MattS <M...@m...ms> writes:

> https://www.mbank.pl przedstawia się certyfikatem wystawionym na
> www.mbank.com.pl.

Powinni zrobic normalne przekierowanie HTTP (bez HTTPS, bo i po co),
zamiast tego:

$ host www.mbank.pl
www.mbank.pl has address 193.41.230.81
$ host www.mbank.com.pl
www.mbank.com.pl has address 193.41.230.81

> W przypadku citibanku to poważniejszy problem.
> https://online.citibank.pl przedstawia się certyfikatem wystawionym
> dla *.test.edgekey.net

Akamai. Dziwna sprawa - Akamai ma im robic "online"?

> Wygląda to jak podręcznikowy przykład podstawienia lewej, fałszywej
> strony. Jeśli citibank zrobił aż taką pomyłkę, to bardzo źle o nich
> świadczy. Równie dobrze może się okazać, że przez pomyłkę dane
> klientów i ich kart wcale nie są dobrze zabezpieczone a w efekcie ileś
> tysięcy ich klientów starci czas i mnóstwo nerwów na wysyłanie
> reklamacji i udowadanianie, że nie są wielbłądami.

To sa niezalezne rzeczy.
Userzy raczej nie powinni korzystac z tego edgekey, zwlaszcza jesli sie
dobrze czuja.
--
Krzysztof Halasa

do góry

On 2009-10-19, Koteczek <n...@s...org> wrote:

[...]

> lamerzy na posadkach. Jesli nie ma przekierowania np przez modrewrite na jeden
> i staly adres logowania,

A mnie się jednak wydaje, że mod_rewrite działa _po_ weryfikacji połączenia,
a nie przed, bo najpierw się trzeba połączyć, a potem owy request przetwarzać
i kierować w odpowiednie miejsce.

> a linki na ich stronach sa do obu adresow to certyfikat powinien byc tak zwany
> z gwiazdka czyli *.citibank.pl - sa takie.

A są linki na ich stronach do obu adresów?

--
Wojciech Bańcer
p...@p...pl

do góry

Krzysztof Halasa pisze:
> MattS <M...@m...ms> writes:
>
>> https://www.mbank.pl przedstawia się certyfikatem wystawionym na
>> www.mbank.com.pl.
>
> Powinni zrobic normalne przekierowanie HTTP (bez HTTPS, bo i po co),
> zamiast tego:
>
> $ host www.mbank.pl
> www.mbank.pl has address 193.41.230.81
> $ host www.mbank.com.pl
> www.mbank.com.pl has address 193.41.230.81
>
>> W przypadku citibanku to poważniejszy problem.
>> https://online.citibank.pl przedstawia się certyfikatem wystawionym
>> dla *.test.edgekey.net
>
> Akamai. Dziwna sprawa - Akamai ma im robic "online"?
>
zdarza się i tak, tylko trzeba bardzo uważać przy developmencie i
konfiguracji bo content dla danej sesji potrafi się zakeszować i serwuje
potem wszystkim to samo ;)

do góry

W dniu 2009.10.19 14:07, Koteczek pisze:

> to certyfikat powinien byc tak zwany z gwiazdka czyli *.citibank.pl - sa
> takie.

Są, ale:
1. nie są zalecane
2. nie każdy program je obsługuje (być może ze względu na 1.)


--
Mar

do góry

Tomasz Chmielewski wrote:

> Normalnym jest, ze jeden certyfikat wystawia sie dla adresow:
>
> - www.domena.tld, oraz:
> - domena.tld
>
> Wlasnie zeby nietechniczny klient nie mial tego typu zagwostek.

tylko co poradzisz temu nietechnicznemu klientowi jak mu przegladarka
nie obsluzy certyfikatu wildcardowego?

nie mowiac juz o bezpieczenstwie, bo utrata klucza bedzie oznaczac
problem dla wszystkich subdomen

do góry

Paweł wrote:

> spammtrapp wrote:
>
>> Paweł pisze:
>>> wejscie na 'https://online.citibank.pl' rzuca bledem,
>>> na 'https://www.online.citibank.pl' jest ok.
>>
>> No i? To normalne przeciez.
>
> normalne?
>
> przykladowo w eurobanku nie wejdziesz na strone www.online...
> tylko na samo online i zamieszania nie ma.

dorzuce jeszcze dwa banki.

alior: https://aliorbank.pl - ok, z "www." - err.
db: https://ebank.db-pbc.pl - ok, z "www." - err.

tu przynajmniej mamy spojnosc :)

do góry

MarcinF wrote:
> Tomasz Chmielewski wrote:
>
>> Normalnym jest, ze jeden certyfikat wystawia sie dla adresow:
>>
>> - www.domena.tld, oraz:
>> - domena.tld
>>
>> Wlasnie zeby nietechniczny klient nie mial tego typu zagwostek.
>
> tylko co poradzisz temu nietechnicznemu klientowi jak mu przegladarka
> nie obsluzy certyfikatu wildcardowego?

Z ciekawosci, jaka to przegladarka nie obsluguje tego typu certyfikatow?
Mosaic? Jakas tekstowa sprzed 15 lat?


> nie mowiac juz o bezpieczenstwie, bo utrata klucza bedzie oznaczac
> problem dla wszystkich subdomen

Wiesz, jak ktos uzywa przegladarke sprzed 15 lat, ktora nie potrafi
sobie poradzic z tego typu certyfikatami, to trudno tu dyskutowac o
utracie klucza przez administratora domeny.

Poza tym, nie mowilem o certyfikacie dla wszystkich domen (wildcard SSL
certificate - *.domena.tld - sa piekielnie drogie, i maja wiele wad,
m.in. ta, o ktorej wspominasz), tylko o certyfikacie dla _dwoch_ domen:
https://www.domena.tld i http://domena.tld.


--
Tomasz Chmielewski
http://wpkg.org

do góry

Użytkownik "Wojciech Bancer" <p...@p...pl> napisał w wiadomości
news:slrnhdp1p5.75m.proteus@pl-test.org...
> On 2009-10-19, Koteczek <n...@s...org> wrote:
> [...]
>> lamerzy na posadkach. Jesli nie ma przekierowania np przez modrewrite
>> na jeden i staly adres logowania,

> A mnie się jednak wydaje, że mod_rewrite działa _po_ weryfikacji
> połączenia, a nie przed, bo najpierw się trzeba połączyć, a potem owy
> request przetwarzać i kierować w odpowiednie miejsce.

W zasadzie i tak i nie. Co prawda https jest warstwę wyżej od http i
można domniemać, że dopiero po
wymianie kluczy następuje przetworzenie żądania http, a więc i ewentualne
wykonanie rewrite, ale z drugiej strony nie powoduje to niemożliwości
ustawienia przekierowania na właściwy adres jako choćby zwyczajny nagłówek
http.

do góry

Ra <a...@a...com> writes:

>> Akamai. Dziwna sprawa - Akamai ma im robic "online"?
>>
> zdarza się i tak, tylko trzeba bardzo uważać przy developmencie i
> konfiguracji bo content dla danej sesji potrafi się zakeszować i
> serwuje potem wszystkim to samo ;)

Tu nie chodzi o to, co sie zdaza, a co sie nie zdaza, tylko o to, komu
klient podaje m.in. haslo itd. sluzace do dostepu do banku.
--
Krzysztof Halasa

do góry

On 2009-10-20, Marcin Wasilewski <j...@a...pewnie.je.st> wrote:

[...]

>> A mnie się jednak wydaje, że mod_rewrite działa _po_ weryfikacji
>> połączenia, a nie przed, bo najpierw się trzeba połączyć, a potem owy
>> request przetwarzać i kierować w odpowiednie miejsce.
>
> W zasadzie i tak i nie. Co prawda https jest warstwę wyżej od http i
> można domniemać, że dopiero po wymianie kluczy następuje przetworzenie żądania
> http, a więc i ewentualne wykonanie rewrite, ale z drugiej strony nie powoduje
> to niemożliwości ustawienia przekierowania na właściwy adres jako choćby
> zwyczajny nagłówek http.

Oczywiście. Ale to będzie wyglądać tak:
1. wchodzę na https://example.com/
2. Dostaję info, że cert jest niewłaściwy
3. Jeśli akceptuję
- Przekierowuje mnie na właściwy adres
4. Jeśli nie, to przeglądarka blokuje jakiekolwiek dalsze przetwarzanie.

IMHO nie uda się ominąć 2.

--
Wojciech Bańcer
p...@p...pl

do góry