abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    včera 23:55 | Nová verze

    Heimer je v Qt napsaná desktopová aplikace pro tvorbu myšlenkových map, diagramů a poznámek. Vydána byla verze 3.0.0. Videoukázka verze 1.9.0 na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 17:11 | Zajímavý projekt

    Na stránkách LINux on MOBile je každou středu publikován týdenní přehled dění kolem Linuxu na mobilních zařízeních. V aktuálním přehledu je zmíněn například nový build 2021/11/21 Arch Linuxu ARM pro PinePhone a PineTab nebo NemoMobile 0.7.

    Ladislav Hagara | Komentářů: 0
    25.11. 21:11 | Komunita

    Mozilla ukončí podporu aplikace Firefox Lockwise pro systémy Android a iOS s účinností od 13. prosince 2021. Aplikaci Firefox Lockwise již nebude možné nainstalovat ani přeinstalovat z obchodu App Store ani Google Play.

    Ladislav Hagara | Komentářů: 7
    25.11. 20:22 | Nová verze

    Byla vydána verze 8.1.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Přináší řadu novinek a vylepšení. Vydána byla také příručka pro přechod z předchozích verzí.

    Ladislav Hagara | Komentářů: 0
    25.11. 08:00 | Nová verze

    Endless OS byl vydán ve verzi 4.0.0. Přehled novinek v poznámkách k vydání. Nejnovější Endless OS vychází z Debianu Bullseye. Zdůrazněna je dlouhodobá podpora.

    Ladislav Hagara | Komentářů: 0
    24.11. 22:11 | Zajímavý projekt

    Byly vyhlášeny vítězné aplikace letošní soutěže Společně otevíráme data Nadace OSF pro neziskové aplikace postavené nad otevřenými daty v Česku. V kategorii Městská data zvítězila aplikace PragueDash. Kategorii Klima a životní prostředí ovládla aplikace Envidata. Kategorii Vzdělávání vyhrál interaktivní článek Od moru ke covidu. Nejlepší aplikací v kategorii Zdraví se stala aplikace COVID očkování.

    Ladislav Hagara | Komentářů: 8
    24.11. 22:00 | Nová verze

    Český LibreOffice tým vydal překlad příručky LibreOffice Draw 7.1. Tato kniha se zabývá hlavními funkcemi programu Draw, vektorové grafické komponenty systému LibreOffice. Pomocí Draw lze vytvářet širokou škálu grafických obrázků. Příručka je ke stažení na stránce dokumentace. Tým nyní pracuje na překladu příručky Base.

    Zdeněk Crhonek | Komentářů: 0
    24.11. 16:22 | Nová verze

    Byla vydána nová stabilní verze 3.15.0, tj. první z nové řady 3.15, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu.

    Ladislav Hagara | Komentářů: 0
    24.11. 14:11 | IT novinky

    Vývojových desek Arduino UNO bylo prodáno již více než 10 miliónů. Při této příležitosti bylo představeno Arduino UNO Mini Limited Edition o rozměrech 34,2 × 26,7 × 8 mm. Předobjednat jej lze za 40 eur.

    Ladislav Hagara | Komentářů: 7
    24.11. 08:00 | Komunita

    MojeFedora.cz informuje, že Amazon Linux bude postavený na Fedoře. Vycházet by měl každé dva roky a podporovaný by měl být po dobu pěti let. Představena byla ukázka Amazon Linuxu 2022 (AL2022).

    Ladislav Hagara | Komentářů: 16
    Který formát počítače (form factor) preferujete?
     (15%)
     (33%)
     (7%)
     (39%)
     (6%)
    Celkem 399 hlasů
     Komentářů: 46, poslední 24.11. 15:31
    Rozcestník

    Postfix, SSLv3, Avast a man in the middle

    23.1.2015 20:19 | Přečteno: 2140× | Výběrový blog | poslední úprava: 23.1.2015 20:19

    Příběh o tom, jak jsem odhalil temné tajemství nadnárodní korporace. Paranoia a spiknutí. Temný pokoj osvětlený jen září monitoru. Nervy tečou (bohužel mně). Webový a mailový štít Avastu. MITM.

    Určitě to taky znáte, pátek večer, za hodinku nebo dvě je čas končit s prací, a počítač si postaví hlavu. Většinou je chyba mezi židlí a klávesnicí, ale ne vždycky.

    Mám doma nainstalované Windows (jako zavaděč na hry jsou stále nepřekonané), ale protože mě živí administrace Linuxu a z Windows se mi špatně pracuje, mám taky virtuální stroj a v něm Arch Linux. Ve čtyři odpoledne jsem se pustil do práce s Postfixem, cílem bylo zakázat SSLv3, protože zákazník si nechal udělat pentesting a tohle byla jedna z položek. Sice mám pochybnosti o smyslu bezpečného TLS když se pomocí MITM dá zahodit příkaz STARTTLS a taky když se používá snakeoil certifikát, ale o tom tenhle zápisek není.

    Poměrně rychle jsem našel popis jak to udělat. Protože rozumný člověk necopypastuje všechno co najde na Internetu hned do konfigurace na produkci, otevřel jsem manuál, zorientoval se v různých smtpd_tls_mandatory_protocols, smtp_tls_protocols a podobně, nasypal to do Postfixu a řekl si že bych to měl radši otestovat. Píšu

    já@doma% openssl s_client -host HHH -port PPP -starttls smtp -sslv3

    a vyskočí Avast z hostitelských Windows, že certifikát je self-signed (aby nebyl) a že je to fuj. Přidávám výjimku, a dostávám informaci že spojení navázáno přes SSLv3. WTF?

    Jasně, to bude chyba v konfiguraci. Dělám to prvně, někde jsem určitě zapomněl nějaké to _mandatory_ nebo vykřičník. Otvírám konfigurák, manuál, koukám na ty čtyři řádky a nevidím chybu. Už je pět a začínám toho mít plné zuby. Tak trochu ze zoufalství zkouším

    já@server% openssl s_client -host HHH -port PPP -starttls smtp -sslv3

    a dostávám nulovou šifru (STARTTLS neprošlo). WFT WFT? z localhostu to funguje a ode mě z domu ne? Ověřuju jestli funguje TLS (ano, z obojího), SSLv2 (doma ne) a zjišťuju že Debian asi kompiluje OpenSSL bez podpory SSLv2, protože OpenSSL nezná parametr -ssl2 i když je v manuálu.

    Pomalu propadám beznaději a paranoie (že by na mě vážně někdo dělal MITM? Copak prsty NSA sahají až sem? Mohly by), a pak si vzpomenu na to co jsem četl o korporacích které instalují na svoje počítače certifikáty aby mohly kontrolovat jestli někdo přes SSL/TLS neposílá ven firemní tajemství. A taky na tu hlášku Avastu. Že by Avast dělal MITM na mě? Vypínám Avast a... taky že jo. Najednou SSLv3 nefunguje. Sprostě nadávám, označuju jako vyřízené a končím s prací.

    Po pauze na nákup jídla a pití sedám k Internetu a jdu zjistit jak to sakra funguje. Takže: Bezpečnost vždycky zahrnuje kompromisy. Je pro mě přijatelné že Avast může hledat malware v zašifrovaných datech, za cenu toho že vidí do mých dat (a možná není sám)? Ještě si to budu muset rozmyslet. Moje důvěra je ale celkem otřesená.        

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    Jendа avatar 23.1.2015 23:17 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Sice mám pochybnosti o smyslu bezpečného TLS když se pomocí MITM dá zahodit příkaz STARTTLS
    Ale rozumný mailový klient zařve.
    Moje důvěra je ale celkem otřesená.
    Mně to přijde korektní, kdyby to dělal dobře. Bohužel jsem viděl právě situaci, kdy kvůli tomu starttls přestalo fungovat (nezkoumal jsem proč).
    OLED displaye - pod slůvkem organic se ukrývá dobře utajená skutečnost, že jde o buňky z dětských očí získané z potratů
    24.1.2015 12:49 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Mně to přijde korektní, kdyby to dělal dobře.
    Nejčastější řešení problému "nic jsem neměnil a přestalo mi fungovat odesílání pošty" - podívat se do nastavení antiviru a obnovit tam pravidlo povolující připojení na poštovní server (a které se smazalo při aktualizaci toho antiviru.)
    Quando omni flunkus moritati
    23.1.2015 23:36 unavensluncem
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Scanovani HTTPS je podle me dobra a dokonce nutna feature... Malwaru ktery pouziva https je mnoho... Ono jak jinak bys takovou vec delal? Uprimne, jakykoliv program co si nainstalujes (coz znamena admin prava), navic jeste s drivery, si proste muze delat co chce - takze instalujes veci kterym veris ne?
    Petr Tomášek avatar 28.1.2015 00:38 Petr Tomášek | skóre: 38 | blog: Vejšplechty
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Pluginem/rozšířením do prohlížeče?
    multicult.fm | monokultura je zlo | welcome refugees!
    24.1.2015 00:37 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Jediné oficiální informace které jsem našel jsou zápisek na fóru Avastu o nových funkcích vývojové verze

    Oficiální popis je třeba v manuálové stránce u linux verze nebo v techinfu pro OS X verzi. Windows verze funguje principielně stejně. Pokuď nejdou informace dohledat, tak bych to spíš přisuzoval "korporátnosti" Avastu, nebo prostému faktu, že to nikdo nesepsal, než tomu, že by se to nějak "tajilo" (od toho jsou v Avastu jiné věci ;-) ).

    Každý má právo na můj názor!
    24.1.2015 09:08 Filip Jirsák
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Mne překvapuje, že to ještě někoho překvapuje. Antiviry vždy dělaly ty největší bezpečnostní prasárny, vždy používají stejné postupy, jako viry a útočníci. Akorát autoři antivirů se tváří, že oni jsou ti hodní. Kde o tom můžu rozhodnout, tam antivir není, a funguje to lépe, než počítače s antiviry.
    24.1.2015 13:02 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Ve čtyři odpoledne jsem se pustil do práce s Postfixem, cílem bylo zakázat SSLv3, protože zákazník si nechal udělat pentesting a tohle byla jedna z položek.
    Tyhle automatické udělátory jsou srandovní. Detekujeme SSLv3 - hlásíme jako problém. Pokud vím, nikdo zatím nepřišel na způsob, jak zranitelnost SSLv3 zneužít při odposlouchávání SMTP.
    Sice mám pochybnosti o smyslu bezpečného TLS když se pomocí MITM dá zahodit příkaz STARTTLS a taky když se používá snakeoil certifikát, ale o tom tenhle zápisek není.

    Pokud vím, tak Postfix (v pozici klienta) podporuje DANE - když cílový server má TLSA, zahození STARTTLS při MITM způsobí, že se Postfix nepokusí ten mail doručit.
    Quando omni flunkus moritati
    26.1.2015 12:25 Lyco | skóre: 14 | blog: Lyco
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Pokud vím, tak Postfix (v pozici klienta) podporuje DANE - když cílový server má TLSA, zahození STARTTLS při MITM způsobí, že se Postfix nepokusí ten mail doručit.
    Jó, kdyby tak byl DNSSEC široce rozšířený, to by bylo...
    Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.
    Max avatar 24.1.2015 22:14 Max | skóre: 69 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    To je známá věc, jeden z důvodů, proč tyhle blbosti v AV vypínám. Na příchozí poštu mám AV na mailserveru a zakazuji exe i v archivech, takže k nám se nic dostat nemůže. Další filtry jsou na proxyně. Vždy dumám, jak zapnutí na AV ponechat a nakonec dojdu k tomu, že to vypnu, protože ty problémy za to nestojí.
    Zdar Max
    Měl jsem sen ... :(
    24.1.2015 22:54 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Další filtry jsou na proxyně.

    Docela by mě zajímalo, jak filtrujete zabezpečená spojení (HTTPS) na proxy bez použití MITM?

    Každý má právo na můj názor!
    Max avatar 25.1.2015 00:57 Max | skóre: 69 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    U https se filtrují jen linky (povolené url).
    Zdar Max
    Měl jsem sen ... :(
    25.1.2015 15:52 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Stále mi uniká, jak se k těm URL dostanete. Pokuď si tedy pod pojmem URL nepředstavujete doménové jméno/IP adresu... (to je ale pro jakékoliv smysluplné filtrování zcela nedostačující informace).
    Každý má právo na můj názor!
    Josef Kufner avatar 25.1.2015 15:56 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Doména se přenáší nešifrovaně, šifrování je zahajováno až po ní, aby fungovaly šifrované virtualhosty na jedné IP adrese (SNI)
    Hello world ! Segmentation fault (core dumped)
    25.1.2015 16:45 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Řekl bych, že to že lze získat doménové jméno/IP adresu je zřejmé už z toho mého příspěvku. Já se ale ptám na URL o kterém se tady hovořilo.
    Každý má právo na můj názor!
    26.1.2015 12:31 Lyco | skóre: 14 | blog: Lyco
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Podle mého názoru je lepší nefiltrovat. Zodpovědný uživatel je nejlepší filtr proti běžným útokům, a proti APT (advanced persistent threat) stejně antivir nepomůže.

    Když už, tak kontrolovat maily když se ukládají na disk jako každý jiný soubor. To samozřejmě nechrání proti stack overflow při přijímání mailu, ale uložit soubor na disk by měla být dost jednoduchá operace na to aby se to "nedalo pokazit".
    Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.
    26.1.2015 14:50 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Zodpovědný uživatel
    A kde se nechá sehnat?
    Quando omni flunkus moritati
    26.1.2015 20:17 Filip Jirsák
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Taky nechápu, proč je někdo přesvědčen, že někdo stáhne vir zrovna přes e-mail nebo přes HTTPS, a ostatní kanály ho nezajímají. Když už se má něco kontrolovat, není lepší kontrolovat soubory na disku? Taky mi není jasné, proč ti uživatelé mají taková práva, že mohou něco pokazit.
    Max avatar 26.1.2015 21:37 Max | skóre: 69 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    1) Z user space bez admin práv můžeš : zašifrovat veškerá data na sdílených discích, kam má uživatel přístup (viz ten šmejd z nedávné doby, máme s ním i osobní zkušenosti), dále z user space můžeš v klidu dělat DoS na nějaký server. Taktéž z userspace můžeš hledat další zranitelnosti na síti.
    2) Když jsou lidi za proxynou a mají zakázány flashky apod., tak odkud si asi tak mohou zavirovat PC, když né z mailu, nebo http?
    3) veškerý šmejdy, se kterými jsme se setkali, připutovaly mailem. AV nemá nikdy aktuální db a úspěšnost detekece havěti, co není v db, je hodně mizerná.
    Naše proxy má hodně bohatý rejstřík blacklistů a na mailové gateway už konečně můžeme blokovat spustitelné přílohy, co jsou zabaleny v archivech. Ze zkušenosti je tato primitivní prevece velmi účinná.
    Řešit soubory na disku, to už je pozdě, protože viz AV a neaktuální databáze.
    V další fázi ochrany pak může nastoupit autodetekce anomálií na síti, což třeba dělá FlowMon, nebo NetFlow - Nfsen apod. Ale to už je také docela pozdě, ale aspoň člověk ví, co se mu děje na síti a čím dřív něco detekovat, tím líp.
    Zdar Max
    Měl jsem sen ... :(
    27.1.2015 08:50 Filip Jirsák
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Ad 1) Zašifrovat data na sdílených discích, nebo je smazat, můžu i bez viru. K tomu šifrování asi budu potřebovat nějaký program, což je otázka, proč ke spuštění takového programu má uživatel práva. K mazání asi uživatel program má, může to udělat i omylem, takže se tenhle problém stejně musí nějak řešit. K DoS a hledání zranitelností opět uživatel potřebuje nějaký program, je otázka, proč má práva ke spuštění takového programu.

    Ad 2) Třeba z mailu nebo HTTP, co antivir neodhalí. Třeba protože to bude v zaheslovaném archivu. Opět nevidím problém v tom, že uživatel odněkud něco stáhne, vidím problém v tom, že má právo to spustit.

    Ad 3) Nevidím důvod, proč kvůli tomu zasahovat do SMTP komunikaci, navíc do odchozí. Hlavně opět vidím problém v tom, že něco, co přijde e-mailem, může být považováno za spustitelnou přílohu.
    Max avatar 27.1.2015 11:13 Max | skóre: 69 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    1) řeší se tu průnik, popř. nakažení nějakou potvorou, né uživatel sebevrah, který chce být vyhozen.
    3) do odchozí se nezasahuje, to by bylo zbytečné.
    Celý tvůj argument je tedy o tom si pohlídat, co uživatel může spouštět a co ne, což je samozřejmě pěkná téze. Otázkou pak je, co se adminovi více vyplatí, zda si držet seznam povolených app a průběžně aktualizovat s tím, že bude mít pak nehorázné drbačky s aktualizacemi různých webových aplikací, co instalují do pc netframework klietnské části apod. a nejen těch, třeba u nás se mění binárky programů několikrát za den (pořád se vyvíjí a nasazuje). Nebo, zda nebude lepší prostě udělat preventivní opatření, co jsem popsal. Rozhodující faktor asi nebude dosáhnout maximální bezpečnosti, ale nějakého rozumného kompromisu zabezpečení s co nejmenší náročností na správu.
    Kdo by chtěl maximální zabezpečení, tak by asi musel přistoupit ke všemu, protože i třeba taková politika povolených app. apod. nezabrání tomu, aby uživatel případný bordel v mailech apod. rozesílal dál,i mimo firmu, což je možná ještě horší, než kdyby to zůstalo doma.

    Přiznám se, že nasazení politik ohledně povolených app nemám a nemám s tím tedy takové zkušenosti. Ty s tím zkušenosti máš? Zajímalo by mně hlavně to, na jak pestrobarevném prostředí to máš nasazeno a jak náročná je správa?
    díky
    Zdar Max
    Měl jsem sen ... :(
    27.1.2015 20:14 Filip Jirsák
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    K tomu, aby člověk smazal soubory na sdíleném úložišti, stačí chvilková nepozornost. K tomu, aby spustil nějaký vir, je potřeba té nepozornosti mnohem víc.

    Pokud se do odchozí pošty nezasahuje, pak nechápu, k čemu tam je únos SMTP spojení a podvržené certifikáty.

    Připadá mi lepší, když admin kontroluje, co mohou uživatelé spouštět, než když se poruší všechny možné i nemožné bezpečnostní bariéry s úmyslem, že ale tohle porušení dělají hodní hoši a je to ku prospěchu věci. Já tomuhle nevěřím a myslím si, že když něco dokáží prolomit hodní hoši, dokáží to padouši ještě snáz.

    Navíc tím učíte uživatele, že mohou stahovat z internetu, co je napadne, protože pokud to bude něco škodlivého, zablokuje to antivir. Učíte je, že na nějaké kontroly DNSSEC v prohlížečích nebo ověřování certifikátů mají kašlat, protože je stejně všechno falešné. A to, co se naučí, pak aplikují i jinde, třeba na svých domácích počítačích.

    Měl jsem to v prostředí, které bylo z hlediska softwaru jednotné, byly jen rozdíly ve verzi OS (myslím že Windows NT 4.0 a 2000 nebo 2000 a XP) a verzi MS Office, ostatní snad bylo shodné. A byla povolená cesta ke spustitelným aplikacím, už si nepamatuju, zda bylo možné zadat prefix, a vše pod ním už bylo povolené, nebo zda se skriptem vypsaly všechny programy z C:\Windows a C:\Program Files. Ale pak se to myslím přestalo používat, protože se tam začalo učit programování a tím pádem nebylo možné zakázat spouštění neznámého software. Ale je možné, že jsem měl jenom štěstí na uživatele, kteří chápali, že nejhorší, co může nějaký vir v síti udělat, je to, že smaže jejich data. A je také pravda, že tenkrát té havěti bylo míň. Nicméně pořád si myslím, že pokud má ten uživatel k dispozici aktuální software, a přesto spustí nějaký vir, je otázkou především to, co na tom počítači vlastně dělal.
    Jendа avatar 27.1.2015 21:00 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    K tomu, aby člověk smazal soubory na sdíleném úložišti, stačí chvilková nepozornost. K tomu, aby spustil nějaký vir, je potřeba té nepozornosti mnohem víc.
    Na běžném Linuxu je to bohužel dost jednoduché. Mně se to stalo když jsem používal GTK archivátor Squeeze. Klikl jsem na .py v zipu a zeptalo se to, jestli to chci rozbalit nebo otevřít. Dal jsem otevřít samozřejmě v očekávání, že se zobrazí textový editor. Ne, samozřejmě to spustilo Python.

    Nebo třeba stačí bouchnout v mc do entru nad souborem který má X práva (protože ho tak někdo rozbalil, byl tak na externím disku nebo se tak odněkud zkopíroval).

    V prvním případě vám nepomůže ani mountovat s noexec, v druhém ano, ale to nemusí být vždy možné, v podstatě kdykoli když si uživatel v $HOME kompiluje.
    OLED displaye - pod slůvkem organic se ukrývá dobře utajená skutečnost, že jde o buňky z dětských očí získané z potratů
    27.1.2015 22:16 Filip Jirsák
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    V obou případech jste ale nejdřív někde musel ten vir získat. Což je řekl bych ta největší komplikace.
    Jendа avatar 27.1.2015 23:19 Jendа | skóre: 77 | blog: Jenda | JO70FB
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    V prvním případě jsem stahoval nějaké příklady na Python (potenciálně nedůvěryhodný web, proto jsem si taky chtěl ten zdroják přečíst než to spustím), ve druhém to byla cizí flashka.
    OLED displaye - pod slůvkem organic se ukrývá dobře utajená skutečnost, že jde o buňky z dětských očí získané z potratů
    Max avatar 27.1.2015 23:21 Max | skóre: 69 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Jednak už od začátku píšu, že jsem proti filtraci odchozích spojení, nelíbí se mi řešení avastu apod. Dále, dostat vir do pc je jednoduché úplně stejně jako omylem něco smazat na síťovém disku. Resp. ze zkušenosti vím, že případ s virem je častější. A opravdu moc nezáleží na uživateli. Je tolik technik, jak uživateli něco podvrhnout, že není možné, aby byl úplně bdělý nonstop. Např. běžně lidé vyřizují třeba 100 mailů za den, někdy i více. Dost z nich jich má přílohu. Dost z nich je příloha zabalená. Když přijde mail od dhl.com s nápisem invoice v zipu, tak uživatel instinktivně kliká a windows easy featurky to jen zjednodušují. Osobně se považuji za obeznámeného a opatrného člověka, ale musím připustit, že jsem omylem také už něco spustil. Proto je dobrá prevence na všech frontách. Jinak co si tak pamatuji, tak AV u nás vždy zklamal. Vesměs toho nikdy moc nezastavil.
    Jinak veškerá havěť, co se kdy u nás objevila, tak přišla přes mail.
    Zdar Max
    Měl jsem sen ... :(
    28.1.2015 07:02 Filip Jirsák
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Na popisu na začátku vlákna mne nejvíc dráždil útok na HTTPS a SMTP/TLS komunikaci. K tomu z vašeho popisu nevidím důvod - používáte to?
    Max avatar 28.1.2015 07:26 Max | skóre: 69 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Ne, komunikace směrem internet je zakázána a je povolena jen proxyna. Na proxyně se aplikují různé acl, blacklisty apod. V případě https je blokována adresa serveru, v logu tedy není vidět úplně celá url, ale jen doména.
    Zdar Max
    Měl jsem sen ... :(
    28.1.2015 12:48 trekker.dk | skóre: 71
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Tak jak je to? V #9 píšete, že se u https filtrují jenom linky (url), tady zase, že je blokována jenom adresa serveru. A v obou případech - jak se ta proxy k těm informacím bez MITM dostane? U HTTPS bez MITM nevidí ani URL, ani doménu (pokud si ji nevytáhne ze SNI)
    Quando omni flunkus moritati
    28.1.2015 20:34 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle

    Tipoval bych, že od začátku myslí hostname/IP adresu, jenom tomu říká URL...

    IP adresa/hostname je ale v reálném světě prakticky k ničemu, pokuď tedy vynecháme totalitní režimy (ať už státní, či korporátní - domácí uživatelé většinou úplně netouží po tom, mít Internet filtrovaný Čínskou vládou, Maxem, Filipem Jirsákem nebo jinou "vrchností"...), kde se dostanete jenom na marginální množinu povolených domén. V reálném Internetu je potřeba znát skutečné URL a většinou i data samotná, aby se dalo hovořit o nějaké účinnosti detekce malware.

    Každý má právo na můj názor!
    Max avatar 28.1.2015 21:10 Max | skóre: 69 | blog: Max_Devaine
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Ahoj, moje chyba, špatně jsem se vyjádřil. Url se filtrují jen u http, u https jen doména/IP.
    Zdar Max
    Měl jsem sen ... :(
    27.1.2015 00:08 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Taky nechápu, proč je někdo přesvědčen, že někdo stáhne vir zrovna přes e-mail nebo přes HTTPS, a ostatní kanály ho nezajímají.

    Ostatní kanály (mimo mail a web) jsou co se šíření nákaz týče naprosto marginální.

    Když už se má něco kontrolovat, není lepší kontrolovat soubory na disku?

    To je samozřejmě základ, ale nestačí to. Zejména co se webu týče existuje spousta scénářů, kdy soubor s nákazou vůbec nemusí existovat (síť -> paměť).

    Taky mi není jasné, proč ti uživatelé mají taková práva, že mohou něco pokazit.

    On ten xkcd strip vůbec není mimo realitu...

    Každý má právo na můj názor!
    27.1.2015 08:57 Filip Jirsák
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Spousta scénářů? Které? Mne napadají pouze bezpečnostní chyby v prohlížeči nebo v jeho pluginech. Já se spíš bojím bezpečnostních chyb v antivirových programech, které mají typicky mnohem větší práva, než webový prohlížeč.
    27.1.2015 10:24 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Které? Mne napadají pouze bezpečnostní chyby v prohlížeči nebo v jeho pluginech.

    Přesně ty.

    Každý má právo na můj názor!
    26.1.2015 08:44 mimi.vx | skóre: 37 | blog: Mimi.VX | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle

    tak bez podpory ssl2 kompiluji openssl uz roky vsechny rozumne distribuce a ssl3 povypinali vsichni loni v zime ...

    USE="-gnome -kde";turris
    David Watzke avatar 26.1.2015 12:36 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    FYI: nahlásil jsem to avastímu supportu a požádal jsem o přidání informací o tomto chování do dokumentace / nápovědy (prostě do nějakého dokumentu, který při instalaci bude uživateli nabídnut k přečtení).
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    28.1.2015 14:10 Lyco | skóre: 14 | blog: Lyco
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Dík, občas se hodí mít známé na vysokých místech :). jestli můžeš, tak je popostrč taky k tomu aby zkontrolovali ten certifikát. Vážně pochybuju že scanování https vyžaduje zavádění kódu do jádra a spol. A taky by to chtělo jednoduchý způsob jak ten cert. odstranit - třeba když tu funkci vypnu.
    Příspěvek se rázem stává až o 37,5 % pravdivější, je-li pod ním napsáno reálné jméno.
    28.1.2015 19:31 Lol Phirae | skóre: 23
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Dík, občas se hodí mít známé na vysokých místech :)
    http://feedback.avast.com/ https://forum.avast.com/

    Vážně to čtou a reagují.
    David Watzke avatar 28.1.2015 19:32 David Watzke | skóre: 74 | blog: Blog... | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    Není zač. Mimochodem, support avastu je dostupný pro všechny a je tam sekce i pro připomínky, když se k tomu proklikáš.
    “Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon
    28.1.2015 20:50 Martin Tůma | skóre: 38 | blog: RTFM | Praha
    Rozbalit Rozbalit vše Re: Postfix, SSLv3, Avast a man in the middle
    A taky by to chtělo jednoduchý způsob jak ten cert. odstranit - třeba když tu funkci vypnu.

    Proč? Pokuď se někdo dostane k unikátnímu privátnímu klíči na vašem počitači (který je dostupný pouze s "admin" právy) aby s ním podepsal nějaký svůj certifikát, tak už opravdu není důvod se obávat nějakého dalšího průniku/úniku dat - vše už je dávno ztraceno... A pokuď nevěříte Avastu jako takovému, tak vypínat zrovna tuto funkci, když přes jaderné moduly má přístup ke kompletní paměti vašeho počítače ( kterou si může kdykoliv poslat "domů") i bez ní je jenom ztráta času...

    Každý má právo na můj názor!

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.