Certifikáty s SHA-1 ve Firefoxu zakázány a opět povoleny (diskuse)

Takze jako antiviry na windows desifrujou HTTPS traffic a pak ho znova zasifrujou svym klicem a podepisou svoji CA, kterou vnuti do systemu? To je hnus...

7.1.2016 14:47 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Certifikáty s SHA-1 ve Firefoxu zakázány a opět povoleny

Nejenom na Windows, dělá se to i na Linuxu nebo OS X. Pokuď se potřebuješ dostat k obsahu HTTPS spojení, tak je to ta nejobecnější metoda, která existuje.

Celé HTTPS je o víře ve vydavatele certifikátů. Můžeme s tím nesouhlasit, můžeme diskutovat jestli radši věřit výrobcům AV, nebo Čínské vládě, ale to je asi tak všechno co proti tomu můžeme dělat...

Každý má právo na můj názor!

7.1.2016 14:52 Zopper | skóre: 15
Rozbalit Rozbalit vše Re: Certifikáty s SHA-1 ve Firefoxu zakázány a opět povoleny

Tak tak. Buď chci, aby mi antivirus kontroloval i HTTPS spojení, a pak musí dělat "MITM", nebo se mi přes HTTPS může dostat do pc cokoliv a musím doufat, že to antivirus zachytí při pokusu o zápisu na disk. Těžký výběr, protože přístup antiviru k té komunikaci mi nevadí, ale vadí mi, že v tu chvíli nemám možnost si zkontrolovat certifikát webu, nastavit si vlastní důvěryhodné autority a podobně.

"Dlouho ještě chcete soudit proti právu, stranit svévolníkům?" Ž 82,2

7.1.2016 14:59 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Certifikáty s SHA-1 ve Firefoxu zakázány a opět povoleny

Antiviry obecně používají systémový keychain/certstore, takže možnost nastavit si vlastní důvěryhodné autority je stejná jako bez AV. Co se týče kontroly certifikátu, tak opět většina AV "přepodepisuje" tak, že změní pouze vydavatele, zbytek certifikátu zkopíruje, takže základní info vidět je.

Každý má právo na můj názor!

7.1.2016 15:09 Martin Tůma | skóre: 39 | blog: RTFM | Praha
Rozbalit Rozbalit vše Re: Certifikáty s SHA-1 ve Firefoxu zakázány a opět povoleny

Tak tak. Buď chci, aby mi antivirus kontroloval i HTTPS spojení, a pak musí dělat "MITM"

Lze to i jinak. Většina prohlížečů například umožňuje "realtime" exportovat klíče SSL spojení, které může AV použít k dešifrování. Pokuď se upraví systémový "spuštěč" tak, že pro každý známý proces bude při spuštění přidávat potřebné parametry, lze sledovat HTTPS provoz i bez MITM. Má to ale samozřejmě také své nevýhody.

Každý má právo na můj názor!

7.1.2016 18:39 pavele
Rozbalit Rozbalit vše Re: Certifikáty s SHA-1 ve Firefoxu zakázány a opět povoleny

https mi připadá jako naše zákony + výjimky ze zákona... :-)

7.1.2016 19:11 j
Rozbalit Rozbalit vše Re: Certifikáty s SHA-1 ve Firefoxu zakázány a opět povoleny

Lepe receno, cele https je vohovne ...

Jinak se tohle celkem bezne dela v korporatu, kde se ovsem scanuje na nejaky GW/proxy ... i proto viz vejs...

Sranda na tom je predevsim to, ze se strasne rve, aby vse jelo pres https, vi se, jak tenhle problem vyresit, ale resit se to nechce.

A neřešilo by tohle a kupu dalších problémů, kdyby šifrování bylo už v základech komunikace po Internetu? Pak by anitvir mohl stát mezi aplikací a datovým tokem v místě, kde už je rozšifrovaný a dělat svou práci.

Raději bych měl v kompu jednu specializovanou aplikaci, která bude šifrování řešit, než aby si to každá aplikace řešila tak trochu po svém.

8.1.2016 15:17 Petr Tomášek
Rozbalit Rozbalit vše Re: ISO/OSI

Hlavne by to resilo spoustu problemu pro hackery a smiraky, pro ktere by pak bylo jednodussi hacknout tuto jedinou aplikaci a poprdeli...

8.1.2016 18:04 Mintaka | skóre: 13
Rozbalit Rozbalit vše Re: ISO/OSI

Nejsem zastáncem monokultur, ale v tomto případě bych volil raději "Secure by design" než "Security through obscurity". S tím "jedním programem" to nebyla vhodně zvolená slova. Mám na mysli spíše řešení na nižší úrovni (proto ten topic ISO/OSI), než na úrovni jednotlivých aplikací. Běžně v aplikaci neřešíte nízkoúrovňové věci typu balení dat do paketů a neprogramujete TCP/IP stack a sockety. Používáte už hotová a připravená řešení, stejně jako to dělá většina aplikací komunikujících po síti.

Pokud by si nějaká aplikace chtěla nad tímto šifrováním řešit ještě vlastní úroveň zabezpečení, klidně by mohla.

8.1.2016 18:26 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: ISO/OSI

Huh?

Jako že někdo získá možnost manipulovat s něčím ipsec-like, tedy hodně lowlevel věcí v systému, a z nějakého důvodu se odtamtud nedostane/nedokáže dostat k userspace procesu Firefoxu?

Já to s tou denacifikací Slovenska myslel vážně.

8.1.2016 18:38 Mintaka | skóre: 13
Rozbalit Rozbalit vše Re: ISO/OSI

Re: ...někdo získá možnost...:

Kdo to je Někdo? Výrobce programu, který jsem nainstaloval do systému a de facto mu dal práva odvozená od práv uživatele, pod kterým je spouštěn a který vykonává svůj kód na mém CPU?

9.1.2016 03:45 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: ISO/OSI

Kdo to je Někdo?

Útočník, a je jedno, jak se tam dostal. Způsobů je dost; ve většině případů bych to dnes viděl na bezpečnostní díry v programech, případně nedůvěryhodné zdroje programů.

Já to s tou denacifikací Slovenska myslel vážně.

8.1.2016 18:29 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: ISO/OSI

Ano, řešilo. A 256 dalších problémů, například by si každý protokol nemusel specifikovat šifrování sám s vlastními chybami a každá aplikace by to nemusela dělat a nastavovat znova s vlastními chybami.

A já jako admin bych si netrhal vlasy při debugování aplikace, které komunikuje šifrovaně, a nenabízí žádnou možnost, jak ta data přečíst (typicky úplně všechny démony při použití forward secrecy - exportování session klíče je nepodporované v nich, ve Wiresharku, nebo je to alespoň strašná magie nastavit).

Já to s tou denacifikací Slovenska myslel vážně.