NOWY TEMAT
elektroda NewsGroups Forum Index - Elektronika Polska - Najlepsze ceny komponentów elektronicznych na Micro-Semiconductor? Czy warto zamówić?
Goto page Previous 1, 2, 3, 4 Next
Ghost
Guest
Guest
Thu Aug 18, 2022 8:30 am
W dniu 17.08.2022 o 23:47, Grzegorz Niemirowski pisze:
Quote:
Ghost <Ghost@heaven.net> napisał(a):
A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
same wrzeszcza
Na czym polega to "s" według Ciebie? Certyfikat potwierdza Ci tylko
tyle, że domena z którą się łączysz jest faktycznie tą domeną.
A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
same wrzeszcza
Na czym polega to "s" według Ciebie? Certyfikat potwierdza Ci tylko
tyle, że domena z którą się łączysz jest faktycznie tą domeną.
Oraz ze jest w lancuchu zaufanych
Ghost
Guest
Guest
Thu Aug 18, 2022 8:31 am
W dniu 17.08.2022 o 18:02, Cezar pisze:
Quote:
On 17/08/2022 16:44, Ghost wrote:
A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
same wrzeszcza
W dzisiejszych czasach to nie jest zaden wyznacznik bezpieczenstwa.
W letsencrypt masz certyfikat za darmo - bez żadnego sprawdzania. Inne
Geotrusty za kilkanaście dolarów. Żadna przeglądarka nie zawrzeszczy
A wystarczy sprawdzic czy jest "s" po http, pomijam, ze przegladarki
same wrzeszcza
W dzisiejszych czasach to nie jest zaden wyznacznik bezpieczenstwa.
W letsencrypt masz certyfikat za darmo - bez żadnego sprawdzania. Inne
Geotrusty za kilkanaście dolarów. Żadna przeglądarka nie zawrzeszczy
No to sprawdz ktore z podanych linkow nie sa wrzskliwe
Grzegorz Niemirowski
Guest
Guest
Thu Aug 18, 2022 11:13 am
Ghost <Ghost@heaven.net> napisał(a):
Quote:
No to sprawdz ktore z podanych linkow nie sa wrzskliwe
One nie działają lub jest jakieś under construction. Do czego zmierzasz? W
przypadku strony z pierwszego posta przeglądarka marudzi na http i nie
marudzi na https, co jest normalnym, typowym zachowaniem.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
Marek
Guest
Guest
Thu Aug 18, 2022 11:37 am
On Wed, 17 Aug 2022 23:47:06 +0200, "Grzegorz Niemirowski"
<grzegorz@grzegorz.net> wrote:
Quote:
Certyfikat nie poświadcza uczciwości, rzetelności itd. Poza tym
obecnie już
obecnie już
Zatem wprowadźmy certyfikat uczciwości i rzetelności, odpowiednio
httpsu:// oraz httpsr://
--
Marek
Marek
Guest
Guest
Thu Aug 18, 2022 11:39 am
On Thu, 18 Aug 2022 00:02:04 +0200, "Grzegorz Niemirowski"
<grzegorz@grzegorz.net> wrote:
Quote:
jest sprawdzane przez wystawcę (CA). Inaczej dane CA nie
znalazłobby się na
liście zaufanych danej przeglądarki.
znalazłobby się na
liście zaufanych danej przeglądarki.
Prowokacyjnie zapytam: no to jest zaufaną czy nie? Można stronie ufać
czy nie? Czy raczej już mamy tu różne pojęcia zaufania
?
--
Marek
Grzegorz Niemirowski
Guest
Guest
Fri Aug 19, 2022 10:16 am
Marek <fake@fakeemail.com> napisał(a):
Quote:
Prowokacyjnie zapytam: no to jest zaufaną czy nie? Można stronie ufać czy
nie? Czy raczej już mamy tu różne pojęcia zaufania?
nie? Czy raczej już mamy tu różne pojęcia zaufania
?
Stronie czyli czemu? Twoja przeglądarka ufa wydawcy certyfikatu a ten
poświadcza zgodność domeny, czyli że możesz ufać, że po wpisaniu adresu
strona.com rzeczywiście połączyłeś się ze strona.com a nie inną domeną. W
przypadku certyfiaktu rozszerzonego mozesz ufać, że stronę kontroluje dany
podmiot prawny (np. spółka). Żadne HTTPSy niie informują czy można ufać
sprzedawcy i czy dostarczy Ci on zapłacony towar.
--
Grzegorz Niemirowski
https://www.grzegorz.net/
Marek
Guest
Guest
Fri Aug 19, 2022 6:38 pm
On Fri, 19 Aug 2022 10:16:20 +0200, "Grzegorz Niemirowski"
<grzegorz@grzegorz.net> wrote:
Quote:
Stronie czyli czemu?
Stronie www
Quote:
Twoja przeglądarka ufa wydawcy certyfikatu a ten
poświadcza zgodność domeny, czyli że możesz ufać, że po wpisaniu
adresu
strona.com rzeczywiście połączyłeś się ze strona.com a nie inną
domeną.
poświadcza zgodność domeny, czyli że możesz ufać, że po wpisaniu
adresu
strona.com rzeczywiście połączyłeś się ze strona.com a nie inną
domeną.
To z czym się połączyłem to ja wiem, bo widzę w URL. Nie potrzebuję
certyfikatu do tego, i nie do tego służy certyfikat, jescze bardziej
nie wypaczaj jego roli.
--
Marek
Mirek
Guest
Guest
Fri Aug 19, 2022 9:10 pm
On 18.08.2022 11:39, Marek wrote:
Quote:
Prowokacyjnie zapytam: no to jest zaufaną czy nie? Można stronie ufać
czy nie? Czy raczej już mamy tu różne pojęcia zaufania?
Która przeglądarka mówi ci, że strona jest zaufana?
czy nie? Czy raczej już mamy tu różne pojęcia zaufania
?
Która przeglądarka mówi ci, że strona jest zaufana?
Mówi co najwyżej, że połączenie jest bezpieczne.
Zaufana to jest jak ją dodasz do zaufanych, czyli ty jej ufasz.
--
Mirek.
Mirek
Guest
Guest
Fri Aug 19, 2022 9:14 pm
On 19.08.2022 18:38, Marek wrote:
Quote:
To z czym się połączyłem to ja wiem, bo widzę w URL. Nie potrzebuję
certyfikatu do tego,
certyfikatu do tego,
Aha, i wiesz też że nikt nie podmienił danych ani nie zobaczył co wysyłasz.
i nie do tego służy certyfikat, jescze bardziej nie
Quote:
wypaczaj jego roli.
A niby do czego?
A niby do czego?
--
Mirek.
Marek
Guest
Guest
Fri Aug 19, 2022 9:25 pm
On Fri, 19 Aug 2022 21:14:20 +0200, Mirek <mirek@null.dev> wrote:
Quote:
Aha, i wiesz też że nikt nie podmienił danych ani nie zobaczył co
wysyłasz.
wysyłasz.
To że nikt nie podmienił danych ani ich nie zobaczył nic z
certyfikatem nie ma wspólnego.
Quote:
A niby do czego?
Dobre pytanie, teraz zwykły to właściwie do niczego. EV ewentualnie,
ale jak widać nawet do fraudow EV nie jest potrzebny.
--
Marek
Mirek
Guest
Guest
Fri Aug 19, 2022 9:56 pm
On 19.08.2022 21:25, Marek wrote:
Quote:
On Fri, 19 Aug 2022 21:14:20 +0200, Mirek <mirek@null.dev> wrote:
Aha, i wiesz też że nikt nie podmienił danych ani nie zobaczył co
wysyłasz.
To że nikt nie podmienił danych ani ich nie zobaczył nic z certyfikatem
nie ma wspólnego.
Aha, i wiesz też że nikt nie podmienił danych ani nie zobaczył co
wysyłasz.
To że nikt nie podmienił danych ani ich nie zobaczył nic z certyfikatem
nie ma wspólnego.
A z czym? Może mnie oświecisz?
Certyfikat jest właśnie po to, żeby przeglądarka wiedziała, że dane
które odszyfrowała pochodzą z TEJ domeny (i są integralne - to wynika z
szyfrowania). No i w drugą stronę - że dane które zaszyfruje tym kluczem
odczyta tylko serwer w TEJ domenie.
Co ci z szyfrowania, jeśli agresor podszyje się pod domenę i wyśle ci
swoje klucze bez sprawdzenia skąd pochodzą?
--
Mirek.
Marek
Guest
Guest
Fri Aug 19, 2022 11:03 pm
On Fri, 19 Aug 2022 21:56:35 +0200, Mirek <mirek@null.dev> wrote:
Quote:
Certyfikat jest właśnie po to, żeby przeglądarka wiedziała, że dane
które odszyfrowała pochodzą z TEJ domeny (i
które odszyfrowała pochodzą z TEJ domeny (i
Jescze raz: jaka jest wartość tego, skoro zwykły certyfikat dziś nic
nie znaczy? Mozna nawet używać selfsigned. W tym kontekście pisałem,
że certyfikat (jako mechanizm zaufania) nie ma już znanego związku
(wartościowego) z szyfrowaniem.
Quote:
Co ci z szyfrowania, jeśli agresor podszyje się pod domenę i wyśle
ci
swoje klucze bez sprawdzenia skąd pochodzą?
ci
swoje klucze bez sprawdzenia skąd pochodzą?
Jaki agresor? Nie trzeba się pod nic podszywać. Zwykły certyfikat
można wygenerowac od ręki i za darmo. Powtarzasz kryptograficzne mity
(MiM), które realnie NIGDY (w znaczącej skali) nie musiały być
wykorzystane do fraudow. Ludzie są bardziej głupi. Stawiam nawet
tezę, że gdyby w ogóle SSL nie było to poziom fraudów opartych na
"podejrzeniu" zawartości payloadu czy "podstawionych" witryn byłby na
podobnym samym poziomie co mamy teraz. Szyfrowanie to tylko zbędna
komplikacja, wnosząca tylko złudzenie bezpieczeństwa i dobrze
sprzedający się buzzword.
--
Marek
Mirek
Guest
Guest
Fri Aug 19, 2022 11:37 pm
On 19.08.2022 23:03, Marek wrote:
Quote:
Jaki agresor? Nie trzeba się pod nic podszywać. Zwykły certyfikat można
wygenerowac od ręki i za darmo.
wygenerowac od ręki i za darmo.
JAK?!
Wygeneruj sefsigned i oszukaj przeglądarkę że jest z mojej domeny.
Z resztą co tam z mojej - z pkobp najlepiej od razu.
Powtarzasz kryptograficzne mity (MiM),
Quote:
które realnie NIGDY (w znaczącej skali) nie musiały być wykorzystane do
fraudow.
fraudow.
Bo się nie da odkąd jest https. I każdy choć trochę ogarnięty wie do
czego służy.
Ludzie są bardziej głupi. Stawiam nawet tezę, że gdyby w ogóle
Quote:
SSL nie było to poziom fraudów opartych na "podejrzeniu" zawartości
payloadu czy "podstawionych" witryn byłby na podobnym samym poziomie co
mamy teraz. Szyfrowanie to tylko zbędna komplikacja, wnosząca tylko
złudzenie bezpieczeństwa i dobrze sprzedający się buzzword.
Bzdura totalna. Bez szyfrowania dane lecą gołe i tak naprawdę nie
payloadu czy "podstawionych" witryn byłby na podobnym samym poziomie co
mamy teraz. Szyfrowanie to tylko zbędna komplikacja, wnosząca tylko
złudzenie bezpieczeństwa i dobrze sprzedający się buzzword.
Bzdura totalna. Bez szyfrowania dane lecą gołe i tak naprawdę nie
wiadomo skąd, można bez trudu zmienić w locie np. numer konta czy
zamienić 10 dolarów na 10 milionów - rozumiem że bez znaczenia dla ciebie.
--
Mirek.
Marek
Guest
Guest
Fri Aug 19, 2022 11:56 pm
On Fri, 19 Aug 2022 23:37:04 +0200, Mirek <mirek@null.dev> wrote:
Quote:
JAK?!
Szybko. Są za darmo signed akceptowane przez przeglądarki. Certyfikat
nie ma żadnej wartości.
Quote:
Wygeneruj sefsigned i oszukaj przeglądarkę że jest z mojej domeny.
Z resztą co tam z mojej - z pkobp najlepiej od razu.
Z resztą co tam z mojej - z pkobp najlepiej od razu.
Moja przeglądarka akceptuje wszystkie. Nie odróżnia selfsigned od
innych.
Nie musi byc selfsigned. Wystarczy zwykły za darmo. Certyfikat nie ma
dla niej żadnej wartości.
Quote:
Bzdura totalna. Bez szyfrowania dane lecą gołe i tak naprawdę nie
wiadomo skąd, można bez trudu zmienić w locie np. numer konta czy
zamienić 10 dolarów na 10 milionów - rozumiem że bez znaczenia dla
ciebie.
wiadomo skąd, można bez trudu zmienić w locie np. numer konta czy
zamienić 10 dolarów na 10 milionów - rozumiem że bez znaczenia dla
ciebie.
ROTFL ale żeś palnął, nie kompromituj się.Sam przed szyfrowaniem
mogę sobie zamienić kontent w przeglądarce z 10 dolarów na 10
milionów. Mogę zamienić nr konta. Dokładnie tak działały złośliwe
"pluginy" do przeglądarek. Zamieniały numery kont, podstawialy inne.
I szyfrowanie w niczym ofierze nie pomogło.
Obrona przed tego typu takimi nie leży w szyfrowaniu. Przestań
bredzić.
--
Marek
Mirek
Guest
Guest
Sat Aug 20, 2022 12:21 am
On 19.08.2022 23:56, Marek wrote:
Quote:
Szybko. Są za darmo signed akceptowane przez przeglądarki. Certyfikat
nie ma żadnej wartości.
nie ma żadnej wartości.
Ja pier...
To że za darmo nie ma znaczenia. Ważne że podpisujący sprawdza czy
domena jest twoja i masz prawo go używać.
Quote:
Moja przeglądarka akceptuje wszystkie. Nie odróżnia selfsigned od innych.
Nie musi byc selfsigned. Wystarczy zwykły za darmo. Certyfikat nie ma
dla niej żadnej wartości.
Nie musi byc selfsigned. Wystarczy zwykły za darmo. Certyfikat nie ma
dla niej żadnej wartości.
Ja nie wiem jaką ty masz przeglądarkę, ale nie ma opcji, żeby
cywilizowana przeglądarka pokazała, że masz bezpieczne połączenie jeśli
strona używa selfsigned. To samo będzie jeśli wpiszesz np. pkobp.pl, a
nie będzie to pko, tylko strona oszusta, bo oszust nie będzie miał
podpisanego certyfikatu dla pkobp.
Quote:
ROTFL ale żeś palnął, nie kompromituj się.Sam przed szyfrowaniem mogę
sobie zamienić kontent w przeglądarce z 10 dolarów na 10 milionów. Mogę
zamienić nr konta. Dokładnie tak działały złośliwe "pluginy" do
przeglądarek. Zamieniały numery kont, podstawialy inne. I szyfrowanie w
niczym ofierze nie pomogło. Obrona przed tego typu takimi nie leży w
szyfrowaniu. Przestań bredzić.
Co ty tam sobie zainstalujesz i co zmienisz u siebie to mnie nie obchodzi.
Dla mnie ważne jest żeby moje połączenie było bezpieczne.
--
Mirek.
elektroda NewsGroups Forum Index - Elektronika Polska - Najlepsze ceny komponentów elektronicznych na Micro-Semiconductor? Czy warto zamówić?