Portál AbcLinuxu, 19. července 2025 23:56


Bruce Schneier o Comodo

Bruce Schneier, světově uznávaný odborník na počítačovou bezpečnost, se ve svém blogu také zabývá problémem falešných certifikátů vydaných partnerem Comodo: „Nejedná se o první problém společnosti Comodo. Nejbezpečnější by bylo, kdyby Microsoft, Mozilla, Opera a další dodavatelé webových prohlížečů kořenové certifikáty společnosti Comodo ze svých prohlížečů odstranili. To si ale nedovolí. Společnost Comodo by se s nimi začala okamžitě soudit.“

1.4.2011 07:46 | Ladislav Hagara | Zajímavý článek


Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

1.4.2011 08:48 fsgfdgsgfd
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Odpovědět | Sbalit | Link | Blokovat | Admin
Preco by sa mali sudit? Ja som si certifikaty odstranil a nikto sa so mnou este nechcel sudit.
1.4.2011 10:27 jc
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Mozna proto, ze mit cert CA v browserech a nemit znamena pro tyhle firmy byt ci nebyt. Kdyz ty certy z browseru odstrani tak to muzou zabalit a pripadny soudni spor je jejich posledni zoufala nadeje.
1.4.2011 10:12 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Odpovědět | Sbalit | Link | Blokovat | Admin
Od té doby byli kompromitováni další dva přeprodejci, potvrdilo to samo Comodo.

IMHO je celý systém certifikačních autorit z principu špatný. Já osobně bych 100x raději důvěřoval např. CACertu než komerčním certifikačním autoritám, ale CACert se do browserů bohužel nemá šanci dostat, člověk si ho všude musí přidávat sám :-( Ten systém je zvrácený.
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
1.4.2011 10:17 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Možná by byl i bezpečnější model (jak se uvádí v diskuzi pod blogem Schneiera), že by defaultně žádné certifikační autority nebyly důvěryhodné a člověk by důvěru schválil či zamítnul při první návštěvě stránky. Prostě podobný model jako u SSH. Riziko MITM by tak možná bylo celkově nižší (pouze při oné první návštěvě).
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
1.4.2011 11:30 Jirka W
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Bylo by to jen další okno, které by uživatelé automaticky odklikávali. Ono stačí, že si při prohlížení každé druhé htpps:// stránky musíte povolit další kořenovou certifikační autoritu.
1.4.2011 11:47 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Pokud by při první návštěvě šlo o nějaké normální dialogové okno, ale při případné neočekávané změně (pokud již stránka byla dříve navštívena) by to naopak zobrazilo nějakou děsivou červenou stránku o útoku, bylo by to ve výsledku opravdu možná bezpečnější i pro lidi co jinak vše bezmyšlenkovitě odklikávají. Naučili by se odklikávat jen ten obyčejný dialog při prvním zobrazení, ale varovná rudá stránka (která se normálně nezobrazuje a tedy nejsou navyklí ji odklikávat) by je už mohla vystrašit.

Jistě, pořád by hrozil MITM při tom potvrzení při prvním zobrazení stránky, ale celkově vzato si myslím, že by to bylo ve výsledku možná opravdu bezpečnější než současný systém.
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
1.4.2011 11:40 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Take si myslim, ze model jako u SSH by byl bezpecnejsi. Soucasny model, kdy certifikat se muze zmenit, aniz by uzivatel byl jakkoliv upozornen, jenom na zaklade to ho, ze novy certifikat je od nektere z mnoha 'akceptovanych' CA, ktera s cilovym objektem nemusi mit nic spolecneho, je dost padly na hlavu.
1.4.2011 10:25 jc
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Ti dalsi dva preprodejci nebyli kompromitovani pote, ale spis pred tim. Viz:

http://pastebin.com/kkPzzGKW
1.4.2011 10:25 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Jo a ještě jeden postřeh - vlády ani nepotřebují hackovat se do serverů CA. Jaký by asi byl problém pro vládu nějaké země vynutit si tajně schválení certifikátů (pro účel MITM) v CA která spadá pod jejich jurisdikci? Odůvodněné by to samozřejmě bylo klasickým strašákem terorismu nebo dětského porna.
Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
Bilbo avatar 1.4.2011 11:55 Bilbo | skóre: 29
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Spíš se to chce zeptat kde se tak ještě neděje. Např. běžně jsou v prodeji komerční řešení, kdy je ve firmě HTTPS provoz monitorován a patřičná proxy generuje potřebné certifikáty za běhu. Tam je sice potřeba do browserů ve firmě docpat certifikát té proxy, ale to není problém :)

No a pokud se tam nahodí místo toho kořenový certifikát klasické CA .....
Big brother is not watching you anymore. Big Brother is telling you how to live...
Jendа avatar 1.4.2011 15:24 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Mírně offtopic technická: pokud můžeš na klientské počítače nainstalovat svůj certifikát, můžeš tam taky rovnou nainstalovat normální keylogger a nemusíš blbnout s MITM.
Bilbo avatar 1.4.2011 15:56 Bilbo | skóre: 29
Rozbalit Rozbalit vše Re: Bruce Schneier o Comodo
Účelem těchhle technologií ve firmách ale je spíše aby zaměstnanci v pracovní době nelezli na facebook a podobné ptákoviny, případně aby nevynášeli data např. přes webmail někde (tedy čas od času podobnou komunikaci zaříznout a zalogovat že se někdo o něco pokusil a ne se snažit krást zaměstnancům hesla). Keylogger nijak nezabrání aby někdo lezl na stránky kam nemá a narozdíl od podobné proxy by už byl asi za hranicí zákona.
Big brother is not watching you anymore. Big Brother is telling you how to live...

Založit nové vláknoNahoru


ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.