Gmail: itt az ideje a "Kötelező a https használata" opció bekapcsolásának

Titkosítás, biztonság, privát szféra

A Las Vegas-ban megrendezett Defcon konferencián egy olyan "hacking" eszközt mutattak be szakértők, amely segítségével ellophatók a nem titkosított Gmail session-ök ID-jai és amely képes ezek birtokában belépni a Google Mail fiókokba. A San Francisco-i Mike Perry nevéhez fűződik az eszköz megalkotása. Perry azt tervezi, hogy két héten belül publikálja a tool-t.

A Google nemrég egy új opciót vezetett be a Gmail-en. A választható lehetőség a "Beállítások" menüpontban érhető el "Böngészőkapcsolat" néven.

Gmail: Kötelező a https használata

Két állása van: "Kötelező a https használata" és a "Nem kötelező a https használata". A szakemberek javasolják, hogy aki eddig még nem kapcsolta be a "Kötelező a https használata" opciót, az mihamarabb tegye meg. Az opció bekapcsolásával biztosíthatjuk, hogy az SSL titkosítás ne csak az authentikáció, hanem az összes Gmail-es tevékenységünk ideje alatt használatban legyen.

A részletek elolvashatók itt és itt.

( Huncraft v | 2008. 08. 19., k – 20:47 )

Na azért állítólag ez se fenékig tejföl
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..

( kikke | 2008. 08. 19., k – 20:49 )

Van egy gmail hack firefoxra (a Better Gmail 2 nevű kiegészítő), ami amellett hogy néhány dolgot (meghívó küldés, chat, spamek száma) el tud tüntetni a felületről, kényszerítette a https kapcsolatot eddig is, ha úgy akartuk.

( szegecs | 2008. 08. 20., sze – 00:17 )

Semmi gond, legyen!

Ám, azt ne felejtsük el, hogy már sajnos az FF3-is beállt a paranoid hitelesítési elfogadási sorba, ha egy honlap önmagát kénytelen hitelesíteni, mikor nem akar egy domain tulajdonos százezreket fizetni a legolcsóbb authentikációért.
A https szép, jó, csak hát elavult.
Ha egy nyamvadt AES256-ot akarok használni, akkor miért nem lenne elég egy pl. (ad-hoc): "httpx" protokoll (Értsd HyperText Transfer Protocol x, ahol az x jelölheti a titkosított, de ingyenélő "aláíró-igazoló" szervezetek lenyúlása nélküli módot.)

A problema ezzel az hogy a titkositas magaban nem biztonsagos ha a masik fel nem azonosithato, egy self-signed certes ssl kapcsolat szabad preda a man-in-the-middle tamadasoknak, es a felhasznalo nem tudja megkulonboztetni hogy a tamado self-signed certjet latja vagy a site sajatjat.

A gond nem is a protokollban keresendo, hanem a firefox uj https kezelo ui-jaban, konkretan abban, hogy nem lehet beallitani, hogy automatikusan fogadja el a selfsigned certet is, sajat felelossegre. Egy kijaros rendszergazdaval peldaul konkretan kiszuras, mert hat cegnel hetfele belso ssl cert van, ami ugyan mind valid, megis allandoan engedelyezni kell egy meglehetosen bonyolultra sikeredett feluleten.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Nem tudom, félreértettem-e, de:

"megis allandoan engedelyezni kell"

"Permanently store this exception" mellé egy pipa

"egy meglehetosen bonyolultra sikeredett feluleten.

Valamelyest lehet rajta "egyszerűsíteni"

about:config

browser.ssl_override_behavior érték 1 -> 2

--
trey @ gépház

Hatigen, mert aki selfsigned ssl certet hasznal, az mas aljassagokra is kepes. Miert faj cegen belul generalni egy PistikeBtInternalRootCert-et, egyszer beimportalni a gepeken a root CA-k koze, es elfelejteni az egeszet? Talan mert igy valami koze is lenne a dolognak a biztonsaghoz?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

Megbízható 3. félnek kell hitelesíteni a weboldal gazdáját. Ha nem ellenőrizted le személyesen a kulcsát, akkor nem tudhatod, hogy tényleg az övé a tanúsítvány. Más szavakkal, ha én azt mondom, hogy én vagyok Kázmér és Huba, és ezt egy saját magam által aláírt tanúsítvánnyal alá is támasztom, attól te ezt még nem hiszed el. Avagy ha valaki beékelődik kettőnk közé, akkor ő is mondhatja azt, hogy ő a kupcsik, és simán lehallgatja/megváltoztatja a kommunikációnkat (man-in-the-middle). Mindezt self-signed tanúsítvánnyal. Viszont ha a FF3-ba fixen be vannak építve elismert autentikációs cégek, és megbízok a FF készítőiben (valahol el kell kezdeni), akkor az általuk aláírt dolgokat már elhihetem. Szóval ez nem "paranoid hitelesítési elfogadási sor", csak józan ész.

A https pont hogy nem paranoid, hiszen nem kotelezo valid certtel igazolnod magad. Az mar a kliensen mulik, mennyire kepes automatikusan acceptalni a certedet.

Amugy nehez maskepp megvalositani, mert ket, egymas szamara tokismeretlen pont akar 2 kulcsos titkositast. Ez csak ugy tud mukodni, hogy az egyik elkuldi a publikus kulcsat, a masik pedig ez alapjan kommunikal -> ez a https ssl oldali mukodese jelenleg.
-- 


()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

"Ha egy nyamvadt AES256-ot akarok használni, akkor miért nem lenne elég egy"

Oke. Az aes256, mint tudjuk, egy szimmetrikus kulcsu titkosito algoritmus. Hogy tervezed eljuttatni ezt a kulcsot biztonsagosan a masik oldalra?

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!

( kupcsik v | 2008. 08. 20., sze – 00:17 )

Lehet, hogy hülye kérdés, de a google mé támogatja a http kapcsolatot, ha egyszer el lehet lopni?

Köszi, most már elolvastam. A cikkben azt is írják, hogy egyéb oldalakat is érint. Jól értem, hogy a session cookie-nak semmi köze a jelszóhoz, tehát a jelszót nem szerezheti meg a támadó, csak a session lejártáig garázdálkodhat? Az elképzelhető, hogy megváltoztathatja a jelszót ennek birtokában?

( uid_14401 | 2008. 08. 20., sze – 00:49 )

nem is tudtam hogy már a gmail-ban is van ilyen funkció... én a customizegoogle addon segítségével használtam eddig https-t. Viszont a kedvenc böngészőm az Opera, amiben ez nem megy, és ez kicsit zavart már eddig is.
Most azonban ez is megoldódott és kellemes meglepetés ért: a Gmail új verziója megy végre Opera alatt.

Viszont szokás szerint hisztériázik bejelentkezéskor. Eddig csak simán nem lépett be, visszaugrott a belépési képernyőre helyes jelszó esetén is, de utána frissítésre belépett....
Most ez van ha be akarok lépni:

Elnézést kérünk. Úgy tűnik, hiba történt. Kérjük, támogatott böngészővel próbáljon hozzáférni Gmail
postafiókjához. Ha támogatott böngésző esetén észleli ezt a hibát, akkor kérjük, keresse meg szolgáltatóját, és
jelezze, hogy a proxy szerver nem fogad HTTP átirányítás esetén cookie-kat.

A Gmailhez való visszatéréshez kattintson ide. Újra be kell majd jelentkeznie.

-----------------------------
Ubuntu 8.04

( oykawa | 2008. 08. 20., sze – 14:04 )

A Gmail Notifier (v1.0.25.0) ha be van kapcsolva a https akkor következőt írja:

An error has occurred.
Cannot connect to your mailbox.
Service temporarily unavailable

Ennyit a Google saját levélfigyelőjéről!

Oykawa Hirohito

( gee v | 2008. 08. 22., p – 00:47 )

Én a gmail-t régóta a https://mail.google.com linken olvasom. És nem csak az azonosítás, hanem a további is https felett megy.

Szerintem jó ez így. Nem?