ennek van még semmi értelme...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Jaja, mert aztán a cikket amit olvasok titkosítva kell letölteni a böngészőmnek, ahogy a háttérben menő youtube videót is...
( Ahol bármi érzékeny információ megy, az legyen titkosítva, persze, de a webes forgalom tippre 99%-a nem ilyen. )

Itt nem csak a titkosítás a lényeg, hanem hogy lehessen látni, hogy amire rámész, az nem egy full kamu oldal. Egyébként ha lehet, akkor miért ne legyen? Meg azért az sem egy rossz dolog, ha útközben senki nem piszkál bele a csomagokba.

[ Szerkesztve ]

Hadd izzadjon csak a vas a beágyazott reklámvideók be-ki kódolásától!

Egyébként Firefox alatt évek óta van HTTPS Everywhere kiegészítő, mint ahogy a címsor is kijelzi, biztonságos-e a lap (beleértve az abból elért dolgokat).

A tej élet, erő, egészség.

tehát például a facebook, ami emlékeim szerint nagyon régen https, az nem kamu oldal?
nem hekkeltek meg rajta választásokat?

ráadásul ugye mit csinálnak a vírusvédelmi rendszerek? megtörik a https-t, hogy tudják ellenőrizni az oldal tartalmát, azaz végrehajtanak egy mitm támadást minden letöltésre. tehát ha van olyan védelmi szoftvered, ami ellenőrzi a webes letöltést, akkor az kamuvá teszi az összes oldalt, amit megnéztél. rotfl. a fagyi visszalőtt.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Mindent értek... csinálják csak. De a szájbatekert directwrite flag kerüljön vissza, mert néha retek rondák a betűk, amin semmi nem segít...

Hold on, trying to give a fuck... Nope, not Happening • Powered by Fedora Linux • "Az élet olyan sz@r, szerencsére a felén már túl vagyok" Al Bundy

Azért ne legyen, mert a webfejlesztőknek plusz egy extra nyűg.
Plusz nyűg = plusz hibalehetőség = plusz munka = plusz bér
A top100-as cégeknek nyilván semmi különbséget nem okoz plusz 1-2 embert alkalmazni emiatt, de egy pici alapítványi vagy mikrovállalkozói oldalnak jelentős lehet. Mindezt minek is? Mit számít hogy titkosítva tudod-e meg hogy új örökbe fogadható kiskutya érkezett a Káposztásmegyei állatmenhelyre?...

[ Szerkesztve ]

"Seems like humanity needs war and famine to correct itself."

1-2 embert alkalmazni emiatt
Ez SSL telepítés, nem villanykörte csere.

De ne csak a HTTPS meglétére koncentráljanak, hanem a biztonsági szint frissítéséről is.

2024: nem lesz kegyelem a HMD-féle hulladékgyáraknak.

Mert a cikkek valóságtartalmát ellenőrzi a tanúsítvány kiadó? Ugyan úgy lehet tele hülyeségekkel HTTPS esetén is. ( nyilván egy bank, szolgáltató befizető oldala, NAV-os tájékoztató, stb. ott számít a valóság tartalom, és ott jó is ez, de ezért írtam a kivételt )

A cikkek valóságtartalmát nem ellenőrzi, de azt például megakadályozza, hogy útközben hozzád módosítsanak a cikk tartalmán.

milyen plusz hibalehetőséget visz a webfejlesztésbe a https használata?

Semmilyet. Max a kontároknál (kézi abszolút url-ek)
Jó oldalnál semmit. Mi tavaly a cégnél hiba nélkül álltunk át pár nap alatt, pedig nem egylapos kis oldal, hanem backend, frontend, plusz webes szinkronos ügyviteli rendszer.

[ Szerkesztve ]

Ez ám a veszély, pl valaki azért csinál egy MITM támadást, hogy a PH!-s VGA tesztben átírja az eredményeket csak nekem? Nagyon reális egy ilyen támadás.... kb olyan gyakran történhet meg, mint régebben mondjuk hogy valaki egy hamis napilapot gyárt külön egy embernek, és arra cseréli a postaládájában...

Linkcsere?

2024: nem lesz kegyelem a HMD-féle hulladékgyáraknak.

mint azt fentebb leírtam, nem akadályozza meg.

de egyébként is: kit érdekelne? a felém jövő tartalom a viszonylag védettebb gerinchálózat felől jön, amit nehezebb hekkelni, mint a last mile-t.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nem csak "Man In The Middle" támadás van a világon Weboldal klónozásról hallottál már? A mókus leklónozza mondjuk a Gmail honlapját, és küld egy kamu E-mailt, hogy "ellenőrizd az adataidat", és linkeli az Ő klón oldalát. Amint beírod a felhasználó nevet és jelszót, Ő már tudja is azt

Nyilván a bambaság ellen semmi se véd, de azért a leklónozott oldalaknak nem olyan könnyű hiteles tanúsítványt szerezni, így a HTTPS már ez ellen már véd(het).

Meg azért 2018-ben ne küldjük már a jelszavainkat titkosítatlan HTTP csatornán sehova...

[ Szerkesztve ]

Ha pl. egy fórumot olvasgatok, akkor a bánatos túrónak az egészet lelassítani... Attól még nyugodtan mehetne CSAK AZ https-en, mikor valaki belép, vagy épp az üzeneteket nézi/írja!

http://1kis.info.hu - Informatikus mindenkinek... 501065096 balazs@honti.tech

"Nyilván a bambaság ellen semmi se véd, de azért a leklónozott oldalaknak nem olyan könnyű hiteles tanúsítványt szerezni": az alapján, hogy pár hete/hónapja mekkora hiszti volt root ca-k visszavonásából, azt kell mondani, hogy nagyjából semekkora probléma hiteles tanúsítványt hamisítani.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Jajj, ne már. Nem lassít a HTTPS semmit, legalábbis észrevehetetlen.

Egyébként meg nem csak a beléptetéshez kell a HTTPS. Pl session hijacking (login eltérítés) simán lehetséges HTTP-n, nem kell hozzá jelszó, csak a sütid, amit a böngésző minden oldalletöltéskor elküld.

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Ezzel próbálják "rákényszeríteni" az embereket, hogy használják a https protokolt, ez kb olyan, hogy a 30-as táblánál se kapcsolod ki a biztonsági övet, pedig ott szinte "fölösleges"

Mellesleg azt remélem mindenki vágja, hogy a "lassítás", amiért sírnak az emberek totál elhanyagolható

Ez a hitelesítéses dolog szerintem annyira nem is lényeges, nem igazán mennek erre rá. Tökmindegy mi a domain egy hamisított oldalnál, a user nem azt nézi. Így simán lehet rajta HTTPS, user át is van verve. Az ilyenek ellen nem a HTTPS véd, nem is tud védeni.

Amúgy mi a bajod a HTTPS-sel? A vírusölök MITM támadása nem a HTTPS baja. Az csak akkor működik, ha az adott oldal támogatja azokat az insecure TLS verziókat.

[ Szerkesztve ]

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Maradjunk annyiban, hogy hiteles tanúsítványt általában DNS szerverekre bejegyzett hivatalos címekhez szoktak adni, amit egy leklónozott oldal esetében nem annyira könnyű megtenni (nyilván meglehet, mint mindent, de akkor se annyira könnyű)

Pl. A LetsEncrypt-el én nem is tudok a cégnek olyan szerverére tanúsítványt generálni, ami nincs külső DNS szerverre bejegyezve.

Mióta van LE, simán lehet elvárás a HTTPS, ezért örülök a Google lépésének. Vicc, hogy 2018-ban a weboldalaknál opció a titkosítatlan kapcsolat. A következő lépés az, hogy a weboldalakon csak biztonságos cypher suite-ok legyenek illetve HSTS.

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Biztosan lassabb lesz, teljesen feleslegesen! Bikább kliensen lehet, hogy kevésbé érezhető, de a szervernek sok kérés esetén tuti.

http://1kis.info.hu - Informatikus mindenkinek... 501065096 balazs@honti.tech

Te remélem nem szakmabeli vagy, mert akkor nagy a baj...

Nekem a cégnél jelenleg 11 webszerverem van, tök különböző tartalomszolgáltatással (KOHA, Alfresco, Filesender, Kibana, Groundwork monitor, Openwayback, egy rakat CMS + Apache kombó...). Nem igazán érzem a szerver lassulást, mert amúgy egy szerver azért szerver, hogy bírja a terhelést

[ Szerkesztve ]

"Pl session hijacking (login eltérítés) simán lehetséges HTTP-n": és mi fog történni, ha ellopják a sessionömet? dicsérni fogom a windowst?

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Lassabb, nem mennyivel is? Legrosszabb esetben is 1-2%?

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Ne csak magadra gondolj. Pl lenyúlják az accodat, aztán HA-n átvernek vele pár embert.

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

és ha én bejegyeztetem a magyar o, magyar t, orosz r betűből álló domaint, akkor mennyi idő hijackelni az otp.hu-t? hint: 0.005 msec.

most arról ne beszéljünk, hogy egyes regisztrátoroknál meg domain usereknél akkora kupleráj van, hogy némelyiket legálisan el lehetne lopni...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A DNS bejegyzés nem telefonhívásra megy, meg kell adni az adataidat, amiket nyilván ellenőriznek is, ezért, ha bejegyeztetsz egy domaint és utána arról indítasz támadásokat, akkor kezet fogok veled (miután a TEK-esek rád törték az ajtót)

Nem tudom elhangzott-e, de van egy olyan pozitív hatása is a HTTPS-nek, hogy az ISP sem tudja megmondani, hogy adott domain-en belül mit látogattál. (Azt, hogy melyik domain-t és hányszor, azt persze igen.). Tehát mondjuk tudják, hogy index.hu-t néztél, de azt nem, hogy ott melyik cikkeket preferálod.

Nem ellenőrzik, illetve lehet anonim módon is regisztrálni. Külföldi szolgáltató meg nem fogja kiadni az adataid.

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

De a facebook az tudni fog mindent, ha ott a lájk gomb (nem kell rákattintani). Ezzel kéne kezdeni valamit, bár ezt maguknak az oldalaknak kéne megcsinálniuk, pl a itt alapból inaktív a lájk, rá kell kattintani, hogy betöltődjön.

[ Szerkesztve ]

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Azt azért megnézném, hogy anonim módon regisztrál valaki egy .hu domaint..

nyilván lehet ilyen ".bla.mivan" domain -t regisztrálni, de azért na, maradjunk a realitás talaján, otr.hu domaint anonim nem regisztrál senki, és a rendőrségnek ki kell adniuk az adatokat...

[ Szerkesztve ]

Itthon igen. De külföldivel nem tudnak mit csinálni.

Ellenőrzés alatt meg arra gondolok, hogy pl .us domaint elvileg csak usák lakcímmel lehet regelni, de a gyakorlatban kamu címet szoktak használni hozzá. Nem ellenőrzik.

[ Szerkesztve ]

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

ha ha-n átvernek embereket, akkor tőled ip címet fog kérni a rendőrség, ami alapján az átverős hirdetés feladóját megtalálják.

(#32) Murphy(O.o): "A DNS bejegyzés nem telefonhívásra megy, meg kell adni az adataidat, amiket nyilván ellenőriznek is, ezért, ha bejegyeztetsz egy domaint és utána arról indítasz támadásokat, akkor kezet fogok veled": egyrészt hómleszek nevére mindent el lehet követni, amilyen komoly ellenőrzések vannak, lehet 200 ezer dominókártyát kicipelni a plázából, stb. másrészt nemigen ellenőriznek ott kb. semmit. ha beküldök egy kódolt ékezetes domain igényt, szerintem simán átmegy, nem nézik meg a dekódolást.

(#33) ddekany "de van egy olyan pozitív hatása is a HTTPS-nek, hogy az ISP sem tudja megmondani, hogy adott domain-en belül mit látogattál.": egyrészt ez az isp-t nem érdekli. másrészt ha https-ben megy a cucc, akkor a domaint sem tudják megnézni, csak azt, hogy milyen ip címekre megy a kérés, és ha több domain van azon az ip címen, akkor azt már nem. tehát pl. nem tudja szétválogatni az isp, hogy prohardvert nézel, itcafe-t vagy logoutot.

[ Szerkesztve ]

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

Nyilván, de itt a "kolléga" azt vetette fel, hogy Ő majd regisztrál egy otr.hu domaint és arról akciózik... sok sikert.

Mellesleg ahogy már írtam, "bambaság ellen nem véd semmi", és mindig is a felhasználó lesz a leggyengébb láncszem az informatika gépezetében (hiszen már valaki azért sír, hogy ne erőltessenek már lassulással HTTPS-t ).

Főleg, ha TOR hálózatot + proxychaint használok

De megelőzés lenne a cél...

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

A PH lapcsalád oldalaira TOR alól nem lehet belépni.

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Biztos ez?

Mondom, próbálj meg belépni és hsz-t írni TOR alól. Oldalt nézni lehet alóla, de amúgy semmit sem tudsz csinálni. Proxy az nincs tiltva, hisz sok helyen kötelező.

[ Szerkesztve ]

A RIOS rendkívül felhasználóbarát, csak megválogatja a barátait.

Na, ez új nekem...
Azt láttam eddig, hogy az oldal totálisan védtelen a security scannerek ellen (próbaként most is scannelem TOR hálózatból proxychains-en keresztül), de legalább a weboldalas belépés szűrve van az Apache-al.

[ Szerkesztve ]

Ha mar igy szova tetted mas munkassagat, remelem Te sem vagy szakmabeli... Akkor tudnad, hogy egy klon oldal ellen pont semmit nem er a HTTPS... Egy egyszeru, de valid DV cert 1 perc alatt kesz es maris szep zold lesz a cimsor...
(es igen, valoban nem lesz kiirva pl., hogy OTP, de hiba sem lesz, ergo az atlag user semmit nem fog eszrevenni, ezert balgasag, amit irtal)

Az a DV ami a Domain Validated -et jelenti? Én úgy tudtam ahhoz Validated DNS bejegyzés kell az oldalhoz... De lehet hiányosak az infóim.

[ Szerkesztve ]