Nutno rict, ze naproste vetsine zakazniku Marriott site je uplne jedno z jake domeny dorazi e-mail nebo jestli odkazuje na e-mail.marriott.com nebo na email-marriott com. Typicky BFU totiz zacne resit situaci az kdyz mu nekdo ukradne vetsi prachy z kreditky, nebo az mu nefunguje jeho username/pass. Je to stejne jako tady v CR kdyz dedulovi ve stavebni firme dorazi e-mail z banky z e-mailu duleziteinformace@komercnibankacz.info. Naprosta vetsina BFU ho otevre.
Jinak me zajima jak se Marriott postavi k situace s ohledem na GDPR a evropske hotely a samozrejme me zajimaji body za ztratu dat.
@ivoszz
Platit hotove za hotel ve kterem budu za pul roku jeden den bydlet?
Predpokladam, ze potrebuju hotel v miste, ktere je dostatecne daleko od meho bydliste. Jinak bych prespal doma. Takze sednu na letadlo, doletim do Tramtarie, najdu hotel, ve kterem chci za pul roku prespat, dam jim zalohu a odletim domu. Pk se tam za pul doku vratim, abych tam prespal. Pochopil jsem te dobre?
recepci nezajima self signed certifikat. Existuji zakony ruzne implementovane. V Rusku vas musi hotel nahlasit na polici do 24hodin, v CR staci kdyz vas zaregistruji a jednou za mesic (pokud si pamatuji) vas v ramci evidence odeslou na policii. Jinak funguje registrace na hotelu pro cizince, jinak pro obcany. Atd. Technologie ktere zminujete existuji a nasazuji je i hotely, ale implementace neni porad dostatecne komfortni.
Samozřejmě bavíme se o tom, jak by to mohlo fungovat anonymně.
O reportování cizinecké policii jsem tu psal, to je mi samozřejmě známo, a díky tomu je nějaká anonymita scifi. U nás. Jak to funguje ve světě... no ne všude po mně chtěli ID (i v ČR), například u Airbnb se to neřeší, ale tam zase platíte kartou.
To jsou, co popisujete, jsou věci, které budou v objednávce.
U platby akorát musím určit, ke které objednávce patří, případně ke kterému člověku, co si přišel pro klíče. A tam si vystačím s asymetrickou kryptografií. Určitě by se to dalo nějak standardizovat, spojit s občankou, takže odešlu platbu podepsanou elektronickým ID, projdu na hotelu turniketem a pípnutím mého elektronického ID...
Máte slabou představivost.
Spise real world zkusenosti... ;) U plateb vas krome objednavky zajimaji dalsi veci ktere vyzaduji ruzne zakony. Ruzne pravidla jsou v ruznych zemich implementovane ruzne. Tudiz to spojeni s obcankou bude fungovat v CR? Nebo v CR a SR? Nebo v EU? atd. Karetni spolecnosti vytvareli svuj byznis x desitek let a z pohledu zakaznika je vicemene jedno jestli platim kartou v CR nebo v UK nebo v US. Tou samou AMEX kartou zaplatim vsude po svete kde je berou. A kde berou certifikat platny v CR na obcance? Ani v tomhle state nejste schopen realizovat pres chip na obcance zakladni veci. A ted si to jeste skomplikujme a nahradme cash/USD/EUR/CZK bitcoinem/eth/random. Uz vidite tu komplexitu? Uz vidim jak vysvetluji svemu seniornimu otci jak si ma objednat prostrednictvim cipu v obcance a monera hotel a letenku...
Bavíme se o hypotetické situaci, ne o řešení v současném socialismu hladce použitelné bez delšího školení pro vaše seniorního otce.
Tady v tom případě je jedno, kde je certifikát platný. Důležité je zajistit, že ten, kdo zaplatil, pak taky čerpá. A na to mi stačí potvrdit, že byl použit stejný privátní klíč, nepotřebuju k tomu přidávat certifikační autoritu.
Někde je třeba začít. A tady je proof of concept, že by se to řešit dalo. Mezi známými kryptoměny pro obchodování používáme už běžně. Chodíme do restaurace, kde berou krypto, v Dublinu jsem chodil do pekárny, kde berou krypto, a pokud najdu hotel, kde berou krypto, taky mu dám přednost.
Technicky není problém. Vytvoří se smlouva (klidně psaná + jako příloha naprogramovaný pravdla), podepsaná hotelem i zákazníkem. viz https://www.lupa.cz/clanky/uvod-do-smart-kontraktu-jsou-opravdu-chytre-a-jde-vubec-o-smlouvy/
Ve smlouvě bude, že
1. částka se převede z peněženky A do B v termínu do tří dnů, jinak se rezervace zruší
2. pokud se v hotelu prokážu v den příjezdu nějakým tokenem (např. obsluha opíše číslo pasu), přesune se 100% hodnoty z peněženky B do C
3. Pokud se neprokážu v den příjezdu daným tokenem, přesune se do C 20%z B a zbytek B se vrátí do A. Tím je pořešený i storno poplatek.
Díky podpisu obou stran je to právně platná smlouva a kód kontraktu v příloze umožní nezávislý audit.
Ale ono ani tak nejde o způsob placení. Co je hnusný a nikdo to neřeší, je uložení všech zákazníků s různou zemí původu a různýma hotelama v různých státech a různou legislativou na jedné hromadě... Jestlipak k tomu zákazníci dali souhlas? A jestlipak je to všude legální?
Ono úplně bohatě stačí mít oddělenou kartu pro platby na internetu a tu plnit vždy jen v případě potřeby. Účet navíc je dneska zdarma, karta taky a převody jsou okamžité... Proč dělat nějaké složitosti? V nejextrémnějším případě lze založit účet jen pro jednu platbu a následně jej pak zrušit. Dělám to tak běžně třeba u spotify, kde tak můžu mít každé tři měsíce úplně novou premium registraci za 30 Kč...
A proc by mel byt v Google Transparency vystaven TLS certifikat pro domenu, ktera krom toho, ze na ni neni obsah, TLS vubec nepouziva?
To ani nemluvim o tom, ze falesna domena email-marriot.com ma, nevim jestli vystaveny, ale kazdopadne validni certifikat, na cemz je videt zasadni problem celeho systemu certifikatu a autorit: to, ze je certifikat neplatny, nebo vubec neni, nic neznamena, a to, ze je a je platny, take ne.
Problem je skor v tom, ze SSL certifikaty sa vydavaju kadekomu bez overovania identity alebo spolocnosti, ktorej patri.
Do tejto situacie nas dotlacil Google (s politikou SEO a svojim Chrome) na co zaregoval LetSEncrypt a vyuzil to...
A tiez ceresnicka na torte, voci tomuto ti CT nepomoze, a Chrome nezobrazuje ani EV certifikaty...
Ale pokud vím, chystají se to zrušit, uživatelé to prý nechápou. Přitom je to jediná rozumná vlastnost EV certifikátů a jediný opravdový důvod, proč vydávat certifikáty pro TLS certifikačními autoritami. Na všechno ostatní stačí veřejný klíč v DNS (věcně – že to dnes prohlížeče neimplementují je jiná věc).
Tohle vidím stejně. Pokud chce někdo potvrdit, že je to opravdu on, ať si zaplatí ověřený certifikát a ať je to vidět. Pokud někomu ta investice přijde zbytečná, ať si vydá certifikát sám, podepíše mu ho registrátor domény a připíchne do DNS bez těch opičáren okolo. Řetězec důvery bude root server - správce TLD - registrátor - majitel webu. Takže dost velká jistota, že komunikuješ s tím, kdo má doménu registrovanou. Ochrana navíc (před únosem v DNS) je právě EV - další kanál autentizace, nezávislý na DNS.
Otázka, proč se to tak jednoduše nedělá. Že by si G a Mozilla nechali platit od CA desátek z toho, že bez CA se nikdo nikam nedostane?
+++++
Mam podobny nazor.
Pripada mi to ako hura system, pri ktorom sa kompetentny nezamysleli nad vsetkymi aspektami(nemali cas sa zamysliet). Rychlo vyriesit problem, o ktorom sa dlho vedelo ale nechalo sa to dojst az do takeho stavu, kde bolo potrebne najst rychlo riesenie. Vybralo sa technokraticke riesenie, ktore ma v praxi svoje neduhy. Najhorsie na tom je, ze sa s tym zacalo od konca(u internetovych prehliadacov). Spustila sa vlna, ktorej jednym z vysledkov bol vznik Let's Encrypt.
Nieje to ani prva a bohuzial ani posledna vec, ktora sa tak riesila.
To ale vycházíte z úplně špatných informací. Certifikáty se používají spoustu let, to nebyla žádná hurá akce. Akorát se to za tu spoustu let vyvíjelo evolučním způsobem – vždy se z aktuálního stavu udělal ten nejmenší možný krůček někam dál, tak, aby už ten jeden krůček byl přínosem. Nikdo neměl sílu udělat revoluci s tím, že DV certifikáty jsou přece nesmysl, protože jediné zaručené místo, kde získat informace z DNS, je přece DNS server.
Pouzivalo sa to a vyvijalo x rokov ale ako? Az to doslo do stadia, ze to zacalo byt dolezitou temou. Ked sa nic rozhodne neurobilo zo strany kompetentnych, tak to zobrali do ruk prehliadace a oni to cele rozbehli. Z mojho pohladu to bolo hura riesenie, nestastne riesenie a nie najlepsie ale co uz. LetsEncrypt bol toho nasledkom aby aj bezne weby mali jednoduchy sposob ako svietit na zeleno v prehliadaci.
Mal som pocit, ze to bolo podobne ako pri IPv6. Ten protokol sa vyvijal x rokov ale, ked to bolo potrebne nasadit, tak sa zisitilo, ze to v praxi nieje ziadna vyhra. Cakal som, ze to bude vyladeny protokol. Z mojoh pohladu sa malo vvijat nieco nove, na IPv6 postavene.
To, že jste vy něco zaznamenal až v nějakém okamžiku, neznamená, že to před tím neexistovalo. Zrovna HTTPS se na webu rozšiřovalo postupně a plynule. Nebyl tam žádný zlom, o kterém píšete. Křivka podílu HTTPS bude mít klasický tvar S křivky přijetí inovace, Let'S Encrypt akorát umožnil nasadit HTTPS na spoustu menších webů.
Navíc jediná chyba, kterou bych dnes vytýkal situaci kolem HTTPS, jsou DV certifikáty. Ale je přirozené, jak to vzniklo – v době zavádění DV certifikátů nebylo po DNSSEC ani památky, takže načítat certifikáty z DNS by bylo pošetilé. Trochu problém je, že se to dnes neřeší, i když už na to technické prostředky jsou. Ale tady by mohl sehrát pozitivní úlohu Let's Encrypt, který do velké míry sebere kšefty s DV certifikáty tradičním certifikačním autoritám, a ty jednak budou muset přesvědčit, že OV a EV certifikáty mají smysl (což mají a jejich upozadění by bylo špatně), jednak přestanou mít zájem na DV certifikátech. Takže DV certifikáty přestanou být něco, na čem lze vydělávat, naopak bude nutné financovat provoz Let's Encrypt, takže snad bude tlak na zrušení DV certifikátů a používání něčeho založeného na DNS (ať už to bude DANE nebo něco jiného).
EV poskytne akurat nazov firmy a ten nemusi byt vzdy znamy a ani unikatny.
Ked je na inde nepouzitej stranke Marriottu certifikat pre Starwood, je to dobre alebo nie? Kolko ludi bude Googlit a dohlada si to?
V zaklade sa zobrazuje len nazov firmy a nic mi technicky nebrani zaregistrovat si docasne firmu XYZ Mariott alebo nieco s hotelmi v nazve a zo zeleneho pruhu nikto nic nepozna. Verit bezvyhradne zelenej farbe, to len pomoze k tomu, aby viac ludi naletelo na phishing.
V průměru 1x za měsíc dostávám z banky info (přímo v bankovnictví), že z domény té a té se něco chystá a nebo že probíhá phishingová kampaň. Při téhle frekvenci to absolutně není problém.
Navíc ne u každé služby je informace o podobné doméně zajímavá. U e-shopu to zákazníka nepálí vůbec, u mailu, banky, paywallu, přihlašovacích služeb typu OpenID a státní správy by mělo být info ověřitelným kanálem samozřejmost.
A ako automaticky z EV cert najdete, ze je niekto parazit? Meno firmy sa bezne nezhoduje s domenou a naopak, domena moze byt vseobecna. U root.cz mozno tusite, kto to vlastni, ale je registracia firmy "Root", "U Krcmare" "Info Internet", "Iinfo", "Internet Information" v poriadku? Ak to nie je registrovana znamka, tak revokaciu nezariadite.
Porovnavam EV s DV a DV mozem rovnako skusit zneplatnit.
Ne, protblem je v tom, ze soudruzi (a tady je jich taky hromada) vsude vykladaji, jak strasne nutne potrebujes ten "duveryhodnej" certifikat, kdyz chces sifrovat spojeni mezi horni a dolni. A ve skutecnosti je uplne jedno jakej cetifikat chces, protoze jediny co po dobe bude pripadne nekdo chtit, je overena platba. Certifikatu (tech "overeny") jsem zarizoval desitky, napises domeny, podle toho posles Nkrat X penez ... a voiala, po pripsani penez na ucet ti podepisou co chces. Jediny na co bys moh hypoteticky narazit je pozadavejk na podpis domeny, kterou uz stejna CA nekomu podepsala.
Naprosto nikoho nikdy nezajimalo, jestli vubec s tou domenou mas neco spolecnyho. Tak maximalne chteli "cestny prohlaseni" ... prachy totiz nesmrdej.
Tenhle kseftik jim samo aktualne dost rozbyla LE, ale s bezpecnosti to nemelo nic spolecnyho nikdy. A na to sifrovani je ti uplne rit, jakej cert protistrana ma nebo nema. Ostatne, velka cast MTA sifruje a pouziva na to ... selfsign.
[Meh]
A proc je v tom problem? Pokud ma svuj vlastni, tak to technicky prece neni chyba certifikacni autority protoze marriott.com != marriot.com. Horsi by bylo, kdyby obe domeny mely stejny certifikat.
Ale v souvislosti s tim, me napada, ze by nebyl spatny jednoduchy algoritmus, ktery by upozornoval na uzivatele na moznou zamenu s jinou domenou, se kterou v minulosti komunikoval....
Domena ale nikoho nezajima ... ostatne, najdi si 10 lidi, a vyzkousej to na nich. Kdyz jim predhodis web kterej vypada jako web jejich banky, tak i kdyz bude v adrese "https://dik.za.prachy.vas.zlodej.cz", tak je jim to uplne jedno. Mozna tak jednomu ze 100 to prijde divny, ale kdyz nadhodis, ze to prece ma zelenej zamecek, tak reknou OK, a "zaplatej". A to nezapomen na to, ze trebas i soudruzi z guuglu uz vymejslej, jak ten radek s adresou nejlip nezobrazovat vubec.
Jediny reseni problemu je to, co sem tu uz nejmin 100x popisoval.
1) je uplne sumafuk jakej cert nebo CA ma protistrana, je to NEBEZPECNY a NEZAPEZPECENY spojeni
2) user si SAM prida nejakou CA pro KONKRETNI WEB nebo konkretni certifikat
3) a teprve PAK mu muze browser sdelovat ze je to OK (trebas zelenym zamkem), pokud onen web JE podepsanej prave tou konrektni CA nebo pouziva prave ten konkretni certifikat.
4) a pokud ne, mel by pripojeni uplne znemoznit ... coz by mel i v pripade, ze se prave u tech ULOZENYCH stranek neda overit platnos/revokace.
Coz se da mimo jiny cely nahradit DANE cimz se eliminuje naprosto zbytecnej a bezpecnost narusujici meziclanek.
Ona hlavně je pitomost DV. Proč má třetí strana ověřovat záznam mojí domény v DNS? Ať je cert v DNS, podepsaný registrátorem nebo správcem TLD a hotovo.
Pokud chce někdo EV, měl by to být nadstandard. S tím, že pokud browser v DNS zjistí záznam s EV, měl by jej ověřit, zkontrolovat revokaci a v případě platnosti upozornit uživatele (popup?), že se připojuje na web s ověřenou identitou firmy XY, adresa ... a ověřil to ten a ten. Pokud je problém, že ten někdo není ten, za koho se vydává, škoda jde na vrub toho, kdo to ověřoval.
A naučit uživatele, aby pro kritický stránky (minimálně banka, paywall, mail) tohle ověření vyžadovali.
"Marriott začal tím, že rozeslal zprávu poškozeným klientům. Už v tak základním a naprosto zásadním kroku udělal obrovskou chybu: použil doménu, která vůbec nevypadá, že by hotelové síti patřila. Šlo o doménu email-marriott.com, která je registrovaná na úplně jinou společnost a není na ní žádný obsah."
Tohle podle mě moc nesedí, díval jsem se a whois záznam pro Email-Marriott.com udává:
Registrant Marriott International Inc
Registrant Org Marriott International Inc
Tech Contact:
Marriott International Inc
10400 Fernwood Rd,
Bethesda, MD, 20817, US