- gban: Ingyen kellene, de tegnapra
- sziku69: Szólánc.
- sziku69: Fűzzük össze a szavakat :)
- Luck Dragon: Asszociációs játék. :)
- Brogyi: CTEK akkumulátor töltő és másolatai
- eBay-es kütyük kis pénzért
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- shadowkidhu: SFF Itthoni labor
- No Voice in the Galaxy
- bambano: Bambanő háza tája
Új hozzászólás Aktív témák
-
Ha a TLS 1.3 -at ilyen könnyű lenne kijátszani akkor senki sem használná.
Az SHA összeg pedig cégnél is összehasonlítható az otthonival és akkor bármilyen csalás észrevehető.
FTPS kapcsolatnál is a kliensek mutatják az SHA összeget, itt is kiderülne a csalás.
Nálam is volt egyszer otthoni router firmware bug miatt hogy nem jött össze a ftps kapcsolat - mert szerencsére a kliens(?) ezt észleli és eldobja a kapcsolatot (lehetséges törési kísérlet). -
Bocs, de ez engem igazol. Nem lehet észrevétlenül.
A cikk arról szól hogy egy cég dolgozóit ellenőrzik az intraneten a kifele menő kapcsolataikat. Cég által felügyelt gépeket. A dolgozók tudni fognak róla hogy miért más jelenik meg a címsorban mint otthon.Én az otthoni magán felhasználókról beszéltem, akiknek nem céges rendszergazda felügyeli a számítógépét.
-
Nyilván, ha a doksiban az van, hogy decrypt, az nem fejti vissza
Ahogy a Zscaler se. 
(" it enables an organization to fully inspect the contents of decrypted traffic before either blocking it or re-encrypting it") -
Azért egy ISP-nél nem "router" van, hanem valami komolyabb eszköz. Bele tud még egy ilyesmi is nézni. Cégnél szívtunk is vele, hogy elrontotta a HTTPS forgalmat
-
#50
Hieronymus
veterán
Doky586
#45
-
sztanozs
veterán
Ebben a modern DDOS-protection-os korban nem hiszem, hogy konkret certificate-pinning-et hasznal - legfeljebb a root certificate-et ellenorzi le, hogy ott van-e a listan...
Masreszt, ISP-re visszaterve. Az ISP-nel elhelyezett monitoring eszkoznek biztos van olyan wildcard cert-je, amit olyan root cert-el irtak ala, mi benne van a globalis CA listaban, pl. ez:
CN = Főtanúsítványkiadó - Kormányzati Hitelesítés Szolgáltató
O = NISZ Nemzeti Infokommunikációs Szolgáltató Zrt.
L = Budapest
C = HU -
#47
Doky586
félisten
aprokaroka87
#46
válasz
aprokaroka87
#46
üzenetére
Kösz, ezt nem tudtam. W10-et használok.
-
#45
Doky586
félisten
Hieronymus
#42
válasz
Hieronymus
#42
üzenetére
Tudtommal csak a Windows server 2022 ben van titkosított dns elérés.
Én még soha senkit nem láttam a mekiben a laptopja mellett Raspberryvel játszadozni a hamburger és a kávé közt..
-
-
#42
Hieronymus
veterán
Doky586
#41
-
Itt nyilván a rendszer "privát dns" funkciója az 'app'-okat is védi, ámbár nem tudom egy OTP app-ot át lehet e verni egy hamis dns-el. Főleg hogy ezek pl fizetéskor egyenleg-lekérdezéskor is futnak bejelentkeznek, nemcsak a hagyományos értelemben vett bankolásor.
Hagyományos webbankhoz meg ott a böngésző "Biztonságos DNS" funkciója. Amit ha ip alapján leblokkolsz akkor minden weboldal blokkolódik, azaz a józan ész szerint gyanúsnak kell lennie a dolognak és nem a biztonság kikapcsolásával kell reagálni. Nyilván az átlag boltokban (meki, tesco, auchan) nem blokkolják a https dns szolgáltatókat.
-
Arra viszont nem jöttem rá hogy az android beállításaiban szereplő "privát DNS" az DoT (tls 853) vagy DoH (https 443) -at használ-e. Majd kikisérletezem ha jut rá időm. (ámbár ez valószínű android verzió és gyártófüggő is)
A böngészőbe épített biztos hogy DoH-ot használ, így nem szűrhető külön a böngészéstől. De nyilvánvalóan a böngésző beállításai csak a böngészőre vonatkoznak, minden más program az oprendszer beállításait használja.Windows laptopot használóknak csak a böngészőbe épített biztonságos dns funkció marad, mert a windowsok még nem tartalmaznak ilyen funkciót.
-
#34
bambano
titán
Gargouille
#33
bambano
titán
válasz
Gargouille
#33
üzenetére
Ha egyszer sem tud a megkerülésem nélkül csatlakozni a doh szerverre, akkor van rá esély, hogy legyen kulcsom.
Másrészt ha simán kifilterezem a doh forgalmat, akkor előbb-utóbb visszavált dns-re. -
#33
Gargouille
őstag
bambano
#15
Gargouille
őstag
Privát kulcs nélkül aligha nézel bele a https forgalomba, lévén nem tudod kicsomagolni. Vagy a kliens gépet kell megmókolnod (mint ahogyan leírtad a víruskeresős példával) vagy kommunikáció másik végét kell, mondjuk egy a bank oldalát. Az oké, hogy eltérítheted a forgalmat, meg tükrözhetsz portot és rögzítheted, meg maszkolhatsz, NATolhatsz stb... ellophatod a diót, de feltörni nem tudod.
-
#31
dabadab
titán
Jack Hunter
#30
dabadab
titán
válasz
Jack Hunter
#30
üzenetére
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat.
Amíg az ember ki nem kapcsolja a 3rd party cookie-kat vagy még inkább installálja mondjuk a Ghosteryt vagy az uBlock Origint.
Ne csináljunk már úgy, mintha ezek valami misztikus, kikerülhetetlen dolgok lennének.
-
#30
Jack Hunter
tag
El kell fogadni, hogy internetkapcsolatnál nincs privát, lekövethetetlen zóna. Kényes tartalmat, atombomba farigcsálást csak a szomszéd/ cég biztosította wifin, céges eszközön érdemes nézegetni.
![;]](//cdn.rios.hu/dl/s/v1.gif)
Amúgy meg a Google, meg a Facebook alapból gyűjti és elemzi az anonim adatokat, böngészési szokásokat. Szerencsére nincs rá elég kapacitás hogy minden ember minden apró stiklijét lekövessék. Vannak szavak, amik egy szűrőn megakadnak, és ha gyakran, ugyanannál az ip címen ismétlődik, utánanézhetnek az illetőnek. -
Nem így működik (androidon).
A DNS itt nem egy ip cím. Be sem lehet ip címet írni dns-nek. Csak https-en kommunikál, és ha nem egyezik a régebben meglevő aláírással akkor nem fogadja el, nem változtatja meg.A routereden csak azt tudod nyomonkövetni hogy kivel kommunikál (pl otpbank.hu), de azt nem hogy mit. A forgalomba nem látsz bele. Esetleg a forgalom mennyiségét látod hogy 1 óra alatt 3 GB forgalom ment át köztük, és ennyi...
-
bambano
titán
hát ja, azt az alapvető kérdést felejtette el Doky586 is, hogy a helyi kávézó ingyen wifijének az üzemeltetőjétől kell jobban félni, vagy a nagy adathörcsög cégektől, akik mindent, még a dns kéréseidet is maguknak akarják tudni.
vagyis hogy amikor például áttérsz doh-ra, az vajon cseberből vederbe? hint: igen.
-
Pikari
addikt
Egy nap a kezemben nyomkodtam a telefonomat, és láttam, hogy új SMS-em érkezett. A telefon kiírta a tartalmát a képre, így nézett ki: ascii karakterek, 5-10 betűnyi kriksz kraksz, majd így folytatódott: ELF.
Villant egyet a kép, mintha elindulna valami... majd mintha mi sem történt volna, működött tovább a teló. Még kb 3 másodpercig. Ugyanis olyan kurva gyorsan nem láttál még embert telefonból egy aksit kitépni, mint engem akkor
Onnantól kezdve okos eszközről már én sem internetezem. -
dabadab
titán
és hogy rezolválod a doh ip címét? rajtam keresztül?
Mondjuk DNS szerver címének domain nevet használni komoly "ezt így hogy? (és főleg: minek)" kérdéseket vet fel, de ha emberünk a te DNS szervereddel bootolja be a dolgot, akkor is kibukik az egész, mivel a TLS sikítani fog, hogy a túloldalnak nincs érvényes certificate-je.
-
bambano
titán
mitől lenne hülyeség? elindítasz egy dns kérést, kapsz rá választ, amit vagy meghamisítottam, vagy nem. ezek után indítasz egy https kérést, ott is látom, hogy a korábban lekért domainedhez tartozó ip címre megy a kérés, tehát belenéztem a forgalmadba akkor is, ha esetleg a https-t nem törtem fel.
Ha valami kamu módszerrel eljuttatnék egy megbízható kulcsot a gépedre, akkor még azt se vennéd észre (oké, mondjuk azt, hogy átlagbéla userek 99%-a nem venné észre), hogy nem az a titkosítás él.
Márpedig amíg az userek gépét az isp konfigurálja, addig mocskos gyorsan oda lehet rakni nagyjából bármit.
Ezek itt lehetőségek, nem pedig a szokás.
-
#17
dabadab
titán
aprokaroka87
#14
dabadab
titán
válasz
aprokaroka87
#14
üzenetére
Mármint DNS-nél? De. Nagyjából emiatt van a "kb."
Mert ezen kívül tényleg minden másnál alap a titkosítás, emailnél, webnél, miegyébnél (főleg, hogy a "miegyéb" java része szintén HTTPS-en keresztül megy). -
bambano
titán
A víruskergetők ca-ját be szokták írni a böngészők trusted ca-jaba. Ezek után a víruskergető elfogja a https kérést, gyorsan hamisít egy ca-t, és nyit egy másik kapcsolatot a cél felé. A hamisított ca-t a böngésző elfogadja, mert az azt aláíró kulcsot elismeri megbízható kulcsként.
-
#15
bambano
titán
aprokaroka87
#11
bambano
titán
válasz
aprokaroka87
#11
üzenetére
ami átmegy a kijárati routeremen, azt meg tudom nézni.
többek között azért is, mert törvény kötelez rá, hogy ha az illetékes "hatóság" meg akarja nézni, akkor nekem a szükséges technológiát biztosítanom kell.
Tehát ha te beírod dns szervernek a gépeden, hogy 1.1.1.1 vagy 8.8.8.8, akkor nekem ezt a két ip címet kell kifordítanom a "törvényi megfelelés" portra (nem röhög, durva fordításban így hívja a doksi), és akkor látom, hogy mit akarsz. Ha bele akarok babrálni, le is natolom, és amit te 1.1.1.1-hez küldesz, az majd nálam landol, és csinálok vele amit akarok.A telekom (vagy én) a cloudflare forgalmát nem tudom megnézni. Az én előfizetőm cloudflare felé menő forgalmát viszont igen.
-
#13
Doky586
félisten
aprokaroka87
#7
válasz
aprokaroka87
#7
üzenetére
-
#12
dabadab
titán
aprokaroka87
#11
dabadab
titán
válasz
aprokaroka87
#11
üzenetére
Szerintem arra gondolt ami az ISP dns szerverén megy át
Persze, de kb. minden forgalom titkosítva megy, amibe az ISP nem lát bele.
-
-
dabadab
titán
-
A következő két feltételezés valóban szükséges még a biztonsághoz: az (1) es és (2) es pont összetartozik, egymás nélkül mit sem érnek; illetve a másik hogy a telefon előélete során bizonságos(abb) hálózathoz is kellett csatlakoznia.
"ami átmegy rajtuk, abba bele tudnak nézni"
Ezt a hülyeséget ne terjeszd mert nem igaz.
Ha bele tudnának nézni akkor azt bal felül észre lehetne venni.Az viszont igaz hogy van akikben meg kell bízni. Pl a telefon gyártója, az android fejlesztője, a microsoft, stb
Ha ezekben sem bízol akkor ne netezzél.
-
#5
aprokaroka87
nagyúr
bambano
#4
aprokaroka87
nagyúr
Pedig én azt hittem hogy ott ülnek emberek a monitorok előtt, és azt nézik hogy Lacika melyik pornó oldalt nézte meg 😁
Egyébként ez a leírás is inkább arról szól hogy a felhasználó legyen nagyobb biztonságban, mert a komolyabb dns szolgáltatók rendelkeznek olyan dolgokkal amik őket is védhetik, viszont a leírás címe sem teljesen jó, mert az internet adott esetben nem egy biztonságos hely, szóval attól hogy valaki másik dns-t használ, még nem lesz teljesen biztonságban.
-
#4
bambano
titán
aprokaroka87
#3
bambano
titán
válasz
aprokaroka87
#3
üzenetére
nem értem a kérdést.
ami átmegy rajtuk, abba bele tudnak nézni.
ami nem megy át rajtuk, abba nem tudnak belenézni.
egyébként nagyjából semmibe nem nézhet bele az isp. de ilyenkor nem arról beszélünk, hogy mi törvényes, hanem arról, hogy mi lehetséges. -
Pikari
addikt
A nyílt wifi hotspotok nagy része nem fogja engedni, hogy csak úgy titkosítva internetezgessél rajta keresztül. Szépen dekódolja, és logolja a forgalmadat. Teljesen mindegy, hogy milyen DNS szervert használsz, a https oldalakhoz csak a speciális/kivétel hozzáadása nyomógombbal férsz majd hozzá.
-
bambano
titán
Nem sokat érnek ezek a beállítások...
Ha az isp-d el akarná fogni a dns kéréseidet, simán elfogná, átirányítaná, meghamisítaná, akármit csinálnál.
Az mitm ellen a https nagyjából nullát ér, a víruskergetők rutinszerűen mitm-eznek.
nyílt wifin konkrétan mi értelme van kulcsot támadni? ki van plakátolva a falra, mit akarsz rajta támadni?
Ahogy a 
(" it enables an organization to fully inspect the contents of decrypted traffic before either blocking it or re-encrypting it")
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
lo 1.- MitM támadás ellen: Https oldalak használata. Böngésző bal felső részében mindig figyeljünk a "kapcsolat...
- Apple Watch Series 10 - évfordulós kiadás
- Google Pixel topik
- Nemzetbiztonsági aggályok merültek fel a TP-Link kapcsán
- The Elder Scrolls IV: Oblivion Remastered - Már több mint 4 millió játékos
- Ezentúl Indiában készülnek majd az USA-ban árusított Apple iPhone-ok
- PlayStation 5
- Autós topik
- E-book olvasók
- Gumi és felni topik
- Azonnali processzoros kérdések órája
- További aktív témák...
- nJoy Cadu 1000VA / 600Watt / 2026.07 garancia/ Usb management / Line-interaktív / 2aksi / Schuko
- Intel Xeon Processzor E5-2680 v4
- HP Compaq 8000 Elite USDT Klasszikus teljesítmény, minimalista dizájn!
- FSP HEXA+ 400W Megbízható Erőforrás a Stabil PC Működéshez!
- Macbook pro 14" m1pro 16/512, szép állapotban,kiegészítőkkel, dobozával.
- Honor 200 Lite 256GB, Kártyafüggetlen, 1 Év Garanciával
- Huawei P20 Pro 128GB, Kártyafüggetlen, 1 Év Garanciával
- Samsung S23 Ultra 256/8GB Fehér / Új állapotban / Áfás számlávál / 12 hónap jótállás
- Apple iPhone 15 Pro 128GB,Újszerű,Dobozával,12 hónap garanciával
- BESZÁMÍTÁS! 1600W Corsair AX1600i Titanium tápegység garanciával hibátlan működéssel
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopszaki Kft.
Város: Budapest