On 3/30/2016 4:14 PM, MarcinF wrote:
> W dniu 2016-03-30 o 14:59, witek pisze:
>
>>> P.S. Ciekawa opcje widze - "zainstaluj certyfikat".
>>
>> No ale to już byś musiał konkretny komuputer atakować.
>> Na globalną skalę tego zrobić się nie da.
>
> Za to na globalną skalę dla dobra klientów, pewien producent
> sprzętu komputerowego sprzedawał komputery z zainstalowanym
> certyfikatem root ca i jego kluczem prywatnym.
>
> http://www.infoworld.com/article/3008422/security/wh
at-you-need-to-know-about-dells-root-certificate-sec
urity-debacle.html
>
>

po to so listy CRL


>> Instalacji certyfikatu zdalnie sie nie da zrobic.
>> Musialbys przekonac uzytkownika do zrobienia tego.
>
> 1. Są użytkownicy których łatwo przekonać do instalacji certyfikatu

Są tacy co ci pin podadzą.
Ale to dalej jest indiwidualne podejscie.


> 2. U innych można wykorzystać jakaś podatność i zainstalować certyfikat
> bez ich wiedzy

j.w.
bez wiedzy się nie da.
CO najwyzej bez świadomości co użytkownik klika.

ale ja stoję na stanowisku, ze uzytkownik nie musi się na tym znać.
Skoro bank udostępnia narzędzie, którego nie jest w stanie upilnować to
ponosi za to odpowiedzialność.


> 3. Inna droga to certyfikaty instalowane przez producentów sprzętu
> lub oprogramowania, poza przypadkiem który już przytoczyłem powyżej,
> są programy antywirusowe instalujące swoje certyfikaty root ca
> bez wyraźnego informowania o tym użytkowników
>

j.w.

czasy dosu sie skonczyly i uzytkownik nie jest w stanie kontrolowac co
sie instaluje na jego komputerze.

Rownie dobrze można uzytkownikowi zarzuć niedbałość za samo pracowanie
na koncie z uprawnieniami administratora.

Ręka do góry kto tego nie robi. Linuxowcy i jemu podobni sie nie
odzywaja. :)