s...@g...com writes:

>> Musisz (np. przeglądarka musi) wyłącznie znać odpowiedni zestaw "root
>> CA" (zawierający w szczególności root CA, od którego zaczyna się
>> "ścieżka").
>>
>
> Nie. Bo do przeglądrki mozna wgrac root certificate i antywirusy to
> robią.

Naprawdę, antywirusy to robią? Po co? Chcą grzebać w HTTPS?
Takie zwykłe, domyślnie skonfigurowane antywirusy dla Kowalskiego?

> Malware tez to moze zrobic.

Gorzej. Malware może w ogóle spowodować, że komputer będzie pokazywał
cokolwiek.

> Dokładnie, moze byc wyswietlony "zielony" łańcuch certyfikacji ale nie
> musi byc on poprawny i taki sam jak wystawiany przez bank.

Może też być taki sam.
Jakbyś był autorem takiego "wirusa", to co byś wybrał? Pokazywanie
ścieżki certyfikatów takiej jak normalnie w przypadku prawdziwego banku,
czy pokazywanie czegoś innego?
Bo nakład pracy jest taki sam.

Oczywiście, może się zdarzyć, że ścieżka będzie inna. Wygląd strony
także może być inny. Ale poleganie na tym to IMHO kiepski pomysł.

> No i co z tego?
>
> Widziales choć raz ciag certyfikacyjny podmieniony przez antywirusa?

Nie. Szczerze mówiąc nie do końca rozumiem o co chodzi z tymi
antywirusami w kontekście PKI i HTTPS.
Natomiast widziałem strony podmienione przez "wirusy", oraz podmienione
certyfikaty CA, i nie wyobrażam sobie ich skutecznej weryfikacji, jeśli
nie mamy (ograniczonego, ale wystarczającego) zaufania do komputera.

>> Ale spowodowanie (np. przez wirusa), by przeglądarka wyświetlała
>> dokładnie taki obrazek "jak powinien być" jest już zupełnie proste.
>
> poproszę obca osobe z internetu aby mi zrobila zrzut ekranu tego obrazka i
umiescila na imgurze.
> Tego wirus nie podmieni...

Nie, autor wirusa nawet nie będzie o tym wiedział, i co z tego? Zrozum,
autor wirusa nie musi zmieniać żadnego certyfikatu. Tak działają proxy,
które nie mają możliwości modyfikacji oprogramowania w pececie. Autor
wirusa musi po prostu spowodować, by "jego" oprogramowanie wyglądało tak
samo jak oryginał.
Tam nawet nie musi być żadnego HTTP(S), wykradzione dane można przesłać
w lepszy sposób (np. tak, by trudniej było namierzyć odbiorcę).

> Ano jest.Ale ryzykuje wtedy tylko tym co przeleje. Nie wszystkimi
> środkami na koncie.

W przypadku "zawirusowanego" komputera i papierowych kodów jednorazowych
(lub tokena w rodzaju SecurID) ryzyko jest całkowite, są to wszystkie
środki na koncie, ew. limity kredytowe itp.

W przypadku "zawirusowanego" komputera i kodów SMS ryzyko (jeśli
atakujący nie ma dostępu do telefonu) ryzyko polega tylko na tym, że
ktoś może nie zauważyć (w treści SMS), że przelew jest adresowany do
kogoś innego.

>> BTW certyfikat może się zmienić w dowolnej chwili. Co z tego że
>> sprawdzisz podczas logowania. Jeśli przeglądarka nie sprawdza
>> prawidłowości certyfikatu, to sprawa jest z góry przegrana. Szukanie
>> czegokolwiek tego typu na stronie banku to nieporozumienie
>> (niezrozumienie idei PKI).
>
> Oczywiscie ze moze sie zmienic ale narazie takich malware nie mamy.

Certyfikat może się zmienić nawet bez malware.

> A PKI jest fajne o ile nie masz po drodze firmowego proxy czy
> antywirusa.

Firmowy proxy przepakowujący HTTPS? A nie boisz się raczej tego proxy?
No bo chyba nie przepuszczasz dostępu do konta firmy przez proxy
firmowe?

> Jesli malware ponazywa swoje certyfikaty tak jak w oryginale to nie
> bedzie widać ze są podmienione. Idea PKI tu nie pomaga o ile nie jest
> wsparta mozliwoscia zewnetrznego sprawdzenia - recznie.

Nie, idea PKI tu po prostu w ogóle nie pomaga, i nie może pomóc.
Zrozum to, na malware na pececie żadne certyfikaty nie pomogą.
--
Krzysztof Hałasa