abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 13:55 | Komunita

Nadace The Document Foundation (TDF) zastřešující vývoj svobodného kancelářského balíku LibreOffice zveřejnila čtyřiapadesátistránkovou výroční zprávu za rok 2019. K dispozici je v nízkém (6,4 MB) i vysokém (53,2 MB) rozlišení. Nadace také publikovala statistiky související s LibreOffice 7.0. Před týdnem vydaná verze byla z oficiálních stránek stažena již 423 tisíckrát.

Ladislav Hagara | Komentářů: 0
včera 13:33 | Zajímavý článek

Když se řekne „jmenný prostor“ hodně lidí si představí xmlns v XML nebo balíčky v Javě odvozené od internetových domén. Jmenné prostory jsou ale obecný koncept se kterým se setkáme prakticky všude a odvozovat je můžeme i jinak. Článek Jména a jmenné prostory dává toto téma do souvislostí a ukazuje různé způsoby tvorby jmenných prostorů. Nahlédneme i do zajímavého světa RDF a ukážeme si, jak vytvářet URI, která budou globálně unikátní jednou provždy.

xkucf03 | Komentářů: 0
včera 08:00 | Nová verze

Po více než čtyřech měsících vývoje od vydání verze 5.4 byla vydána nová verze 5.5 svobodného open source redakčního systému WordPress. Kódové označení Eckstine bylo vybráno na počest amerického jazzového zpěváka Billy Eckstine.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Nová verze

Po půl roce vývoje od vydání verze 1.14 byla vydána nová verze 1.15 programovacího jazyka Go (Wikipedie). Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 01:10 | Nová verze
Vyšla nová verzia Firefox 79.0.3 pre android. Prináša zmenené rozhranie (práca s taby, vytváranie kolekcií stránok a možnosť mať hlavnú lištu už aj dole na obrazovke). V backhand zaujme používateľa, že odsek vie zalamovať podľa šírky obrazovky. (viac)
debian+ | Komentářů: 13
11.8. 18:00 | Komunita

Mitchell Baker v příspěvku Changing World, Changing Mozilla na blogu Mozilly píše o měnícím se světě a měnící se Mozille aneb výrazné restrukturalizaci společnosti Mozilla Corporation. Propuštěno bude 250 zaměstnanců.

Ladislav Hagara | Komentářů: 42
11.8. 17:00 | Zajímavý článek

O novince Swap na ZRAM, jež se objeví ve Fedoře 33, píše Vojtěch Trefný na MojeFedora.cz. Ve výchozí instalaci Fedory bude swap, neboli odkládací prostor, vytvořen již pouze na ZRAM, neboli komprimován v paměti.

Ladislav Hagara | Komentářů: 13
11.8. 16:00 | Nová verze

Po více než 6 letech byla vydána nová verze 2.4.0 open source 2D fyzikálního enginu Box2D (Wikipedie). Videopředstavení na YouTube.

Ladislav Hagara | Komentářů: 2
11.8. 09:00 | Bezpečnostní upozornění

Příspěvek na blogu společnosti Check Point Software Technologies informuje o více než 400 zranitelnostech v SoC Snapdragon od společnosti Qualcomm. Detailněji v přednášce na YouTube z letošní konference DEF CON.

Ladislav Hagara | Komentářů: 9
11.8. 08:00 | Nová verze

Projekt KDE neon poskytuje oficiální sestavení prostředí Plasma a aplikací pro uživatele nebo vývojáře, testery aj. Základem systému je Ubuntu s dlouhodobou podporou, nově 20.04 „Focal Fossa“. Povýšení z předchozího 18.04 je možné. Jelikož obsahuje nejnovější vydání z upstreamu, závisí také na novější verzi knihoven Qt, což může v některých případech vést ke konfliktům s balíčky aplikací z repozitářů Ubuntu; např. Plasma 5.19 závisí na Qt 5.14 namísto verze 5.12 dostupné v Ubuntu.

Fluttershy, yay! | Komentářů: 0
Dokážete si představit, že by váš hlavní počítač (desktop, notebook) byl v současné době založen na architektuře jiné než x86 (x86_64)? Například ARM, POWER, RISC-V,…
 (13%)
 (12%)
 (55%)
 (14%)
 (5%)
Celkem 243 hlasů
 Komentářů: 14, poslední 10.8. 19:58
Rozcestník

SSL - je vaše bezpečné připojení opravdu zabezpečené?

15. 6. 2006 | Tomáš Bartoň | Bezpečnost | 21518×

"Nějaký bezpečnostní klíče mi můžou bejt ukradený" řekne si průměrný uživatel počítače a zvesela odklikne firefoxí varování o neověřeném klíči a odešle nevědomky svá data prvnímu snifferovi na lince. Bylo to opravdu nutné? Stačilo pouze kliknout o jediné tlačítko vedle a jeho data by zůstala v bezpečí...

V tomto případě tkví problém v nevědomosti uživatelů, kteří většinou netuší, že připojení zabezpečené pomocí SSL je možné obejít několika docela jednoduchými triky. Ten nejjednodušší bych v modelové scéně popsal.

Mějme situaci, kdy se útočník dostane na router, firewall (či nějaký jiný průchozí stroj). Může pomocí sniffování získat veškerá data procházející počítačem, pokud nejsou zašifrována. Když ale vidí, že se někteří uživatelé připojují na služby zabezpečené pomocí SSL, má v zásadě dvě možnosti. A to vykašlat se na to, nebo 'přepojit' uživatele přes svůj vlastní rádoby SSL server. A jak teď na to? Více napoví následující vyobrazení (berme v potaz https připojení):

ssl info nakres
Nákres zpracoval Richard "Ricardo" Szlachta

Jak je vidět, uživatel si pouze myslí, že se připojuje k serveru, zatímco je napojen na záškodnické zařízení, kde je jsou jeho data rozšifrována, přečtena, znovu zašifrována a odeslána na server.

Nejdříve je tedy potřeba uživatelskou komunikaci přesměrovat někam, kde se s ní dá pracovat. Třeba na localhost routeru. To provedeme jednoduchou změnou netfilteru:

iptables -t nat -I PREROUTING -d server -p tcp --dport 443 \
         -j DNAT --to 192.168.100.1:1111

Nyní pokaždé, když se uživatel připojí na server, bude cesta jeho dat končit na portu 1111 v routeru. Sem musíme připojit koncové zařízení SSL, ke kterému bychom napojili uživatele. To uděláme pomocí programu stunnel, který se používá k 'obalování' nešifrovaného toku dat SSL vrstvou. Vytváří něco jako tunel, jehož jedna strana je šifrovaná a druhá ne. Jeho použití:

stunnel [-d [ip:]port -r [ip:]port -c]

     -d [ip:]port    port k naslouchání na localhostu. Parametr ip,
                     pokud není uvedeno jinak, je localhost.
     -r [ip:]port    port a ip, na které se má stunnel připojit,
                     pokud mu přijde spojení na naslouchací port
                     (uvedený parametrem -d). Ip, pokud není
                     uvedeno jinak, je nastavena na localhost.
     -c       stunnel se bude chovat jako klient. Určuje,
                     na které straně bude spojení šifrované pomocí SSL.
                     Pokud je uvedené, bude šifrovaná strana vzdálená
                     (určená parametrem -r), výchozí je spojení
                     šifrované na straně naslouchací (-d).

Pozn. Já používám verzi 3.26., protože nová verze používá místo klasického nastavení pomocí konfiguračních parametrů jakési soubory, které jsou podle mne zdlouhavé na tvorbu. Nicméně, pokud by někdo chtěl použít novou verzi, tak ho mohu odkázat na manuál k stunnel ;-).

Pro správné fungování stunnel jako serveru je ještě nutné vlastnit podepsaný certifikát. Je možné vytvořit vlastní, nicméně to má docela velkou chybu, o které ale až ke konci článku. Ať už někde certifikát seženeme, či si vytvoříme vlastní, je potřeba ho programu stunnel představit. A to buď nahrát do výchozího umístění (u mne /etc/ssl/certs/stunnel.pem) nebo určit pomocí parametru -p.

Pro naše účely tedy použijeme:

stunnel -d 1111 -r 1112

Nyní máme na portu 1112 nešifrovaná data. Ta je potřeba ale zase zašifrovat a poslat k serveru:

stunnel -c -d 1112 -r server:443

Toto lze použít pouze v případě, kdy má router stejnou IP adresu, jako by měla data před naším zásahem -> tzn. je routerem. Pokud to tak není, je třeba ještě správně nastavit zdrojovou adresu, aby to na serveru nevypadalo moc podezřele...:

iptables -t nat -I POSTROUTING -p tcp --dport 443 \
         -d server -j SNAT --to client

Nyní už stačí jen spustit sniffer na portu 1112 a máme veškerá data uložena na disku.

Má to ale celé jeden háček. Pokud nepoužijeme v stunnel certifikát podepsaný nějakou autoritou, bude uživatel upozorněn a vybídnut k odmítnutí spojení a proto touto technikou nedokážeme ošálit pozorného uživatele, který nebude zbrkle klikat ve svém prohlížeči na "Přesto přijmout" a námi podvržený certifikát odmítne.

ssl firefox

A jak se proti něčemu takovému bránit? Velice jednoduše. Ať už SSL používáme pro cokoli, je vždy vhodné si zkontrolovat informace o použitém certifikátu, nebo se alespoň nechat upozorňovat na změnu v certifikátu a cokoliv podezřelého odmítnout!

Závěr

Doufám, že článek dal někomu potřebné informace k udržení svého soukromí v hlubokých vodách internetu plných zrádných mělčin a dravých žraloků. Důležitost SSL není vhodné opomíjet, pokud nám na našich datech záleží...

       

Hodnocení: 85 %

        špatnédobré        

Nástroje: Tisk bez diskuse

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

15.6.2006 01:15 washeck | skóre: 4
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Když už někdo píše o SSL, měl by si zjistit, jaký je rozdíl mezi šifrováním a kódováním. Klidně se vsadím, že kódováná jsou i data uživatelů, kteří na bezpečnost kašlou :)
15.6.2006 07:18 camlost | skóre: 7
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Přesně tak.

Mimochodem, dosud jsem žil v domění, že abclinuxu.cz už vyrostlo z období, kdy bylo jen pro pár pubescentů, u nichž lze vazby ve stylu "může se na to vykašlat" tolerovat. Ale asi se pletu. Mizerný článek. :-(
A slow biker.
15.6.2006 08:21 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Vítám konkrétní připomínky k článkům. Jenže v tvém příspěvku vidím spíše všeobecné plivnutí než rozumnou kritiku. Pokud tvému jemnocitu nesedí použití hovorové mluvy, je mi to líto a beru to na vědomí, ale přesto jsem přesvědčen, že se nejedná o nic nehorázného. Pokud se však ozve více lidí, příště autorům podobnou věc v článku neponechám.

Máš nějaké další výtky, které by vysvětlovaly tvé tvrzení, že jde o "mizerný článek"?
15.6.2006 08:45 Tomáš | skóre: 30 | blog: Tomik
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Přimlouvám se za nahrazení kódování -> šifrování. Přeci jenom jsou to dvě odlišné věci a i člověk neznalý věci zná slovo 'šifrování'.
hwsoft avatar 15.6.2006 08:52 hwsoft | skóre: 19
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Z meho pohedu dobry clankek pro normalni ctenare, guru ho nepotrebuje, guru vi.

Nektere fakticke postrehy tu jsou, ale je pravda, ze obcas je dobre dat nektere vyrazy do uvozovek, aby nektere lidi nedrazdily.
17.6.2006 09:04 camlost | skóre: 7
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Roberte, promiň, ale pokud někdo napíše, že je článek mizerný, objeví se pod tímto komentářem tvá reakce ve stylu "vítám konkrétní přípomínky, ale u tebe vidím jen plivnutí" (tohle není první případ - a ne, skutečně nebudu procházet diskuse a hledat, kde jinde jsi to napsal).

Co ti připadá nekonkrétního nebo příliš obecného?

Jednak jsem neopakoval obsah příspěvku, na který jsem reagoval, místo toho jsem s ním vyjádřil souhlas. To mi připadá poměrně konkrétní.

Co se týče těch výrazů... tobě se to líbí, mně ne. S pocitem, že máš jiný vkus, dokážu žít docela dobře. ;-)

A k vlastnímu článku... když někdo popisuje man-in-the-middle attack, resp. postup, jak ho provést, pro koho je tento článek určen? Pro běžného uživatele? Nebo pro admina, čili člověka s poměrně hlubokými znalostmi v oboru? Já jsem tam čekal něco pro toho admina. No... a z článku jsem si odnesl jen to, že když chci použít stunnel, mám se mrknout do manuálu na parametry. Hmmm. Promiň, ale to je málo.

Mno, takže když vezmu v úvahu obsah a formu, výsledný dojem je špatný. Ale je to jen můj názor, se kterým samozřejmě nemusí nikdo další souhlasit. Ostatní reakce jsem zatím nečetl, tak nevím, jestli jsem jediný. :-)

Koneckonců, jsi šéfredaktor (?), takže pokud chceš jen oslavné komentáře, tak mi administrativně zakaž přispívat, nebo diskuse moderuj a nevhodné příspěvky maž.
A slow biker.
17.6.2006 09:53 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
V tomto tvém komentáři se dozvídám důvody toho, proč jsi článek označil za mizerný. Máš pochopitelně možnost i právo o článku napsat jen to, že ti připadá mizerný a dál to nerozvádět, ale pak mi to přijde vůči autorovi nefér. Nemyslíš, že by bylo lepší napsat ty důvody rovnou do prvního komentáře?
pokud někdo napíše, že je článek mizerný, objeví se pod tímto komentářem tvá reakce ve stylu "vítám konkrétní přípomínky, ale u tebe vidím jen plivnutí"
Ano, pokud se skutečně jedná o pouhé plivnutí. Reaguji tak tehdy, když někdo vloží pod článek komentář, ve kterém není kritika, nýbrž pouhé odsouzení - aniž by připojil, co ho k takovému hodnocení vede. Kdyby sis přeci jen chtěl dát tu práci s prohledáváním diskuzí, objevil bys také spoustu kritických komentářů, ke kterým jsem se nijak nevyjadřoval. To proto, že v nich bylo řečeno, co je na článku špatného. Pak nemám důvod se autora zastávat, protože je na něm, aby svůj výtvor obhájil.
Koneckonců, jsi šéfredaktor (?), takže pokud chceš jen oslavné komentáře, tak mi administrativně zakaž přispívat, nebo diskuse moderuj a nevhodné příspěvky maž.
Připadáš si ukřivděně, že jsem se ozval proti tvému komentáři, a proto teď vymýšlíš podobné nesmysly? Ty jsi plivl na článek, mně se to nelíbilo; tak nebuď ublížený a nepodsouvej mi nějakou administrátorskou zvůli.
20.6.2006 09:56 camlost | skóre: 7
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Ale vubec ne (dnes pro zmenu bez diakritiky). Uz jsem absolvoval tolik flamewars (LianeBBS napr., board czflames ;-)), ze si ublizene oprvdu nepripadam. Ber to jako uprimny navrh, jak lze resit nastalou situaci. :-)

Mimochodem, uz jsme hodne daleko od tematu, navrhuju, abych v pripade potreby pokracovali jinde (mail na me mas, takze treba tak).
A slow biker.
15.6.2006 09:29 tommz | skóre: 14 | Haviřov, Prostřední suchá, Říjnová 2
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Omlouvám se Vám, že jsem se snažil článek trochu zdramatizovat, příště se to rozhodně už nestane.

ad. kódovaní x šifrování : Pro normálního člověka jsou tato dvě slova stejného výrazu. Pro mne taktéž. Zakódovat nějaký text x Zašifrovat nějaký text. Jaký je mezitím rozdíl ? Prakticky žádný ... A navíc nemám rád, když se jedno slovo v textu přílišně opakuje.
15.6.2006 09:34 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Jaký je mezitím rozdíl ? Prakticky žádný ...
To bohužel není příliš šťastný přístup, protože ačkoliv je v kontextu článku zřetelně patrné, co je tím myšleno, přesto nejde o synonyma.
Petr Tomášek avatar 16.6.2006 10:43 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Právě, že o synonyma jde. Ukazuje to, že jazyk je závislý na svém kontextu a nelze jej zakonzervovat do nějakého oficiálního slovníku!
multicult.fm | monokultura je zlo | welcome refugees!
16.6.2006 14:07 Hynek (Pichi) Vychodil | skóre: 43 | blog: Pichi | Brno
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Argument by nebyl. Dokud to nepodložíte nějakým argumentem, tak si to tu můžete napsat třeba stokrát. šifrovat a kódovat synonyma nejsou i kdyby jste se na hlavu postavil a argumentem je libovolná učebnice teorie informace.
XML je zbytečný, pomalý, nešikovný balast, znovu vynalézané kolo a ještě ke všemu šišaté, těžké a kýčovitě pomalované.
19.2.2007 23:30 Sionex
Rozbalit Rozbalit vše Code vs. Shiffer
A co takle "Šifra mistra Leonarda" vs. "The Da Vinci Code" ... hm :) ?
Martin Ždila avatar 15.6.2006 10:21 Martin Ždila | skóre: 10 | Košice, Slovensko
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
napr.:
  • text sa koduje pomocou ASCII tabulky do postupnosti bitov
  • postupnost bitov sa sifruje pomocou SSL kluca
15.6.2006 11:22 Jan Kundrát (jkt) | skóre: 27 | blog: jkt | Praha - Bohnice
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Omlouvám se Vám, že jsem se snažil článek trochu zdramatizovat, příště se to rozhodně už nestane.
Pokud narazis na ty hovorove vyrazy, smele v nich pokracuj.
Petr Tomášek avatar 16.6.2006 10:49 Petr Tomášek | skóre: 38 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
+1
multicult.fm | monokultura je zlo | welcome refugees!
15.6.2006 12:04 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
kódování = převod do nějakého systému znaků – např. kódování iso-8859-2, UTF-8, ASCII, quoted-printable, BASE64 atd.

šifrování = skrytí obsahu, utajení, s možností následného rozšifrování se znalosí správného klíče, hesla apod.

Každé je to něco úplně jiného, jaký je mezi nimi rozdíl rozumně popsat nedokážu, je to jako popisovat rozdíl mezi jablkem a krumpáčem ;-)
25.3.2009 10:59 Praedo
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?

Kódování a šifrování je naprosto stejná činnost, pouze se v různém kontextu pro tuto činnost používá různé označení, aby bylo zřejmé, za jakým účelem se tato činnost provádí. Kódování je převod symbolu na jiný symbol např. znak 'A' na 0x41. Stejně tak šifrování je převod symbolu na jiný symbol např. 'A' -> F#%.

MaT avatar 15.6.2006 23:31 MaT | skóre: 28
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Tak to prr, kódování a šifrování je opravdu něco jiného - a to dost podstatně. Pro laika může mít obojí podobný důsledek - že si to nepřečte. :-) Ale v takovémto článku by se toto rozlišovat mělo - chcete poučovat laiky? Tak to snad neznamená, že musíte prznit terminologii...

Btw: "slova stejného výrazu" - považujete "výraz" za synonymum k "význam"? Já tedy ne. :o)
Open source software for open minded people. :-)
Petr (DotaZ) Jakubec avatar 16.6.2006 07:32 Petr (DotaZ) Jakubec | skóre: 5
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Nesmysl,

clanek je zajimavy. Sloh se treba da i vylepsit, ale necetl jsem to kvuli cestine. A kodovani/sifrovani? - nu tady to asi neokecame, to je treba opravit.

Clanek me tudiz zaujal. Jednoduchou pochopitelnou formou mi sdeluje, ze mam dbat na ty podivne okynka co mi vyskakuji pri pripojovani do banky :-)

Jen mi tam chybi jak se da rucne overit certifikat, resp. proste vice rozvest ochranu proti tomuto "vylepsenemu" pripojovani.
22.6.2006 10:34 jacobs
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
No to je prave problem vetisny podobnych clanku. Clanek jsem necetl cely (neprisel mi zajimavy), ale snad kazdy clanek se "sokujicim" odhalenim, ze i na SSL se da delat MIM konci v lepsim pripade s radou, ze mate kontrolovat fingerprint certifikatu nebo si nechat hlasit zmeny (coz v prostredi kde od zacatku pouzivani prohlizce nekdo dela MIM neni moc platne).

Ona asi ani lepsi obrana neni (nebo nekdo o necem vite?), ale za poslednich par mesicu jsem cetl par podobnych clanku a vsechny mely nadech reportazi z TV nova - odhaleni neceho sokujiciho, co tu s nami ale uz je vlastne od zacatku celeho SSL. Dokonce jsem byl cca pred pul rokem na nejake konferenci o bezpecnosti, kde neco podobneho na zaver predvadeli jako "hackovaci perlicku" :-(
22.6.2006 21:49 Michal Kubeček | skóre: 71 | Luštěnice
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Přesto to má smysl. Z vlastní pedagogické zkušenosti vím, jak podstatný rozdíl je například mezi tím, když někomu řeknete, že komunikace pomocí POP3/FTP/HTTP/… není bezpečná, protože se dá všechno snadno odposlechnout, a tím, když jim názorně ukážete to heslo pomocí etherealu nebo podobného standardního nástroje, který je prakticky v každé distribuci. Je to sice jen demonstrace, ale psychologický efekt je velmi výrazný.
15.6.2006 11:21 Jan Kundrát (jkt) | skóre: 27 | blog: jkt | Praha - Bohnice
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Nesouhlasim, podobne vazby naopak velmi hezky ozivuji text.
15.6.2006 11:29 Espinosa | skóre: 24 | blog: Espblog | London
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Připojuji se k podpoře. Pokud se to nepřežene, a autor to nepřehnal, odlehčí to trochu jinak komplikovanou problematiku. Články na e-zinu jsou trochu něco jiného než manuál, úřední listina, nebo litera zákona.
15.6.2006 13:26 Jan Přech
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Taky si myslím. Jenom si vzpomínám, že se jednu dobu v Chipu (ještě v minulém tisíciletí, kdy jsem ten časopis četl), proměnily "Digitální fotoaparáty" v "Digitální foťáky", což byl posun, který už mi opravdu vadil. Ale v tomto případě úplně souhlasím s tím, že to autor nepřehnal a přijatelnou formou přistrčil svůj článek tam, kam svým zaměřením patří (na zem).

Mně se to líbilo.
Godot používá GNU/Hurd.
Mikos avatar 15.6.2006 15:21 Mikos | skóre: 34 | blog: Jaderný blog | Praha
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Také se připojuji k podpoře, článek napsaný hovorovou řečí se mi často líbí víc než suchý technický článek (ale nesmí v něm být faktické chyby... to šifrování/kódování by se mělo opravit).

Btw. vzkaz všem sucharům: Jděte do háje! ;-)
CETERUM CENSEO DRM ESSE DELENDAM Ostatně soudím, že DRM musí být zničeno!
16.6.2006 08:55 shimmi
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
I já se připojuji. I když vše bylo jinde již několikrát řečeno, článek je zajímavý. Jediná chyba je, že ža autor si popletl šifrování a kódování.

Jinak nemám rád navlékání se do kvádra a mluvení spisovně květnatě, za účelem zvýšení "profesionality" dotyčného. Ta je někde jinde.
22.6.2006 10:42 jacobs
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Ja naopak souhlasim. V tomhle kontextu mi prislo, ze to tam neplni ani tak ucel odlehceni jako spis ze to pak bude znit vic "cool". Just my 2 cents.
16.6.2006 15:52 Ricardo | skóre: 27 | blog: Ricardo | Horní Suchá
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
pubescentů
není člověk mezi 15 a 18 rokem života adolescent?

buď ty nebo já, jeden z nás dvou si plete pojmy a průjmy
My mind may be raving, my words may be void, but I am not afraid of being moderated below threshold!
17.6.2006 09:07 camlost | skóre: 7
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
PUBESCENT = klient ve vývojové fázi puberty. v jiném slovníku najdeš význam dospívající.
A slow biker.
15.6.2006 09:34 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Dík, opraveno.
Valoun avatar 15.6.2006 10:28 Valoun | skóre: 30 | blog: Psavec | Středočeský kraj
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Občas je částečně na vině i software. Vemte si třeba takový thunderbird. Používám v něm 4 různé IMAPy přes SSL. Ani jeden ovšem nemá nastvený SSL certifikát správně, a tak každé spuštění Thunderbirdu má za následek nutnost odklepnout 4 otravné dialogy.

Kdybych měl možnost zatrhnout - "přesto tomuto certifikátu věř, a zařvi teprve až se změní", tak bych třeba byl ochoten nad tím uvažovat. Takto prostě nemám zájem jakékoli SSL na vyšší úrovni používat (tj. kontrolovat certifikáty). Citlivá data zašifruji pomocí GPG a je vymalováno.
15.6.2006 11:37 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Kdybych měl možnost zatrhnout - "přesto tomuto certifikátu věř, a zařvi teprve až se změní",
To jako něco takového (Thunderbird 1.5.0.4, ale chovalo se to tak i v 1.0.x)?
Valoun avatar 15.6.2006 12:02 Valoun | skóre: 30 | blog: Psavec | Středočeský kraj
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Nikoli. Tohle když zatrhnete, tak to na Vás bude řvát dál, a to proto: certificate indicates to be coming from "nejaka.domena" but the server is "jina.domena", a proto musíš dát OK, nebo Cancel. Ale možnost "Neotravuj, už jsi mi to řekl 100000x" tam není.
15.6.2006 12:22 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Jo tohle. To se kdyžtak nechá obejít, stačí se připojovat k názvu počítače, který je v tom certifikátu (v tomto případě je CN nastaveno na imap.jaros.org a v nastavení účtu mám jako IMAP server také imap.jaros.org). Pokud ten počítač nemá takový záznam v DNS, nastavte si příšlušný alias v hosts - ale v tom případě jde opravdu v první řadě o lajdáctví správce IMAP serveru.
15.6.2006 12:25 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Aha, teď jsem se podíval na ten obrázek, localhost si asi opravdu pro něj jako alias v hosts nenastavíte...;-)

Správce toho serveru je evidentně prase...:-(
Valoun avatar 15.6.2006 12:47 Valoun | skóre: 30 | blog: Psavec | Středočeský kraj
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Souhlasím, já samozřejmě vím, v čem je problém. Tady jde o to, že já jako uživatel to neovlivním, a TB mě s tím dál otravuje. Ačkoli by bylo možné říci "ručně", že daný certifikát k danému serveru opravdu patří.

Je to jak kdyby mi firefox nadával při každém zobrazení nevalidní stránky. Otravuje to život a k ničemu mi to dobré není.

PS: Sám ani mail server nastavit neumím, natož abych věděl, jak je možné nastavit jej tak, aby pro každou doménu posílal jiný certifikát (častý problém u hostingů)
15.6.2006 14:31 Honza Jaroš | skóre: 6 | blog: moje_strana_plotu | Bohnice
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
PS: Sám ani mail server nastavit neumím, natož abych věděl, jak je možné nastavit jej tak, aby pro každou doménu posílal jiný certifikát (častý problém u hostingů)
Nevím, já sice doma provozuju na jednom IMAP serveru více domén, ale všichni (tři ;-) ) klienti se připojují na imap.jaros.org a název domény je až v uživatelském jménu. Neřeší to hostingy také tak? Že by něco jako virtuální servery na jedné IP adrese, jaké jsou např. u HTTP, fungovalo i u IMAP nevím, na druhou stranu příslušné specifikace jsem nijak zvlášť nezkoumal.

Na každý pád jak oni, tak já používáme Courier-Imap, oni očividně používají automaticky generovaný certifikát aniž by se obtěžovali změnit před jeho vygenerováním výchozí hodnoty. Také jsem tam tohle po instalaci měl; pokud si dobře pamatuju, stačilo poeditovat /etc/courier-imap/imapd.cnf a spustit mkimapdcert (pod Gentoo). Samozřejmě profi hosting by podle mého soudu měl mít certifikáty podepsané někým důvěryhodným...
michich avatar 15.6.2006 19:25 michich | skóre: 51 | blog: ohrivane_parky
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Vadi to vice lidem, a proto nekdo vytvoril rozsireni Remember Mismatched Domains
22.6.2006 10:55 jacobs
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečé připojení opravdu zabezpečené?
Haleluja! Tak neco takoveho jsem si uz dlouho pral :) Diky za tip...
19.6.2006 22:00 Pavel Janousek
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
A k cemu potom trapite sve elektrony k SSL?!
15.6.2006 14:17 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Nene, me to taky stvalo. Screenshot nemam, ale jde o to, ze TB krici, ze certifikat je vydan pro "ssl.atlas.cz", ale server, ke kteremu se ma pripojit je "imap.atlas.cz".

A tahle hlaska sama o sobe vypnout nejde, avsak resenim je proste zmenit adresu serveru na tu spravnou (ssl.atlas.cz).

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
15.6.2006 14:20 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Tak koukam, ze uz me ostatni predbehli.

Ovsem pokud je adresa schvaleneho serveru "localhost", tak pak je kazda rada draha.

Ja tohle resil u svy domeny, pouzil jsem skripty dodany k cyrus-imap a to mi vygenerovalo klice pro "gavanet.org". Asi by to slo zmenit na ssl.gavanet.org, ale nevadi mi to, stejnak jsme asi jedinej kdo to SSL pouziva.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
16.6.2006 09:58 David Jež | skóre: 42 | blog: -djz | Brno
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
On je totiž problém ještě někde jinde. Obluda, Fretka i Hromový Pták :-) pracují s certifikáty značně nešťastně. V certifikátu je možno uvést více záznamů, např. více E, CN apod. Jenže Obluda bere pouze první CN záznam a na ostatní už se nedívá. Proto pokud používám jeden certifikát pro moje.domena.tld i www.domena.tld tak Obluda bude vždycky na www hystericky ječet. A Fretky si zase od jisté verze usmyslely, aby v tom byl ještě větší bordel, že nejinteligentnější bude brát pro změnu poslední certifikát :-(. Řešením je oželet veškeré aliasy a nechat pouze jeden CN záznam a doufat, že to bude fungovat. V opačném případě si stěžuje vždy jiná část uživatelů a já se divím proč, když mi to funguje...

Další zrada v SSL tkví v tom (viz prý ,,zázračný`` m$ firewall, který sleduje i SSL spojení a jiné), že v prohlížeči je default napráskána tuna naprosto pofidérních autorit, které jsou v zápalu bakšiše schopny podepsat naprosto cokoliv. Může se tedy lehce stát, když bude někdo hodně neodbytný a trpělivý, že mu některá z ,,autorit`` podepíše i evil certifikát. Zde je řešením nechat si v prohlížeči pouze autoritu vlastní, případně pár dalších, kterým důvěřujeme a jinak si raději ukládat certifikáty serverů. Pokud se potom změní, je to vidět. Jinak by ale došlo k tomu, že při změně za nějaký bordel, který je ale podepsán, ale někým úplně jiným, by mu prohlížeč bezmezně věřil dál.
-djz

"Yield to temptation; it may not pass your way again." -- R. A. Heinlein
15.6.2006 10:55 muffin
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Vsichni tu plivou na clanek, ale mne se libil. Diky.
15.6.2006 13:57 Ricardo | skóre: 27 | blog: Ricardo | Horní Suchá
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
řekl bych, že neplivou, nýbrž sdělují své názory. a to především formou konstruktivní kritiky, což není imho plivání
My mind may be raving, my words may be void, but I am not afraid of being moderated below threshold!
15.6.2006 22:44 Radek Hladik | skóre: 20
Rozbalit Rozbalit vše Re: SSL - je vaše bezpečné připojení opravdu zabezpečené?
Nedá mi to, abych nenapsal můj postřeh k článku. Článek je po technické stránce správně, až na to kódování/šifrování samozřejmě. Ale očekával bych ho jen jako praktickou ukázku pro doplnění článku, který bude víc podrobný. Hodnota celého článku jde shrnout do pár vět typu "SSL/TLS je náchylné na man-in-the-middle útok, pokud si obě strany neověří certifikáty důvěryhodným způsobem. Dá se to udělat například pomocí iptables, DNATu a stunnelu..."

Človek znalý věci se usměje, že tohle přeci dávno zná a člověk neznalý by ocenil navíc i popis, co to je man-in-the-middle, proč se certifikáty podepisují, jak je důvěryhodně ověřit a tak, jinak tento článěk zůstává plácnutím do vody na populárně zajímavé téma...

Radek
16.6.2006 08:23 Peto2 | skóre: 15
Rozbalit Rozbalit vše Digitalny podpis?
Priatelia, predpokladam, ze sa tu najdu odbornici. Mohli by ste mi poradit otvorenu technologiu digitalneho podpisu pre autentifikaciu PC voci webovej stranke a zabezpecene spojenie? Alebo aj viacej technologii.
16.6.2006 10:16 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Digitalny podpis?
SSL :-) Zabezpečené spojení na bázi SSL/TLS certifikátů implementuje protokol https, volitelnou součástí je autentizace klienta klientským certifikátem. Příslušná implementace závisí na tom, o jaký webový server se jedná a o jaký klientský prohlížeč – např. Firefox, Mozilla, MSIE autentizaci klientským certifikátem umí a přepdokládám, že ot samé platí i pro ostatní rozšířené prohlížeče. Ohledně serverů, vím, že to určitě umí Jetty, Apache na to předpokládám taky bude mít nějaký modul…

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.