Vlákno názorů k článku
TLS 1.3 alias RFC 8446 finalizováno
od 654 - Doporučuji vygógliť "TLS 1.3 0-RTT replay attack". V...
-
Větší problém je TLS 1.0. Spousta legacy rešení ho vyžaduje. Poměrně významná část lidí používá staré Androidy nebo třeba staré Windows a nedokáží přejít ani na TLS 1.2. Koncové zákazníky (zadavatele) zajímá, aby neztratili svého zákazníka. Např. restauratérovi nebo řezníkovi nevysvětlíte, že přišel o zákazníka jen kvůli tomu, že "jeho zákazník je sto let za opicema". Kapitola sama pro sebe je česká státní samospráva. Mnoho obcí - a ne jen ty mrňavé, docela běžně fungují na Windows XP (!) a utrácet za novou techniku nepovažují za prioritu.
-
Jenda (neregistrovaný)
Na Windows XP funguje Chromé 49 a Firefox 52 (podpora končí za týden), oba samozřejmě TLS 1.2 podporují. V Chrome na XP jsem to právě otestoval.
V případě státní správy, která povinně zpracovává i moje osobní data, je pak používání takového systému na pováženou.
Což mi připomíná, že jsem byl na Poliklinice Zelený Pruh, a hádejte, co měla doktorka na počítači - samozřejmě XPčka.
-
KateStříbrný podporovatel
U kamarádky v zubní ordinaci jsme museli přistoupit k virtualizaci XP pod desítkama… Software a drivery k rentgenu prostě na ničem novějším nefunguje. O kus vedle pan Šilhavý píše že OSS nezvyšuje bezpečnost. Tohle je krásný protipříklad, nejspíš by to šlo nějak naportovat, mít zdrojáky k dispozici. Takhle je to blackbox bez podpory.
-
j (neregistrovaný)
Hele ale to delas spatne, protoze spravne mas ten rengen hodit na srotak, a poridit novej.
A to si predstav tu drzost, ze hromada podobnych zarizeni vubec neumi https ... a pokud, tak neco na tema RC4 ... takze si pekne doktor na svym pc kde zpracovava nejcitlivejsi dostupny osobni udaje vubec, pekne nahodi nepodporovanou verzi browseru, protoze nejakej imbecilni kokot od stolu rozhod, ze RC4 proste nebude.
Ale jo, muze si ten doktor vzit aktualni zdrojaky a dopsat si to tam ... ;D (krasna ukazka toho, ze ani OSS te nezachrani)
-
Tohle je krásný protipříklad, nejspíš by to šlo nějak naportovat, mít zdrojáky k dispozici.
Bohužel, takhle to dnes je. Před padesáti, sto lety se věci opotřebovávaly fyzicky. Většinou vydržely zlomek toho, co dnes - např. na autě ujet 200 tis. km bez generálky se podařilo možná u Mercedesu. Dnes zařízení zastarávají taky, ale softwarově. Je otázkou, jestli by si někdo troufl - nebo spíš vůbec měl troufnout - vrtat se v softwaru zdravotnického přístroje. Představte si, např. že byste kvůli nějaké své chybě zbytečně ozařovala lidi několikanásobně víc, než je nutné. To byste si vzala na triko? Já tedy ne, ani kdybych měl zdrojáky - nejsem trouba, který za pár tisíc na sebe vezme rizika, která už ani výrobce nést nechce.
Ale chápu, že je to ke vzteku. (Mimochodem, dodnes fungují zařízení i pod NT 4 a někdy i pod Win 3.1).
-
KateStříbrný podporovatel
>Představte si, např. že byste kvůli nějaké své chybě zbytečně ozařovala lidi několikanásobně víc, než je nutné.
Ne, ve chvíli kdy bych zjistila že délku expozice hlídá jen ten software v PC a ne firmware rentgenu, letí to do té popelnice rovnou. Jen doufám že takhle blbý není nikdo… -
Ne, ve chvíli kdy bych zjistila že délku expozice hlídá jen ten software v PC a ne firmware rentgenu, letí to do té popelnice rovnou. Jen doufám že takhle blbý není nikdo…
To je strašně zajímavý pohled, jak se na to díváte. Já i kdybych to četl mnohokrát, tak bych si netroufl s jistotou tvrdit, že znám všechny vlastnosti & caveats toho hardwaru. Dost často software kompenzuje nějaké chyby železa. A to samozřejmě nikdy nemůžete vědět s tak absolutní jistotou, aby za to stálo riskovat zdraví lidí.
(Nehledě na to, že do zdravotnických přístrojů je zakázáno zasahovt neuatorizovaným osobám právními předpisy)
Osobně vidím problém někde jinde. Lékař si koupil zařízení a určitě musel (nebo měl) vědět, jak dlouhou dobu dodavatel garantuje servis a jak se přístroj zapojuje do IT infrastruktury. Neviděl bych dokonce ani jako problém, aby to běželo dál na XP, ale mimo síť.
-
KateStříbrný podporovatel
Dodavatel obslužného SW mohl zkrachovat :) Každopádně, nešlo mi vyloženě o mou vlastní portaci, ale o to že by se toho mohl chytnout někdo jiný s autorizací. Za určitých okolností by to mohla dělat i méně kvalifikovaná osoba (pokud je veškerou funkcí obslužného SW říct „udělej snímek“, který pak přes USB stáhne.), ale bez zdrojových kódů těžko říct.
Každopádně, pokud toho řídící software na PC dělá víc a ta celkem objemná řídící jednotka jen tupě překládá příkazy, měla bych strach co se stane když se PC zasekne a zásadním požadavkem by byla ECC RAM, aby nemohlo dojít k nějakým chybám při běhu, jinak by to byla zadělávka na průšvih tak jako tak.
-
KateStříbrný podporovatel
Kdyby na ně něco říkal dodavatel, už to dávno jede na desítkách všechno… (Linux není možný už kvůli dalšímu software co potřebuje k práci). Údržba HW samozřejmě probíhá, ovladače a obslužný software smůla…
-
Petr Neni (neregistrovaný)
Tomu nerozumim. Ma rentgen z bazaru? Obvykle se tyhle zarizeni kupuji se servisem na delsi dobu. Je ten pocitac soucasti toho rentgenoveho reseni nebo samostatne? Zkousela oslovit dodavatele/vyrobce se zadosti o ovladace pro win10? Pokud to neni nejaka exotika nebo historicky model treba mohu pomoct, kdyz tak do vzkazu.
-
Worker (neregistrovaný)
@Kate: To je pekna blbost! Moj doktor napr bezi na Mac-och a funguje mu vsetko OK. Takze fnukanie o "inom software co potrebuje k praci" je zjavne len snaha o zakrytie faktu, ze sa na tom pocitaci zabava miesto pracovania.
A pouzivat okna v takej kritickej infrastrukture ako je medicina/zdravie/doktori je na zalobu za zneuzitie osobnych udajov. Cim vyssia verzia okien, tym vyssie odskodne by som ziadal. -
Petr Neni (neregistrovaný)
Dej si facku nez ti ji da mama... To ze v hornich uhrech mate v 1 ordinaci maca neznamena ze ten mac je pouzitelny vsude. Treba rentgen, nebo MRT jsou obvykle pracoviste se specifickym HW a specifickym SW. A co se tyce kecu o Windows, dej si jeste jednu. Win se pouziva i v NSA nebo i ve vasi armade, tudiz keci o zneuziti udaju si nech do skoly kamaradum...
-
Worker (neregistrovaný)
Ty si daj facku skor, ako ta sfacka zivot, sopliak! Do, ze dolnych nemcoch nepoznate vyvoj a pokrok neznamena, ze v (digitalnom) stredoveku ziju vsetci. Niektori moji doktori pouzivaju Mac, niektori Win, niektori rovno nejaku distribuciu Linuxu.
A s tym bugdowsom si daj radsej rovno kopanec za hlupost. Najprv si nastuduj, AKO ho NSA pouziva. A potom mozno zistis, preco cela US army, Navy, Airborne etc bezi na RHEL a nasi retardi na zbugovanych spywaroch. -
j (neregistrovaný)
2Worker: Vis ty kokutku, ne kazdej legkarskej pristoj ma webovy rozhrani, takze trebas vyzaduje nejakou zcela konkretni aplikaci a ta vyzaduje zcela konkretni verzi konkretniho systemu. A i kdyby naprosto bez potizi bezela na jinym, muze se ti taky nakrasne stat, ze az ten tvuj pristoj nekoho zabije, tak to dodavatel hodi na tebe protoze si pouzival nepodporovanej SW.
A ted si dojni za matinkou a pozadej ji, at ti kulky nakope az do krku.
-
Ľubomír Mlích (neregistrovaný)
> TLS 1.3 0-RTT replay attack
V odkazovaném oznámení https://blog.cloudflare.com/rfc-8446-aka-tls-1-3/ se o tom píše, jakým způsobem se tomu útoku brání:
To help prevent against this failure case, TLS 1.3 also includes the time elapsed value in the session ticket. If this diverges too much, the client is either approaching the speed of light, or the value has been replayed. In either case, it’s prudent for the server to reject the 0-RTT data.
tj. přidávají časovou značku, podle které se rozeznávají rozdíl mezi původním dotazem a ukradeným dotazem. Jestli to je dostatečné, nedokážu úplně posoudit
ČLÁNKY DO MAILU