Hirdetés
- Ultrakönnyű Logitech "G305" egér? Úgy tűnik, igen!
- A legrosszabb CPU-k – az ExtremeTech szerint
- OLED TV topic
- 2026 a GDDR6-os VGA-k éve lesz?
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- Hogy is néznek ki a gépeink?
- Azonnali alaplapos kérdések órája
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- HiFi műszaki szemmel - sztereó hangrendszerek
- Hobby elektronika
Új hozzászólás Aktív témák
-
Ligend
tag
"csak ha te generálod, biztos lehetsz benne, hogy nem adták le az nsa-nak a titkos kulcsot."
Ezt szerintem pontosítsuk, mert félreértésekhez vezet. A 3rd party CA-nak, aki a certificate request aláírását (hitelesítését) végzi, nincs birtokában a privát kulcs. Azt minden esetben az igénylő birtokolja, és nem adja ki. A request mindössze a publikus kulcsot tartalmazza, illetve értelemszerűen a tanúsítvány tárgyát (subject) és egyéb technikai adatokat (verzió, használt algoritmusok megnevezése, hash, attribútumok, stb.).
Nyilvánvalóan egy RSA publikus kulcsból elő lehet állítani annak privát párját, ez azonban rendkívül számításigényes. A prímfaktorizációs algoritmusok fejlettsége és a jelenleg elérhető számítási kapacitások miatt már az 1024 bites RSA kulcsok nem számítanak biztonságosnak, 2048 bites kulcspárok használata javasolt. Amennyiben a privát kulcsot tartalmazó szervert nem kompromittálják egy 0-day vagy ismert sérülékenység kihasználásával (pl: Heartbleed), és szerzik meg róla a privát kulcsot, meglehetősen komoly kihívás egy SSL kommunikációt lehallgatni és visszafejteni.
Ahogy korábban is írták többen, a vállalati környezetben alkalmazott SSL-képes proxy megoldások beékelődéses megoldással működnek. Ennek azonban feltétele, hogy a kliensek hitelesnek fogadják el a proxy által titkosított kommunikációt, vagyis rendelkezzenek azzal a CA tanúsítvánnyal, mely a proxy tanúsítványát hitelesítette, és megbízhatónak tartsák azt. Out-of-box ezt nem tartalmazzák a böngészők, külön telepítést igényel.
-
zolij
tag
na akkor tegyük tisztába a dolgokat:
- a startssl cert ingyenes, teljesen jó https-re, az elterjedt böngészők zokszó nélkül elfogadják (persze csak titkosításra jó, szervezet hitelesítésére nem, de akinek ilyen kell az fizessen)
- ez a fix ip / külön ip kell megint csak hülyeség, utoljára ez a windows xp + ie6 párosnál volt így, de aki még mindig ezeket használja, azoknak még azelőtt ellopják az összes adatát, hogy https oldal közelébe kerülneEttől függetlenül én se értek egyet a https kényszerítéssel, ahol nem közlekedik (user)adat, ott totál felesleges.
-
Kékes525
félisten
-
djgeg
őstag
Szerintem arra gondolt, hogy biztonság fokozása érdekében (vagy ssl összes/kívánt adatcsomagok blokkolása érdekében) vannak tűzfalak amik realtime "fejtik" vissza az SSL, majd saját certin keresztül folyik tovább az adat a felhasználóknak. "man-in-the-middle attack"
Azonban ez gyakorlatilag csak foward, nem SSL "feltörése" menet közben mivel a megfelelő certi kell a tűzfalnak is, hogy vissza tudja fejteni. Annyi a lényeg, hogy a tűzfal az SSL el titkosított adatokba is belenézhet, így növelve a biztonságot...
Ha fontos a Social engineering valahol akkor ajánlatos, de a felhasználók nem szokták komálni
"Inbound SSL decryption
In this case, the administrator imports a copy of the protected server’s certificate and key. Once the SSL server certificate is loaded on the firewall, and a SSL decryption policy is configured for the inbound traffic, the device will be able to decrypt and read the traffic as it forwards it on. No changes will be made to the packet data, and the secure channel will be built from the client system to the internal server. The firewall will be able to detect malicious content and control applications running over this secure channel." -
DaveJr
őstag
Nem az oprendszer oldalról beszélünk.....
buherton Google a barátod. Itt a bankban lévő tűzfal+proxy így működik (leegyszerűsítve)
1) egy saját aláírt SSL tanusítványt raknak a böngésző alá
2) https-t a kulccsal visszafejtik
3) ellenőrzik az adatokat
4) újrakódolják a weboldaltól kapott kulccsal és elküldik -
fene tudja... nem látom, hogy pontosan mi van mögötte.
sima cert-et tudsz generálni parancssorból, az is ér annyit, mint a nem ellenőrzött startssl. csak ha te generálod, biztos lehetsz benne, hogy nem adták le az nsa-nak a titkos kulcsot.de ez az egész egy értelmetlen huzavona mindaddig, amíg nem ismerünk hibamentes ssl implementációt. márpedig ilyen most nincs.
-
-
Dezsike
tag
Sokkal egyszerűbb megoldás mindent szűrni a tűzfallal és csak azt a forgalmat átengedni amire a munkához szükség van, a céges szoftverek gyártói részletes listát szoktak adni a működéshez szükséges IP és port tartományokról. Ha a munkavégzéshez elengedhetetlen a teljes Internet elérés akkor hasznos ez, de ilyen munkával nem túl gyakran találkoztam.
Hogy a témához is hozzászóljak, sok esetben valóban elfelejtik a HTTPS használatát olyan helyeken, ahol érzékeny adatok mozognak. DE, nagyon sok olyan oldal van, ami szimplán csak információt közöl illetve olyan adatokat kell megadni, ami nem érzékeny. Ilyen helyeken nem szükséges a HTTPS, ezért hátrébb sorolni értelmetlen. Ezt kategóriákra lenne értelme osztani, például a webshopokat valóban jó ötlet ilyen esetben hátrébb sorolni, viszont a kutyafajtákat leíró oldalakat nem.
-
#30
DaveJr
őstag
dragon1993
#24
DaveJr
őstag
válasz
dragon1993
#24
üzenetére
Ja csak nem minden tárhely szolgáltató engedi használni....
Plusz saját fix IP akkor is kell (ha jól tudom) ami megint csak fizetős a legtöbb helyen.buherton: Több dolgot is írtam. Melyikre gondolsz?
-
egak
csendes tag
Szerintem egy teljesen standard man-in-the-middle támadással meg tudja csinálni. A tűzfalnak van egy saját tanúsítványa a google.com-ra kiállítva, te azt látod, ő meg rendesen csatlakozik a Google-höz. Normál esetben a böngésződ észrevenné a támadást és visítana az áltanúsítvány miatt, de itt nem fog, mert böngészőt úgy állítják be, hogy a céges kibocsátó kitörölhetetlenül ott legyen a megbízható kibocsátók listájában.
-
kellene még valami hitelt érdemlő bizonyíték, hogy a https biztonságosabb, mint a http.
-
Cathulhu
addikt
Megis mit csinal a hatam mogott? Ha nem toltom ki a profilt, nem lesz adat amit mas is lat.
a) ezt meg el tudom fogadni, de szimplan bolhabol elefantnak erzem
b) netto hulyeseg, ha nem hasznalod, nem igazolsz vissza senkit, senki nem fog rajta keresni#14:
engem sok egyeb dolog zavar, pl az hogy boldog boldogtalan hozzaadhat az o koreihez, tenni nem tudok ellene, vagy hogy az uzenofal total hektikus, kiszamithatatlan epp mit jelenit meg es mit nem, szoval en sem hasznalom, de csak szimplan azert, mert sz@r, amugy nekem elfer az acc -
Krystal_s
addikt
válasz
Krystal_s
#14
üzenetére
Nem csoda, hogy nem találtam a beállítást, ugyanis nem lehet megváltoztatni a régi YouTube felhasználói nevet. Kell hozzá egy G+ fiók.
![;]](//cdn.rios.hu/dl/s/v1.gif)
"Unfortunately, it's not possible to change a traditional YouTube username. You can, however, switch to a Google identity on YouTube." -
Krystal_s
addikt
Én is így gondoltam, hogy elfér az a G+ profil ott üresen, amíg észre nem vettem, hogy bárhogyan állítom be, akkor is nyilvánosan láthatóvá teszi mindenki számára az én Youtube felhasználói nevem, ami egyben az egyik Email címem. Na akkor lett elegem. A legtöbb embernek akadnak olyan ismerősei, akikkel nincs túl jóban, de azok mégis szeretnék követni minden lépését és nem biztos, hogy jó szándékkal.
Amúgy most nézem, hogy lehetne átírni a Youtube felhasználói nevet, hogy ne email cím legyen látható, de nem találom.
-
.mf
veterán
Oh értem, szóval neked az korrekt, hogy engedélyed, beleegyezésed nélkül a hátad mögött csinál ezt-azt, készít rólad publikus profilt, oszt meg adatokat rólad...
De ha az ilyen elvi dolgok nem zavarnak, akkor mondok pragmatikusabbat:
a.) Spameli az értesítőket a postaládámba.
b.) Mivel nem fogok ránézni, ha valaki ott akarja velem felvenni a kapcsolatot, ott akar valamit üzenni, akkor azt nem fogom látni, ami félreértésekre, súrlódásokra adhat okot. -
![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Bekeményítenek az ügyfelekkel szemben a memóriagyártók
- Ultrakönnyű Logitech "G305" egér? Úgy tűnik, igen!
- A legrosszabb CPU-k – az ExtremeTech szerint
- Titkos szabállyal tereli a hazai megoldások felé a félvezetőgyártóit Kína
- Mobilhasználat külföldön
- LEGO klub
- World of Tanks - MMO
- OLED TV topic
- Xiaomi 13T és 13T Pro - nincs tétlenkedés
- 2026 a GDDR6-os VGA-k éve lesz?
- További aktív témák...
- Szép! Lenovo Thinkpad T14s G2 Üzleti "Golyóálló" Laptop 14" -50% i5-1135G7 4Mag 16GB/512GB FHD IPS
- Bomba ár! Lenovo ThinkPad Yoga 370 - i5-G7 I 8GB I 256SSD I 13,3" FHD Touch I W11 I Cam I Gari!
- Bomba ár! Lenovo ThinkPad Yoga 260 - i5-G6 I 8GB I 256SSD I 12,5" Touch I W11 I Cam I Gari!
- HP EliteBook 850 G8 Fémházas Tartós Laptop 15,6" -65% i7-1165G7 16/512 Iris Xe FHD
- Bomba ár! Lenovo ThinkPad X390: i5-G8 I 16GB I 256-1TSSD I 13,3" FHD Touch I HDMI I Cam I W11 I Gar
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Laptopszaki Kft.
Város: Budapest