Firefox ve čtvrtek načetl většinu stránek přes HTTPS

(1) " Když uživatel používá všude stejné heslo, není potřeba ho louskat – stačí ho získat z kteréhokoli místa, kdo uživatel to heslo používá."

A jak ho asi získáš? Každý nemá na rozdíl od tebe Siderické iniformační kyvadlo . . .

(2) "Který stát z toho profituje a jak? Že tajné služby při odhalování zločinů využívají toho, že zločinci nemají dokonalé zabezpečení? To je přece normální a dělá to tak každý."

Nejen číst, ale i chápat text Samozřejmě že je to normální - jenom to ale potvrzuje co jsem napsal . . .

(3) "Rozmanitost je nepodstatná, důležitá je jen pravděpodobnost útoku násobená způsobenou škodou. Zabezpečení vždy znamená nějaké náklady, takže se vždy udělá nějaká hranice. Vždy je tedy potřeba začít od těch nejlevnějších opatření proti nejpravděpodob­nějším . . ."

Jenže z rozmanitosti pramení pravděpodobnost útoku. Nevěříš? Pokud budou možné útoky 2 a budou oba opraveny, nezahýbe ti to tou tvou pravděpodobností? Spíš bych řekl že jsi měl na mysli tzv. cena/výkon, tedy ne pravděpodobnost, ale jestli stojí za to na cíl útočit, resp. kolik to stojí prostředků. To pak záleží na motivu a i těch je spousta - ale nakonec končí u "výdělku". Samozřejmě zločinec vydělává jinak a vládní NSA vydělává jinak. Když to vezmeš do důsledku, tak třeba NSA, tím že nějakému podnikateli u Nás vybere PC, může dostat informace, které zneužije pro zájmovou americkou firmu (té NSA prodá na černém trhu iniformace ) a ta pak třeba vyšachuje českého podnikatele a ten bude třeba propouštět a zde už je přímý neblahý důsledek. Než se začneš smát - když může CIA participovat na obchodu s kokainem - prokázené - pro své boční fondy, proč ny NSA nemohla dělat tohle - a je přece známé, že Amíci šmírují kde koho a pak toho využívají pro lobby za zakázky jejich firmám . . . .
Nehledě na to, přečti si, jak obama využil poznatky z big data k oslovení posledních nerozhodnutých voličů - takže v podstatě jakékoliv data mohou mít vůznam už jenom na profilování - to kolik má kdo doma porna nebo jak pojmenuje složku s pornem - jestli se stydí, skrývá, nebo naopak - to pak bude volit Trumpa - to s Trumpem je vtip . . . :-D

(4) "Případů úniků hesel, souborů zašifrovaných ransomware, hacknutých domácích routerů nebo různých wordpressů je dost a dost."

Je, ale nejsou to všichni kdo mají slabé heslo nebo odklikvají jen tak ceritifkáty . . . a na tom to právě padá . . .

"Na rozdíl od případů, kdy by bezpečnost domácího uživatele ohrozila NSA"

Ale jak jsem psal výše, cíle NSA jsou jiné, proto sběr jiných dat ale díry využívají stjné a nebo podobné. Můj osobní názor je, že takové ty o kterých tu píšeš, třeba s těmi routery, prostě občas využijí/objednají (nemusí se představovat ani jedna strana) a použijí je, tím pádem začnou tyto 2 množiny jaksi splývat.

"Takže pokud někdo opravdu chce řešit bezpečnost domácích uživatelů, ať zapomene na NSA a řeší to používání stejných hesel, viry a hacknutá zařízení."

To samozřejmě! Ono jde totiž, až na specializované konkrétní a cílené útoky, ale zase klidně z obou táborů ( NSA vs. criminals ), o stejnou záležitost, stejný router, stejné nebo podobné techniky - s vyjímkou privátní zero-days know how - ale to se zase týká obou táborů - v podstatě je jedno proti komu, hlavně to mít zabezpečené co nejvíce, aby si na tom aspoň většina vylámala zuby - 100% je v tomto prípadě buď iluze, nebo naivita . . .

Každopádně v tvém příspěvku, ktrý předchází tomuto mému, už jsou jiná tvrzení a zatahlá jiná témata než v původním, ve kterém jsem označil vstupní tvrzení za chybná, resp. nepřesná . . .

"Třeba se podívám do databáze mé služby, jaké heslo má ten uživatel u mne?"

Ty máš v databázi hesla v plaintextu nebo v md5? Tak o čem se tu chceš bavit?

"(2) A co jste tím, co jste napsal, tedy chtěl říci? Že by policie měla jednat „fér“ a když přijde na nějakou chybu, kterou udělal pachatel, mlčky to přejít a tvářit se, že nic nenašli"

Nezapomneul jsi si vzít prášky? Zopakuju ti to: Ano, děje se to a nehodnotím to. Ale děje se to a to jsem ti i napsal. To ty to tu pořád zatahuješ s tím, jestli se mi to líbí nebo ne a jeké že to je. Důvod byl ten, že jsi to do své "úvahy" a následného výlevu nezahrnul a i proto se ti to tak nepovedlo.

"(3) Nikdy nejsou možné jenom dva útoky. Běžně se dělají plošné útoky, útočník neví, jak cenný bude jaký konkrétní cíl. Existuje nenulová pravděpodobnost, že útočník zač"

Ano, ale nebavili jsme se o tom, kolik existuje útoků, ale že pravděpodobnost útoku je ustřelený pojem a stejně to záleží na počtu možností - když už vytáhneš jenom 2 (hesla a certifikáty)

"když může CIA participovat na obchodu s kokainem - prokázené - pro své boční fondy, proč ny NSA nemohla dělat tohle - a je přece známé, že Amíci šmírují kde koho a pak toho využívají pro lobby za zakázky jejich firmám
O tom jsem právě psal první komentář – že je potřeba se bránit skutečným hrozbám, ne nějakým sedmkrát převařeným povídačkám."

Ano, ta převažená povídařka se dokonce vyšetřila a byla z toho velká kauza.

"Proč by to na tom padalo? Pokud máte slabé heslo, neovlivníte, zda se do vás útočník zrovna trefí nebo ne. Pokud máte heslo silné, můžete si být jist, že útočník útočící na slabá hesla u vás neuspěj"

Ach jo. Silné heslo není samospása, jenom obrana před lamama. Padá to proto, protože jsi označil 2 nešvary za veškeré problémy, ale těch je víc a spoustu ani uživatel neovlivní. Tím padá celý výplod, že všechno je kvůli tomu, že se dávají slabé hesla a odklikávají certifikáty uživatelem. To je celé.

"To by mne zajímalo, co vy víte o cílech NSA."

Tak se zamyslíme: Copak asi bude dělat zpravodajská agentura? Že by sbírala různé informace a združovala kontakty na různé zajímavé lidi a skupiny a že by občas někdo uvnitř si i hrabal na svém písečku? Ne, proč? Radši budu ťápat něco o zákonu o tajných službách kde ani nevím co je . . .

"Pak ale jediná rozumná obrana je mít ten router zabezpečený, ne prohlásit „NSA překoná všechno“ a nechat to být."

No, možná ani tobě, těžko říct, neuniklo, že NSA a podobné vlivné skupiny jaksi disponují nadstandartními nástroji a možnostmi, takže se jen tak asi jako jednotlivec nebo nízkorozpočtář neuchráníš. Každopádně jsme zase u toho. Kolik uživatelů si zabezpečí router? Ne, udělá to za ně výrobce nebo servisák případně - a zase jsme mimo odpovědnost uživatelů jako jsi to nabulíkoval hned v první přospěvku v té "úvaze".

"Ty máš v databázi hesla v plaintextu nebo v md5? Tak o čem se tu chceš bavit?
O tom, že je pro mne snadné je získat? O čem jiném bychom se tu měli bavit?"

Napsal jsi že si hesla přešteš v databázi, to znamená že je špatně ukládáš. Nevykrucuj se.

"Ano, děje se to a nehodnotím to.
Pak nechápu, proč o tom vůbec píšete."

Napsal jsem ti to, protože to stát dělá a hodí se mu to a tak mlčí. Já s tím problém nemám a počítám s tím. Ty z toho děláš vědu už asi po 3x

"pravděpodobnost útoku je ustřelený pojem a stejně to záleží na počtu možností
Mohl byste to vysvětlit na tom příkladu s útokem na jedno konkrétní dvacetiznakové heslo a s útokem na slabá hesla?"

To máš z toho, že si vysekáváš z textu jenom to, co se ti hodí. V tom odstavci jsem psal o tom, kolik je celkově všech útoků (od keyloggera až po CSRF ) a kolik je jich možno použít a ne jenom ty 2 (síla hesla a změna certifikátu), které jsi plácl ty - celé to tu máš ve vlákně, tak si to laskavě přečti tzn. pochopit (klidně pak nesouhlasit ) a ne jenom opakovat písmenka

"Mohl byste na tu vyšetřenou kazu, kdy NSA prodávala na černém trhu americkým firmám informace získané špionáží v počítačích firem z jiných států?"

Asi jsem to špatně napsal, myslel jsem, že když se o takových věcech hodláš přít, tak že máš základní znalosti. Ta "Mohl byste na tu vyšetřenou kazu," je ta kauza kdy CIA participovala na prodeji drog.

"Silné heslo není samospása, jenom obrana před lamama.
Což ovšem pořád neznamená, že máte používat slabá hesla, zejména když heslo je to jediné, co na obranu máte."

Samozřejmě.

Tím bych skončil, nebaví mě ti vyvracet všechny hňupiny které jsi zase připlácal aby jsi mohl nakonec tvrdit že jsi to tvrdil. Celé to začalo tím že jsi tvrdil že

"A konspirátoři už se toho ochotně ujali, šíří to dál, komunikaci nešifrují, jako hesla si dávají „aaaaa“ a lepí si je na monitor, a ještě se tím chlubí a „odůvodňují“ to tím, že když NSA prý dokáže dešifrovat cokoli, nemá smysl vůbec šifrovat."

a opět ti píšu že je to hloupost a nemám k tomu říct nic jiného než to co jsem původně napsal. Uživatelé jsou tlačeni na silné hesla provozovateli, doma na papírku heslo nevadí a existuje tolik jiných druhů útoků, že tohle to moc zas tolik neovlivní - třeba kealogger je daleko nebezpečnější. Proč třeba bruteforce louskat heslo každého uživatele, když stačí nabourat server, kde Jirsák má hesla uložené v plaintextu - zatím jsi to ani nepopřel . . . . takže asi fakt máš. To pak ale chápu, jak můžeš označit za blbce lidi, kteří mají jheslo akorát slabé . . .

Tak to zkrátíme a někam se posuneme:

"opět ti píšu že je to hloupost
Klíčové ovšem není to, že to provozovatelé webů konspirátorům komplikují, klíčové v tom sdělení bylo to, že svou vlastní bezpečnost oslabují v největší míře sami konspirátoři, protože se honí za chimérami a na skutečnou bezpečnost pak kašlou. A když na bezpečnost programově kašle uživatel, provozovatel to nezachrání."

(1) Můžeš mi vysvětlit, jaký je rozdíl v zabezpečování mezi tím, jestli ti trojana to PC nasadí nějaká "zločinná" skupina a nebo NSA?

(2) Můžeš mi vysvětlit, co jako uživatel, ať už na to kašleš nebo ne, uděláš s tím, že je chyba třeba v implementaci SSL, která je tam 20 let a nikdo neví, kolikrát či jestli vůbec byla využita, i když máš super silné heslo?

(3) Můžeš mi vysvětlit, jaký máš ty jako uživatel vliv třeba na autentizační a autorizační proces třeba na Facebooku, ať už máš heslo 8 nebo 15 znaků?
( Vybral jsem Fb, má ho kde kdo a kompromitace může způsobit problémy jak finanční ( tzv. hackeři vs. třeba naposledy lákání peněz z tvých známých ), tak třeba diskreditaci ( NSA např. ) )

Děkuji

Ad - 1 - Já se ale neptal na to, co hlásá tady ten konspirátor, ani na to proti čemu se ty chráníš. Já se tě ptal na to, jaký je rozdíl mezi ochranou PC proti NSA-like a proti criminals . . . . Evidentně nejsi schopný odpovědět na jednoduhou otázku: Takže ještě jednou:
Ptám se, jaký je rozdíl mezi zabezpečením proti napadení NSA-like a proti criminals?
Jako jestli je potřeba si třeba hlídat SSL a certifikáty proti NSA a pak nějak jinak proti criminals? Já ti tvrdím, že v obou případech (NSA, criminals) je zabezpečování stejné. Pořád mi tvrdíš že ne, tak bych rád znal rozdíl . . . . Samozřejmě se nebavíme o 10$ script kiddies . . .

Ad -2 a 3 - Nebavíme se o tom na co má uživatel vliv, ale jestli jsou vůbec v té široké škále tolik podstatné těch několik věcí na které má vliv a které ty tu prosazuješ, jako že slabé heslo a odklikávání certifikátů je největší zlo, když vetšinu věcí za něho zabezpečují ostatní - provideři, poskytovatelé obsahu, vydavatelé OS a uživatel o nich ani neví.
Jako příklad jsem ti dával útok na bankovnictví České Spořitelny, kdy přes chybu v OS podstrčili cert a fak to vypadalo normálně a reálně - takže uživatel se přihlásil jako vždy a tak by mě zajímalo, jak mu pomohlo silné heslo a to, že neodklikává jen tak certifikáty . . . .

Díky a doufám že tentokrát dostanu 2 odpovědi ( na 1. a (2 a 3). ) a ne zase prohlášení na nové téma . . .

Ad 1 - Ale zabezpečují se stejné věci - provoz, OS, browser a stejným způsobem - různé MITMy, floody, highjackiny - jak už jsem psal nahoře, rozdíl s NSA ale i jinými vysoce specializovanými skupinami je, že to nejspíš i tak dokáží překonat díky náskoku - ale tam ti ani řádné heslo ani to že neodklikneš jen tak certifikát moc nepomůže. A to je to, proč jsem ti to psal.

Ad 2 a 3 - Super, shodli jsme se - bavíme se o tom, na co má uživatel vliv. Z toho co jsi vyjmenoval - aktualizace, 2 faktorová autorizace . . . je v podstatě všechno v rukou maintainerů a poskytovatelů. Uživatel to musí "jenom" použít, ale při tom stejně platí také to, co jsem psal dříve viz např. Ad 1 A to silné/silnější heslo je tak 0.1% ze základů bezpečností problematiky v IT (obecně). Proto to píšu.

"Možná zkuste naopak vy vysvětlit, co je pro vás přínosného na tvrzení: „Lidi používají . . . "

Ad 3 - Přínosného na tom není nic a čím více zabezpečení, tím lépe. Pokud to tedy dotyčného vůbec nějak zajímá. Nikdy jsem ale netvrdil, že na tom přínosného něco je. Já zpochybnil tvou tezi, že si za všechno/většinu problémů mohou uživatelé blbci tím, že mají slabé heslo nebo odkliknou každý certifikát - důvody už jsem napsal 10x.

"A jak spolu vůbec HTTPS, NSA a „telemetrika“ souvisí."

Ad 4 - Tak minimálně je to ze stejného odvětví, minimálně HTTPS a NSA může souviset s obtížností sledování komunikace zájmových subjektů, ale i plošně, a s telemetrikou taky -> statistika nuda je, má však cené údaje - co víc k tomu napsat. No, možná ještě jedno pravidlo, které asi neznáš, on je to jiný obor, ale uritě může popsat vztah mezi vládou, NSA a telemetrikou: "Kdo neměří, neřídí" - to je axiom a já k tomu dodávám: "Může řídit, ale po slepu . . ."

! Ale měj na paměti. že ten "výrok" „Lidi používají HTTPS a pak stejně vše pošlou NSA pomocí ‚telemetriky‘.“ , resp. celý ten koment jsem nepsal já ani se k němu nevyjdřuji. Vyjadřuji se k tomu, co jsi napsal o odpovědnosti uživatelů a jejich možnostech

"Uživatel může být donucen zvolit si bezpečné heslo, ale používá všude stejné. Uživatel může být donucen připojit se přes HTTPS, ale odsouhlasí jakýkoli certifikát."

To co jsi psal mi připadlo v kontextu debaty trošku jinak, nicméně s tím co o problematice říkáš v posledním příspěvku plně souhlasím, ale pořád si myslím, že třeba silné heslo (nebo to aspoň nebudou mít tak jednoduché (cena/výkon) ) má smysl v obraně jak proti criminals, tak úplně stejně proti NSA atd. takže je jedno proti komu se zabezpečuješ, ideálně zálepit díry všechny, protože ani u NSA ani u criminals nevíš dopředu, čeho využijí/zneužijí, takže dělit to na to proti čemu to má smysl a proti čemu nemá, je blbost. Jediné co má cenu je zabezpečit se co nejlíp vůči všem možným vektorům . . .