Hirdetés

üzenetek

hozzászólások


bambano
(Jómunkásember)
Blog

ennek van még semmi értelme...


Male
(PH! nagyúr)
Blog

Jaja, mert aztán a cikket amit olvasok titkosítva kell letölteni a böngészőmnek, ahogy a háttérben menő youtube videót is... :U
( Ahol bármi érzékeny információ megy, az legyen titkosítva, persze, de a webes forgalom tippre 99%-a nem ilyen. )


gghrtz
(őstag)
Blog

Itt nem csak a titkosítás a lényeg, hanem hogy lehessen látni, hogy amire rámész, az nem egy full kamu oldal. Egyébként ha lehet, akkor miért ne legyen? Meg azért az sem egy rossz dolog, ha útközben senki nem piszkál bele a csomagokba.

[ Szerkesztve ]


joghurt
(PH! addikt)
Blog

Hadd izzadjon csak a vas a beágyazott reklámvideók be-ki kódolásától!

Egyébként Firefox alatt évek óta van HTTPS Everywhere kiegészítő, mint ahogy a címsor is kijelzi, biztonságos-e a lap (beleértve az abból elért dolgokat).


bambano
(Jómunkásember)
Blog

tehát például a facebook, ami emlékeim szerint nagyon régen https, az nem kamu oldal?
nem hekkeltek meg rajta választásokat?

ráadásul ugye mit csinálnak a vírusvédelmi rendszerek? megtörik a https-t, hogy tudják ellenőrizni az oldal tartalmát, azaz végrehajtanak egy mitm támadást minden letöltésre. tehát ha van olyan védelmi szoftvered, ami ellenőrzi a webes letöltést, akkor az kamuvá teszi az összes oldalt, amit megnéztél. rotfl. a fagyi visszalőtt.


ViZion
(PH! félisten)
Blog

Mindent értek... csinálják csak. De a szájbatekert directwrite flag kerüljön vissza, mert néha retek rondák a betűk, amin semmi nem segít...


Ixion77
(senior tag)

Azért ne legyen, mert a webfejlesztőknek plusz egy extra nyűg.
Plusz nyűg = plusz hibalehetőség = plusz munka = plusz bér
A top100-as cégeknek nyilván semmi különbséget nem okoz plusz 1-2 embert alkalmazni emiatt, de egy pici alapítványi vagy mikrovállalkozói oldalnak jelentős lehet. Mindezt minek is? Mit számít hogy titkosítva tudod-e meg hogy új örökbe fogadható kiskutya érkezett a Káposztásmegyei állatmenhelyre?...

[ Szerkesztve ]


cami][us
(senior tag)
Blog

1-2 embert alkalmazni emiatt
Ez SSL telepítés, nem villanykörte csere.


janeszgol
(PH! kedvence)

De ne csak a HTTPS meglétére koncentráljanak, hanem a biztonsági szint frissítéséről is.


Male
(PH! nagyúr)
Blog

Mert a cikkek valóságtartalmát ellenőrzi a tanúsítvány kiadó? Ugyan úgy lehet tele hülyeségekkel HTTPS esetén is. ( nyilván egy bank, szolgáltató befizető oldala, NAV-os tájékoztató, stb. ott számít a valóság tartalom, és ott jó is ez, de ezért írtam a kivételt )


zolij
(tag)

A cikkek valóságtartalmát nem ellenőrzi, de azt például megakadályozza, hogy útközben hozzád módosítsanak a cikk tartalmán.


zolij
(tag)

milyen plusz hibalehetőséget visz a webfejlesztésbe a https használata?


Keem1
(PH! addikt)

Semmilyet. Max a kontároknál (kézi abszolút url-ek) :D
Jó oldalnál semmit. Mi tavaly a cégnél hiba nélkül álltunk át pár nap alatt, pedig nem egylapos kis oldal, hanem backend, frontend, plusz webes szinkronos ügyviteli rendszer.

[ Szerkesztve ]


Male
(PH! nagyúr)
Blog

Ez ám a veszély, pl valaki azért csinál egy MITM támadást, hogy a PH!-s VGA tesztben átírja az eredményeket csak nekem? Nagyon reális egy ilyen támadás.... kb olyan gyakran történhet meg, mint régebben mondjuk hogy valaki egy hamis napilapot gyárt külön egy embernek, és arra cseréli a postaládájában...


janeszgol
(PH! kedvence)

Linkcsere?


bambano
(Jómunkásember)
Blog

mint azt fentebb leírtam, nem akadályozza meg.

de egyébként is: kit érdekelne? a felém jövő tartalom a viszonylag védettebb gerinchálózat felől jön, amit nehezebb hekkelni, mint a last mile-t.


Male
(PH! nagyúr)
Blog

Célzottan egy gépre... ez se hinném, hogy megérné.


Murphy(O.o)
(senior tag)

Nem csak "Man In The Middle" támadás van a világon :N Weboldal klónozásról hallottál már? A mókus leklónozza mondjuk a Gmail honlapját, és küld egy kamu E-mailt, hogy "ellenőrizd az adataidat", és linkeli az Ő klón oldalát. Amint beírod a felhasználó nevet és jelszót, Ő már tudja is azt :K

Nyilván a bambaság ellen semmi se véd, de azért a leklónozott oldalaknak nem olyan könnyű hiteles tanúsítványt szerezni, így a HTTPS már ez ellen már véd(het).

Meg azért 2018-ben ne küldjük már a jelszavainkat titkosítatlan HTTP csatornán sehova...

[ Szerkesztve ]


bhonti
(kvázi-tag)

Ha pl. egy fórumot olvasgatok, akkor a bánatos túrónak az egészet lelassítani... Attól még nyugodtan mehetne CSAK AZ https-en, mikor valaki belép, vagy épp az üzeneteket nézi/írja!


bambano
(Jómunkásember)
Blog

"Nyilván a bambaság ellen semmi se véd, de azért a leklónozott oldalaknak nem olyan könnyű hiteles tanúsítványt szerezni": az alapján, hogy pár hete/hónapja mekkora hiszti volt root ca-k visszavonásából, azt kell mondani, hogy nagyjából semekkora probléma hiteles tanúsítványt hamisítani.


lezso6
(VARÁZSLÓ)
Blog

Jajj, ne már. :O Nem lassít a HTTPS semmit, legalábbis észrevehetetlen.

Egyébként meg nem csak a beléptetéshez kell a HTTPS. Pl session hijacking (login eltérítés) simán lehetséges HTTP-n, nem kell hozzá jelszó, csak a sütid, amit a böngésző minden oldalletöltéskor elküld.


Murphy(O.o)
(senior tag)

Ezzel próbálják "rákényszeríteni" az embereket, hogy használják a https protokolt, ez kb olyan, hogy a 30-as táblánál se kapcsolod ki a biztonsági övet, pedig ott szinte "fölösleges"

Mellesleg azt remélem mindenki vágja, hogy a "lassítás", amiért sírnak az emberek totál elhanyagolható :K


lezso6
(VARÁZSLÓ)
Blog

Ez a hitelesítéses dolog szerintem annyira nem is lényeges, nem igazán mennek erre rá. Tökmindegy mi a domain egy hamisított oldalnál, a user nem azt nézi. Így simán lehet rajta HTTPS, user át is van verve. Az ilyenek ellen nem a HTTPS véd, nem is tud védeni.

Amúgy mi a bajod a HTTPS-sel? A vírusölök MITM támadása nem a HTTPS baja. Az csak akkor működik, ha az adott oldal támogatja azokat az insecure TLS verziókat.

[ Szerkesztve ]


Murphy(O.o)
(senior tag)

Maradjunk annyiban, hogy hiteles tanúsítványt általában DNS szerverekre bejegyzett hivatalos címekhez szoktak adni, amit egy leklónozott oldal esetében nem annyira könnyű megtenni (nyilván meglehet, mint mindent, de akkor se annyira könnyű)

Pl. A LetsEncrypt-el én nem is tudok a cégnek olyan szerverére tanúsítványt generálni, ami nincs külső DNS szerverre bejegyezve.


lezso6
(VARÁZSLÓ)
Blog

Mióta van LE, simán lehet elvárás a HTTPS, ezért örülök a Google lépésének. Vicc, hogy 2018-ban a weboldalaknál opció a titkosítatlan kapcsolat. A következő lépés az, hogy a weboldalakon csak biztonságos cypher suite-ok legyenek illetve HSTS.


bhonti
(kvázi-tag)

Biztosan lassabb lesz, teljesen feleslegesen! Bikább kliensen lehet, hogy kevésbé érezhető, de a szervernek sok kérés esetén tuti.


Murphy(O.o)
(senior tag)

Te remélem nem szakmabeli vagy, mert akkor nagy a baj...

Nekem a cégnél jelenleg 11 webszerverem van, tök különböző tartalomszolgáltatással (KOHA, Alfresco, Filesender, Kibana, Groundwork monitor, Openwayback, egy rakat CMS + Apache kombó...). Nem igazán érzem a szerver lassulást, mert amúgy egy szerver azért szerver, hogy bírja a terhelést :K

[ Szerkesztve ]


bambano
(Jómunkásember)
Blog

"Pl session hijacking (login eltérítés) simán lehetséges HTTP-n": és mi fog történni, ha ellopják a sessionömet? dicsérni fogom a windowst?


lezso6
(VARÁZSLÓ)
Blog

Lassabb, nem mennyivel is? Legrosszabb esetben is 1-2%? :D


lezso6
(VARÁZSLÓ)
Blog

Ne csak magadra gondolj. Pl lenyúlják az accodat, aztán HA-n átvernek vele pár embert.


bambano
(Jómunkásember)
Blog

és ha én bejegyeztetem a magyar o, magyar t, orosz r betűből álló domaint, akkor mennyi idő hijackelni az otp.hu-t? hint: 0.005 msec.

most arról ne beszéljünk, hogy egyes regisztrátoroknál meg domain usereknél akkora kupleráj van, hogy némelyiket legálisan el lehetne lopni...


Murphy(O.o)
(senior tag)

A DNS bejegyzés nem telefonhívásra megy, meg kell adni az adataidat, amiket nyilván ellenőriznek is, ezért, ha bejegyeztetsz egy domaint és utána arról indítasz támadásokat, akkor kezet fogok veled (miután a TEK-esek rád törték az ajtót) :K


ddekany
(PH! kedvence)

Nem tudom elhangzott-e, de van egy olyan pozitív hatása is a HTTPS-nek, hogy az ISP sem tudja megmondani, hogy adott domain-en belül mit látogattál. (Azt, hogy melyik domain-t és hányszor, azt persze igen.). Tehát mondjuk tudják, hogy index.hu-t néztél, de azt nem, hogy ott melyik cikkeket preferálod.


lezso6
(VARÁZSLÓ)
Blog

Nem ellenőrzik, illetve lehet anonim módon is regisztrálni. Külföldi szolgáltató meg nem fogja kiadni az adataid.


lezso6
(VARÁZSLÓ)
Blog

De a facebook az tudni fog mindent, ha ott a lájk gomb (nem kell rákattintani). Ezzel kéne kezdeni valamit, bár ezt maguknak az oldalaknak kéne megcsinálniuk, pl a itt alapból inaktív a lájk, rá kell kattintani, hogy betöltődjön.

[ Szerkesztve ]


Murphy(O.o)
(senior tag)

Azt azért megnézném, hogy anonim módon regisztrál valaki egy .hu domaint..

nyilván lehet ilyen ".bla.mivan" domain -t regisztrálni, de azért na, maradjunk a realitás talaján, otr.hu domaint anonim nem regisztrál senki, és a rendőrségnek ki kell adniuk az adatokat...

[ Szerkesztve ]


lezso6
(VARÁZSLÓ)
Blog

Itthon igen. De külföldivel nem tudnak mit csinálni.

Ellenőrzés alatt meg arra gondolok, hogy pl .us domaint elvileg csak usák lakcímmel lehet regelni, de a gyakorlatban kamu címet szoktak használni hozzá. Nem ellenőrzik.

[ Szerkesztve ]


bambano
(Jómunkásember)
Blog

ha ha-n átvernek embereket, akkor tőled ip címet fog kérni a rendőrség, ami alapján az átverős hirdetés feladóját megtalálják.

(#32) Murphy(O.o): "A DNS bejegyzés nem telefonhívásra megy, meg kell adni az adataidat, amiket nyilván ellenőriznek is, ezért, ha bejegyeztetsz egy domaint és utána arról indítasz támadásokat, akkor kezet fogok veled": egyrészt hómleszek nevére mindent el lehet követni, amilyen komoly ellenőrzések vannak, lehet 200 ezer dominókártyát kicipelni a plázából, stb. másrészt nemigen ellenőriznek ott kb. semmit. ha beküldök egy kódolt ékezetes domain igényt, szerintem simán átmegy, nem nézik meg a dekódolást.

(#33) ddekany "de van egy olyan pozitív hatása is a HTTPS-nek, hogy az ISP sem tudja megmondani, hogy adott domain-en belül mit látogattál.": egyrészt ez az isp-t nem érdekli. másrészt ha https-ben megy a cucc, akkor a domaint sem tudják megnézni, csak azt, hogy milyen ip címekre megy a kérés, és ha több domain van azon az ip címen, akkor azt már nem. tehát pl. nem tudja szétválogatni az isp, hogy prohardvert nézel, itcafe-t vagy logoutot.

[ Szerkesztve ]


Murphy(O.o)
(senior tag)

Nyilván, de itt a "kolléga" azt vetette fel, hogy Ő majd regisztrál egy otr.hu domaint és arról akciózik... sok sikert.

Mellesleg ahogy már írtam, "bambaság ellen nem véd semmi", és mindig is a felhasználó lesz a leggyengébb láncszem az informatika gépezetében (hiszen már valaki azért sír, hogy ne erőltessenek már lassulással HTTPS-t ;] ).


Murphy(O.o)
(senior tag)

Főleg, ha TOR hálózatot + proxychaint használok :K


bhonti
(kvázi-tag)

Lassabban ÉS főleg feleslegesen! Így gondolom... Te meg máshogy, szíved joga.

[ Szerkesztve ]


lezso6
(VARÁZSLÓ)
Blog

De megelőzés lenne a cél... ;)


bambano
(Jómunkásember)
Blog

unod a túlórát? :P


lezso6
(VARÁZSLÓ)
Blog

A PH lapcsalád oldalaira TOR alól nem lehet belépni. :P


lezso6
(VARÁZSLÓ)
Blog

Ez nem vélemény kérdése, hanem tény, hogy észrevehetetlen mértékben lassít csak és nem felesleges. :U


Murphy(O.o)
(senior tag)

Biztos ez? ;)


lezso6
(VARÁZSLÓ)
Blog

Mondom, próbálj meg belépni és hsz-t írni TOR alól. Oldalt nézni lehet alóla, de amúgy semmit sem tudsz csinálni. Proxy az nincs tiltva, hisz sok helyen kötelező.

[ Szerkesztve ]


Murphy(O.o)
(senior tag)

Na, ez új nekem...
Azt láttam eddig, hogy az oldal totálisan védtelen a security scannerek ellen (próbaként most is scannelem TOR hálózatból proxychains-en keresztül), de legalább a weboldalas belépés szűrve van az Apache-al.

[ Szerkesztve ]


djsilas
(tag)

Ha mar igy szova tetted mas munkassagat, remelem Te sem vagy szakmabeli... Akkor tudnad, hogy egy klon oldal ellen pont semmit nem er a HTTPS... Egy egyszeru, de valid DV cert 1 perc alatt kesz es maris szep zold lesz a cimsor...
(es igen, valoban nem lesz kiirva pl., hogy OTP, de hiba sem lesz, ergo az atlag user semmit nem fog eszrevenni, ezert balgasag, amit irtal)


Murphy(O.o)
(senior tag)

Az a DV ami a Domain Validated -et jelenti? Én úgy tudtam ahhoz Validated DNS bejegyzés kell az oldalhoz... De lehet hiányosak az infóim.

[ Szerkesztve ]

üzenetek