abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 12:00 | Nová verze

Po cca 3 týdnech od vydání Linux Mintu 18.3 s kódovým jménem Sylvia a prostředími MATE a Cinnamon byla oznámena také vydání s prostředími KDE a Xfce. Podrobnosti v poznámkách k vydání (KDE, Xfce) a v přehledech novinek s náhledy (KDE, Xfce). Linux Mint 18.3 je podporován do roku 2021.

Ladislav Hagara | Komentářů: 0
včera 12:55 | Nová verze

Byla vydána verze 17.12.0 KDE Aplikací (KDE Applications). Přehled novinek v kompletním seznamu změn a na stránce s dalšími informacemi. Aplikace, které nebyly dosud portovány na KDE Frameworks 5, byly z KDE Aplikací odstraněny.

Ladislav Hagara | Komentářů: 27
včera 03:00 | Komunita

Na Humble Bundle lze získat počítačovou hru Company of Heroes 2 (Wikipedie, YouTube) běžící také v Linuxu zdarma. Speciální akce končí v sobotu v 19:00.

Ladislav Hagara | Komentářů: 0
včera 02:00 | Zajímavý software

Christian Kellner představil na svém blogu projekt Bolt řešící bezpečnost rozhraní Thunderbolt 3 na Linuxu. Pomocí příkazu boltctl nebo rozšíření GNOME Shellu lze komunikovat s démonem boltd a například zakázat neznámá zařízení a předejít tak útokům typu Thunderstrike nebo DMA.

Ladislav Hagara | Komentářů: 6
včera 01:00 | Nová verze

Po půl roce vývoje od vydání verze 11.0 byla vydána verze 11.1 svobodného softwaru pro vytváření datových úložišť na síti FreeNAS (Wikipedie). Nejnovější FreeNAS je postaven na FreeBSD 11.1. Přehled novinek v příspěvku na blogu. Zdůraznit lze zvýšení výkonu OpenZFS, počáteční podporu Dockeru nebo synchronizaci s cloudovými službami Amazon S3 (Simple Storage Services), Backblaze B2 Cloud, Google Cloud a Microsoft Azure

Ladislav Hagara | Komentářů: 0
14.12. 23:55 | Nová verze

Po dvou měsících vývoje od vydání verze 235 oznámil Lennart Poettering vydání verze 236 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 6
14.12. 20:00 | Nová verze Ladislav Hagara | Komentářů: 0
14.12. 19:33 | Pozvánky

Pražská Fedora 27 Release Party, oslava nedávného vydání Fedory 27, se uskuteční 19. prosince od 19:00 v prostorách společnosti Etnetera (Jankovcova 1037/49). Na programu budou přednášky o novinkách, diskuse, neřízený networking atd.

Ladislav Hagara | Komentářů: 0
14.12. 18:11 | Nová verze

Byla vydána verze 2.11.0 QEMU (Wikipedie). Přispělo 165 vývojářů. Provedeno bylo více než 2 000 commitů. Přehled úprav a nových vlastností v seznamu změn.

Ladislav Hagara | Komentářů: 0
14.12. 17:44 | Komunita

Canonical oznámil dostupnost kryptografických balíčků s certifikací FIPS 140-2 úrovně 1 pro Ubuntu 16.04 LTS pro předplatitele podpory Ubuntu Advantage Advanced. Certifikace FIPS (Federal Information Processing Standards) jsou vyžadovány (nejenom) vládními institucemi USA.

Ladislav Hagara | Komentářů: 3
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (8%)
 (1%)
 (1%)
 (1%)
 (76%)
 (14%)
Celkem 997 hlasů
 Komentářů: 45, poslední 1.12. 19:00
    Rozcestník

    Dotaz: Firefox 51.0.1 a nedostatečn zabezečené weby

    18.2. 14:49 lertimir | skóre: 61 | blog: Par_slov
    Firefox 51.0.1 a nedostatečn zabezečené weby
    Přečteno: 893×
    Potřeboval jsem se připojit na web s https, který má starší šifry a Firefox mi dá nejen varování
    An error occurred during a connection to aaaaaa.bbb. Peer attempted old style (potentially vulnerable) handshake. Error code: SSL_ERROR_UNSAFE_NEGOTIATION
    
        Požadovanou stránku nelze zobrazit, protože nelze ověřit autenticitu přijatých dat.
        Kontaktujte prosím vlastníky webového serveru a informujte je o tomto problému.
    To, co mne překvapilo, že nebyla žádná možnost jak vzít informaci na vědomí a pokračovat na web. Nevíte jak to obejít? Myslím ve firefoxu, samozřejmě copy paste do Konqeroru funguje.

    Odpovědi

    Jendа avatar 18.2. 17:13 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Why did the multithreaded chicken cross the road? to To other side. get the
    18.2. 17:42 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    no já tě chápu. Ale jednodušší je skutečně stránku otevřít v konqueroru. Ale proč to bloknou ve firefoxu tak natvrdo.
    Jendа avatar 18.2. 19:58 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Ale proč to bloknou ve firefoxu tak natvrdo.
    Nekompatibilní světonázor (Jste stará rezavá konzerva, která si pořád myslí, že vám mají počítače sloužit a nechápete ten skvělý pokrok.). Stejně jako proč nejde overridnout HSTS, HPKP a OCSP, v nastavení zrušili vypnutí javascriptu a obrázků, zrušili možnost zastavit animaci gifů, a s přechodem na nový formát rozšíření se velmi ztíží věci jako NoScript.
    Why did the multithreaded chicken cross the road? to To other side. get the
    18.2. 21:08 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Jen klid dit už nic neříkám, já sám se v sobe potýkám.
    Jendа avatar 18.2. 21:11 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    To nebylo poznat že první věta (i se závorkou) je ironie?
    Why did the multithreaded chicken cross the road? to To other side. get the
    18.2. 21:13 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    bylo. moje odpověď také.
    18.2. 21:42 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Ale asi nebylo poznat, že to je citace. :-)
    18.2. 22:48 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Predpokladam, ze ta stranka sa snazi donutit clienta pouzit SSLv2, alebo SSLv3. Oba protokoly su derave a ich pritomnost na servri znizuje bezpecnost aj TLS. Preto sa postupne odstranuju z kniznic a tym padom, skorsie ci neskorise, aj z browserov. Ked ma pamat neklame, tak FF a Chrome ide cestou to odstranit bez cakania, az budu odstrane z beznych kniznic ... Podla merani je uz len cca 0.3% trafficu cez tieto protokoly ... pokial ma niekto velmi silnu potrebu ist na tak biedne zabeznecenu stranku (e.g. server nebol uz dlhsie updatnuty), tak je zatial moznost znovu povolit SSLv3, lebo pouzit nejaky "proxy", ako napr socat. Ako sa da ocakavat, tak obe moznosti nie su doporucovane ...
    20.2. 08:54 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    A nebo na tu stránku jít přes HTTP, pokud to umožňuje. Aspoň pak uživatel nemá tu iluzi bezpečnosti.
    20.2. 15:36 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    presne tak :)
    23.2. 12:51 Jirka
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Z vaší diskuse vyplývá použití ne zrovna bezpečných verzí protokolů na odmítnuté stránce.

    Jenže já se nemůžu cca týden dostat hlavně na stránky Microsoftu, Mozilly a ESETU, kde hledám pomoc s tímto problémem - Win 10, poslední sestavení, se všemi kritickými aktualizacemi. FF ver. 50.0.1.

    V případě ESETU se nedostanu např. na stránky servisu:

    https://servis.eset.cz/knowledgebase/article/View/338/54/eset-log-collector

    A taky se nedostanu na stránky Mozilly:

    https://forum.mozilla.cz/viewtopic.php?t=2751

    Po restartu Firefoxu 50.0.1 se to u jedné stránky dočasně spravilo a přístup byl možný.

    Ted zrovna mi přestala jít i pošta na seznamu, která ještě před chvílí fungovala bez potíží.

    Tak nevím. Docela to vadí a od Mozilly je nefér to, že nenapíše příčinu (protokol), zakáže i sama sebe a řekne jen, informujte tvůrce stránek. Jak, když na stránky se nedostanu.

    A pokud mi zruší noscript a další rozšíření, tak s mou dosud milovanou Mozillou končím. Místo aby se snažili lišit, snaží se vypadat stejně jako Chrome. Pak si klidně můžu přejít na Chrome a nemusím se s nimi potýkat.

    Chci se zeptat, která verze TLS je tedy bezpečná? Má smysl v prohlížeči u HTTPS zakázat ty ostatní protokoly TLS a SSL? ( ted zrovna to dobré zřejmě není, ale obecně.)

    Jirka

    23.2. 13:18 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom případě ale není problém ve Firefoxu, ale v tom, že na vás nejspíš někdo útočí a Firefox vás správně před tím útokem ochrání. Vyzkoušejte, zda to na stejném počítači dělají i jiné prohlížeče, případně zda se stejně chovají i jiné počítače ve stejné síti. Podle toho poznáte, zda je útok veden na prohlížeč, počítač nebo síť.
    23.2. 13:19 ES
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Tak to asi mate vetsi problem nez jenom nefunkcni FF.
    Heron avatar 23.2. 13:37 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Zkoušel jsem ty dva uvedené weby na Win10 a FF 51.0.1 (nikoliv tedy 50), a vše funguje OK, oba weby jedou přes TLS 1.2 a kromě mírné stížnosti na RSA je to spojení v pohodě.

    Takže problém bude někde u vás, nemáte na síti náhodou zastaralou proxy?

    Verze TLS jsou bezpečné aktuálně všechny (preferuje se TLS 1.2), verze SSL nejsou bezpečné žádné a mělo by se od nich už dávno ustoupit (sslv2 2011, sslv3 v 2015). TLS 1.0 je tady od 1999, takže náhrada byla hodně dlouho před koncem ssl.
    23.2. 13:44 lertimir | skóre: 61 | blog: Par_slov
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Problém je lokální. jednak jsou stránky viditelné v mozile 48 50 i 51. jednak vytvářejí bezpečné weby. eset a mozilla
    23.2. 14:22 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Docela to vadí a od Mozilly je nefér to,...
    Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada. Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ... Mozila vas spravne informuje ze "Error code: SSL_ERROR_UNSAFE_NEGOTIATION".

    Pozeral som ako je nastavena stranka servis.eset.cz. Podporuju len bezpecne TLS + bezpecne sifrovacie schemy. Takze v tomto pripade je problem vo vasom PC, alebo vasej sieti. Moznosti je viacej:
    - mate zavirovane pc
    - mate nainstalovanu nejaku odpocuvaciu applikaciu typu superfish
    - niekto na sieti sa vam znazi naburat do pocitaca (uplne staci hacknuty router)
    - mate na sieti stare proxy
    - mate na pocitaci, alebo v sieti zle nakonfigurovany antivirus

    Je uplne jedno, ktora je to moznost, kazda jedna je zla. V najhorsom pripade to moze viest k situacii, ze utocnik ziska citlive udaje z browseru, alebo este viac zaviri vasu masinu.

    Doprocujem nejak systematicky prejst jednotlive veci a skusit zuzit problem na konkretne miesto. E.g.:
    - FF s cistym profilom (bez pluginov), sa sprava rovnako ?
    - chrome na tej istej masine vyhadzuje podobne chyby ? (IE / Konqeror ani netreba skusat, jedno horsie ako druhe)
    - mate v systemovom trust store nejaky ca cert, ktory ocividne vypada zly ? (superfish, lenovo, symatec, etc..)
    - FF na inej masine v tej istej sieti sa sprava podobne ?
    - co ukaze host servis.eset.cz ? (mne vrati 91.228.165.24)
    - co ukaze openssl s_client -connect servis.eset.cz:443 -no_ssl2 -no_ssl3 -no_tls1 -no_tls1_1 ?

    ... podobny problem som riesil nedavno u znamych. Niekto im vybural router a zmenil DNS server. Vdaka tomu bolo vsetko routovane cez utocnikov server ... samozrejme, ze riesili ako vypnu tu hlasku vo FF a nie, ze im niekto odpocuva celu LAN siet ... ludia su prote nepoucitelny.
    Jendа avatar 23.2. 18:59 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Je to jedine spravne rozhodnutie. Ak by aj cez celu obrazovku napisali, ze "spojenie nie je bezpecne" a dole "zadajte facebook heslo", tak 99% ludi ho proste zada.
    Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu. Je záhodno, aby se zeptal, jestli jsem se nepřeklepl, nebo aby mě na síťový problém upozornil, ale znemožnit akci je prostě nepřijatelné.
    Aj to male percento ludi nebude bezpecne, lebo v tom momente uz mohli leaknut udaje z cokies a podobne ...
    O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.
    Why did the multithreaded chicken cross the road? to To other side. get the
    Heron avatar 23.2. 19:24 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Jenže já nejsem 99 % a myslím si, že software v mém počítači by měl především poslouchat mé povely, i když nějaká umělá inteligence (v tomto případě navíc extrémně tupá) zrovna vyhodnotí, že to není v mém zájmu.
    Dobře, nejsi 99% a dle tvé wiki jsi si vytvořil prostředek, jak přesně to co chceš dosáhnout. Případně si můžeš přepsat ten prohlížeč tak, aby ti vyhovoval.
    O nic víc, než když je tam ta stejná stránka, která se liší jenom tím, že chybí tlačítko Add Exception.
    Problém je, že add exception v realitě znamená, že na to bude každej (ok, možná ne úplně každej) klikat jak pominutej a po chvíli ani nebude vnímat, že to tam je. Ostatně tak jak jsme v minulosti viděli třeba i u státní správy, kdy bylo oficiálními místy doporučováno klikat na add exception (afaik u datových schránek) a to, že tam dva roky nebyl platný cert nějak nikomu nevadilo (takže ideální pozvánka pro mitm).
    23.2. 22:03 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Ne, v tomto případě ta umělá inteligence správně odhalila útok, zatímco uživatel řeší, jak jí obejít a nacpat tajná data útočníkovi. Pokud nejste 99 % a webovému prohlížeči a jeho zabezpečení perfektně rozumíte, tak vás přece nějaké nastavení pro BFU nezastaví, protože máte prohlížeč nastavený po svém.
    chybí tlačítko Add Exception.
    To tlačítko tam nechybí. Jak se dočtete výše, kdyby tam bylo, uživatel se na nic neptal, zmáčknul by ho a dostal by se na web podvržený útočníkem. Díky tomu, že tam není, musel se zeptat, a dozvěděl se, že má napadený počítač nebo síť. Ta absence tlačítka tedy zafungovala přesně tak, jak měla.
    24.2. 11:28 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    chybí tlačítko Add Exception.
    Miesate dve veci:

    1) ked nie je v poriadku certifikat, alebo sa neda overti, tak uzivatel dostane moznost "add exception". V tom momente sa spojenie degratuje na uroven "ssh", kde sa pri prvom pristupe zapameta certifikat a pri daslom kontroluje. Ak dojde k zmene, tak uzivatel je na to upozorneny. Toto je podla mna vporiadku, lebo vela ludi ma doma zariadenia, na ktorych mozno chce (musi mat) HTTPs, ale zbytocne riesit drahy cert. Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.

    2) lertimir-ovi nieco downgradovalo spojenie na sifrovaciu schemu, ktora nie je podrporovana Firefoxom. Takze tam ani nema mat ako "add exception", lebo proste je to uz koniec. Dalo by sa to prirovnat k v vyplakavaniu nad "HTTP 404", alebo "HTTP 500". Tam to je uz tiez konecna a nejake zazracne tlacidlo ten obsah proste nema ako zobrazit ...

    btw: v oboch pripadoch nejde o ziadnu umelu inteligenciu. Tu sa nebavime o robotoch, co citaju stranky a kategorizuju ich podla obsahov. Tu sa bavime o transportnej urovni, ktora ma presne dane pravidla co je dobre a co nie ... a ci sa to ludom paci, alebo nepaci, tak bezpecnost nejak zarucena musi byt. Predpokladam, ze vela ludom by sa pacil domaci trezor, ktory sa odomkne pri pohlade na neho, ale uz menej by sa im pacil trezor, ktory sa odomkne ak sa nanho pozrie zlodej ... a toto je presne pripad tu ...
    24.2. 12:48 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.
    zbytocne riesit drahy cert
    Certifikát je možné mít zadarmo.
    Takze "ssh" styl autorizacie (e.g. akceptujem pri prvom spojeni) je vporiadku.
    Není, protože uživatel to stejně nikdy nezkontroluje.
    27.2. 17:24 Jooky (inactive) | skóre: 39 | blog: Jooky | Bratislava
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    V tom prvním případě to ale znamená, že útočníkovi stačí podvrhnout self-signed certifikát – a uživatel si ho s radostí přidá do výjimek.
    Browser musi poukazat na problem, ale nemoze byt ako pestunka. Ked pise "not secure" na spojenie a uzivatel sa aj tak bude snazit pokracovat, tak je to uzivatelova chyba. Tak isto ako vyrobca trezoru moze vysvetlit uzivatelovi, ze nema rozdavat svoj pin kazdemu koho vidi, ale realne nema sancu mu zabranit aby to spravil. Nie je chyba trezoru, ak sa donho zlodej dostane cez vyzradene heslo. Tak presne neni chyba browseru, ak si uzivatel prida certifikat, aj ked mu jasne napise, ze to nie je dobre.

    Chrome pise:
    Attackers might be trying to steal your information from example.com (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID
    
    Firefox pise:
    The owner of example.com has configured their website improperly. To protect your information from being stolen, Firefox has not connected to this website.
    
    Otvorene poviem, ze chrome ma toto lepsie napisane. Bezny uzivatel strati pozornost tak po 4 - 5 slovach, kde ma chrome "attackers" a tesne "steal". Firefox zacina tak, ze to asi ani neni problem, len nevedia nastavit stranku ... aj ked, potom sa len trosku opravia
    Certifikát je možné mít zadarmo.
    Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.
    Není, protože uživatel to stejně nikdy nezkontroluje.
    Vid. prva cast mojej odpovedi ... ked si to nekontroluje je to jeho chyba, kto si to vie skontrolovat, tak moze fungovat aspon ako "ssh".
    Josef Kufner avatar 27.2. 19:14 Josef Kufner | skóre: 67
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Tohle srovnání Firefoxu a Chrome je na bugreport (do Firefoxu).

    Otázka je, zda uživatel má dostatečné technické znalosti, aby byl schopen zvážit rizika a vůbec pochopit, co se děje. U drtivé většiny uživatelů tomu tak nebude a spoustě adminů a poskytovatelů služeb to ušetří práci s řešením problémů s ukradenými hesly a vykradenými účty.

    Pokud jde o admina a certifikát na intranetu, tak si má udělat svou certifikační autoritu a tu si naimportovat, kde potřebuje. Mám takle skriptem generované certifikáty pro lokální testovací domény a krom chvíle nastavování kdysi na začátku to funguje velmi dobře.
    Hello world ! Segmentation fault (core dumped)
    27.2. 19:55 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Uz sem mockrat psal ....

    1) uzivatele bezpecnost nezajima 2) uzivatel desitky let pouziva http a nikomu to nevadi 3) browser ma i u https drzet hubu a web zobrazit 4) teprve kdyz uzivatel chce bezpecnost resit, mel by mu browser poskytnout nastroje (ty aktualne neexistuji zadne) 5) teprve potom by mel browser upozornovat (na nesrovnalosti) pripadne blokovat (pri naruseni te vyzadane bezpecnosti)

    Mimochodem, mam slusnych par let zkusenosti s bezpecnosti ve firemnim sektoru. Zcela bez vyjimek plati, ze cim vic se bezpecnost vymaha po uzivatelich, tim horsi ve skutecnosti je. Konkretne, banka, povinost menit heslo co tyden, pamet 2 roky zpet ... 12+ znaku, kontroly na lepiky pod klavesnici atd atd ... vysledek? Jeden vymyslel a vsichni pouzivali ... jedno heslo, ktere splnovalo pozadavky, a kteremu zmenili co tyden prave cislo tydne v roce (a pripadne ten rok). Tzn stacilo okoukat heslo 1x a bylo mozne jej urcit na libovolny termin dopredu i dozadu. Ale bylo, dle korporatnich pravidel, naprosto bezpecne.

    Tohle je exaktne totez. Uzivatel chce aby mu to fungovalo, chce ten web videt. Nezajima ho co si o tom mysli nejakej vul nekde v kotehulkach.

    Navic treba varovani kolem selfsign je totalni kravina ze vsech existujicich uhlu pohledu. Selfsign cert je exatkne stejne naprd jako libovolnej cert vydanej libovolnou CA. Naopak, je o rad bezpecnejsi (minimalne) protoze (kdyby to browser umel, jako ze neumi) je mozny ho svazat s danym webem, a priste pripadne resit, jestli se zmenil.

    Jeste vetsi sranda je pak to, ze tam kde bezpecnost alespon nejaka* je (DANE a spol) se tomu browsery vyhejbaj jak cert krizi ... procpak asi.

    *Porad tu existuje problem, ze se zmeni DNS a roli CA prebira provozovalel DNS, ale kdyz nic jinyho, tak se provozovatel webu o ty zmene dozvi (nebo muze dozvedet), coz v pripade vydani certifikatu nejakou CA nema sanci. Navic DNS stejne uzivatel verit musi, protoze jinak se nikam nepripoji.
    27.2. 21:42 Filip Jirsák | skóre: 67 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Browser musi poukazat na problem, ale nemoze byt ako pestunka.
    Kde je ta hranice? Když dostane certifikát podepsaný MD4 nebo mu server nabídne jako jediný protokol SSL2, má dát uživateli na výběr a umožnit pokračovat? To kvůli tomu musí být v dnešním prohlížeči MD4 a SSL2 implementované? A když ten „web“ vůbec nebude podporovat HTTP, tak prohlížeč poukáže na problém, ale když uživatel prohlásí, že chce pokračovat, tak prohlížeč vytiskne požadavek, vloží do obálky a pošle jí poštou? Schválně uvádím absurdity, aby bylo jasné, že uživatel nikdy nemá bezbřehou možnost výběru. Vždycky je omezený tím, co mu prohlížeč nabízí – a zrovna u těch certifikátů a algoritmů je to tak, že by prohlížeč uživateli něco mohl umožnit, protože to implementované má, a druhý den už to implementované nemá. Ostatně, kdyby platilo, že co prohlížeč jednou začne podporovat, musí podporovat už na pořád, budou prohlížeče pořád jenom bobtnat a bobtnat.
    Kto mi da certifikat na zariadenie, ktore je: 1) v interanete, 2) nema dns zaznam v externej zone, 3) nema podporu na pustanie scriptov/binariek ? ... Let's Encrypt a podobne sluzby su fajn, ale na HW konzolu servra, router a podobne "krabicky" to nedostanes.
    Ten certifikát může vystavit třeba chytrý domácí router, ten se k tomu hodí.

    Jinak to, že je zařízení v intranetu, vystavení certifikátu nevadí. To, že nemá DNS záznam v externí zóně je chyba, a doufám, že tenhle nesmysl odejde do věčných lovišť nejpozději s NATem, je to „řešení“ ze stejného těsta. Podporu na spouštění skriptů/binárek pro vystavení certifikátu nepotřebujete. Pokud ta HW konzole serveru, router a podobná krabička umožňuje nahrát privátní klíč a certifikát, tak tam certifikát od Let's Encrypt dostanu. A pokud má to zařízení nějaký certifikát zadrátovaný napevno, aspoň už vím, co příště nekupovat.
    ked si to nekontroluje je to jeho chyba
    Není. Pokud nějaký bezpečák přistupuje k bezpečnosti způsobem „uživatel si musí zkontrolovat, musí vědět, musí znát“, tak nic neumí. Hodit bezpečnost na neznalého uživatele je snadné, ale žádnou bezpečnost to nezajistí. Systém musí být bezpečný sám o sobě, nemůže spoléhat na to, že uživatel se bude pořád o bezpečnost starat.
    24.2. 06:57 Kate | skóre: 7
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Jendo, jenže ty se ve chvíli kdy se nedostaneš z FF na web Mozilly, Esetu a podobných asi začneš nejdřív zajímat jestli mají něco s certifikáty a hned potom jestli na tebe třeba tvůj router neprovádí MITM. Což je v tu chvíli celkem možná varianta. Zatímco tazatel už hledá jak to obejít. V tu chvíli jsou veškeré obranné mechanismy prohlížeče k ničemu, protože i kdyby to bylo zastrčené hluboko v about:config, uživatel by si na netu návod našel.
    27.2. 17:36 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    To jiste, nejlepsi je, kdyz si user nainstaluje starou verzi browseru, a zakaze ji aktualizace, protoze ma naprosto v riti nejaky ssl/tls/ a dalsi cypoviny, ale chce aby mu ten web fungoval ...

    A to je presne to, co se stane.

    2lertimir: Nahod si pale moon (a zrus FF). Pokud ti nebude z nejakyho duvodu vyhovovat vychozi nastaveni, tak si do nej jeste dej palemoon commander. Pribudou ti advanced options. Mno a tam si muzes pozapinat co jen libo (v about config to jde samo taky, ale tohle je precijen privetivejsi).
    23.2. 22:18 eset
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečně zabezpečené weby
    Open ESET > F5 to enter advanced setup> Web and Email > SSL/TLS- disable.
    Jendа avatar 23.2. 19:00 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    Jako že než použít protokol, na který je známý nějaký útok (který může vyžadovat MITM, nějaké další podmínky co do přenesených dat a konfigurace serveru atd.), je lepší použít protokol, který je možné odposlechnout úplně triviálně?
    Why did the multithreaded chicken cross the road? to To other side. get the
    27.2. 17:48 j
    Rozbalit Rozbalit vše Re: Firefox 51.0.1 a nedostatečn zabezečené weby
    To je presne nazor soudruhu z mozilly, je prece lepsi se na APcko prihlasovat opentext heslem, nez pouzit sice (teoreticky)* deravou, ale precijen sifru.

    *Teoreticky, protoze vetsinou je treba odchytit pomerne dost dat, na coz treba login k nejaky krabce rozhodne nestaci.

    Jako bonus je to dokonalej zpusob, jak BFUcka dotlacit k tomu, aby pouzivali prohlizec, se kterym jim to funguje = starej a neaktualizovanej, protoze oni to(at uz cokoli - televize, pracka, lednicka, apcko, router, .... vsechno veci ktery se v domacnostech pouzivaji dokud fyzicky neumrou, coz i s kurvitkama muzou bejt desitky let) chteji pouzivat.

    A to vse ve jmenu pseudobezpecnosti, "zajistovane" "autoritami" ... ktere vydaji kdykoli komukoli jakykoli certifikat k cemukoli, coz se pravidelne a setrvale deje. Zato dat provozovatelum webu a jejich uzivatelum realnej nastroj, na slusny zajisteni bezpecnosti, nato nemaji cas, protoze pridavaj kravince jako napriklad https://www.abclinuxu.cz/zpravicky/firefox-test-pilot-rozsiren-o-snooze-tabs-a-pulse zato podstatny veci https://bugzilla.mozilla.org/show_bug.cgi?id=14328 hnijou a hnijou (s DANE a DNSSEC to primo souvisi, protoze je treba implementovat obecnej DNS dotaz). Krasnych 18 let coz?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.