takovyho dodavatel uz nic nekoupis, coz ti je hovno platny, kdyz tu masinu mas, a vyhodit ji nechces.

Se podivej jakej uzasne servis se poskytuje v IT ... zaplatis dvojnasobek ceny ... a ... vymena disku trva mesic. Mezi tim chcipnou dalsi dva. Zaklatis "100% garantovanej geografickej cluster" ... a staci par kapek vody aby "cluster" nejen dlouhy dny nefungoval vubec, ale i prisel o data.

A ted do tyhle situace, kdy ani za miliony nedostanes support, dosad BFUcka s jejich kramama za par stokorun, maximalne tisicikorun. ...

btw ... sem tak nejak kolem zaslech, ze ten uzasnej, naprosto nejbezpecenjsi router na svete ... vydal uzasnou paradni aktualizaci ... ktera ho dokonale sejmula. Copak udela BFU? Mno pude reklamovat. Co udela prodejce? No posle to dodavateli ... a uz tohle stoji vic, nez ta krabka. A uz vidim ten nadhernej soudni spor, kdyz vyrobce vyda takovou aktualizaci po zaruce, a odmita uznat reklamaci.

btw2: Tech masin za miliony mas plnou halu, chces sledovat co se kde podelalo, a ne najmout 30 lidi, ktery to budou obchazet a zkoumat na lokalnich terminalech.

"ale kdo by to byl tušil u zařízení v této cenovce, že."

Cena nevypovida zhola nic o kvalite.

Staci, ze tu firmu posobiacu na trhu desiatky rokov niekto vecsi kupil alebo zmenila majitelov a s nimi sa zmenil aj pristup k zakaznikovi.
Ten dodavatel je aj vyrobca? Ak nie obratil by som sa na vyrobcu, zvykne to pomoct, hlavne ked dodavatel je nejaka tuzemska firma. Mam zle skusenosti s tuzemskymi dodavatelmi. Ty sa casto snazia zbavit zodpovednosti a tutlat veci. Ked kontaktujes vyrobcu, tak ma casto snahu riesit veci normalne.

Dnes cenova kategoria nic neznamema. Mam podobne skusenosti.
Drahe zariadenia maju vyrobnu vadu( neumyselnu, setri sa pri navrhu a testovani, alebo aj na odbornosti vyvojarov, ktory ich navrhuju) alebo sa setrilo na zlom mieste(najcastejsie napajacie zdroje so smejd kondenzatormi).

Mame tu teraz vahy za 1000-1500Eur kus, kde po tak zhruba 6 rokoch odchadzaju zdroje kvoli jednemu kondenzatoru. Dodavatel meni zdroje, ktory jeden stoji zhruba 150Eur.
My ich opravujeme - dlzka opravy tak pol hodiny + kondenzator v cene par centov. Starsie verzie vah tohto vyrobcu funguju veselo 15 a viac rokov bez poruchy.

Iny vyrobca vah, kde zdroje odchadzaju tak po 15 rokoch, bez problemov dodava sadu kondenzatorov na opravu.

Teď nechci trolit (ač by se to z inteligence otázky mohlo zdát ;) ), ale proč nevyměníte celý zdroj?

Rozumějte, jiný typ - silnější / bez tech kondenzátorů / ... Nebo tam dát lepší kondenzátor?

V podstate mate pravdu, obvykle to je skoro jako vase varinata 3. HTTP tam je, protoze dle managementu (at uz dodavatele nebo zakaznika) "stav zarizeni musi jit sledovat mobilnim telefonem". Samozrejme tomu odpovida kvalita, tedy "hlavne at to tam je". Zaplatpanbuh to nejspis nikdo do ethernetu nepripoji.

Ale zpakty k "Tobě přijde normální, když si firma objedná za 100M mašinu, z daní ji odepisuje 10 let a po třech letech už se s ní nedá komunikovat, protože dodavatel na to hází bobek?" Budu se opakovat. Ale me neprijde normalni, ze se s ni neda komunikovat a prijde mi normalni, ze se neaktualiyuje firmware kvuli kazde blbosti jako je prolomeni SHA1.

A to je prave to, v cem se proste neshodneme. Kdyz se k tomu dalo pripojit beznym prohlizecem pred deseti lety, tak proc se tomu nemelo jit pripojit beznym prohlizecem ted. Zvlast kdyz se ten prohlizec jmenuje porad stejne, jen se zmenilo cislo verze.

I kdyz uznavam, ze treba ve sveta PLC je jasne, ze 15 let stare PLC nenaprogramuju soucasnym SW, ale ze musim nekde oprasit stary NB s WinXP a starou verzi programovaciho SW. (Ani tak ne kvuli bezpecnosti, jako spis protoze nova verze SW uz nepodporuje starou radu PLC.) Ale programovani PLC povazuji za trochu neco jineho nez "kouknout se na www stranky zarizeni".

Treba proto ze dowmgrade utoky. Zakaz je jedine spravne reseni. Nema smysl vystavovat riziku 99.9% lidi kvuli takovym okrajovym use case .

"Protože špatně bylo už to, že jste se k tomu připojoval běžným prohlížečem před deseti lety."
Ale vzdyt to je prece to. Ze nepotrebuju mit ke kazde blbosti na notebooku nainstalovanou konkretni konfiguracni aplikaci, ale ze to vsechno pujde z www prohlizece. V dnesni dobe z www prohlizece v mobilu.

Jak navrhuje ebik pode mnou. Udelat prohlizec, ve kterem se daji vsechny tyhle stare veci zapnout, tak jsem naprosto spokojen. Zabezpeceni at si resi ajtaci.

A k tem zarizenim existuje nejaky specialni bezpecny software? Verte tomu, ze napriklad protokoly k ruznym PLC jsou fakt trivialni, nikde nemaji zadna hesla (respektive maji, ale nikdy je nikdo nenastavuje, respektive nastavuji se pouze u hodne podezrelych zakazniku). Paket pro zapis do pameti vetsiny PLC je fakt smesne jednoduchy. Jakmile se jednou pripojite do lokalniho ethernetu dane skupiny stroju a vite co a jak, tak muzete v podstate vsechno. Nejaka SHA1 je proti tomu o nekolik levelu vyse.

Kdyz technik z Nemecka v ramci udrzby neco mechanicky poskodi, tak se dost snadno prijde na to, co se stalo. U software mi to tak neprijde, respektive urcite na to neprijde ten technik z Nemecka, on je sice z Nemecka, ale v oblasti SW moc chytrej neni. (Kdyz uz ma s sebou notebook, tak jedine, aby nekde poladil nejake konstanty.) SW je ve srovnani s HW cerna dira, na kterou se pokud mozno nesaha, protoze jak se rika "V kazdem programu je chyba a opravenim jedne chyby vznikaji dve dalsi."

A jinak navrhuju to ukoncit, oba jsme evidentne v tomto stavu:
https://xkcd.com/386/

2lojzak ... Nechápu... no to vime ze ty nechapes, vubec nic ... rec totiz byla o tom, ze ani za desitky nebo stovky mega nedostanes to, co TY chces aby dostal kazdej BFU za stokoruny. A ten BFU tu svoji krabku za kilo pouzivat chce a pouzivat bude, muzes se z toho klidne posrat, muzes klidne chodit po usich, ale nic nezmenis na tom, ze ta jeho krabka pouziva to co ji dal vyrobce do vinku a NIC jinyho NIKDY umet nebude.

Muzes mu tak maximalne umoznit pouzivat maximum co mu jeho krabka umozni, ale kdyz mu to vemes, tak on proste bude pouzivat TO, co JEMU funguje, a to je v tomhle pripade stara verze browseru se zakazanou aktualizaci, protoze to je presne to, co dela co on chce.

@j

"no to vime ze ty nechapes, vubec nic "
Kdo my? Je vás víc a nebo používáš pluralis majestatis?

"rec totiz byla o tom, ze ani za desitky nebo stovky mega nedostanes to, co TY chces aby dostal kazdej BFU za stokoruny."
To je ale pak problém kupujícího, že si neumí vybrat pořádné zařízení. Minimálně od roku 2002 mohou výrobci zařízení použít pro HTTPS šifrovací sady, u kterých se ví, že budou spolehlivě fungovat s aktuálními browsery nejméně do roku 2030. Ale holt když jsou někteří vývojáři pitomci a nepoužijí adekvátní zabezpečení, tak trpí i zákazník.

"A ten BFU tu svoji krabku za kilo pouzivat chce a pouzivat bude, muzes se z toho klidne posrat, muzes klidne chodit po usich, ale nic nezmenis na tom, ze ta jeho krabka pouziva to co ji dal vyrobce do vinku a NIC jinyho NIKDY umet nebude."
Já mu tu krabku za kilo neberu. Já jen nechci, abych byl ohrožován přitomností slabých protokolů a algoritmů v prohlížeči, jenom kvůli nějakému joudovi, který si koupil krám, co nic neumí.
Kolik uživatelů browseru potřebuje přistupovat na špatně zabezpečená zařízení? Asi tak 0.01%? A kvůli tomu má být ohrožována majorita?

"Muzes mu tak maximalne umoznit pouzivat maximum co mu jeho krabka umozni, ale kdyz mu to vemes, tak on proste bude pouzivat TO, co JEMU funguje, a to je v tomhle pripade stara verze browseru se zakazanou aktualizaci, protoze to je presne to, co dela co on chce."
No vidíš, že to nějak půjde. Když chce používat starý browser, jeho blbost.

Víš milé "jéčko", udivuje mě na tobě jaký jsi liberál ohledně podpory slabých crypto protokolů a současně jaký jsi diktátor třeba ohledně IPv6. Chtěl bys třeba, aby Google vypnul IPv4 jakmile dosáhne 6 alespoň 30%. Tady ti nevadí, že některé "krabky za kilo" nikdy IPv6 umět nebudou? Jak si mám vysvětlovat takový názorový protiklad? Trpíš schizofrenií? Tím by se vysvětlovalo, proč o sobě mluvíš v množném čísle.

Jisteze, trotl jako ty samo nemuze vedet, ze ipv6 je z roku 1995, to je nejakych jen tak mimochodem (protoze pocitat taky jiste neumis) 22 let.

Nevsim sem si ze by nekdo vypinal sifrovani, ktery se 22let nepouziva, zato sem si vsim, ze se kreteni jako TY snazej vypinat veci, ktery se pouzivat jeste peknych par mesicu nebo let budou.

A ta jeho blbost je tvuj problem, protoze prave trotl jako TY tu pak bude brecet, ze mu na tu jeho jednu IPv4 za kterou ma pres 4 NATy 10k lidi ... tech 10k lidi s tema starejma browserama utoci, protoze chtej aby jim fungovala jejich lednice.

@j

No vidíš, zhruba ze stejné doby pocházejí protokoly a šifrovací sady, které bude možno bezpečně používat až do roku 2030.

"Nevsim sem si ze by nekdo vypinal sifrovani, ktery se 22let nepouziva, zato sem si vsim, ze se kreteni jako TY snazej vypinat veci, ktery se pouzivat jeste peknych par mesicu nebo let budou."
Pokus se to přeformulovat na srozumitelnou větu.

"A ta jeho blbost je tvuj problem, protoze prave trotl jako TY tu pak bude brecet, ze mu na tu jeho jednu IPv4 za kterou ma pres 4 NATy 10k lidi ... tech 10k lidi s tema starejma browserama utoci, protoze chtej aby jim fungovala jejich lednice."
Jéee, to je vtipný, jak ses do mě pustil. Jenom nechápu, jak jsi přišel na to, že jsem odpůrce IPv6. Takže sis zbytečně vyplýtval jedy.
Ty jsi totiž nepochopil, že jsem chtěl poukázat na rozpor ve tvých názorech. Na jednu stranu bys chtěl, aby browsery podporovaly všechny staré crypto sady, i když to je nebezpečné, ale na druhou stranu bys všem hned vypínal IPv4.

Nikoli, to jen negramot jako ty nedokaze pochopit rozdil, navic mas zjevne kristalovou kouli ze si dovolujes tvrdit, ze neco bude mozny pouzivat jeste dalsich 13 let ... lol

Mam tu krabku starou 15 let ... a ... zazrak ... ipv6 ... umi. I win XP ipv6 umej, sice blbe, ale uplne stejne blbe jako win 10. Dost pochybuju, ze ma kdokoli doma cokoli, co ipv6 neumi.

Zato denne resim to, ze se neda na nejakou z tech krabek pripojit, protoze browser prohlasuje, ze to neni bezpecny a tvrdi mi, ze kdyz to heslo poslu pres http, je to naprosto OK.

@j

Tak ono se dost věcí ví dopředu. Taková doporučení NISTu ohledně šifrování jsou poměrně spolehlivý ukazatel. A třeba o SHA-1 se ví minimálně od roku 2005, že je více náchylná na kolize, než se myslelo. Od roku 2010 se podle NISTu nemá používat vůbec, pokud by měla mít bezpečnostní funkci.

Vysvětli mi, proč by měl výrobce těch krabek používat z hlediska bezpečnosti překonanou hašovací funkci, když existuje adekvátní náhrada.

"Mam tu krabku starou 15 let"
No vidíš, když jsi před 15 lety dokázal vybrat krabku, která v pohodě umí IPv6, tak proč nevybereš takovou, která podporova adekvátní crypto sady, u kterých se ví, že i v budoucnu budou podporované.

"Zato denne resim to, ze se neda na nejakou z tech krabek pripojit, protoze browser prohlasuje, ze to neni bezpecny a tvrdi mi, ze kdyz to heslo poslu pres http, je to naprosto OK."
A já zase doma nemám ani jednu krabku, kde by byl problém s šifrováním, ale zato mám spoustu krabek, které neumí IPv6. A na rozdíl od tebe nebrečím, že mi něco nefunguje, prostě příště vyberu lépe.

Ještě jednou ti zopakuji pointu. Kdyby výrobce nějaké té krabičky od roku 2002 používal kombinaci TLS 1.0_RSA2048_AES-128_SHA256, tak nemáš nejmenší problém se i teď, po 15 letech připojit. A zřejmě nebudeš mít problém ani v budoucnu.
A taky si uvědom, že jsi menšina. Jenom pár lidí se potřebuje připojovat ke krabkám se slabými crypto sadami. Majorita se ti přizpůsobovat nebude, zvláště, když by to znamenalo bezpečnostní riziko. Stav se třeba na hlavu, ale nic nezměníš.
Buď používej starý browser a nebo si udělej nějaký vlastní. Hlavně prosímtě přestaň s tím brečením.

Kazdy jedno BFU ma dome nejakou krabku na internet, na ktery potrebuje obcas neco nastavit, kazdy jedno BFU ma doma televizi, kterou rozhodne pristich 15-20let bude pouzivat, velmi brzo to budou lednice, mikrovlnky, pracky, mycky atd atd.

Jiste, tenhle routrik stal svyho casu jen cca 3k5 - teda dovoz z nemecka, u nas cca 5k, coz v soucasnych cenach odpovida rekneme 8k. A novejsi firmware pro nej neexistuje. Teda samo, moh bych si pripadne prekompilovat svuj, ale proc bych to mel delat, a specielne sem zvedavej, jak to bude delat to BFUcko, protoze to tam necha firmware vyrobce, kterej vyjde naposled v nejlepsim pripade 1/2 roku po nakupu. Jo, v tomhle pripade na to vyrobce vydal aktualizaci jeste rok potom, co to prestal vyrabet, precijen je to sice domaci hracka, ale cisco ...

A uz vidim jak zivy, jak si nekdo kupuje krabku na internet za 50k ... aby to mel s 5 lety supportu. A jestli tu nekdo predpoklada flashovani routeru, tak to ses leda ty.

Mikrotik stojí 50k? A třeba jako WiFi AP se dá kidně použít nejmenší OrangePi, a nějaký aktuální klon Debianu seženeš vždycky.

A co se odbornosti týká, tak každý řidič má něco, co je potřeba jednou za čas seštelovat - brzdy, předstih,.. Když to neumí, dá to do servisu. Takže to, že mám nějakou věc, potřebuju jednou za čas s tou věcí něco udělat a neumím to, není argument. To stejně můžu namítnout, že neumím v autě seštelovat posilovače, tak zakážu všechno novější než Žigulík.

Mikrotik nestoji 50k a taky nema zadnej support. To sem si takhle sel opatchovat mikrotika, a prestala fungovat vpn(jo, opravili to, za dalsich 10 verzi). Jindy zaclo padat dhcp ... opet, ja si poradim, BFU je v haji. Proto vyrobci zadny aktualizace nevydavaj, protoze to nehodlaj riskovat. A proto ja ani toho mikrotika neaktualizuju, protoze se stim nehodlam babrat.

Co funguje do toho se nehrab - zlaty pravidlo kazdyho svepravnyho admina.

BTW: Bez se zeptat nejakyho wifinare, co ma desitky mikrotiku v siti, jak je aktualizuje, urcite ti nadsene poreferuje.

A jaký je pode tebe kritérium pro "funguje"?

a) BFU se dostane na web. Ale díky natování je to všechno, co zvládne. Funguje taková síť?
b) Síť nepodporuje IPv6. Je taková síť na 100% funkční?
c) Zákazník očekává přenos zprávy zašifrované tak, že nikdo mimo něj a příjemce zprávu nepřečte. Je zařízení funkční (z pohledu splnění požadavků zákazníka), když použije prolomenou šifru?
d) Zákazník si platí řekněme 20Mbps, z toho 18Mbps pro sebe používá spambot díky 0-day v routeru a zákazníkovi se seká fotbal v telce. Je to funkční služba, za kterou si zaplatil?
e) Nedávný útok na nezáplatovaný Ubiquity. Byla to funkční síť? Admin do ní přece roky nehrabal... než musel sednout do auta a objíždět každou krabičku.

Myslím, že už jsi dneska nakrmený dost...

Btw, k té mikrovlnce. (Konstrukční) dokonalosti se dosahuje tehdy, když už nejde nic ubrat. Takže něco, co z principu nepotřebuje net a má ho, bych bral jako konstrukční nedokonalost...

"Tak televize má snad vlastní rozhraní ne? I s monitorem :-D"

To ma, a taky ethernetovej konektor a webovy rozhrani. A k nemu se bud muzes pripojit pomoci browseru, nebo treba pomoci appky ze svyho mobilu. Nesifrovane, protoze telku ktera by provozovala vubec nejaky https sem jeste nevidel. A vyrobci zjevne dobre vedi proc.

1/2 domacnosti stale minimalne jako sekundarni provozuje CRT ... s nejakou krabkou.

Jisteze je to jeho problem, on se podle toho zaridi, bude pouzivat tu verzi browseru, se kterou mu to funguje. A s nim dalsich par miliard lidi. A tady se pak bude probirat, jak vyresit ty miliardy zombiku co zahlcujou net. A to vsechno proto, ze sme tomu BFUcku ve jmenu bezpecnosti ... zakazali ty ... nebezpecny sifry.

Které televize máš na mysli? Všechny televize s Androidem (Sharp, Sony) mají HTTPS. LG webOS a Samsung Smart TV také.