abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 00:44 | Pozvánky

V sobotu 21. října 2017 se na půdě Elektrotechnické fakulty ČVUT v Praze uskuteční RT-Summit – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt.

… více »
Pavel Píša | Komentářů: 4
včera 23:44 | Bezpečnostní upozornění

V Linuxu byla nalezena bezpečnostní chyba CVE-2017-15265 zneužitelná k lokální eskalaci práv. Jedná se o chybu v části ALSA (Advanced Linux Sound Architecture).

Ladislav Hagara | Komentářů: 1
včera 22:44 | Komunita

Greg Kroah-Hartman informuje na svém blogu, že do zdrojových kódu linuxového jádra bylo přidáno (commit) prohlášení Linux Kernel Enforcement Statement. Zdrojové kódy Linuxu jsou k dispozici pod licencí GPL-2.0. Prohlášení přidává ustanovení z GPL-3.0. Cílem je chránit Linux před patentovými trolly, viz například problém s bývalým vedoucím týmu Netfilter Patrickem McHardym. Více v často kladených otázkách (FAQ).

Ladislav Hagara | Komentářů: 4
včera 22:04 | Pozvánky

Rádi bychom vás pozvali na přednášku o frameworku Avocado. Jedná se o testovací framework další generace, inspirovaný Autotestem a moderními vývojovými nástroji, jako je třeba git. Přednáška se bude konat 23. října od 17 hodin na FEL ČVUT (Karlovo náměstí, budova E, auditorium K9 – KN:E 301). Více informací na Facebooku.

… více »
mjedlick | Komentářů: 0
včera 21:44 | Bezpečnostní upozornění

Nový útok na WPA2 se nazývá KRACK a postihuje prakticky všechna Wi-Fi zařízení / operační systémy. Využívá manipulace s úvodním handshake. Chyba by měla být softwarově opravitelná, je nutné nainstalovat záplaty operačních systémů a aktualizovat firmware zařízení (až budou). Mezitím je doporučeno používat HTTPS a VPN jako další stupeň ochrany.

Václav HFechs Švirga | Komentářů: 2
15.10. 00:11 | Zajímavý projekt

Server Hackaday představuje projekt RainMan 2.0, aneb jak naučit Raspberry Pi 3 s kamerovým modulem pomocí Pythonu a knihovny pro rozpoznávání obrazu OpenCV hrát karetní hru Blackjack. Ukázka rozpoznávání karet na YouTube. Zdrojové kódy jsou k dispozici na GitHubu.

Ladislav Hagara | Komentářů: 0
14.10. 15:11 | IT novinky

Online obchod s počítačovými hrami a elektronickými knihami Humble Bundle byl koupen společností IGN. Dle oficiálních prohlášení by měl Humble Bundle dále fungovat stejně jako dosud.

Ladislav Hagara | Komentářů: 8
14.10. 06:00 | Zajímavý článek

Brendan Gregg již v roce 2008 upozornil (YouTube), že na pevné disky se nemá křičet, že jim to nedělá dobře. Plotny disku se mohou rozkmitat a tím se mohou prodloužit časy odezvy pevného disku. V září letošního roku proběhla v Buenos Aires konference věnovaná počítačové bezpečnosti ekoparty. Alfredo Ortega zde demonstroval (YouTube, pdf), že díky tomu lze pevný disk použít také jako nekvalitní mikrofon. Stačí přesně měřit časy odezvy

… více »
Ladislav Hagara | Komentářů: 8
13.10. 14:33 | Komunita

Společnost SUSE natočila a na YouTube zveřejnila dva nové videoklipy: 25 Years - SUSE Music Video (7 Years parody) a Linus Said - Music Parody (Momma Said).

Ladislav Hagara | Komentářů: 6
13.10. 12:55 | Zajímavý projekt

Autoři stránky Open Source Game Clones se snaží na jednom místě shromažďovat informace o open source klonech proprietárních počítačových her. Přidat další hry nebo návrhy na zlepšení lze na GitHubu. Na stránce Open Source Text Games jsou shromažďovány informace o open source textových hrách. Opět lze k vylepšení nebo doplnění stránky použít GitHub.

Ladislav Hagara | Komentářů: 1
Těžíte nějakou kryptoměnu?
 (6%)
 (2%)
 (15%)
 (76%)
Celkem 718 hlasů
 Komentářů: 24, poslední 27.9. 08:30
    Rozcestník

    Dotaz: Firefox 51.0.1 a nedostatečn zabezečené weby

    18.2. 14:49 lertimir | skóre: 60 | blog: Par_slov
    Firefox 51.0.1 a nedostatečn zabezečené weby
    Přečteno: 889×
    Potřeboval jsem se připojit na web s https, který má starší šifry a Firefox mi dá nejen varování
    An error occurred during a connection to aaaaaa.bbb. Peer attempted old style (potentially vulnerable) handshake. Error code: SSL_ERROR_UNSAFE_NEGOTIATION
    
        Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
        Kontaktujte prosím vlastníky webového serveru a informujte je o tomto problému.
    To, co mne překvapilo, že nebyla žádná možnost jak vzít informaci na vědomí a pokračovat na web. Nevíte jak to obejít? Myslím ve firefoxu, samozřejmě copy paste do Konqeroru funguje.

    Odpovědi

    Jendа avatar 18.2. 17:13 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    18.2. 17:42 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    no já tě chápu. Ale jednodušší je skutečně stránku otevřít v konqueroru. Ale proč to bloknou ve firefoxu tak natvrdo.
    Jendа avatar 18.2. 19:58 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Ale proč to bloknou ve firefoxu tak natvrdo.
    Nekompatibilní světonázor (Jste stará rezavá konzerva, která si pořád myslí, že vám mají počítače sloužit a nechápete ten skvělý pokrok.). Stejně jako proč nejde overridnout HSTS, HPKP a OCSP, v nastavení zrušili vypnutí javascriptu a obrázků, zrušili možnost zastavit animaci gifů, a s přechodem na nový formát rozšíření se velmi ztíží věci jako NoScript.
    18.2. 21:08 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Jen klid dit už nic neříkám, já sám se v sobe potýkám.
    Jendа avatar 18.2. 21:11 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    To nebylo poznat že první věta (i se závorkou) je ironie?
    18.2. 21:13 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    bylo. moje odpověď také.
    18.2. 21:42 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Ale asi nebylo poznat, že to je citace. :-)
    18.2. 22:48 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Predpokladam, ze ta stranka sa snazi donutit clienta pouzit SSLv2, alebo SSLv3. Oba protokoly su derave a ich pritomnost na servri znizuje bezpecnost aj TLS. Preto sa postupne odstranuju z kniznic a tym padom, skorsie ci neskorise, aj z browserov. Ked ma pamat neklame, tak FF a Chrome ide cestou to odstranit bez cakania, az budu odstrane z beznych kniznic ... Podla merani je uz len cca 0.3% trafficu cez tieto protokoly ... pokial ma niekto velmi silnu potrebu ist na tak biedne zabeznecenu stranku (e.g. server nebol uz dlhsie updatnuty), tak je zatial moznost znovu povolit SSLv3, lebo pouzit nejaky "proxy", ako napr socat. Ako sa da ocakavat, tak obe moznosti nie su doporucovane ...
    20.2. 08:54 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    A nebo na tu stránku jít přes HTTP, pokud to umožňuje. Aspoň pak uživatel nemá tu iluzi bezpečnosti.
    20.2. 15:36 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    presne tak :)
    23.2. 12:51 Jirka
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Z vaší diskuse vyplývá použití ne zrovna bezpečných verzí protokolů na odmítnuté stránce.

    Jenže já se nemůžu cca týden dostat hlavně na stránky Microsoftu, Mozilly a ESETU, kde hledám pomoc s tímto problémem - Win 10, poslední sestavení, se všemi kritickými aktualizacemi. FF ver. 50.0.1.

    V případě ESETU se nedostanu např. na stránky servisu:

    https://servis.eset.cz/knowledgebase/article/View/338/54/eset-log-collector

    A taky se nedostanu na stránky Mozilly:

    https://forum.mozilla.cz/viewtopic.php?t=2751

    Po restartu Firefoxu 50.0.1 se to u jedné stránky dočasně spravilo a přístup byl možný.

    Ted zrovna mi přestala jít i pošta na seznamu, která ještě před chvílí fungovala bez potíží.

    Tak nevím. Docela to vadí a od Mozilly je nefér to, že nenapíše příčinu (protokol), zakáže i sama sebe a řekne jen, informujte tvůrce stránek. Jak, když na stránky se nedostanu.

    A pokud mi zruší noscript a další rozšíření, tak s mou dosud milovanou Mozillou končím. Místo aby se snažili lišit, snaží se vypadat stejně jako Chrome. Pak si klidně můžu přejít na Chrome a nemusím se s nimi potýkat.

    Chci se zeptat, která verze TLS je tedy bezpečná? Má smysl v prohlížeči u HTTPS zakázat ty ostatní protokoly TLS a SSL? ( ted zrovna to dobré zřejmě není, ale obecně.)

    Jirka

    23.2. 13:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom případě ale není problém ve Firefoxu, ale v tom, že na vás nejspíš někdo útočí a Firefox vás správně před tím útokem ochrání. Vyzkoušejte, zda to na stejném počítači dělají i jiné prohlížeče, případně zda se stejně chovají i jiné počítače ve stejné síti. Podle toho poznáte, zda je útok veden na prohlížeč, počítač nebo síť.
    23.2. 13:19 ES
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Tak to asi mate vetsi problem nez jenom nefunkcni FF.
    Heron avatar 23.2. 13:37 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Zkoušel jsem ty dva uvedené weby na Win10 a FF 51.0.1 (nikoliv tedy 50), a vše funguje OK, oba weby jedou přes TLS 1.2 a kromě mírné stížnosti na RSA je to spojení v pohodě.

    Takže problém bude někde u vás, nemáte na síti náhodou zastaralou proxy?

    Verze TLS jsou bezpečné aktuálně všechny (preferuje se TLS 1.2), verze SSL nejsou bezpečné žádné a mělo by se od nich už dávno ustoupit (sslv2 2011, sslv3 v 2015). TLS 1.0 je tady od 1999, takže náhrada byla hodně dlouho před koncem ssl.
    23.2. 13:44 lertimir | skóre: 60 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Problém je lokální. jednak jsou stránky viditelné v mozile 48 50 i 51. jednak vytvářejí bezpečné weby. eset a mozilla
    23.2. 14:22 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Docela to vadí a od Mozilly je nefér to,...
    Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada. Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ... Mozila vas spravne informuje ze "Error code: SSL_ERROR_UNSAFE_NEGOTIATION".

    Pozeral som ako je nastavena stranka servis.eset.cz. Podporuju len bezpecne TLS + bezpecne sifrovacie schemy. Takze v tomto pripade je problem vo vasom PC, alebo vasej sieti. Moznosti je viacej:
    - mate zavirovane pc
    - mate nainstalovanu nejaku odpocuvaciu applikaciu typu superfish
    - niekto na sieti sa vam znazi naburat do pocitaca (uplne staci hacknuty router)
    - mate na sieti stare proxy
    - mate na pocitaci, alebo v sieti zle nakonfigurovany antivirus

    Je uplne jedno, ktora je to moznost, kazda jedna je zla. V najhorsom pripade to moze viest k situacii, ze utocnik ziska citlive udaje z browseru, alebo este viac zaviri vasu masinu.

    Doprocujem nejak systematicky prejst jednotlive veci a skusit zuzit problem na konkretne miesto. E.g.:
    - FF s cistym profilom (bez pluginov), sa sprava rovnako ?
    - chrome na tej istej masine vyhadzuje podobne chyby ? (IE / Konqeror ani netreba skusat, jedno horsie ako druhe)
    - mate v systemovom trust store nejaky ca cert, ktory ocividne vypada zly ? (superfish, lenovo, symatec, etc..)
    - FF na inej masine v tej istej sieti sa sprava podobne ?
    - co ukaze host servis.eset.cz ? (mne vrati 91.228.165.24)
    - co ukaze openssl s_client -connect servis.eset.cz:443 -no_ssl2 -no_ssl3 -no_tls1 -no_tls1_1 ?

    ... podobny problem som riesil nedavno u znamych. Niekto im vybural router a zmenil DNS server. Vdaka tomu bolo vsetko routovane cez utocnikov server ... samozrejme, ze riesili ako vypnu tu hlasku vo FF a nie, ze im niekto odpocuva celu LAN siet ... ludia su prote nepoucitelny.
    Jendа avatar 23.2. 18:59 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada.
    Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu. Je záhodno, aby se zeptal, jestli jsem se nepřeklepl, nebo aby mě na síťový problém upozornil, ale znemožnit akci je prostě nepřijatelné.
    Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ...
    O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.
    Heron avatar 23.2. 19:24 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu.
    Dobře, nejsi 99% a dle tvé wiki jsi si vytvořil prostředek, jak přesně to co chceš dosáhnout. Případně si můžeš přepsat ten prohlížeč tak, aby ti vyhovoval.
    O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.
    Problém je, že add exception v realitě znamená, že na to bude každej (ok, možná ne úplně každej) klikat jak pominutej a po chvíli ani nebude vnímat, že to tam je. Ostatně tak jak jsme v minulosti viděli třeba i u státní správy, kdy bylo oficiálními místy doporučováno klikat na add exception (afaik u datových schránek) a to, že tam dva roky nebyl platný cert nějak nikomu nevadilo (takže ideální pozvánka pro mitm).
    23.2. 22:03 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Ne, v tomto případě ta umělá inteligence správně odhalila útok, zatímco uživatel řeší, jak jí obejít a nacpat tajná data útočníkovi. Pokud nejste 99 % a webovému prohlížeči a jeho zabezpečení perfektně rozumíte, tak vás přece nějaké nastavení pro BFU nezastaví, protože máte prohlížeč nastavený po svém.
    chybí tlačítko Add Exception.
    To tlačítko tam nechybí. Jak se dočtete výše, kdyby tam bylo, uživatel se na nic neptal, zmáčknul by ho a dostal by se na web podvržený útočníkem. Díky tomu, že tam není, musel se zeptat, a dozvěděl se, že má napadený počítač nebo síť. Ta absence tlačítka tedy zafungovala přesně tak, jak měla.
    24.2. 11:28 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    chybí tlačítko Add Exception.
    Miesate dve veci:

    1) ked nie je v poriadku certifikat, alebo sa neda overti, tak uzivatel dostane moznost "add exception". V tom momente sa spojenie degratuje na uroven "ssh", kde sa pri prvom pristupe zapameta certifikat a pri daslom kontroluje. Ak dojde k zmene, tak uzivatel je na to upozorneny. Toto je podla mna vporiadku, lebo vela ludi ma doma zariadenia, na ktorych mozno chce (musi mat) HTTPs, ale zbytocne riesit drahy cert. Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.

    2) lertimir-ovi nieco downgradovalo spojenie na sifrovaciu schemu, ktora nie je podrporovana Firefoxom. Takze tam ani nema mat ako "add exception", lebo proste je to uz koniec. Dalo by sa to prirovnat k v vyplakavaniu nad "HTTP 404", alebo "HTTP 500". Tam to je uz tiez konecna a nejake zazracne tlacidlo ten obsah proste nema ako zobrazit ...

    btw: v oboch pripadoch nejde o ziadnu umelu inteligenciu. Tu sa nebavime o robotoch, co citaju stranky a kategorizuju ich podla obsahov. Tu sa bavime o transportnej urovni, ktora ma presne dane pravidla co je dobre a co nie ... a ci sa to ludom paci, alebo nepaci, tak bezpecnost nejak zarucena musi byt. Predpokladam, ze vela ludom by sa pacil domaci trezor, ktory sa odomkne pri pohlade na neho, ale uz menej by sa im pacil trezor, ktory sa odomkne ak sa nanho pozrie zlodej ... a toto je presne pripad tu ...
    24.2. 12:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.
    zbytocne riesit drahy cert
    Certifikát je možné mít zadarmo.
    Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.
    Není, protože uživatel to stejně nikdy nezkontroluje.
    27.2. 17:24 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.
    Browser musi poukazat na problem, ale nemoze byt ako pestunka. Ked pise "not secure" na spojenie a uzivatel sa aj tak bude snazit pokracovat, tak je to uzivatelova chyba. Tak isto ako vyrobca trezoru moze vysvetlit uzivatelovi, ze nema rozdavat svoj pin kazdemu koho vidi, ale realne nema sancu mu zabranit aby to spravil. Nie je chyba trezoru, ak sa donho zlodej dostane cez vyzradene heslo. Tak presne neni chyba browseru, ak si uzivatel prida certifikat, aj ked mu jasne napise, ze to nie je dobre.

    Chrome pise:
    Attackers might be trying to steal your information from example.com (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID
    
    Firefox pise:
    The owner of example.com has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.
    
    Otvorene poviem, ze chrome ma toto lepsie napisane. Bezny uzivatel strati pozornost tak po 4 - 5 slovach, kde ma chrome "attackers" a tesne "steal". Firefox zacina tak, ze to asi ani neni problem, len nevedia nastavit stranku ... aj ked, potom sa len trosku opravia
    Certifikát je možné mít zadarmo.
    Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.
    Není, protože uživatel to stejně nikdy nezkontroluje.
    Vid. prva cast mojej odpovedi ... ked si to nekontroluje je to jeho chyba, kto si to vie skontrolovat, tak moze fungovat aspon ako "ssh".
    Josef Kufner avatar 27.2. 19:14 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Tohle srovnání Firefoxu a Chrome je na bugreport (do Firefoxu).

    Otázka je, zda uživatel má dostatečné technické znalosti, aby byl schopen zvážit rizika a vůbec pochopit, co se děje. U drtivé většiny uživatelů tomu tak nebude a spoustě adminů a poskytovatelů služeb to ušetří práci s řešením problémů s ukradenými hesly a vykradenými účty.

    Pokud jde o admina a certifikát na intranetu, tak si má udělat svou certifikační autoritu a tu si naimportovat, kde potřebuje. Mám takle skriptem generované certifikáty pro lokální testovací domény a krom chvíle nastavování kdysi na začátku to funguje velmi dobře.
    Hello world ! Segmentation fault (core dumped)
    27.2. 19:55 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Uz sem mockrat psal ....

    1) uzivatele bezpecnost nezajima 2) uzivatel desitky let pouziva http a nikomu to nevadi 3) browser ma i u https drzet hubu a web zobrazit 4) teprve kdyz uzivatel chce bezpecnost resit, mel by mu browser poskytnout nastroje (ty aktualne neexistuji zadne) 5) teprve potom by mel browser upozornovat (na nesrovnalosti) pripadne blokovat (pri naruseni te vyzadane bezpecnosti)

    Mimochodem, mam slusnych par let zkusenosti s bezpecnosti ve firemnim sektoru. Zcela bez vyjimek plati, ze cim vic se bezpecnost vymaha po uzivatelich, tim horsi ve skutecnosti je. Konkretne, banka, povinost menit heslo co tyden, pamet 2 roky zpet ... 12+ znaku, kontroly na lepiky pod klavesnici atd atd ... vysledek? Jeden vymyslel a vsichni pouzivali ... jedno heslo, ktere splnovalo pozadavky, a kteremu zmenili co tyden prave cislo tydne v roce (a pripadne ten rok). Tzn stacilo okoukat heslo 1x a bylo mozne jej urcit na libovolny termin dopredu i dozadu. Ale bylo, dle korporatnich pravidel, naprosto bezpecne.

    Tohle je exaktne totez. Uzivatel chce aby mu to fungovalo, chce ten web videt. Nezajima ho co si o tom mysli nejakej vul nekde v kotehulkach.

    Navic treba varovani kolem selfsign je totalni kravina ze vsech existujicich uhlu pohledu. Selfsign cert je exatkne stejne naprd jako libovolnej cert vydanej libovolnou CA. Naopak, je o rad bezpecnejsi (minimalne) protoze (kdyby to browser umel, jako ze neumi) je mozny ho svazat s danym webem, a priste pripadne resit, jestli se zmenil.

    Jeste vetsi sranda je pak to, ze tam kde bezpecnost alespon nejaka* je (DANE a spol) se tomu browsery vyhejbaj jak cert krizi ... procpak asi.

    *Porad tu existuje problem, ze se zmeni DNS a roli CA prebira provozovalel DNS, ale kdyz nic jinyho, tak se provozovatel webu o ty zmene dozvi (nebo muze dozvedet), coz v pripade vydani certifikatu nejakou CA nema sanci. Navic DNS stejne uzivatel verit musi, protoze jinak se nikam nepripoji.
    27.2. 21:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Browser musi poukazat na problem, ale nemoze byt ako pestunka.
    Kde je ta hranice? Když dostane certifikát podepsaný MD4 nebo mu server nabídne jako jediný protokol SSL2, má dát uživateli na výběr a umožnit pokračovat? To kvůli tomu musí být v dnešním prohlížeči MD4 a SSL2 implementované? A když ten „web“ vůbec nebude podporovat HTTP, tak prohlížeč poukáže na problém, ale když uživatel prohlásí, že chce pokračovat, tak prohlížeč vytiskne požadavek, vloží do obálky a pošle jí poštou? Schválně uvádím absurdity, aby bylo jasné, že uživatel nikdy nemá bezbřehou možnost výběru. Vždycky je omezený tím, co mu prohlížeč nabízí – a zrovna u těch certifikátů a algoritmů je to tak, že by prohlížeč uživateli něco mohl umožnit, protože to implementované má, a druhý den už to implementované nemá. Ostatně, kdyby platilo, že co prohlížeč jednou začne podporovat, musí podporovat už na pořád, budou prohlížeče pořád jenom bobtnat a bobtnat.
    Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.
    Ten certifikát může vystavit třeba chytrý domácí router, ten se k tomu hodí.

    Jinak to, že je zařízení v intranetu, vystavení certifikátu nevadí. To, že nemá DNS záznam v externí zóně je chyba, a doufám, že tenhle nesmysl odejde do věčných lovišť nejpozději s NATem, je to „řešení“ ze stejného těsta. Podporu na spouštění skriptů/binárek pro vystavení certifikátu nepotřebujete. Pokud ta HW konzole serveru, router a podobná krabička umožňuje nahrát privátní klíč a certifikát, tak tam certifikát od Let's Encrypt dostanu. A pokud má to zařízení nějaký certifikát zadrátovaný napevno, aspoň už vím, co příště nekupovat.
    ked si to nekontroluje je to jeho chyba
    Není. Pokud nějaký bezpečák přistupuje k bezpečnosti způsobem „uživatel si musí zkontrolovat, musí vědět, musí znát“, tak nic neumí. Hodit bezpečnost na neznalého uživatele je snadné, ale žádnou bezpečnost to nezajistí. Systém musí být bezpečný sám o sobě, nemůže spoléhat na to, že uživatel se bude pořád o bezpečnost starat.
    24.2. 06:57 Kate | skóre: 7
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Jendo, jenže ty se ve chvíli kdy se nedostaneš z FF na web Mozilly, Esetu a podobných asi začneš nejdřív zajímat jestli mají něco s certifikáty a hned potom jestli na tebe třeba tvůj router neprovádí MITM. Což je v tu chvíli celkem možná varianta. Zatímco tazatel už hledá jak to obejít. V tu chvíli jsou veškeré obranné mechanismy prohlížeče k ničemu, protože i kdyby to bylo zastrčené hluboko v about:config, uživatel by si na netu návod našel.
    27.2. 17:36 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    To jiste, nejlepsi je, kdyz si user nainstaluje starou verzi browseru, a zakaze ji aktualizace, protoze ma naprosto v riti nejaky ssl/tls/ a dalsi cypoviny, ale chce aby mu ten web fungoval ...

    A to je presne to, co se stane.

    2lertimir: Nahod si pale moon (a zrus FF). Pokud ti nebude z nejakyho duvodu vyhovovat vychozi nastaveni, tak si do nej jeste dej palemoon commander. Pribudou ti advanced options. Mno a tam si muzes pozapinat co jen libo (v about config to jde samo taky, ale tohle je precijen privetivejsi).
    23.2. 22:18 eset
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Open ESET > F5 to enter advanced setup> Web and Email > SSL/TLS- disable.
    Jendа avatar 23.2. 19:00 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Jako že než použít protokol, na který je známý nějaký útok (který může vyžadovat MITM, nějaké další podmínky co do přenesených dat a konfigurace serveru atd.), je lepší použít protokol, který je možné odposlechnout úplně triviálně?
    27.2. 17:48 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    To je presne nazor soudruhu z mozilly, je prece lepsi se na APcko prihlasovat opentext heslem, nez pouzit sice (teoreticky)* deravou, ale precijen sifru.

    *Teoreticky, protoze vetsinou je treba odchytit pomerne dost dat, na coz treba login k nejaky krabce rozhodne nestaci.

    Jako bonus je to dokonalej zpusob, jak BFUcka dotlacit k tomu, aby pouzivali prohlizec, se kterym jim to funguje = starej a neaktualizovanej, protoze oni to(at uz cokoli - televize, pracka, lednicka, apcko, router, .... vsechno veci ktery se v domacnostech pouzivaji dokud fyzicky neumrou, coz i s kurvitkama muzou bejt desitky let) chteji pouzivat.

    A to vse ve jmenu pseudobezpecnosti, "zajistovane" "autoritami" ... ktere vydaji kdykoli komukoli jakykoli certifikat k cemukoli, coz se pravidelne a setrvale deje. Zato dat provozovatelum webu a jejich uzivatelum realnej nastroj, na slusny zajisteni bezpecnosti, nato nemaji cas, protoze pridavaj kravince jako napriklad https://www.abclinuxu.cz/zpravicky/firefox-test-pilot-rozsiren-o-snooze-tabs-a-pulse zato podstatny veci https://bugzilla.mozilla.org/show_bug.cgi?id=14328 hnijou a hnijou (s DANE a DNSSEC to primo souvisi, protoze je treba implementovat obecnej DNS dotaz). Krasnych 18 let coz?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.