GhostDNS změnil nastavení DNS na více než 100 000 routerech a krade hesla

protoze cina se vubec nestala internetovou mocnosti a ty sluzby, ktere maji temer(?) nejvic trafficu na svete nepotrebuji zabezpecit.

alibaba a alipay, taobao, alipay, wechat (pay) ...

Budme radi, jak jde ted US do kopru (politicke vlivy prebiraji moc nad OSS projekty) tak aspon mame nastupce co OSS forkuje a mame novy maintainery :)

Až na to, že kdykoliv Čína něco "forkne", tak pak zpravidla absolutně ignoruje licenci.

Zajimavy, protoze open source v cine a vubec v asii celkem jede a to i pro projekty pod BSD a MIT.

Treba AsiaBSDCon neni vubec maly :).

Mně to spíš připomíná Ministerstvo kultury Sovětského svazu nebo Odborářský sjezd amerických milionářů.

A jak to delaj soudruzi s certifikaty? Jaksi kb.cz nebude sedet certifikat kdyz ho unesou, takze unesou spojeni z na kb.cz, ale pro prihlaseni udelaji kb.cz.whatever­fuckingdomain­.com kteremu bude sedet certifikat?

No problemy s vystavenim duveryhodnych certifikatu na nesmyslna jmena/nesmyslnym vlastnikum tu jiz byli.
Ale samozrejme je to z me strany jen spekulace ze je tomu i takto ;-)

HSTS je reseni jen castecne (pouze pokud se pripojujes skutecne k cilove destinaci, na MITM stroji je to fuk). Je strasne trapne snadne si stoupnout mezi klienta a cilovou destinaci, s tim ze jedina vec co poznas, je ze bezis po HTTP, misto HTTPs... kdyz uz mas traffic ;)

-Je strasne trapne snadne si stoupnout mezi klienta a cilovou destinaci...
+Kdyz uz mas traffic, je strasne trapne snadne si stoupnout mezi klienta a cilovou destinaci...

Je smutny ze i "odbornici" na tu SSL pohadku veri.

Kolika root CA duverujes? O kolika unicich "podepisujicich" klicu vis? O kolika myslis ze nevis?

Donutit LE aby ti vydal cert pro domenu taky neni zadna utopie.

TOFU bitches!

Ale ani to ti nepomuze cname + redirect, ssl downgrading, stripping.

Ale o tom ten zeleny zamecek je, aby vybudoval viru, ze to je bezpecna + vendor lock-in jako bonus. Ocividne velice uspesne.

Podvrhhout certifikat zas tak jednoduche neni, teda alespon ne v EU kde se nesmi inspectovat SSL provoz.
V USA a Cine je situace obracena, tam provoz inspectovat musis ze zakona, takze na tom chudakovy routrovy mas cert autoritu ktere veris a ta ti vystavuje certifikaty a dela SSL proxy.

Ovladnuti takoveho MITM ti dava 100% jistotu ze nic nerozeznas, protoze Cert autorite sveho routru veris.

na druhe strane je pak minimalni znalost HTTPS u EU administratoru, kazdy ma self sign, a uci uzivatele odkliknout pokracuj dal. (nebudu rozvadet ze pak je to plain http pouze na 443 nebo jinem portu) de o to ze uzivatele na to uz klikaji bez rosmyslu, takze vecinou ani nevi co SSL je a nejspu to schopni rozeznat. (a to i PostSignum ktery mel 3 mesice neplatny certifikat na svich strankach a podpora rikala v pohode, staci kliknou jed dal - to mne skoro chytnul amok)

Podival si se apon, kterym vsem root CA veris?

No ale vis, mana rikala, ze to tak je smeroplatny.

znam nekolik firem, ktere pouzivaji SSL proxy na svych internich sitich ... kde je podle vas napsano, ze se v EU nesmi "inspectovat" SSL provoz ?

Samozrejme muze se souhlasem zamestnance... bez souhlasu zamestnance mu naopak treba muze povolit zamestnavatel jenom konkretni weby... nebo nepovolit pristup na net... jakakoliv policy...