Hlavní navigace

Názor ke zprávičce Čínská autorita WoSign prošla auditem, chce být znovu důvěryhodná od Palo M. - Zjavne si ma nepochopil. Z pouzivania Certificate Patrol...

  • Aktualita je stará, nové názory již nelze přidávat.
  • 6. 7. 2017 10:50

    Palo M. (neregistrovaný)

    Zjavne si ma nepochopil. Z pouzivania Certificate Patrol velmi dobre viem, ze vyskakovanie okien nikam nevedie.

    Ten napad bol mysleny tak, ze by bol farebne odliseny len adresny riadok (povedzme http oranzovo a https modro) a na BFU by standardne nevyskakovalo vobec nic. Tym by to pre BFU koncilo, iba tieto 2 farby, bud nezabezpecene alebo neoverena identita (samozrejme ak by nesedel certifikat, tak by to BFU nikam nepustilo, tak ako je to prakticky dnes, ale keby certifikat sedel s menom, tak je jedno, kto to podpisal, modra farba a hotovo). Ziadne vyskakovanie potvrdeni, len dve mozne farbicky.

    Ale ty by si si (povedzme u svojho vlastneho servera) skontroloval, ze CA (to je jedno ktora, kludne aj tvoja vlastna, ale skratka taka, ktorej ty veris ze nepodpise certifikat pre tvoj server nikomu inemu), sedi s realitou pri prvom pristupe z daneho browsera. A naklikal by si v browseri, ze takto to ma byt, ze toto je pre teba koren dovery tohoto servera (znova: nic by nevyskakovalo, sam by si to musel iniciativne naklikat). Od toho momentu uz by browser pre tento tvoj server daval na to pozor: normalne ked by sedel koren dovery (ten, ktory si si sam nastavil), by si mal zeleny adresny riadok (zabezpecene a overene), pri http by pindal (downgrade attack), aj pri inej CA by pindal (nejaka rogue autorita podpisala certifikat servera).

    Pri dolezitych veciach (vlastne servery, banka, atd) by si normalne videl zeleny riadok a vedel by si, ze vsetko je v poriadku (pretoze si to kedysi overil a odvtedy to sedi tak ako si to overil). A na weby typu root.cz by si pravdepodobne mohol nechat modry riadok a kaslat na to (pises sem ako neregistrovany, takze smerom od teba sem nic tajne nedavas, no a smerom z webu by ta asi velmi netankovalo, ze niekto "spravi MITM a podstrci ti falosne clanky").

    Tak ale to je len taky napad, ako to spravit pomerne pouzitelne pre tych, co vedia a chcu, a ako neotravovat tych, co na to kaslu tak ci tak.
    Nie je to idealne riesenie (BFU by skratka mal modry riadok aj do banky - ale v podstate takyto stav je uz dnes, ked certifikat mohla podpisat hocijaka tiezautorita z Turecka alebo Ciny a BFU to nema ako zistit). Ale napriklad v ramci firmy/statnych institucii by sa o nastavenie browsera mohlo postarat IT aj u tych BFU, takze dolezite pracovne veci by boli viac zabezpecene, nez su dnes.