Certyfikat SSL

[xSnax 7]

Witam, pytanie kieruje bardziej do Moderacji oraz Adminów, dlaczego forum nie ma Certyfikatu SSL ? Jest to podstawowa ochrona użytkownika a takie forum nie stać na wykupienie ? Jak nie to wrzućcie więcej parę reklam i wam się z Adsensa zwróci bo to jest śmieszne według mnie.

[Bono[UG] 1618]

Moderacja zapewne wie tyle samo co ty. Administracja prawie tu nie zagląda.

 

W kwestii ochrony użytkownika, to co masz na myśli?

[xSnax 7]

' date='07 Marzec 2019 - 16:49' timestamp='1551973752' post='15432471']

Moderacja zapewne wie tyle samo co ty. Administracja prawie tu nie zagląda.

 

W kwestii ochrony użytkownika, to co masz na myśli?

 

No wpisywanie hasła czy emaila do formularza logowania ktoś łatwo może sobie to przechwycić i wykorzystać ludzie mają to samo hasło do np. kont bankowych czy innych portali więc powinno to być zabezpieczone, ktoś kto się uczy wykradania danych z strony to będzie miał możliwość nauki na tym forum

[Bono[UG] 1618]

Strona logowania jest po https.

 

Jeżeli ludzie mają takie same hasła do banku i jakichś głupawych portali (bez obrazy ale Lab to serwis informacyjno rozrywkowy), to ich problem.

Jak poczyta się Niebezpiecznika czy Zaufaną Trzecią Stronę, to wiadomo, że ssl przed niczym nie chroni. Ile to już było ataków phishingowych, gdzie w przeglądarkach zielona kłódeczka ładnie się świeciła, a strona była podstawiona przez atakującego.

[winuser_pl 0]

ssl przed niczym nie chroni.

 

To juz jest jawne naduzycie. Rozumiem co chciales napisac, ale to tak gdybys (szukajac analogii) mowil, ze poduszki powietrzne sa do niczego, bo przed niczym nie chronia kiedy sa zepsute lub juz wystrzelone.

[Bono[UG] 1618]

Napisz coś więcej przed czym chroni, a przed czym nie.

Według mnie:

-szyfrowane połączenie chroni przed podejrzeniem co jest przesyłane

-certyfikat może potwierdzić prawdziwość strony

 

Ale:

-certyfikat musi być z zaufanego źródła, mało kto potrafi to zweryfikować (nie wiem jak to robią przeglądarki i czy w ogóle)

-mało kto zagląda w certyfikat, żeby sprawdzić czy jest poprawnie wystawiony, większość zobaczy zieloną kłódkę i pomyśli że jest ok

-ba ludzie się łapią na fałszywe strony, bo nie sprawdzają nawet poprawności adresu

 

Atak typu mitm, niby wszystko ok ale osoba trzecia ma pełny dostęp do transmisji danych. Taki mechanizm bywa całkowicie legalny, np. w pracy wyjście mamy przez serwer proxy, niby wszystko szyfrowane ale (prawie) cała transmisja jest pod nadzorem weryfikującym wycieki danych z firmy (są pododawane wyjątki, np. dla stron banków)

Najczęstszym obecnie atakiem jest phishing, czyli zachęcenie do wejścia na fałszywą stronę kontrolowaną przez atakującego. Transmisja szyfrowana, a dane logowania atakujący ma na tacy.

 

Szyfrowanie transmisji tak na prawdę chroni tylko przed podsłuchem na kolejnych węzłach zestawionego połączenia. Reszta zabezpieczenia to czynnik ludzki, czyli nie dać się złapać na fałszywe strony.

[vhp 222]

Niech zainstalują jakiś np. stąd https://www.sslforfree.com i będzie Pan zadowolony. xD

 

W Chromie wszystkie witryny bez SSL miały być traktowane jako "niebezpieczne". Nie wiem, jak jest (nie używam), w każdym razie śmieszna jest ta przeglądarka.

[PrimoGhost 50]

Kain - sprawdź proszę PW.

[Ford 8]

' date='08 Marzec 2019 - 10:16' timestamp='1552036571' post='15433159']-mało kto zagląda w certyfikat, żeby sprawdzić czy jest poprawnie wystawiony, większość zobaczy zieloną kłódkę i pomyśli że jest ok

Nikt nie musi nigdzie zaglądać, przeglądarki robią to automatycznie, mając certyfikat np. Let's Encrypt dostajemy plik z całym chainem, w którym jeden certyfikat zatwierdza drugi. Dlatego jak ja sobie sam w domu wygeneruję certyfikat to będzie on nic nie warty (dla Chrome, bo faktycznie będzie już umożliwiał przesył danych po https i szyfrował dane, nawet jeśli jest nieważny). Certyfikat można wygenerować za friko np. na w/w https://www.sslforfree.com/ i tam dostajemy właśnie z Let's Encrypt na 3 miesiące, albo ustawiamy certbota i sam będzie nam co 3 miesiące przedłużał. Całość sprowadza się do dodania nowego aliasu w load balancerze czy co tam używacie, 5 minut roboty, a teraz to głupio wygląda.

 

Poza tym macie przecież wystawiony certyfikat na domenę (co prawda lipny jak cholera no ale jest), po prostu macie źle skonfigurowanego load balancera.

[Bono[UG] 1618]

No i właśnie pokazałeś jak nie działa zabezpieczenie certyfikatem przed phishingiem.

 

Stawiam sobie stronę w domenie o bardzo podobnej nazwie do znanego banku. Pobieram taki darmowy certyfikat, więc przeglądarki się nie czepiają i dumnie świecą zielonymi kłódkami. Tymczasem złowieni użytkownicy nieświadomi dają mi dane do logowania się do banku...

[Ford 8]

Co w żaden sposób nie usprawiedliwia braku certyfikatu na tej domenie.

[Greg666 0]

' date='09 Marzec 2019 - 17:34' timestamp='1552149270' post='15434782']

No i właśnie pokazałeś jak nie działa zabezpieczenie certyfikatem przed phishingiem.

 

Stawiam sobie stronę w domenie o bardzo podobnej nazwie do znanego banku. Pobieram taki darmowy certyfikat, więc przeglądarki się nie czepiają i dumnie świecą zielonymi kłódkami. Tymczasem złowieni użytkownicy nieświadomi dają mi dane do logowania się do banku...

Przyznajesz się do kradzieży i okradania ludzi? Może wysłac link do tej wypowiedzi do Policji niech się tym zainteresują

 

Z takim podejściem to po co bank płaci za certyfikat przecież to nic nie daje. Po HTTP tak samo bezpieczne, a tylko wydają kasę poniekąd nasza, którą cały czas obracają.

 

Jak się wpisze w Google forum komputerowe to PCLab pierwszy lub drugi czyli najpopularniejsze forum komputerowe, bez zabezpieczenia, a strona logowania nie jestw pełni zabezpieczona bo kłódka jest szara w Firefox.

 

Zakłądam gdzieś konto nie wazne czy to bank czy forum jakieś to oczekuję, że nikt tego logowania nie przechwyci.

 

Co w żaden sposób nie usprawiedliwia braku certyfikatu na tej domenie.

Nie stać forum, pod kościołem tylko ugotowane jajka dają, a za to certyfikatu nie kupią :P

[Ford 8]

Certyfikatu nie trzeba kupować, a nawet jeśli to najtańsze się zaczynają od dolara.

[Bono[UG] 1618]

Przyznajesz się do kradzieży i okradania ludzi? Może wysłac link do tej wypowiedzi do Policji niech się tym zainteresują

 

Z takim podejściem to po co bank płaci za certyfikat przecież to nic nie daje. Po HTTP tak samo bezpieczne, a tylko wydają kasę poniekąd nasza, którą cały czas obracają.

 

Jak się wpisze w Google forum komputerowe to PCLab pierwszy lub drugi czyli najpopularniejsze forum komputerowe, bez zabezpieczenia, a strona logowania nie jestw pełni zabezpieczona bo kłódka jest szara w Firefox.

 

Zakłądam gdzieś konto nie wazne czy to bank czy forum jakieś to oczekuję, że nikt tego logowania nie przechwyci.

Chciałeś być śmieszny, czy nie ogarniasz?

 

Patrząc na resztę wypowiedzi - nie ogarniasz.

Jesteś w stanie powiedzieć czym się różni zielona kłódka od szarej i jak to wpływa na bezpieczeństwo?

 

PS. U mnie też pod FF kłódka jest zielona na Labie i co z tym fantem teraz?

[Greg666 0]

' date='09 Marzec 2019 - 23:05' timestamp='1552169121' post='15435284']

Chciałeś być śmieszny, czy nie ogarniasz?

 

Patrząc na resztę wypowiedzi - nie ogarniasz.

Jesteś w stanie powiedzieć czym się różni zielona kłódka od szarej i jak to wpływa na bezpieczeństwo?

 

PS. U mnie też pod FF kłódka jest zielona na Labie i co z tym fantem teraz?

Widzisz różnice między domeną pclab.pl, a forum.pclab.pl?? To dwie różne domeny. Pierwsza ma zieloną kłódkę i pokazuje certyfikat, a druga domena raz ma, a raz nie ma i tylko przy logowaniu, a potem już nie jest za certyfikatem. Czyli haker może czytać i podglądać co robie na forum i jakie dane podaje.

[Bono[UG] 1618]

Co ma domena do omawianego zagadnienia? Chodzi o PS? Jeżeli tak, to chodziło o logowanie na forum. U mnie jest zielona, nie szara.

Nie odpowiedziałeś na pytanie o szarą kłódkę.

 

Wow haker może podsłuchać twoją sesję na jakimś forum komputerowym. Strach się bać

1. Jakie wrażliwe dane przesyłasz do forum, żeby to był problem?

2. W którym miejscu haker robi ci podsłuch sesji:

-u ciebie na komputerze - tak czy inaczej jesteś w , bo ma dostęp do danych przed zaszyfrowaniem

-na serwerach Laba - jw. ma dostęp do danych po rozszyfrowaniu, ba do całej bazy danych

-pomiędzy na łączach - no to musi wiedzieć, że jest taki pakiet od ciebie i go wychwycić, poza tym jak wszedł na któryś węzeł, to robi mitm i mimo szyfrowania jesteś ugotowany

3. Powiązane z 1, czyli w jakim celu miałby jakiś haker grzebać w twoich danych przesyłanych na forum? Jaką miałby z tego korzyść?

4. Są znacznie lepsze sposoby i lepiej wycelowane, żeby zdobyć dostęp np. do konta bankowego.

 

Jeżeli na publiczne forum przesyłasz wrażliwe dane, to sam łamiesz zasady bezpieczeństwa i prosisz się o kłopoty i żadne szyfrowanie ci nie pomoże.

[Greg666 0]

To ja jeszcze raz się spytam, skoro an takim forum certyfikat jest nie potrzebny to co chroni certyfikat na stronie banku z logowanie i po zalogowaniu oraz na stronie głównej banku? Skoro na forum nic nie ma do zabezpieczenia?

3. Powiązane z 1, czyli w jakim celu miałby jakiś haker grzebać w twoich danych przesyłanych na forum? Jaką miałby z tego korzyść?

 

Haker nie musi się włamywac tylko w konkretnym celu czy dla pieniędzy, może to robić bo go to kręci, tak jak kogoś kręci trzymanie ręki między nogami siedząc.

[Bono[UG] 1618]

Jak odpowiesz na pytanie/a to możemy dalej prowadzić dyskusję.

Jak nie rozróżniasz czym jest logowanie się na jakieś forum komputerowe, a czym do banku, to nie ma o czym.

[Greg666 0]

' date='10 Marzec 2019 - 13:53' timestamp='1552222428' post='15435838']

Jak odpowiesz na pytanie/a to możemy dalej prowadzić dyskusję.

Jak nie rozróżniasz czym jest logowanie się na jakieś forum komputerowe, a czym do banku, to nie ma o czym.

Nie znam się aż tak na tym jak ty.

 

Miłego weekendu

[PrimoGhost 50]

Historia Internetu. Dział MMMMMCLVDCXXXII, rozdział 2, podpunkt a.

 

Odnotować:

 

Agresor, który zaatakował BonoUG w sprawie zabezpieczeń na forum - ostatecznie przyznał, że nie zna się w temacie, w którym dokonał agresji tak dobrze, jak Bono.

 

Koniec adnotacji. Zatwierdzono.

[Greg666 0]

Historia Internetu. Dział MMMMMCLVDCXXXII, rozdział 2, podpunkt a.

 

Odnotować:

 

Agresor, który zaatakował BonoUG w sprawie zabezpieczeń na forum - ostatecznie przyznał, że nie zna się w temacie, w którym dokonał agresji tak dobrze, jak Bono.

 

Koniec adnotacji. Zatwierdzono.

Hahaha, ale cwaniak niezły.

[PrimoGhost 50]

Temat zabezpieczenia forum jest znany. Karister wyjaśniał kiedyś co i jak można zrobić

 

Mój link

 

 

W skrócie - problem niezaprzeczalnie istnieje, ale ID sesji zmienia się co minutę, a samo logowanie jest zabezpieczone. Forum jest więc raczej słabym materiałem na prosty, globalny atak i masową kradzież sesji. Tym bardziej, że hasło raczej jest również i solone, bo na 1080Ti używając hashcata nie mogłem złamać prostego, słownikowego hasła jakie sobie "wykradłem" z forum metodą Karistera. Pewnie by pękło po czasie, ale chciałem sprawdzić, czy bez chmury dałoby się coś ogarnąć. Niezbyt.

[Greg666 0]

To po co strony są całe zabezpieczane Certyfikatem? Np. taka Strona Dziennika wschodniego, przeciez tam nie ma co ukraść to nie bank tylko portal gazety.

[vhp 222]

Żeby dobrze się pozycjonowało w Google i żeby Chrome nie szczekał, że witryna "niebezpieczna".

[PrimoGhost 50]

Forum benchmark nie jest w ogóle zabezpieczone, a żyje.