Artur Czeczko wrote:
[...]

> jak IE, ale przeglądarkom open source - pewnie bez żadnego
> problemu.
Możesz uzassadnić powyższe?
KJ



--
Jid: k...@c...pl lub k...@j...wp.pl

do góry

Użytkownik "Chmielu" <j...@A...pccom.info> napisał w wiadomości
news:c10ebi$agn$1@shodan.interia.pl...
>
> Tak... Oczywiscie...
> Ale "adresacja" serwera mBanku jest dokonywana przez NASK...
> Nie sądzę, aby NASK dopuścił się takich "kombinacji"...

Nie trzeba aż do samego NASK-u, wystarczy lekko zmodyfikować
ten serwer, który wpisałeś do resolvera w swoim komputerze.
Poza tym, jak już wspominałem, plik hosts ma w systemie
zwykle wyższy priorytet, niż DNS.
Cała nadzieja w certyfikacie - o ile ktoś nie wymyśli, jak i to
ominąć...

Pozdrawiam,
Artur

do góry

Użytkownik "Artur Czeczko" <n...@e...one.pl> napisał w wiadomości
news:c123br$drh$1@achot.icm.edu.pl...
>
> Użytkownik "Chmielu" <j...@A...pccom.info> napisał w wiadomości
> news:c11p6m$rmf$2@shodan.interia.pl...
> >
> > Tylko teraz zastanawiam się nad tym, co chiał pokazać autor tego
> > "wodotrysku" z wpisaniem powyższego IP i mBank.pl do któregoś (nie
> pamiętam
> > dokładnie którego) pliku z ulubionych... (skrót myślowy)
> > Zmiana konfiguracji mająca skierować na google.pl i automatycznie
wyszukać
> > linki do mBanku??!!??
>
> Jeśli można było wpisać numer IP googla, to można tam też wpisać
> dowolny inny IP, np. serwera zawierającego lewą stronę logowania
> do mBanku.

Ale najpierw trzeba sie włamać komuś do komputera.
A to juz nie jest takie łatwe, chyba, że uzytkownik komputera ma: (tak w
skrócie)
1. Wirusa/Trojana otwierającego dostęp do "zdalnej" ingerencji w jego
maszynę
2. Niepołatany via Windows Update IE
3. Stałe łącze z internetem...

Aha... No i łącząc się z IP google nie potrzebujesz uwierzytelniających
certyfikatów...

> > A jakie to zagrożenie przekierować wyszukiwarką na zwykłe http?!?
> > Strony transakcyjne są zabezpieczone 128bitowym kluczem z _wiarygodnym_
> > certyfikatem...
> > I nie jest to zwykły "http" lecz z zasady bezpieczny "https"...
>
> http czy https - to nie ma znaczenia.

Dokładnie to jest tak, że https jest połączeniem zabezpieczonym
certyfikatem/kluczem szyfrującym.

> Certyfikat owszem, bedzie niewiarygodny, ale czy tego też nie da się
> ominąć... Przeglądarce chyba da się jakoś powiedzieć, które CA ma uznawać
> za wiarygodne.

Tak. Można przeglądarce powiedzieć, ale to już jest czynność manualna...
To _musi_ zrobić człowiek (operator komputera) _świadomie_ (oczywiście znów
wspomnę o konieczności połatania IE i o profilaktyce antywirusowej) -
opisałem powyzej...

> Może trudniej byłoby to powiedzieć takiej przeglądarce
> jak IE, ale przeglądarkom open source - pewnie bez żadnego
> problemu. Wystarczyłby taki sprytny robak, który by to i owo podmienił
> w systemie...

I z tym "sprytnym robakiem" to się z Tobą zgadzam, ale on tak _sam_ do
komputera nie wejdzie, bo to nie pająk...
Trzeba go komuś mailem podesłać albo musisz go sobie np. z jakiegoś FTP
ściągnąć...
--
Jarosław Chmielewski [alias: Chmielu]
[Nie "masz" Novell-a, tylko NetWare...
analogicznie: Nie "masz" Microsoft-a, tylko Windows...]

do góry

Użytkownik "Kamil Jońca" <k...@g...pl> napisał w wiadomości
news:c123o7$lhc$1@inews.gazeta.pl...
> Artur Czeczko wrote:
> [...]
>
> > jak IE, ale przeglądarkom open source - pewnie bez żadnego
> > problemu.
> Możesz uzassadnić powyższe?

Arturowi chodzi prawdopodobie o to, że przeglądarki open source są rzadziej
Update-owane i mogą mieć więcej "dziur"...
--
Jarosław Chmielewski [alias: Chmielu]
[Nie "masz" Novell-a, tylko NetWare...
analogicznie: Nie "masz" Microsoft-a, tylko Windows...]

do góry

Thu, 19 Feb 2004 08:46:13 +0100, na pl.biznes.banki, Chmielu w
wiadomości <news:c11p6m$rmf$2@shodan.interia.pl> napisał(a):

> Tylko teraz zastanawiam się nad tym, co chiał pokazać autor tego
> "wodotrysku" z wpisaniem powyższego IP

Jeśli nie masz z'upgradeowanego IE, to kliknij tutaj:
http://tinyurl.com/ytp7
a najlepiej przeczytaj sobie całą dyskusję
http://tinylink.com/?sOoRFqDYQg.

Dla tych, którzy mają już połatany czytnik: adres na pozór należy do
Inteligo, a wyświetla się strona mBanku :)
Zresztą sztuczka jest stara, mój Syn demonstrował mi ją już 6 lat temu,
gdy był na pierwszym roku studiów.

--
Pozdrowienia
Krzysztof K. Maj
(Uwaga na pułapkę w adresie!)

do góry

Użytkownik "Kamil Jońca" <k...@g...pl> napisał w wiadomości
news:c123o7$lhc$1@inews.gazeta.pl...
> Artur Czeczko wrote:
> [...]
>
> > jak IE, ale przeglądarkom open source - pewnie bez żadnego
> > problemu.
> Możesz uzassadnić powyższe?

Jak masz dostęp do kodu źródłowego, to możesz tak go
zmodyfikować, żeby przeglądarka nie wyświetlała ostrzeżenia,
gdy certyfikat będzie podpisany przez "nasze" CA.
Oczywiście tak zmodyfikowaną przeglądarkę trzeba jakoś
podstawić w systemie. Musiałby to zrobić albo sam użytkownik,
albo jakiś wirus/robak/trojan.

Pozdrawiam,
Artur

do góry

Użytkownik "Krzysztof K. Maj" <kmaj@REMOVE_IT.krak.eu.org> napisał w
wiadomości news:uuo1zyngozaa$.dlg@krak.eu.org...
> Jeśli nie masz z'upgradeowanego IE, to kliknij tutaj:
> http://tinyurl.com/ytp7
> a najlepiej przeczytaj sobie całą dyskusję
> http://tinylink.com/?sOoRFqDYQg.

Niestety... Mam całkowicie "połatany" system, a dyskusja powyżej cytowana
przez Ciebie ewidentnie wskazuje na błąd zabezpieczeń w IE (jesli to nie
jakaś prowokacja...:-) )
Dlatego też tak mocno naciskam na Update-owanie i profilaktykę
antywirusową...
Jako informatyk odpowiedzialny za bezpieczeństwo informacji (administrator
bezpoieczeństwa) nie widzę aż takiego zagrożenia...
Aha - nie jestem pracownikiem żadnego Banku.
Autor wątku po prostu wyolbrzymia problem. Nie mówię też, że on nie
istnieje. Zagrożenia są, ale tylko trzeba wiedzieć, jak się przed nimi
chronić...

> Dla tych, którzy mają już połatany czytnik: adres na pozór należy do
> Inteligo, a wyświetla się strona mBanku :)

Właśnie... _Połatany_ to kluczowe słowo...

> Zresztą sztuczka jest stara, mój Syn demonstrował mi ją już 6 lat temu,
> gdy był na pierwszym roku studiów.

Oczywiście, że to jest do zrobienia (nawet "od ręki"), tylko, że 6 lat temu
internet jeszcze nie był tak popularny, o łączach stałych się wogóle nie
mówiło, bankowość internetowa się "z jajka wykluwała" a potencjalni
"przestępcy internetowi" w pieluchach chodzili...:-)
Czasy się zmieniły, więc trzeba mieć świadomośc zagrożeń i posiadać
umiejętność radzenia sobie z nimi, coby się "z ręką w nocniku" nie
obudzić...
--
Jarosław Chmielewski [alias: Chmielu]
[Nie "masz" Novell-a, tylko NetWare...
analogicznie: Nie "masz" Microsoft-a, tylko Windows...]

do góry

Użytkownik "Artur Czeczko" <n...@e...one.pl> napisał w wiadomości
news:c129r3$mtd$1@achot.icm.edu.pl...
> Jak masz dostęp do kodu źródłowego, to możesz tak go
> zmodyfikować, żeby przeglądarka nie wyświetlała ostrzeżenia,
> gdy certyfikat będzie podpisany przez "nasze" CA.

Ale właśnie:
> Oczywiście tak zmodyfikowaną przeglądarkę trzeba jakoś
> podstawić w systemie. Musiałby to zrobić albo sam użytkownik,
> albo jakiś wirus/robak/trojan.

Dokładnie. I generalnie to wszystko w tym temacie...
--
Jarosław Chmielewski [alias: Chmielu]
[Nie "masz" Novell-a, tylko NetWare...
analogicznie: Nie "masz" Microsoft-a, tylko Windows...]

do góry

Artur Czeczko wrote:
> Użytkownik "Kamil Jońca" <k...@g...pl> napisał w wiadomości
> news:c123o7$lhc$1@inews.gazeta.pl...
>
>>Artur Czeczko wrote:
>>[...]
>>
>>
>>>jak IE, ale przeglądarkom open source - pewnie bez żadnego
>>>problemu.
>>
>>Możesz uzassadnić powyższe?
>
>
> Jak masz dostęp do kodu źródłowego, to możesz tak go
> zmodyfikować, żeby przeglądarka nie wyświetlała ostrzeżenia,
> gdy certyfikat będzie podpisany przez "nasze" CA.
Prawda.
> Oczywiście tak zmodyfikowaną przeglądarkę trzeba jakoś
> podstawić w systemie. Musiałby to zrobić albo sam użytkownik,
> albo jakiś wirus/robak/trojan.
Tak "tylko" tyle. ;-)
KJ


--
Jid: k...@c...pl lub k...@j...wp.pl

do góry

Użytkownik "Kamil Jońca" <k...@g...pl> napisał w wiadomości
news:c12au5$o8g$1@inews.gazeta.pl...
> Artur Czeczko wrote:
> > Jak masz dostęp do kodu źródłowego, to możesz tak go
> > zmodyfikować, żeby przeglądarka nie wyświetlała ostrzeżenia,
> > gdy certyfikat będzie podpisany przez "nasze" CA.
> Prawda.
> > Oczywiście tak zmodyfikowaną przeglądarkę trzeba jakoś
> > podstawić w systemie. Musiałby to zrobić albo sam użytkownik,
> > albo jakiś wirus/robak/trojan.

> Tak "tylko" tyle. ;-)

Nie tylko, ale aż...
Zawsze występuje jakiś "czynnik ludzki" i to z natury on jest najsłabszym
ogniwem całego "łańcucha"...
--
Jarosław Chmielewski [alias: Chmielu]
[Nie "masz" Novell-a, tylko NetWare...
analogicznie: Nie "masz" Microsoft-a, tylko Windows...]

do góry