http://www.di.com.pl/ 3 4 Komentarze do wiadomości Dziennika Internautów http://www.di.com.pl/rss/ pl Copyright 1998-2008 by Dziennik Internautów. Tue, 19 Aug 2008 09:43:27 CET Tue, 19 Aug 2008 09:43:27 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>Warto chyba też dodać, iż pliku z certyfikatem szukać ze świecą na stronie sigillum - tak jak by to była usługa jedynie dla klientów płatnych usług... 72160 Tue, 19 Aug 2008 09:43:27 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>po prostu wczesniej instalujesz sobie certyfikat sigillum<br /> <br /> nie ma znaczenia czy cert dostarczyl nam microsoft w ramach aktualzacji systemu czy tez instalujemy certa sobie sami 69693 Thu, 17 Jul 2008 15:40:50 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>Polska Wytwórnia Papierów Wartościowych na swych stronach szyfrowanych nadal korzysta z certyfikatu wystawionego przez Polskie Centrum Certyfikacji Elektronicznej Sigillum, które nie poświadcza własnej tożsamości przez zewnętrznego dostawcę certyfikatów znajdujego się na liście zweryfikowanych i zaufanych dostawców certyfikatów.<br /> <br /> "Nie udało się nawiązać bezpiecznego połączenia<br /> cpdpub.pwpw.pl używa nieprawidłowego certyfikatu bezpieczeństwa. Certyfikat nie jest zaufany, ponieważ certyfikat wystawcy jest nieznany.<br /> (Kod błędu: sec_error_unknown_issuer)" 69463 Mon, 14 Jul 2008 22:12:54 CET http://di.com.pl/komentarze,21577,0.html Autor: Tomasz Chiliński<br/><br/>Bardzo słusznie. Dodatkowo warto pracować przy komputerze używając jak najniższych uprawień (najlepiej zwykłego użytkownika). Systemy operacyjne często przy instalacji wgrywają również klucz publiczny producenta systemu i przy instalacji oprogramowania (powinien to robić tylko administrator sstemu) otrzymuje komunikat czy pakiet oprogramowania nie jest fałszywy. Oczywiście i tak nie uchroni nas to w 100%, ale nie oznacza to, że nie powinniśmy dbać o nasze bezpieczeństwo. Zawsze im bardziej zabezpieczamy się tym bardziej wyrafinowanych metod włamania się używają przestępcy - jak to w życiu, ale włamywacze wykorzystują przede wszystkim proste niedociągnięcia. ;-)<br /> Tomasz Chiliński 68102 Sun, 29 Jun 2008 16:37:06 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>Ale tak samo u ofiary można dopisać \'coś\' do zaufanych dostawców. Najbezpieczniejsze jest korzystanie z własnej listy bezpiecznych certyfikatów przyniesionych na bezpiecznym nośniku z urzędu certyfikacji. Jaką ma się pewność żę \'pośrednik\' nie spreparował instalalcji opery, firefoxa czy innego \'klienta https\'. Dlatego panie Tomku jeżeli strona nie nakrzyczy na mnie że ścieżka certyfikacji jest nie cacy ja i tak się zawsze 2 razy zastanawiam na co wchodze. 68098 Sun, 29 Jun 2008 13:18:11 CET http://di.com.pl/komentarze,21577,0.html Autor: de0<br/><br/>to może odpowiem na wszystko na raz : KTO CZYTA NIE BŁĄDZI.<br /> nie umiesz czytać to nabiorą Cię na lizaka. de0 68095 Sun, 29 Jun 2008 11:44:08 CET http://di.com.pl/komentarze,21577,0.html Autor: Tomasz Chiliński<br/><br/>Można posłużyć się chociażby ettercap-ng (elegancko działa preparowanie certyfikatów w locie z zachowaniem sygnatur tekstowych; naturalnie trzeba doprowadzić do przekierowania ruchu ofiary na maszynę strony atakującej tak, żeby ona pośredniczyła w wymianie informacji - jest parę prostych metod).<br /> Widzę, że nie zrozumieliśmy się - szyfrowanie samo w sobie może być bezpieczne, ale jeśli wcześniej witryna www (https) nie zostanie poddana uwierzytelnieniu właśnie poprzez sprawdzenie jej certyfikatu to cała dalsza wymiana informacji jest ryzykowna, o ile nie przeniesiemy certyfikatu CA nieznanego przeglądarce www wystawcy certyfikatów, albo samego certyfikatu witryny na nasz komputer metodą bezpieczną.<br /> Tomasz Chiliński 68092 Sun, 29 Jun 2008 01:09:57 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>rewrite z http na https nie powoduje, ze certyfikat jest zbedny. Wyswietli sie dokladnie ten sam certyfikat i certyfikat ten moze byc tak samo bezpieczny w sensie szyfrowania polaczenia, jak zaufany certyfiakt od np. Verisign. 68091 Sun, 29 Jun 2008 00:56:10 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>Opisz prosze na czym ta trywialnosc polega, czyli jak trywialne jest podstawienie certyfikatu.<br /> Jak wejdziesz na szyfrowana strone z adresu strona.com gdzie certyfikat wystawiony jest dla CN <a href="http://www.strona.com" target="_blank">www.strona.com</a> (certyfikat nie jest "wildcard") to mozna taki atak przeprowadzic tak samo. Sek jest w komunikatach i ew. ich ignorowaniu. Samo szyfrowanie, jezeli certyfikat uzywa wlasciwego algorytmu jest nadal bezpieczne, rowniez w przypadku stron PWPW. 68090 Sun, 29 Jun 2008 00:49:19 CET http://di.com.pl/komentarze,21577,0.html Autor: zur887<br/><br/>SSL dla pwpw.pl jest wystawiony jeszcze lepiej ;)<br /> <br /> Ponieższe dane dla organu który wystawił i który posiada certyfikat.<br /> domena: localhost.localdomain<br /> organizacja: SomeOrganization<br /> oddział: SomeOrganizationalUnit<br /> miasto: SomeCity<br /> województwo: SomeState<br /> adres e-mail : <a href="javascript:mailto:mail(\'root\',\'localhost.localdomain\');">root_(at)_localhost.localdomain</a><br /> <br /> Jak już nie mają certyfikatu na tą domene niech zrobią przekierowanie z HTTP na HTTPS\'a. Prosty RewriteRule w .htaccess ;) zur887 68087 Sat, 28 Jun 2008 22:50:13 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>Mości Tomaszu Chiliński, bardzo dobrze to ująłeś. 68085 Sat, 28 Jun 2008 22:27:21 CET http://di.com.pl/komentarze,21577,0.html Autor: Tomasz Chiliński<br/><br/>W trywialny sposób można przeprowadzić na użytkowników aplikacji www PWPW atak typu MITM, w przypadku, którego użytkownik aplikacji nie zauważy tego, że jest przesłuchiwany - sygnatury tekstowe będą identyczne z oryginalnymi, a cyfrowe i tak nie są weryfikowalne. Odpowiedź człowieka z PWPW nie jest żadnym częściowym rozwiązaniem problemu, lecz stwierdzeniem typu: "tak jest, nasze zabezpieczenia są nic nie warte".<br /> Nie jest zaskakujące, że rzecznik prasowy pisze całe wypracowanie, żeby oddać myśl, którą przytoczyłem, bo mądrze brzmiącym bełkotem można ludziom ściemniać. Jak to mawiał Adolf Hitler: "Szerokie masy ludu łatwiej ulegają wielkiemu kłamstwu niż małemu." Tomasz Chiliński 68082 Sat, 28 Jun 2008 21:22:38 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>Skąd masz pewność w takim przypadku, że to co dostajesz, od nich rzeczywiście jest certyfikowane przez Sigillum, a nie od Crackera Hackerskiego, skoro ten piewrwszy nie został oficjalnie zweryfikowany?? 68078 Sat, 28 Jun 2008 20:28:36 CET http://di.com.pl/komentarze,21577,0.html Autor: de0<br/><br/>zgadza się :) to że wystawca certyfikatu nie znajduje się na liście zaufanych to wcale nie oznacza, że nie jest bezpiecznie. nie potrzebna panika i nie potrzebne marnowanie czasu na pisanie postów a potem oczekiwanie na odpowiedzi...<br /> ludki : google waszym przyjacielem :)<br /> wystarczyło poczytać. de0 68073 Sat, 28 Jun 2008 18:24:34 CET http://di.com.pl/komentarze,21577,0.html Autor: <br/><br/>czytelnik najpierw powinien dowiedzieć się o co chodzi - niestety większość (albo wszystkie?) polskich CA wystawiających podpisy kwalifikowane nie jest wpisana na listy w przeglądarkach, trzeba sobie ręcznie dopisywać. <br /> Cóż, liczyć, że z nowymi aktualizacjami przeglądarek, producenci, a przynajmniej ci główni (MS,Mozilla,Opera) zaktualizują listy. Banki np. kupują z tego względu certyfikaty w stanach. 68070 Sat, 28 Jun 2008 17:28:49 CET