Podvodné certifikáty od CNNIC

Google na svém blogu věnovaném počítačové bezpečnosti informuje o podvodných certifikátech vydaných pro několik svých domén. Podvodné certifikáty byly vydány certifikační autoritou CNNIC (China Internet Network Information Center) a byly revokovány jak v Chrome, tak ve Firefoxu (Mozilla Security Blog).

Komentáře

Chápu to správně, že "byly revokovány" znamená, že ve FF 37 nebudou a do té doby si to můžeme tak leda zakázat ručně?

24.3.2015 16:18 mif
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Firefox uz davno nepouzivam na bezpecne browsovanie. Jednak tam mam naloadovanych dost doplnkov a ich security fixi su ovela pomalsie ako na Chrome

24.3.2015 19:27 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

a ich security fixi su ovela pomalsie ako na Chrome

Škoda že nie si registrovaný, začal by som zbierať tvoje hlody.

KERNEL ULTRAS video channel >>>

24.3.2015 23:06 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Uzavřené Chrome bych si tedy nenainstaloval už z principu, ale otevřené Chromium rozhodně bezpečnější než Firefox je, a to už dlouhodobě. Stačí se podívat na soutěže jako Pwn2Own a podobné, poslední ročníky vždy nejvíc kritických chyb najdou v Internet Exploreru (což se dá vždy předpokládat ;-)

), následuje Firefox a Chrome z toho vychází jako nejbezpečnější. Googlu se prostě vyplácí, že za nalezení kritických bezpečnostních chyb v Chrome/Chromiu vyplácí lidem tučné odměny. Navíc má Chrome/Chromium i podstatně lepší model izolace (co tab to samostatný sandboxovaný proces) než Firefox.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

25.3.2015 15:56 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Ty naozaj veríš firme ktorá je poplatná NSA, že tam nie sú zadné vrátka? Nevidím dôvod aby tam neboli.

KERNEL ULTRAS video channel >>>

26.3.2015 09:48 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Chromium je opensource, můžeš se podívat sám. A minimálně při těch soutěžích jako Pwn2Own by je někdo s velmi vysokou pravděpodobností v kódu našel.

Btw. ta přehnaná paranoia vůči Googlu je fakt mimo, znám pár lidí co dělají v Googlu a z vyprávění od nich vím, jaké obrovské tanečky se tam spustili po Snowdenových odhaleních, aby NSA/GCHQ znemožnili dál odposlouchávat komunikaci. Rozhodně neříkám, že Google je svatý (navíc u americké společnosti nikdy nevíte, jestli nedostane NSL dopis a nezbude jim nic jiného, než se vládě podřídit), ale to co předvádíte je k smíchu.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

26.3.2015 12:03 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Mám k tomuto projektu vyslovený odpor a nie len kvôli backdoorom, ale aj použiteľnosti.

KERNEL ULTRAS video channel >>>

26.3.2015 11:02 nsus
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Ne ze bych nejak zvlast miloval google, ale dival ses nekdy v kterem state je mozilla foundation resp mozilla corporation ?

26.3.2015 12:07 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Mozilla ako jedna z mála firiem je bojovníkom za slobodný internet a slobodný kód, nehovoriac že FF tvoria stovky ľudí po celom svete. Stačí sa pozrieť ako implementujú funkcie DRM v iných prehliadačoch kde sa slobodný kód ani nespomenul.

KERNEL ULTRAS video channel >>>

26.3.2015 12:31 Lol Phirae | skóre: 23
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Mozilla ako jedna z mála firiem je bojovníkom za slobodný internet

Tak určitě. Přidáním téhle CA, jejímž hlavním účelem je MITM, tu svobodu rozhodně posílili.

26.3.2015 18:49 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Jako dnes je bezpečnosť založená na CA, ale všade sú len ľudia, toto nijak nerozporuje čo som písal.

KERNEL ULTRAS video channel >>>

27.3.2015 08:22 xvasek | skóre: 21 | blog: | Zlín
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Tak určitě. Přidáním téhle CA, jejímž hlavním účelem je MITM, tu svobodu rozhodně posílili.

Za mě mají aspoň plus bod za fair use - americká autorita, čínská autorita, všichni mají právo vystavovat podvržené certifikáty. :-)

26.3.2015 15:35 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Mozilla ako jedna z mála firiem je bojovníkom za slobodný internet a slobodný kod

Omez před spaním čtení pohádkových veršů z Mozilla Manifesto, očividně ti to nesvědčí. Jako příklad, který mluví za vše, je kampaň Mozilly na podporu Net Neutrality, aniž by znali přesné znění. Co se tam pak po zveřejnění našlo, doufám víš.

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!

26.3.2015 18:58 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Zas mi nedalo komentovať niečo, čo končí stále rovnako.

KERNEL ULTRAS video channel >>>

24.3.2015 21:14 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Zriaďujem nové zariadenie na KU a tento tvoj komentár bude ako prvý, dúfam že si pyšný. Vola sa to /dev/idiots

KERNEL ULTRAS video channel >>>

25.3.2015 12:21 mif
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

len si to tam daj :D aspon mozilla pochopi co to maju za smejd ;)

25.3.2015 15:56 Bedňa | skóre: 34 | blog: Žumpa | Horňany
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

KERNEL ULTRAS video channel >>>

24.3.2015 21:58 coder | skóre: 4 | blog: lINUKS
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

8/10

These kids won't have to remember passwords or obsess about security because these kids will grow up with Windows 10!

Nechápu, jak s tím někdo může mít problém. Věřit certifikační autorité je kravina. Obzvláště, když si sama pro sebe vydává certifikáty a mění je jak na běžícím pásu (např. Google, který je ve firefoxu hezky v "USERTRUST network"). Všechny certifikáty je potřeba mít za nedůvěryhodné, dokud si sami nezkontrolujete certifikát, jestli se shoduje s tím, který jste získali jinou cestou, třeba osobně. A i tehdy se může jednat, hlavně u amerických společností, který vám to NESMÍ říct, o kompromitovaný certifikát. SSL/TLS je jenom jeden velkej vtip na uživatele, aby měli pocit bezpečnosti a jakési samozvané certifikační autority mohli tahat z ostatních bezcenné peníze, aby je mohli směňovat s těmi, pro které mají hodnotu.

24.3.2015 21:36 Slavko
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Neviem ako v Čechách, ale Slovensko je plné počítačových expertov. Najmä mladá generácia je počítačovo zdatná, až expertná. No a týmto našim expertom netreba bezpečnosť, im stačí pocit bezpečnosti, a presne to PKI ponúka.

Osobne, na pocit bezpečnosti, odporúčam obložiť PC vložkami Always... :-P

25.3.2015 00:30 Sten
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Ty věříš, že tou osobní cestou jsi nedostal certifikát od NSA, který tvému kontaktu podstrčili díky změněnému firmwaru disku, či že tvůj procesor, u kterého jsi určitě nekontroloval mikrokód, nepřehodí vyhodnocení podmínky, pokud zjistí, že se testuje certifikát vydaný NSA?

25.3.2015 15:55 Jardík
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Samozřejmě tomu věřit nelze. Všechno je prošpekovaný NSA. Ale přináší mi to pocit vyšší bezpečnosti než slepé důvěřovaní certifikačním autoritám, který mi do prohlížeče/systému nacpe nějakej vyvolenej, co se rozhoduje, který tam budou a který ne.

26.3.2015 09:56 xm | skóre: 36 | blog: Osvobozený blog | Praha
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Tak hlavně nepoužívej procesory Intel, tam se o tom backdooru ví zcela veřejně a Intel se s ním dokonce chlubí :-D

Viz klíčová slova Intel Management Engine, vPro a Active Management Technology (AMT). Popis třeba na wiki.

Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!

26.3.2015 11:09 nsus
Rozbalit Rozbalit vše Re: Podvodné certifikáty od CNNIC

Zajimave je, ze z nekterych je to pry odstraneno:

"The ME and its extension, AMT, are serious security issues on modern Intel hardware and one of the main obstacles preventing most Intel based systems from being liberated by users. On most systems, it is extremely difficult to remove, and nearly impossible to replace. Libreboot X200 is the first system where it has actually been removed, permanently," said Gluglug Founder and CEO, Francis Rowe.

Otazka je, jestli lze verit tomu typkovi vic nez intelu...