-
Data: 2016-03-31 21:48:39
Temat: Re: SSL - ktoś będzie tak miły i przełoży na chłopski rozum?
Od: Sebastian Biały <h...@p...onet.pl> szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 2016-03-29 17:46, Piotr Gałka wrote:
> Przyznam, że liczę na odpowiedź od Sebastiana.
Trole nie udzielają odpowiedzi, tylko generują dyskusję.
> Kiedy i jak ten proces się kończy?
Czasem tutaj:
http://www.computerworld.com/article/3007981/securit
y/what-you-need-to-know-about-dells-root-certificate
-security-debacle.html
http://www.computerworld.com/article/3008521/securit
y/a-second-dangerous-dell-root-certificate-discovere
d.html
Ibecyli nie brakuje bez względu na wielkość korpo w których pracują.
> Opis na Wiki "Zasada działania SSL" jest tak napisany, jakby problem
> weryfikacji dostarczonego klucza publicznego nie istniał.
> Czego nie wiem?
Jesli dostarczą Ci zły klucz publiczny, to dane nim zaszyfrowane nie
zostaną poprawnie odtworzone przez klucz prywatny. Czyli nie ma nic
groźniego w podmianie klucza - najwyżej nie zadziała.
> Wiadomo, że generator jest wystarczająco dobry?
Ptaszki ćwierkają że dobre exploity NSA będą bazować (bazują?) na
popsutych generatorach. Warto też wiedzieć że problem jest na tyle
istotny, że można znaleźć kawalki hardware generujące liczby losowe w
sposób bazujący na szumie termicznym, radiowym, inpucie usera itd,
gdzieś widziałem dongla w USB poprawiającego /dev/random.
Ogólnie mieszasz dwa problemy: klucze prywatny/publiczny pozwalają na
bezpieczną komunikację w sytuacji gdy ktoś podsłuchuje. Certyfikaty
natomiast pozwalają usunąc ataki Man in the Middle które bez nich były
by trywialne. Problem w tym że jest to na tyle magiczne że doprowadziło
do debilizmów jak na przykład mój bank twierdzi że wystarczy mieć kłódkę
w przeglądarce i będziemy bezpieczni. Nie tak dawno widziałem lewą
stronę która miała favicon.ico w wiesz-jakim-kształcie...
PS. W tej dyskusji padło chyba już wszystko, więc nie bedę się produkować.
Następne wpisy z tego wątku
- 01.04.16 03:10 witek
- 01.04.16 14:27 Piotr Gałka
- 01.04.16 19:46 Sebastian Biały
- 01.04.16 23:10 MarcinF
- 01.04.16 23:17 Arek
- 01.04.16 23:39 Arek
- 02.04.16 01:05 Marek
- 02.04.16 01:50 witek
- 02.04.16 01:54 witek
- 03.04.16 11:59 J.F.
- 03.04.16 12:56 J.F.
- 03.04.16 18:11 witek
- 03.04.16 18:14 witek
- 03.04.16 19:02 n...@p...pl
- 03.04.16 19:14 Borys Pogoreło
Najnowsze wątki z tej grupy
- Zmienny cvv
- Aktualizacja daty ważności kart?
- W jakim banku rachunek oszczędnościowy?
- Karty mBąka.
- Polskie złoto na uchodźstwie
- Citi -- rozwód
- limit 800zł z Euronetu
- Koniec swiata
- Allegro
- Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- silna zlotowka
- oszołomy paranoidalne
- Citi --> Velo
- Phishing obok nas.
Najnowsze wątki
- 2025-07-15 Zmienny cvv
- 2025-07-14 Aktualizacja daty ważności kart?
- 2025-07-09 W jakim banku rachunek oszczędnościowy?
- 2025-06-26 Karty mBąka.
- 2025-06-25 Polskie złoto na uchodźstwie
- 2025-06-17 Citi -- rozwód
- 2025-06-13 limit 800zł z Euronetu
- 2025-06-10 Koniec swiata
- 2025-06-10 Allegro
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-07 Co robić, jak robić, aby dużo zarobić, a się nie narobić ?
- 2025-06-03 Nawrocki : Polska otrzyma od Niemiec 6 bln 200 mld zł zadośćuczynienia za straty poniesione podczas II wojny światowej.
- 2025-06-02 silna zlotowka
- 2025-05-29 oszołomy paranoidalne
- 2025-05-28 Citi --> Velo