Új hozzászólás Aktív témák

• #1014 Speederer senior tag rostiron #1013

  Új Válasz 2018-01-03 15:33:14 #1014

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Speederer

  senior tag

  válasz rostiron #1013 üzenetére

  Szia,

  Attól még SSL-t használva kéne menjen az adat. Csak szól, hogy szerinte nem megbízható a tanúsítvány, vagyis lehet, hogy nem azzal a szerverrel beszélgetsz, mint akinek te azt hiszed. (Man in the middle jellegű támadás).
  Tehát ez csak egy kis kellemetlenség csak, attól még érdemes használni. Sőt, hozzá is lehetne elvileg adni a megbízható kibocsátók közé.
  Én próbáltam is, csak nekem a Kaspersky bezavar, állandóan egy 3 nap múlva induló tanúsítványt akar az eredeti helyére rakni, ami persze, hogy nem érvényes ma még (csak 3 nap múlva lesz az).

  A rendrakás a kisemberek mániája. A zseni átlátja a káoszt!

• #1021 Mr Dini addikt rostiron #1013

  Új Válasz 2018-01-04 20:00:35 #1021

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Mr Dini

  addikt

  LOGOUT blog

  válasz rostiron #1013 üzenetére

  Egyszerű a szituáció. Az SSL titkosít, de a kolléga által említett MITM támadásoktól nem véd meg. Vagyis tegyük fel, kliensünk egy publikus kávéházi wifin lóg, amin cracker barátunk éppen eltéríti a forgalmat, s átjátsza az Ő gépén. Így a meglátogatni kívánt weboldal és esetlegesen a POSTDATA is elküldésre kerülne SSL titkosítással a cracker felé. A cracker proxyja letölti Neked a tényleges oldalt, viszont a kérés fejléceit (illetve mást is) logolja. Így hiába létezik az SSL, nem sokat segít.

  Erre találták ki a biztonságos kibocsátókat. Általában a böngészőknek ezek a cégek komoly pénzeket fizetnek, hogy a böngésző elismerje a kiadót. Ezeknél a kibocsátóknál lehet SSL kulcsot igényelni egy domainhez például. Ehhez valamilyen formában kötelességed bizonyítani, hogy a cím a Te kezedben van. Régebben ezt papíron, hivatalban oldották meg. És általában nem olcsó mulatság volt ez egy magánszemély számára.

  Viszont van egy szponzorált, elismert kibocsátó, a Lets encrypt. Tőlük lehet igényelni egy maximum három hónapig érvényes kulcsot, amit természetesen bármikor meg leheg újítani, viszont minden alkalommal bizonyítani kell, hogy a cím a Tied (Ő az acme-t használja, ami egy fájlt helyez el a sebszerveren, s egy LE-es szerverrel meglátogatja a fájlt, hogy valóban látszódik-e). A kulcsot meg cserélgetni kell, vagy érdemes szkriptet, vagy akár webszerver modult használni erre a célra.

  Sajnos nem a legfrissebb Apache szolgálja ki a webGUI-t, így a modulos frissítés nem kivitelezhető, csak FFp alóli Apache-csal.

  A figyelmeztetés pedig azért jelenik meg, mert a böngésző nem tudja eldönteni, hogy a kulcs eredete megbízható-e. Ugyanis az alap SSL kulcsot openSSL generálja a NASon, ezt hívják self-signed certificate-nek. Biztonságos az is, viszont a kivételehez kell adni a kulcsot, mert a böngésző nem tudja eldönteni, hogy az az SSL kulcs valóban közvetlenül a NASodhoz tartozik, vagy épp el vagy térítve, s más a kulcs. Ha a kivételekhez adod, akkor a böngésződ tudni fogja, hogy igen, ez a Te tanusítványod. S ha eltéríteni próbálnak, akkor szépen jelez is megint egy figyelmeztetéssel.

  Persze nem feltétlenül kell megijedni, amennyiben ilyen figyelmeztetést látsz, mert simán lehet, hogy a NAS reboot után új kulcsot generál, vagy lejárat után generált egy újat...

  Eleinte angol billentzuyetet akartam. De aztán megismerkedtem a nagy 'Ő'-vel!

Új hozzászólás Aktív témák