Comments on: Self-signed certificate – the fast way i dlaczego są EVIL http://devrandom.pl/blog/2010/02/03/self-signed-certificate-the-fast-way-i-dlaczego-sa-evil/?utm_source=rss&utm_medium=rss&utm_campaign=self-signed-certificate-the-fast-way-i-dlaczego-sa-evil another seed in entropy Thu, 05 Apr 2012 21:45:35 +0000 hourly 1 http://wordpress.org/?v=3.3.2 By: XANi http://devrandom.pl/blog/2010/02/03/self-signed-certificate-the-fast-way-i-dlaczego-sa-evil/comment-page-1/#comment-1779 XANi Wed, 17 Feb 2010 09:53:12 +0000 http://devrandom.pl/?p=554#comment-1779 Racja. Ale już admin który ma pare serwerów, phpmyadmin tu, inny webadmin tam, jeszcze gdzie indziej nagios itd. może sobie łatwo wygenerować "prywatny" cert, zaimportować go do przeglądarki i podpisywać nim inne certy, wtedy zapewnia on podobny poziom bezpieczeństwa jak "prawdziwy" cert (z tą niedogodnością że trzeba go zaimportowac do przeglądarki). Piszę ku świadomości adminów, jak to mówią "user will always choose dancing bears over security" ;] Racja. Ale już admin który ma pare serwerów, phpmyadmin tu, inny webadmin tam, jeszcze gdzie indziej nagios itd. może sobie łatwo wygenerować “prywatny” cert, zaimportować go do przeglądarki i podpisywać nim inne certy, wtedy zapewnia on podobny poziom bezpieczeństwa jak “prawdziwy” cert (z tą niedogodnością że trzeba go zaimportowac do przeglądarki).

Piszę ku świadomości adminów, jak to mówią “user will always choose dancing bears over security” ;]

]]> By: Marti http://devrandom.pl/blog/2010/02/03/self-signed-certificate-the-fast-way-i-dlaczego-sa-evil/comment-page-1/#comment-1778 Marti Wed, 17 Feb 2010 09:38:28 +0000 http://devrandom.pl/?p=554#comment-1778 imho - każdy cert jest lepszy niż jego brak (gdyż zabezpiecza przed sniffowaniem), a to czy ktoś przeprowadzi atak M-in-M to tak naprawdę zależy tylko od jego chęci a nie od tego jakiego certu użyjemy, gdyż na zwykłego usera nie ma co liczyc. imho – każdy cert jest lepszy niż jego brak (gdyż zabezpiecza przed sniffowaniem), a to czy ktoś przeprowadzi atak M-in-M to tak naprawdę zależy tylko od jego chęci a nie od tego jakiego certu użyjemy, gdyż na zwykłego usera nie ma co liczyc.

]]> By: XANi http://devrandom.pl/blog/2010/02/03/self-signed-certificate-the-fast-way-i-dlaczego-sa-evil/comment-page-1/#comment-1777 XANi Wed, 17 Feb 2010 00:03:59 +0000 http://devrandom.pl/?p=554#comment-1777 To już jest inny problem, mianowicie nieśiwadomość userów, sporo ludzi gdy bardzo chce się gdzieś dostać po prostu klika "dalej" bez czytania. Wtedy żaden cert nie pomoże ;] To już jest inny problem, mianowicie nieśiwadomość userów, sporo ludzi gdy bardzo chce się gdzieś dostać po prostu klika “dalej” bez czytania. Wtedy żaden cert nie pomoże ;]

]]> By: Marti http://devrandom.pl/blog/2010/02/03/self-signed-certificate-the-fast-way-i-dlaczego-sa-evil/comment-page-1/#comment-1776 Marti Tue, 16 Feb 2010 22:31:44 +0000 http://devrandom.pl/?p=554#comment-1776 Jeśli myślisz, ze szaremu userowi któremu zależy na obejrzeniu witryny nie jest wszystko jedno jaki certyfikat dostaje to jesteś w błędzie. W 99% przypadków jeśli dostaje podpisany - to nawet nie wie, że idzie przez HTTPS, jesli dostaje selfsigned - klika "zaakceptuj=> TAK ROZUMIEM ZAGROŻENIE => OK => NA PEWNO => TAK CHCE ZOBACZYC TE STRONE". I dla wielu nie ma znaczenia - do czego się dostają. Userzy działają wg zasady "cel uświęca środki" tj. chcę zrobić przelew to zaloguje się do banku, a to jaki cert jest po drodze - to zainteresuje tylko bardziej świadomych userów. Kiedyś jak skopałem sobie squida, robiłem nieświadomie atak Man in the Middle, ktoś zwrócił mi uwagę dopiero po... dwóch tygodniach, a userów w sieci było z 60. Jeśli myślisz, ze szaremu userowi któremu zależy na obejrzeniu witryny nie jest wszystko jedno jaki certyfikat dostaje to jesteś w błędzie.

W 99% przypadków jeśli dostaje podpisany – to nawet nie wie, że idzie przez HTTPS, jesli dostaje selfsigned – klika “zaakceptuj=> TAK ROZUMIEM ZAGROŻENIE => OK => NA PEWNO => TAK CHCE ZOBACZYC TE STRONE”. I dla wielu nie ma znaczenia – do czego się dostają. Userzy działają wg zasady “cel uświęca środki” tj. chcę zrobić przelew to zaloguje się do banku, a to jaki cert jest po drodze – to zainteresuje tylko bardziej świadomych userów.

Kiedyś jak skopałem sobie squida, robiłem nieświadomie atak Man in the Middle, ktoś zwrócił mi uwagę dopiero po… dwóch tygodniach, a userów w sieci było z 60.

]]> By: XANi http://devrandom.pl/blog/2010/02/03/self-signed-certificate-the-fast-way-i-dlaczego-sa-evil/comment-page-1/#comment-1775 XANi Mon, 15 Feb 2010 09:31:58 +0000 http://devrandom.pl/?p=554#comment-1775 Dane w certyfikacie self-signed nie mają znaczenia, wystarczy że ściągniesz go i wygenerujesz drugi z takimi samymi danymi. Prawda że przeglądarka wtedy pokaże że cert się zmienił ale tylko gdy już wcześniej miałes go zaakceptowanego, gdy np. logujesz się z kompa który go nie ma. Daje pewne zabezpieczenie tylko gdy juz go masz na kompie (bo wtedy przeglądarka zacznie alarmować). Jasne, to odbiorca decyduje czy nie uwać certowi, ale często spotkałem się z przekonaniem że taki cert jest tak samo bezpieczny jak cert podpisany "bo też szyfruje". To jest fine jak zabezpieczasz sobie Web UI na którę bedą wchodzili tylko admini (ale wtedy zrobienie sobie mini urzędu certyfikacji nie jest bardzo skomplikowane), ale typowy user gdy zobaczy zmianę certu self signed zaakceptuje bez czytania. Jeżeli dalej myślisz że certy self-signed są bezpieczne, jesteś naiwny ;] Dane w certyfikacie self-signed nie mają znaczenia, wystarczy że ściągniesz go i wygenerujesz drugi z takimi samymi danymi. Prawda że przeglądarka wtedy pokaże że cert się zmienił ale tylko gdy już wcześniej miałes go zaakceptowanego, gdy np. logujesz się z kompa który go nie ma. Daje pewne zabezpieczenie tylko gdy juz go masz na kompie (bo wtedy przeglądarka zacznie alarmować).
Jasne, to odbiorca decyduje czy nie uwać certowi, ale często spotkałem się z przekonaniem że taki cert jest tak samo bezpieczny jak cert podpisany “bo też szyfruje”.
To jest fine jak zabezpieczasz sobie Web UI na którę bedą wchodzili tylko admini (ale wtedy zrobienie sobie mini urzędu certyfikacji nie jest bardzo skomplikowane), ale typowy user gdy zobaczy zmianę certu self signed zaakceptuje bez czytania.
Jeżeli dalej myślisz że certy self-signed są bezpieczne, jesteś naiwny ;]

]]> By: kopydleusz http://devrandom.pl/blog/2010/02/03/self-signed-certificate-the-fast-way-i-dlaczego-sa-evil/comment-page-1/#comment-1774 kopydleusz Mon, 15 Feb 2010 08:05:58 +0000 http://devrandom.pl/?p=554#comment-1774 Siła szyfrowania certyfikatu podpisanego przez zaufany organ, i takiego self-signed niczym się nie różni. Różnica polega na tym, że o prawdziwości danych w certyfikacie self-signed, decyduje odbiorca (jego ryzyko). W swoim artykule piszesz bzdury. Siła szyfrowania certyfikatu podpisanego przez zaufany organ, i takiego self-signed niczym się nie różni. Różnica polega na tym, że o prawdziwości danych w certyfikacie self-signed, decyduje odbiorca (jego ryzyko).

W swoim artykule piszesz bzdury.

]]>