Portál AbcLinuxu, 18. dubna 2024 03:51
3.7.2009 15:55
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.7.2009 15:53
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Máš pravdu, v .info IDN nefunguje: http://www.datovéschránky.info/
Za phising a blbost uzivatele samozrejme posta nemuze. Ale phishing je nejjednodussi a pokud navic oficialni mista radi ignorovat varovani o neoverenem certifikatu, je to opravdu jednoduche presmerovat uzivatele na nejakou jinou stranku. Je to o hodne jednodussi na rozdil od zminovaneho prikladu s vnucenim obeti nasi GW, a navic univerzalnejsi, kdyz obet nemusi byt v nasi siti. Stejne tak DNS poisoning je o dost slozitejsi, nez jednoduchej phishing.
Proste chtelo by to udelat co nejjednodussi ukazku, jinak budou prave ti "profesionalove" jako ve zminenem rozhovoru pouze argumentovat, ze to je slozite, ze to musi byt na stejne siti atd. Presmerovat nekoho z emailu je opravdu jednoduche a funguje to vsude.
4.7.2009 23:09
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Proste chtelo by to udelat co nejjednodussi ukazku, jinak budou prave ti "profesionalove" jako ve zminenem rozhovoru pouze argumentovat, ze to je slozite, ze to musi byt na stejne siti atd.Jak ukázku? Jako poslat mail (s From: info@datoveschranky.info) a v něm mít odkaz na falešnou stránku? A jak se proti tomu má pošta bránit?
3.7.2009 16:47
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
3.7.2009 17:57
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nebo se může využít nějaká díra v mailovém klientovy či browseru, skrz kterou jde provést libovolný kód útočníka (a že jich ve Windows bylo - většina záplat řešila právě takové chyby), potom stačí například upravit soubor hosts, takže oběť nepozná, že se připojuje úplně někam jinam.Nebo rovnou nainstalovat keylogger, že. Zase - za děravý browser klienta nemůže pošta.
3.7.2009 15:48
Salamek | skóre: 22
| blog: salamovo
, já bych to udělal ale nechci aby mě pak nějakej debil zabásnul místo toho aby to spravili
3.7.2009 15:51
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.7.2009 16:16
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Naimportovat si kořenový certifikát CA PostSignum a nějak si ověřit jeho SHA1sum.Vyžádal jsem si již včera vyjádření PostSignum QCA, jak certifikát bezpečně ověřit. Pokud nedostanu uspokojivou odpověď, podám podnět k ministerstvu vnitra* pro porušení § 6, odst. 1, písm. a) zákona 227/2000 Sb. () Za to lze podle § 18a, odst. 6, uložit pokutu do 10 milionů Kč. Podle certifikační politiky kořenového certifikátu by mělo jít nechat si na "registračních autoritách" (pracovištích ČP) nakopírovat kořenový certifikát na médium. Toto také každému doporučuji, protože je to jediný bezpečný způsob. *Problém je v tom, že Česká pošta s.p. patří pod ministerstvo vnitra. Proto bude MV kontrolovat případné porušení zákona ve své vlastní organizaci, čili nemusí mít zájem na tom, aby se porušení zákona prokázalo.
3.7.2009 16:42
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
Nedostane každý při zřízení oné schránky nějaké papíry? Pak by se SHA1sum mohla otisknout právně v nich, spolu s popisem, jak ověřit, že certifikát není podvrženýByla by to samozřejmě dobrá cesta, ale nedělám si moc velké iluze, že se tam fingerprint dnes uvádí (téměř jistě ne), ani že to tam jen tak sami od sebe začnou uvádět. Kdyžtak je bude potřeba k tomu dokopat (nebo k jiné srovnatelně bezpečné a pohodlné cestě). Nicméně primární by mělo být poskytnutí přes pracoviště ČP, jak je to uvedeno v jejich politice. Jsem zvědav, co mi odpoví (protože by měli odpovědět to, co je v politice uvedeno, případně na ni odkázat). Pak zkusím přijít na poštu (kam stejně musím, protože mi před časem propadl elektronický podpis - zapomněl jsem ho včas prodloužit) a nechat si nakopírovat kořenový certifikát. Doufám, že se nebudou tvářit, že nevědí, co po nich chci. A právě, jak už jsem říkal, ať to zatím takhle dělá každý, protože certifikát získaný přes HTTP může být podvržený.
Hmmm, kdyz jsem sepisoval smlouvu na inet bakovnictvi do KB, tak jsem mel ve smlouve i nejakej checksum - nevim ted, jestli tehdy jeste MD5 nebo uz i SHA1, ale kontroloval jsem to, ale navic KB to ma podepsany verisignem. Mozna to stejnym zpusobem maji i datovyschranky.
Každý dostane u PostSignum společně s certifikátem i kořenové certifikáty na flashku. Tak předpokládám, že je možné je získat i na vyžádání, bez žádosti o vytvoření certifikátu.
3.7.2009 19:21
otasomil | skóre: 39
| blog: puppylinux
A je tu duvod ji rozebirat.
Mj jestli potkavate p Koupeho (osobnosti.cz) tak ho ode mne pozdravujte.
Dekuji
Dostat do prohlížečů další certifikační autoritu je prakticky nemožné, zvlášť pokud se týká jen jednoho státu. Podobně hezké by bylo, kdyby se tam dostala např. CA CESNETu, ale to je také nereálné.
Řešením tedy je, mít bezpečný server s HTTPS certifikátem podepsaným nějakou důvěryhodnou* autoritou a umožnit lidem si z něj stahovat certifikáty českých CA.
*) uznávanou v prohlížečích. A zároveň šířit otisk toho certifikátu i jinou cestou.
3.7.2009 16:47
Michal Wirth | skóre: 26
Navic umi i spoustu dalsich uzitecnych veci.
3.7.2009 18:00
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
3.7.2009 17:55
otasomil | skóre: 39
| blog: puppylinux
K tomu bych si dovolil dodat modifikovanou hlasku z jednoho ceskeho filmu:
Hlavne o tom zvante d******e, at mame na krku IT kriminalku.
3.7.2009 17:58
Jendа | skóre: 78
| blog: Jenda
| JO70FB
3.7.2009 18:41
otasomil | skóre: 39
| blog: puppylinux
Vsak jo. Vase ciny jsou chvalihodne.
Je treba hledat bezpecnostni problemy.
3.7.2009 18:05
Luk | skóre: 47
| blog: Kacířské myšlenky
| Kutná Hora
3.7.2009 18:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
4.7.2009 10:10
Předmět: Zavádějící tvrzení na datoveschranky.info
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Dobrý den,
na adrese http://datoveschranky.info/ je uvedeno velmi zavádějící
tvrzení, jehož dodržení může ohrozit bezpečnost uživatele:
"Při pokusu o přihlášení do systému ISDS se může objevit varování,
upozorňující na problém s bezpečnostním certifikátem stránky. Toto je
způsobeno nepřítomností certifikátu ve standardní instalaci MS Windows
či jiných operačních systémů. Upozornění je nutno ignorovat; vstup na
stránku je zcela bezpečný neboť používaný certifikát je vydán
kvalifikovanou českou certifikační autoritou. Volbou přidání
certifikátů k důvěryhodným certifikátům či pokračováním na stránku
ISDS nevzniká žádné bezpečnostní riziko."
Pokud se uživatel bude těmito instrukcemi řídit, nainstaluje si
certifikát, u kterého nemůže ověřit, jestli ho opravdu vydalo
PostSignum nebo ho podvrhl útočník. Vhodnější by bylo, pokud byste
uvedli, jak si naimportovat kořenový certifikát PostSigna a ověřit
jeho integritu.
Děkuji za vyjádření,
Jan Hrach
- --
Jan Hrach
Mail: jenda {} hrach.eu
Jabber: hrachj {} abclinuxu.cz
GPG: http://ftp.hrach.eu/jenda/public.key
1D9D AC4B E964 0D1E 7F5D 6E03 B72F 6430 9FA4 F536
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iEYEARECAAYFAkpOMj8ACgkQty9kMJ+k9TawnQCg7apv2DFC8SW+UpS6+OXPJ/mG
w6kAniPI+lyxSOYDQSCRsrbHyft9BIjW
=J1UN
-----END PGP SIGNATURE-----
3.7.2009 18:45
otasomil | skóre: 39
| blog: puppylinux
Tak to se tu za vsechny tesim na odpoved. Ani bych se nedivil kdyby neodpovedeli - k tomu mailu totiz neni co dodat.
3.7.2009 23:31
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
3.7.2009 23:33
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
4.7.2009 08:57
belisarivs | skóre: 22
| blog: Psychobláboly
Mozna je to blba otazka, ale nestoji pokus o napadeni timto zpusobem na nutnosti byt s napadenym ve stejne siti a to jeste na hubu, ktery posila data vsem a ty pak jdou zachytit treba wiresharkem, ktery prepne sitovku do promiskuitniho rezimu?
Cili, pokud jsem priojen do switche, ktery neposila vse vsem, ale jenom tomu, komu ma, tak jsem za vodou?
4.7.2009 12:23
thingie | skóre: 8
4.7.2009 12:58
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
4.7.2009 13:17
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
4.7.2009 13:37
Jendа | skóre: 78
| blog: Jenda
| JO70FB
4.7.2009 13:47
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
Když jsem jednou dočasně musel zobrazovat uživatelům prohlížečů postavených na Gecku upozornění na nefunkčnost WYSIWYG editace HTML, detekoval jsem "Gecko/1.8.blablabla" (už nevím, od které verze přesně to bylo), ale v upozornění jsem bez skrupulí použil slovo Firefox. Koho zajímá jakési Gecko a proč mluvit o jakési Mozille – technici vědí a u netechniků nějaká jiná Gecko-aplikace prakticky nehrozí.
4.7.2009 13:59
thingie | skóre: 8
Prosím tě, kde žiješ? Copak nevíš, co o tom kážou odborníci na prohlížeče?
One of the most common operations performed in a Web page is to detect the browser type and version.
4.7.2009 14:39
thingie | skóre: 8
HTTP je stejně víc zvykové právo, než nějaký přesně specifikovaný protokolOpravdu HTTP? Nenapadá mne nic, co by se dnes masově při HTTP komunikaci používalo, a bylo to v rozporu se specifikací HTTP nebo v ní nebylo uvedeno.
Nicméně pokud se odpověď výrazně liší podle user-agent v hlavičce, tak je to prostě problém, a dít by se to nemělo.Specifikace protokolu HTTP na to má jiný názor a dokonce specifikuje hlavičku
Vary, na základě které se určí, které hlavičky HTTP dotazu ovlivňují výběr odpovědi.
4.7.2009 16:38
thingie | skóre: 8
4.7.2009 16:43
David Watzke | skóre: 74
| blog: Blog...
| Praha
Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1) Gecko/20090702 Firefox/3.5
4.7.2009 20:45
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
4.7.2009 21:00
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
Za to ze si nekdo vubec dovoli davat detekci podle user agentu a ostatnim znemoznit funkcnost, by mel prijit o svoje pracovni misto. Varovani beru, ale naprosty znefunkcneni stranky kvuli jiny identifikaci browseru je fakt silny kafe.Samotná Mozilla na tom nebyla o moc lépe.
4.7.2009 23:34
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
5.7.2009 10:37
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
5.7.2009 12:16
Salamek | skóre: 22
| blog: salamovo
5.7.2009 12:42
vlastikroot | skóre: 24
| blog: vlastikovo
| Milevsko
vzdycky mas lepsi pravdu nez ja
5.7.2009 09:14
stativ | skóre: 54
| blog: SlaNé roury
4.7.2009 19:45
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Omluvte plánovanou odstávku informačního systému datových schránek od 4. 7. do 5. 7.Muhehe, čtyři dny to jelo a už si naplánovali odstávku
4.7.2009 19:47
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Omlouváme se všem uživatelům Datových schránek, v současné době probíhá plánovaná odstávka, z důvodů prací spojených s náběhem systému. Práce se týkají implementace změn v systému Datových schránek, které vyplývají z Novely zákona 300/2008 Sb. Probíhá rovněž plánované zátěžové testování systému a činnosti, které souvisí s další etapou bezpečnostního auditu systému Datových schránek.Že by se ledy hnuly?
4.7.2009 20:34
Grunt | skóre: 23
| blog: Expresivní zabručení
| Lanžhot
4.7.2009 20:36
Jendа | skóre: 78
| blog: Jenda
| JO70FB
6.7.2009 14:49
Jendа | skóre: 78
| blog: Jenda
| JO70FB
5.7.2009 02:51
Salamek | skóre: 22
| blog: salamovo
5.7.2009 02:55
Salamek | skóre: 22
| blog: salamovo
Jenže „maximální snaha“ neříká nic o tom, zda se výsledku podařilo dosáhnout – píše-li to luser, ani maximální snažení nebude korunováno XHTML validitou
Ad BFW – existuje i něco jako BFU Friendly Web?
5.7.2009 12:28
Jendа | skóre: 78
| blog: Jenda
| JO70FB
.
5.7.2009 13:20
Salamek | skóre: 22
| blog: salamovo
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
