Végre. Minél hamarabb jön, annál jobb.

"írja be a „chrome://flags” címet a böngészőjébe"
Természetesen ez csak Chrome-ban működik, nem akármilyen böngészőben úgy általában véve.

Az egész cikk a chrome-ról szólt, azt hittem egyértelmű. Pontosítom

<!-- Hello tourist on the right side, hello tourist on the left side -->

A Let's Encrypt lassan megjelenhetne az osztott tárhelyeknél is.

Mondjuk én nem kifejezetten látom hogy mivel lesz biztonságosabb. Inkább csak álbiztonságot ad.

Álcaoldalakat eddig is főleg https oldalakra hoztak létre (tipikusan banki adatok ellopásához, banki bejelentkező weboldalak szimulálásával), ez ellen a https eddig sem védett, ezután sem fog. (legalábbis viszonylag kevesen szokták fejből nyomni a bank tanúsítványának sha hashét, többség számára ez a mondatom is kínaiul van).

Valid (de fake) certet (amit a böngésző hitelesként elfogad) is pikk-pakk lehet csináltatni mint az számtalanszor kiderült, a CA kibocsátok sokszor alapvető dolgokat sem ellenőriznek, már amikor épp nem lopják el tőlük a CA titkosító kulcsát...

És ekkor ezután adja magát a kérdés hogy vajon egy sima tartalomfogyasztásra szánt oldalnál tényleg mi értelme a https-nek.

Nagyon sok helyen feleslegesnek tartom, ha csak olvasod az oldalakat és nincs a gépről kimenő érzékeny infó akkor minek is?

protonmail.com Secure Email Based in Switzerland . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . startpage.com The world's most private search engine from Netherland

Adja magát a kérdés: A PH mikor vált?

Üdv. core2

Volt szó róla, hogy lesz egy világszinten kontrollált .bank fődomain és ezt csak valóban bankok kaphatják meg.

Ezt a legtöbb laikus is képes lenne ellenőrizni, hogy a webcim vége .bank (már csak a böngészőknek kellene odafigyelni, hogy ezek ne lehessenek elirányitva ip feloldáskor, mondjuk valami másodlagos ellenörzéssel nem automatikusan elfogadva a DNS feloldását)

Mivel az NSA úgyis megoldja, valóban félbiztonságot nyújt.

Szerintem üzletpolitikailag a google attól tart, hogy a plain text honlapok adatforgalmának elemzésével mások (pl. a kábelszolgáltatók) is képesek lehetnek a jövőben kiharapni valamit a user-elemzés-alapú-célzott-reklámozás piacból.

humm ez azért kicsit erős, de lehet, hogy csak én nem követtem a dolgokat...
Mitől lesz egy CA trusted a Chrome szerint?
rootcert kivételével a selfsign az bukó nem?

mi lenne, ha végre elkezdenék büntetni a google-t?
minimum akkor, mikor ilyen vaskos baromságokat erőltet?

a https semmi olyan biztonságot nem nyújt, amire a látogatott oldalak zöménél valóban szükség lenne. mondjuk én abban sem hiszek, hogy a fontos oldalaknál van érdemi biztonság a https-nek köszönhetően, de mindegy...

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

A root certnél is alapvetően bukó a self-signed, csak azért nem mert be van jelölve trustednek.
Egy CA attól lesz trusted, hogy a böngésző fejlesztők valamilyen kritériumrendszer alapján* annak ítélik és berakják az alap trusted root készletbe.

* Ez lehet akár külső cég listája is.

mi lenne, ha végre elkezdenék büntetni a google-t?
minimum akkor, mikor ilyen vaskos baromságokat erőltet?

+1.

a https semmi olyan biztonságot nem nyújt, amire a látogatott oldalak zöménél valóban szükség lenne. mondjuk én abban sem hiszek, hogy a fontos oldalaknál van érdemi biztonság a https-nek köszönhetően, de mindegy...

Az első mondatot osztom. A folytatás kapcsán: kérdés, hogy mit tekintünk "érdemi biztonság"-nak. Szerintem a támadások jelentős része kivédhető https segítségével (önmagában nyilván nem csodafegyver, de szvsz fontos és nem elhanyagolható része egy jól átgondolt és kialakított védelemnek).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Bele van integrálva egy csomó CA mint trusted. Nem csak a chrome-ba, a firefoxba is (sőt a windowsban is van pár alapból).

Innentől kezdve csak annyit kell tenned, hogy bekopogsz valamelyik ilyen CA kibocsátohoz és kérsz (veszel) tőlük egy tanusitványt mondjuk az otp-bank.hu címre vagy az otp2.hu címre.
A korábbi tapasztalatok azt mutatják hogy simán átmész az ellenörzésen, mert leginkább csak azt nézik hogy kifizesd a tanusitvány díját.

Innentől kezdve már nincs más dolgod mint létrehozol egy kamu https oldalt mondjuk otp-bank.hu címen amin teljesen lemásolod az otp oldalát, majd szépen emailben kiküldöd a korábban már megvásárolt email listán szereplő címekre, hogy biztonsági okokból kéretik megváltoztatni a jelszót amit a bank oldalán megtehetsz, amit _erre a linkre_ kattintva egyből oda juthatsz.

És ekkor a user odajut a te általad preparált otp-bank.hu oldalra, a böngésző szerint minden szép és zöld és ha nincs az adott banknál több faktoros authentikálás vagy az adott user nem él vele, akkor már meg is van a felhasználónév:jelszó páros a többit a fantáziadra bizom.

Ezért mondtam hogy a https eddig sem védett az álca oldalak ellen.

felvetheti ez a jogi felelősségvállalás kérdését a CA részéről?

Pl ha kiadnak egy nem megfelelően validált certet, amit egy phising oldalon elhelyez a rosszfiú, és ellop x dollárt vele a "trusted tag" miatt a weboldalban megbízó felhasználóktól?

ki itt a hunyó a rosszfiún kívül? a Chrome, mert trustednek jelölt egy inkompetens CA-t?
vagy a CA, aki úgy adott ki certet hogy nem ellenőrizte le az rosszfiút?

kitől perelhető vissza a pénz ha nem kapják el a rosszfiút?

szerk: Porthoszx neked is szól a kérdés

[ Szerkesztve ]

amennyire én tudom, néhány vírus/malware/stb védelmi program, amelyik képes a webes forgalmat ellenőrizni, szabályos mitm támadásnak elfogadható módon néz bele a https forgalomba. ha a saját pc-den futó program képes olyan gyorsan betörni a titkosításodba, hogy neked nem lassú, a böngésző meg elfogadja érvényesnek, akkor az egész pontosan nullát ér.

mert miből tart megírni egy vírust, ami a víruskergetővel csináltatja meg azt a certet, aminek a fedése alatt átirányítják a banki forgalmadat a phising oldalra? sőt, az is lehet, hogy egyáltalán nem kell már semmilyen certet csinálni, mert a víruskergetőd megcsinálta...

hogy is működhet ez a dolog... a böngésződ be akar menni a bankodhoz. közédáll http proxyként a víruskergető. elindítod a kérést a bank felé, a víruskergetőproxy elkapja, majd ő indít egy kérést a bank felé, amiben megkapja a certet. erre gyorsan generál egy másik certet, aminek a neve hasonlít, ezt eltolja a böngésződ felé, a hivatalos banki certtel meg megy a bank felé. lesz két diszjunkt https kapcsolatod, amiből a feléd esőnek a certje ott helyben generálódott ellenőrzés nélkül, és a böngésződ mégis elfogadja.

ezek után ha írnak egy vírust, ami elkapja a https forgalmat, akkor neki már ott van a kész cert, amit a víruskergető generált és a böngésződ érvényesnek hisz. A dupla https kapcsolat másik felét ezek után kedvére olyanra cseréli, amilyenre akarja, mert a böngésző ezt biztosan nem veszi észre.

következmény: a https titkosítás a certek ennyire laza kezelése mellett nullát ér.

Egy átlagos héten négy hétfő és egy péntek van (C) Diabolis

"A Certificate-k használata drága és körülményes a jelenlegi rendszerben."
Ezt hogy érted?

(#15) bambano: Azért remélhetőleg ezt a víruskergető kiszúrná.
"következmény: a https titkosítás a certek ennyire laza kezelése mellett nullát ér." +1

[ Szerkesztve ]

"felvetheti ez a jogi felelősségvállalás kérdését a CA részéről?"

Nem valószinü. Azért talán perelhető lenne hogy elmulaszotta a teljes körü ellenörzést (bár ez inkább a hatályos jogi szabályozás megsértése lenne -ha van- amiért az állam büntethet), de az okozott kárért biztos nem.

Kb. mintha bérelnél egy autót amivel kirabolsz egy bankot, a kereskedőt nem perelheti be a bank hogy térítse meg az okozott kárt mert az ő autójával rabolták ki a bankot.

"kitől perelhető vissza a pénz ha nem kapják el a rosszfiút?"

Attól tartok akkor azt bebuktad.

"A Certificate-k használata drága és körülményes a jelenlegi rendszerben."
Ezt hogy érted?
Viszonylag egyszerű: minden egyes aldomain-re külön cert kell. Ha a céged pl pár száz kisebb oldalt tart fent, és mindegyiknek van egy-két aldomainje (ez a mennyiség egyáltalán nem meglepő, vagy nagy mennyiség) akkor ez könnyen milliós extraköltséget jelenthet, még olcsóbbik certek használatával is. Persze a Google könnyen megoldja, root CA, annyit állít ki magának ingyen, amennyit csak akar. A többiek meg fizessenek a semmiért.

[ Szerkesztve ]

Nem kell minden aldomainre külön cert, erre jó a wildcard tanúsítvány.
Ott van a már említett Let's Encrypt, ingyenes. StartSSL wildcard 60-120$ egy évre, korlátlan tanúsítványt lehet létrehozni, ami 2 vagy 3 évig érvényes.
Amit Te milliós tételnek írtál, azt meg lehet oldani max 50e Ft-ból!

Ja és mindkettőt elfogadják a böngészők!

[ Szerkesztve ]

a teljes következtetésed ebből indul: "amennyire én tudom"

Rosszul tudod.

Annyira nem bonyolult és nem is drága, hogy 2 domainhez is vásároltam magamnak, mert így egyszerűbb az életem.
Sok aldomainre pedig ott van a wildcard certificate-t. Annyi aldomained lehet amennyit csak akarsz. Évente 100-200k HUF, attól függ kitől veszed.
De ha elég pénzed van és elég megbízhatónak talál a root CA, akkor lehetsz intermediate CA, amivel aztán olyan cert-et készítesz, amilyet akarsz. Ez viszont elég kockázatos a root CA számára, szóval rendesen megválogatják kinek adnak ilyet. Nem is foglalkozik vele mindegyik root.

(#21) fene_vad
Annyira azért nem, mert most is több olyan víruskereső (vagy egyéb "biztonsági" program) van forgalomban, ami telepítéskor saját certificat-et tesz a trusted listába és bekapcsolja az SSL/TLS kapcsolatok ellenőrzését is. Pontosan a leírtnak megfelelően 2 SSL/TLS kapcsolat lesz, a kettő közt pedig a víruskereső. Több esetben is kiderült már, hogy a víruskeresők nem feltétlen kezelik biztonságosan a mindenféle certificate-ek on-the-fly előállítását. Így tehát megoldható, hogy az API olyan kérésre is válaszoljon, ami nem a víruskeresőtől jött.

[ Szerkesztve ]

Pont ezt akartam írni, egyetèrtek. Ha hülye a felhasználó, az ègadta világon nem vèdi meg az adatait senki se. Elèg egy profi social engineer, s ha nem figyelsz ...

Ha válaszolok / írok az üzenetedre, elvárom a választ. Egy minimális kommunikációs etikettet tartsunk be, még akkor is, ha nem érdekel az ajánlat.

Ha csak megjelenik a piros X, akkor jó, csak nehogy tiltani kezdje később az ilyen oldalak használatát. Aztán nehogy átvegye ezt tőle a Firefox is. Nekem inkább a net kontroll alatt tartásának tűnik, nem a jó Google aggodalmának a felhasználók biztonsága miatt.

        it's more fun to compute

A körülményességet nem vitatom, valóban az (lehet).

De, ha CP gyártók elkezdik implementálni a Let's Encryptet, ezt akár lehet teljesen automatikusra csinálni, vagy max egy pipálást kell vele foglalkozni. Ingyenes és teljesen automatikus (is lehet). Az, hogy mit ér egy ilyen hitelesített tanúsítvány, már más kérdés, de a böngészők még jelenleg elfogadják.

Persze, hogy hitelesítés != titkosítás A self-signet cert. is ugyanazt tudja, mint pl. egy VeriSign által hitelesített, csak nem hiteles.

Ezért írtam a Let's Encryptet példának, mert azt lehet részben, de akár teljesen automatizálni, ingyenes és hiteles. Itt már igazából csak az implementációra kell várni, amin a cPanel, VestaCP, InterWorx biztosan dolgozik (láttam a fórumukon), vagy kínál beépülő megoldást.

[ Szerkesztve ]

"elmegyek a bank oldalára ilyen mitm víruskergetővel, mit ír ki a böngésző a cert details alatt?"

A virusirtó saját CA-javal lesz aláírva, nem a bankéval. Jó esetben ott lesz a leírásban hogy ezt ő (mármint a virusirtó csinálta). Rossz esetben csak és kizárólag akkor tudod felismerni ha már előre tudod hogy az adott bank certjének mi az sha hashe mert az el fog térni. A többi adat gyakorlatilag lehet ugyanaz.

"milyen engedély kell mondjuk Win alatt, hogy betegye a viruskergető a saját certjét a trusted poolba?"
rendszergazdai. Ezt meg telepítéskor úgy is bekéri, máskülönben amúgy sem tudna müködni.

Az a baj hogy itt sok kavar van a fogalmakkal. Pl. a google a biztonság szóval operál, holott a https ezt nem garantálja.

Csak a titkosítást, tehát attól nem lesz biztonságosabb a web hogy a forgalom https-en keresztül megy.

A Let's Encrypttel viszont az a baj (és minden más hasonlóan könnyen megszerezhető certtel kecsegtető szervezettel), hogy ez annyit hogy jelent hogy innentől kezdve bárki bárkinek a nevére generálhat certet ami a rosszindalatú hackerek vágyálma.

Mert honnan fogja tudni egy program, hogy én vajon az otp.hu jogos birtokosa vagyok? Onnan hogy a checkboxot bepipáltam hogy isten bizony én vagyok az?

Eddig legalább kicsit küzdeni kellet érte, mondjuk személyesen megjelenni a megfelelő papírok birtokában.

Pontosan, ahogy írod!

Itt van egy leírás. Ez alapján egy ezzel foglalkozó fejlesztő néhány sorral (meg egy ütemezéssel) meg tudja oldani a teljes automatizálást. És innentől lényegében el lehet tüntetni a self-signed tanúsítványokat és alapértelmezetté lehet tenni a https-t, viszonylag rövid idő alatt.

Lásd (#34) Porthoszx.
Kiegészíteném annyival, hogy az átlagfelhasználó meg sem nézi vagy csak rápillant és látja hogy zöld, vagy hogy ott lakat. Ha megnyílik a weblap és nem kap orbitális nagy figyelmeztető üzenetet, akkor már el is kezdi begépelni az adatait.

A web biztonságán nem fog ez annyit javítani, mint várják / hirdetik, de a semminél azért több.

Igen, a Let's Encryptről nekem is ez a véleményem, nem feltétlen tartom jó ötletnek. Teszt környezeten kívül én sem használtam sehol, amit használunk, ott azért kellettek papírok és telefonhívás, valamiféle minimális ellenőrzés. Bár nem mintha ez nem lenne kijátszható. De ez a látogatót nem fogja izgatni.

Maga a megvalósítása tetszik, mert egész jól összerakott dolog, viszont amit Te is írtál, eléggé elgondolkodtató. Eddig még nem hallottam ilyen visszaélésről, de biztos vagyok benne, hogy lesz ilyen.

[ Szerkesztve ]

tehát akkor egyik progi helyett egy másikat bízok meg azzal, hogy validálja a certeket... önmagában ez nem akkora baj, pláne ha figyelembe vesszük, hogy !elvileg! egy biztonsági progi feladatából kiindulva akár még megbízhatóbb is lehet, mint egy böngésző, és a választék is nagyobb (oké, ez hátrány is egyben)...

Amikor azt mondjátok, hogy felesleges a HTTPS, mert így meg úgy meg lehet kerülni, akkor kábé azt mondjátok, hogy felesleges a biztonsági öv, mert a vezetők ki tudják kapcsolni, ha akarják. Amikor meg azt, hogy minek, az NSA úgyis ki tudja kerülni, akkor meg azt mondjátok, hogy azért felesleges a biztonsági öv, mert egy bérgyilkos simán lelő az kocsiablakon keresztül.

Köszönöm.

Nem azt mondjuk hogy felesleges de egy sima oldalon a hasznalatnak semmi elonyet nem latjuk.

Szerver oldalrol legalabbis windows eseteben meg minden oldalnak adni https-t nem is annyira egyszeru.

[ Szerkesztve ]

New level... Advertising has us chasing cars and clothes, working jobs we hate so we can buy shit we don’t need

És itt még jelszó is van a fórumon. Ehhez mondjuk nem kell HTTPS, elég lenne, ha a form nem közvetlenül, hanem akár egy jQuery által titkosított szövegre cserélt jelszót küldene a szerverre (pl jCryption). De láttam már Flash alapút is, de van még sok más.

Tegnap még működött...

"Nem azt mondjuk hogy felesleges de egy sima oldalon a hasznalatnak semmi elonyet nem latjuk."

De van, mert annak vannak privacy vetületei, hogy látja-e a fél internet, hogy milyen URL-eket kérsz le vagy hogy milyen jelszóval lépsz be.

"Szerver oldalrol legalabbis windows eseteben meg minden oldalnak adni https-t nem is annyira egyszeru."

De. Apache-on legalábbis tök egyszerű (és az van mindenre, Windowsra is), nem hiszem, hogy a többiben elbonyolították volna.

[ Szerkesztve ]

DRM is theft

"amennyire én tudom, néhány vírus/malware/stb védelmi program, amelyik képes a webes forgalmat ellenőrizni, szabályos mitm támadásnak elfogadható módon néz bele a https forgalomba."

Ennek az az első lépése, hogy a vírusírtó certificate-jét a böngészőben installálni kell, mint trusted root certificate-et.

Az általad leírt hipotetikus vírusnak meg a vírusírtót kellene megfertőznie, de akkor már célratörőbb egyből a böngészőt támadni, hiszen ott akkor is meglesz a titkosítatlan forgalom, ha nincs is vírusírtó.

DRM is theft