Goto page Previous 1, 2, 3, 4
Marek
Guest
Sun Aug 21, 2022 1:45 am
On Sat, 20 Aug 2022 22:45:01 +0200, "Grzegorz Niemirowski"
<grzegorz@grzegorz.net> wrote:
Quote:
Znaczy dużo. Już się o tym rozpisywałem, masz też ten temat
objaśniony na
wielu stronach, nie mówiąc już o książkach.
Co to za argument?? Przeczytaj, ze zrozumiem o czym jest dyskusja. To
nie poradnik jak działa https tylko współczesna problematyka
fraudów.
Jeszcze raz: 100% ofiar korzystało z prawidłowo zweryfikowanych stron
z SSL. Nie czytali tych książek? No szkoda...
Quote:
Powtórzę, masz zapewnione trzy rzeczy: poufność (szyfrowanie),
integralność
(nikt nie modyfikował danych po drodze) i niezaprzeczalność (wiesz,
z kim
wymieniasz dane).
To nie ma żadnego współcześnie znaczenia, bo pyaload można
skompromitować *przed* lub *po* albo po prostu namówić do tego bialko
przed klawiaturą. Nie powtarzaj w kółko banałów bo nie o tym
dyskusja.
Quote:
Zostaw te fraudy. Rozpowszechniony został mit, że HTTPS chroni
przed
fraudami.
Przypominam, że to jest wątek o fraudach a nie o wspaniałościach ssl.
--
Marek
Marek
Guest
Sun Aug 21, 2022 2:29 am
On Sat, 20 Aug 2022 22:45:01 +0200, "Grzegorz Niemirowski"
<grzegorz@grzegorz.net> wrote:
Quote:
Zostaw te fraudy. Rozpowszechniony został mit, że HTTPS chroni
przed
fraudami. Ale nie chroni i nigdy nie chronił, nie ma co już więcej
o tym
pisać.
Chroni komunikację i robi to dobrze. Dodatkowo zapewnia
uwierzytelnianie i to nawet dwóch stron.
I co to dało? Dzięki temu praktycznie przestano się interesować (jako
wektorem ataku) komunikacją. I slusznie ale nie z powodu, że się
nie da ale dlatego, że są ciekawsze miejsca jak dostęp do urządzenia
użytkownika. Okazało się że łatwo jest skompromitować samo urządzenie
i ma się dostęp do wszystkiego. Jakie to ma znaczenie i kogo
obchodzi, że kanał do banku jest szyfrowany jak ma się kontrolę nad
przeglądarką usera? Błagam. Onanizowanie się "chronionym kanałem
komunikacji" było modne 22 lata temu w czasach osiedlowych sieci i
wścibskich adminów. Dziś to tylko odprysk technologiczny, niewiele
przyczyniający się w skali globalnej do bezpieczeństwa kogokolwiek.
Stawiam dolary przeciwko orzechom, że gdyby wyłaczyć teraz wszędzie
https to nic by się nie zmieniło i mało kto by się tym zainteresował,
a poziom fraudow by się nie zmienił. O wiele ciekawsze rzeczy są na
urządzeniach niż zawartość ich komunikacji. Ba nawet teraz jest
mniej takich, co mają możliwość podglądania komunikacji niż ich było
22 lata temu.
--
Marek
Stachu Chebel
Guest
Sun Aug 21, 2022 9:31 am
wtorek, 16 sierpnia 2022 o 09:40:20 UTC+2 Marek napisał(a):
Quote:
I to w dobrych cenach:
http://www.micro-semiconductor.com/
Prawie złożyłem zamówienie...
--
Marek
Śmierdzi to jak diabeł siarką. Przykładowo XC6SLX45-2CSG324I podane są w cenie 22$, podczas gdy
w czasach ogólnej dostępności kosztowały ok. 100$. Ponadto do koszyka nie da się wrzucić, trzeba
wypełnić RFQ. I na stanie mają ponad 1600 szt. Nie wierzę!! Z ciekawości zapytałem o 10szt.
Zobaczymy co odpowiedzą...
Marek
Guest
Sun Aug 21, 2022 10:29 am
On Sun, 21 Aug 2022 00:31:33 -0700 (PDT), Stachu Chebel
<stchebel@gmail.com> wrote:
Quote:
Śmierdzi to jak diabeł siarką. Przykładowo XC6SLX45-2CS
Na marginesie, działa też URL z ssl:
https://www.micro-semiconductor.com/
Śmierdzi?? No chyba żartujesz, przecież grupowi experci od unikania
fraudów rzekomo twierdzą, że wszystko jest w porządku bo strona ma
prawidłowy certyfikat (!!!). No przecież ktoś zweryfikował tą domenę
i podpisał się pod certyfikatem, legitne że hej.
Quote:
Zobaczymy co odpowiedzą...
Też z tymi dzbanami prowadzę dyskusję. Szukałem pewnego starocia.
Gdy to było 10 lat temu w sprzedaży warte było ~$20. Na eBayu można
teraz okazjonalnie dostać za $6 i $99 u tego samego sprzedawcy w
zależności, w którą jego aukcję się trafi (cwaniak ma dwie).
Na
httpS://www.micro-semiconductor.com/ mają tego 16tys szt, Jerry
zaproponował cenę $62/szt. Po mojej sugestii, że złom tyle nie jest
wart lub może im się przecinek zgubił albo mieli na myśli 10szt
odpowiedzieli, że niestety nic nie da się zrobić, bo ogólnie kryzys,
inflacja i wakacji kredytowych u nich nie ma. Na razie na tym
stanęło.
--
Marek
Mirek
Guest
Sun Aug 21, 2022 12:12 pm
On 21.08.2022 02:29, Marek wrote:
Quote:
usera? Błagam. Onanizowanie się "chronionym kanałem komunikacji" było
modne 22 lata temu w czasach osiedlowych sieci i wścibskich adminów.
Jak się onanizujesz to przynajmniej zamknij drzwi.
Dobrze byś się czuł jakby twoja komunikacja z bankiem była widoczna dla
nawet legitnego i uczciwego admina?
Widział by wszystko, stan konta, komu wysyłasz, ile, nawet hasło mógłby
zobaczyć czasem.
Tylko zobaczyć no bo przecież jest uczciwy.
A teraz uświadom sobie, że wcale nie trzeba być adminem - wystarczy być
w tej samej sieci i prosta sztuczka z ARP albo podłożony DHCP i można
wszystko.
Na całe szczęście jest https i taka zabawa już nie przejdzie.
A żeby było jeszcze ciekawiej, to będąc w większej korporacji często
admini rozkodowują https w locie żeby filtrować strony pod względem
zawartości (nie ważne w tym momencie po co) - to wymaga zainstalowania
certyfikatów na komputerach użytkowników ale efekt jest taki, że łącząc
się ze stroną https tak naprawdę kodujesz ją dla firewalla, firewall
odkodowuje, sprawdza, zakodowuje ją dla serwera i wysyła. Z powrotem
analogicznie. I co?
No w sumie nic - będąc w korporacji zgadzasz się na jej zasady. ale
spokojnie, strony banków nie są rozkodowywane.
--
Mirek.
Piotr GaĹka
Guest
Mon Aug 22, 2022 1:10 pm
W dniu 2022-08-20 o 18:28, Marek pisze:
Quote:
User widząc kłódkę i prawidłowy certyfikat uznaje
(bo mu tak 20 lat temu wpojono), że to "bezpieczna" strona,
O ile pamiętam to mBank na początku pisał, aby sprawdzać odcisk palca a
nie kłódkę.
Ja zawsze zerkam na odcisk palca. Zapamiętuję sobie 4 cyferki, które
uznam za łatwe do zapamiętania (obecnie dla logowania mBanku to 5545
(sha1)). Prawdopodobieństwo, że na podstawionej stronie będzie odcisk z
akurat tymi samymi cyferkami o tej samej wartości (= 1/65536) przyjmuję
za dopuszczalny poziom ryzyka.
Jak kiedyś zmienili certyfikat a nie zmienili odcisku palca podawanego
na ich stronie o bezpieczeństwie to zapytałem, czy mogę się logować,
skoro odcisk palca się nie zgadza. Przeprosili i natychmiast poprawili.
P.G.
Piotr GaĹka
Guest
Mon Aug 22, 2022 1:13 pm
W dniu 2022-08-21 o 01:33, Marek pisze:
Quote:
I co z tego, że potwierdza? Domena jest używana przez przestępców, jej
nazwa czy jest prosta czy krzywa nie ma znaczenia bo zwykły user nie
zwraca na to uwagi, bo mu kiedyś powiedziano że jak jest kłódka to jest OK.
Rozumiem Twoją tezę, ale nie pamiętam kiedy mówiono, że jak jest kłódka
to OK. Pierwszy internetowy był mBank i oni wyraźnie mówili aby zaglądać
do certyfikatu.
P.G.
J.F
Guest
Mon Aug 22, 2022 1:28 pm
On Mon, 22 Aug 2022 13:13:34 +0200, Piotr Gałka wrote:
Quote:
W dniu 2022-08-21 o 01:33, Marek pisze:
I co z tego, że potwierdza? Domena jest używana przez przestępców, jej
nazwa czy jest prosta czy krzywa nie ma znaczenia bo zwykły user nie
zwraca na to uwagi, bo mu kiedyś powiedziano że jak jest kłódka to jest OK.
Rozumiem Twoją tezę, ale nie pamiętam kiedy mówiono, że jak jest kłódka
to OK. Pierwszy internetowy był mBank i oni wyraźnie mówili aby zaglądać
do certyfikatu.
Firefox przestal malowac kłódki na zielono - zeby nie powodować
fałszywego wrazenia bezpieczenstwa ... a to tylko szczyt góry lodowej
możliwych oszustw.
J.
SW3
Guest
Mon Aug 22, 2022 6:15 pm
W dniu 20.08.2022 o 18:28, Marek pisze:
Quote:
100% oszukanych nie zwróciło uwagi na literówkę czy podobieństwo
domeny, bo tego nie ogarniają
Aha, czyli z tego, że SSL chroni skutecznie przed jakimś rodzajem ataku
wynika, że jest nieskuteczny?
A drzwi antywłamaniowe są bez sensu bo złodziej może wejść przez okno.
Więc skoro może wejść przez okno to po co wogóle drzwi...
--
SW3
Marek
Guest
Tue Aug 23, 2022 6:09 pm
On Mon, 22 Aug 2022 18:15:18 +0200, SW3
<sw3.spam.stop@poczta.fm.invalid> wrote:
Quote:
Aha, czyli z tego, że SSL chroni skutecznie przed jakimś rodzajem
ataku
wynika, że jest nieskuteczny?
Nie, wynika coś zupełnie innego.
Quote:
A drzwi antywłamaniowe są bez sensu bo złodziej może wejść przez
okno.
Więc skoro może wejść przez okno to po co wogóle drzwi...
Nie, w tej analogi złodziej wchodzi otwartym oknem a nie drzwiami.
--
Marek
Marek
Guest
Tue Aug 23, 2022 6:11 pm
On Mon, 22 Aug 2022 13:13:34 +0200, Piotr
Gałka<piotr.galka@cutthismicromade.pl> wrote:
Quote:
Rozumiem Twoją tezę, ale nie pamiętam kiedy mówiono, że jak jest
kłódka
to OK. Pierwszy internetowy był mBank i oni wyraźnie mówili aby
zaglądać
do certyfikatu.
Jesteś bardziej świadomy gdzie i co weryfikować.
--
Marek
J.F
Guest
Tue Aug 23, 2022 6:26 pm
On Tue, 16 Aug 2022 12:28:31 +0200, Marek wrote:
Quote:
ale co - mowicie, ze firma krzak?
Bo strona działa nadal, nikt nie zglosil, telefon podaja ...
A ze "NIKT nie ma" ... moze i oni nie maja, ale klienta przyciągną...
Mozna tam w ogóle kupić? Bez rejestracji chyba nie...
J.
Goto page Previous 1, 2, 3, 4