MarcinF wrote:
> Koteczek wrote:
>
>> Certyfikat ma za zadanie zaszyrowac transmisje
>
> nie pisz bzdur

mam braki w wiedzy widac, potwierdza adres witryny z ktorym sie laczymy jesli
jest wystawiony przez uznane za zaufane CA to nie "krzyczy" przegladarka, w
przeciwnym razie krzyczy (np jak cert. jest 'self singed') ale za kazdym razem
jak zezwolimy transmisja jest szyfrowana i tak samo bezpieczna co nie? Problem
jak opisany wyzej wyskoczy tez jak zmienimy date systemowa, wiec jest to
umownie i srednio wiarygodny test z tym przedawnieniem sie certyfikatu... tak
czy siak osiagamy efekt cholernego utrudnienia podejrzenia tranismisji naszej z
bankiem. 100% zabezpieczen nie ma i ponoc byly juz ataki na SSL, nie wiem czy
skuteczne.

do góry

Koteczek pisze:
> ale za kazdym razem jak zezwolimy transmisja jest szyfrowana i
> tak samo bezpieczna co nie?

Certyfikat służy uwierzytelnieniu posiadacza. Klucze szyfrujące
transmisję to zupełnie inna sprawa.

--
Raf

do góry

Koteczek wrote:

> mam braki w wiedzy widac, potwierdza adres witryny z ktorym sie laczymy
> jesli jest wystawiony przez uznane za zaufane CA to nie "krzyczy"
> przegladarka, w przeciwnym razie krzyczy (np jak cert. jest 'self
> singed') ale za kazdym razem jak zezwolimy transmisja jest szyfrowana i
> tak samo bezpieczna co nie? Problem jak opisany wyzej wyskoczy tez jak
> zmienimy date systemowa, wiec jest to umownie i srednio wiarygodny test
> z tym przedawnieniem sie certyfikatu... tak czy siak osiagamy efekt
> cholernego utrudnienia podejrzenia tranismisji naszej z bankiem. 100%
> zabezpieczen nie ma i ponoc byly juz ataki na SSL, nie wiem czy skuteczne.

cale to bezpieczenstwo opiera sie na zaufaniu do instytucji podpisujacej
certyfikat, przegladarki internetowe "fabrycznie" ufaja znanym i wiarygodnym
instytucjom zajmujacym sie wydawaniem certyfikatow np. dla bankow

w momencie gdy laczysz sie ze strona banku i wyskakuje Ci monit o akceptacje
certyfikatu to znaczy ze przegladarka nie ufa ani temu certyfikatowi ani
tez nie zostal on podpisany przez zaufana jej instytucje

w takiej sytuacji jedna z bardziej prawdopodobnych mozliwosci jest to
ze przegladarka wcale nie polaczyla sie z serwerem banku, ale np. z serwerem
posredniczacym podstawionym przez oszustow w celu przechwywywania transmisji
z bankiem, i slabym pocieszeniem jest ze to polaczenie jest szyfrowane

tak wiec zwlaszcza w przypadku bankow akceptowanie niezaufanych certyfikatow jest
zdecydowanie zlym pomyslem

do góry

MarcinF <m...@i...pl> writes:

> Koteczek wrote:
>
[...]
>
> tak wiec zwlaszcza w przypadku bankow akceptowanie niezaufanych certyfikatow jest
> zdecydowanie zlym pomyslem

Tylko, jeśli dobrze zrozumiałem wątek, tam certyfikat nie był
"niezaufany" tylko wygasł. (Nie, żebym sugerował jego "akceptację")

KJ

--
3rd Law of Computing:
Anything that can go wr
fortune: Segmentation violation -- Core dumped

do góry

W dniu 18.10.09 22:47, MarcinF pisze:
> Koteczek wrote:
>
>> mam braki w wiedzy widac, potwierdza adres witryny z ktorym sie
>> laczymy jesli jest wystawiony przez uznane za zaufane CA to nie
>> "krzyczy" przegladarka, w przeciwnym razie krzyczy (np jak cert. jest
>> 'self singed') ale za kazdym razem jak zezwolimy transmisja jest
>> szyfrowana i tak samo bezpieczna co nie? Problem jak opisany wyzej
>> wyskoczy tez jak zmienimy date systemowa, wiec jest to umownie i
>> srednio wiarygodny test z tym przedawnieniem sie certyfikatu... tak
>> czy siak osiagamy efekt cholernego utrudnienia podejrzenia tranismisji
>> naszej z bankiem. 100% zabezpieczen nie ma i ponoc byly juz ataki na
>> SSL, nie wiem czy skuteczne.
>
> cale to bezpieczenstwo opiera sie na zaufaniu do instytucji podpisujacej
> certyfikat, przegladarki internetowe "fabrycznie" ufaja znanym i
> wiarygodnym
> instytucjom zajmujacym sie wydawaniem certyfikatow np. dla bankow

Piękna historia, ale zupełnie nieprawdziwa...

--
Pete

do góry

> tak wiec zwlaszcza w przypadku bankow akceptowanie niezaufanych
> certyfikatow jest zdecydowanie zlym pomyslem

ale ten byl wg PM "przeterminowany" tylko i wylacznie ale ze wzgledu ze to bank
i siedzi tam jakis ziom i kosi z naszych wkladow (no ja w aliorze nic nie mam
bo procenty smieszne) bardzo duze pieniazki i zapomnial o przedluzeniu certa to
zasluguje na wyjeb... z pracy. W banku takie rzeczy miec nie powinny miejsca.
Ale to na poboczu.


Mam certyfikat dla mojej witryny, akceptowalny, bardzo tani, a procedura
weryfikacji byla bardzo, bardzo lamerska - wyslac trzeba bylo skan pisma
wlasciceila domeny na papierze firmowym, jako ze takiego nie mialem to szybko
zrobilem w word, wydrukowalem, sam podpisalem i wyslalem. Po prostu kpina.
Firma z USA :) No i cert sie ladnie "validuje" we wszystkich w miare nowych
przegladarkach (nawet ie 6). Czyli juz latwo oszukac ludzi na "klodke", jesli
tylko znalesc dziure w przegladarce umozliwijac maskowanie adresu url to
problem rozwiazany.


A wracjac do tematu taki sam efekt zrobimy i teraz przestawiajac sobie date
systemowa i wlazac na aliora, tak samo przegladarka zacznie krzyczec. Ale i tak
bym zaakceptowal bo wiem "o co kaman" mniej wiecej. W szkole tego nie ucza
niestety i byle hakier oszuka sporo ludzi ktorzy nawet nie beda protestowac
logujac sie na koncie bez ssl i magicznej klodki - widzialem zreszta wirusy
robiace w CSS piekny, zalezny od przegladarki, paseczek szary na dole i tam
umiejscowiona jest klodka.

Tak wiec jak uczylem rodzicow jak korzystac z banku - klodka, certyfikat,
logujesz sie tylko z zakladek "ulubionych", klodka w odpowiednim miejscu a nie
gdziekolwiek. W szkole tego nie ucza, pogratulwac balwanom ktorzy ukladaja
takie lekcje informatyki.

do góry

Pete wrote:

> Piękna historia, ale zupełnie nieprawdziwa...

sprostuj

do góry

W dniu 19.10.09 22:25, MarcinF pisze:
> Pete wrote:
>
>> Piękna historia, ale zupełnie nieprawdziwa...
>
> sprostuj

<<"fabrycznie" ufaja znanym i wiarygodnym instytucjom zajmujacym sie
wydawaniem certyfikatow np. dla bankow>>

Nie "fabrycznie ufają" a mają w instalacji zawarte certyfikaty pewnych CA.

--
Pete

do góry

Pete wrote:

> <<"fabrycznie" ufaja znanym i wiarygodnym instytucjom zajmujacym sie
> wydawaniem certyfikatow np. dla bankow>>
>
> Nie "fabrycznie ufają" a mają w instalacji zawarte certyfikaty pewnych CA.

ale to pl.biznes.banki, a nie kazdy zainteresowany ta grupa musi wiedziec to co
jest CA, mysle ze czasami lepiej opisac cos bardziej zrozumiale niz precyzyjnie

do góry

Koteczek <n...@s...org> wrote:

> > tak wiec zwlaszcza w przypadku bankow akceptowanie niezaufanych
> > certyfikatow jest zdecydowanie zlym pomyslem

> ale ten byl wg PM "przeterminowany" tylko i wylacznie ale ze wzgledu ze to bank
> i siedzi tam jakis ziom i kosi z naszych wkladow (no ja w aliorze nic nie mam
> bo procenty smieszne) bardzo duze pieniazki i zapomnial o przedluzeniu certa to
> zasluguje na wyjeb... z pracy. W banku takie rzeczy miec nie powinny miejsca.
> Ale to na poboczu.


> Mam certyfikat dla mojej witryny, akceptowalny, bardzo tani, a procedura
> weryfikacji byla bardzo, bardzo lamerska - wyslac trzeba bylo skan pisma
> wlasciceila domeny na papierze firmowym, jako ze takiego nie mialem to szybko
> zrobilem w word, wydrukowalem, sam podpisalem i wyslalem. Po prostu kpina.
> Firma z USA :) No i cert sie ladnie "validuje" we wszystkich w miare nowych
> przegladarkach (nawet ie 6). Czyli juz latwo oszukac ludzi na "klodke", jesli
> tylko znalesc dziure w przegladarce umozliwijac maskowanie adresu url to
> problem rozwiazany.


A co to za firma? :)

--
gs

do góry