Perspectives: Firefox bővítmény a Man-in-the-middle típusú támadások felismerésére

Mozilla

Egy csoport a Carnegie Mellon Egyetemről egy olyan Firefox bővítményt jelentett be ma, amely az ígéretek szerint segít felismerni a Man-in-the-middle típusú támadásokat a HTTP SSL kommunikációban. Emellett - ha az biztonságosan megtehető - segít automatikusan megkerülni a Firefox által az untrusted (self-signed) certificate-tel rendelkező weboldalakhoz való kapcsolódás esetén adott, egyesek számára rendkívül ellenszenves "Secure Connection Failed" oldalat is.

Az extension a "Perspectives" névre hallgat.

"A "Perspectives" egy rakás jószándékú site-ot - más néven közjegyzőket, hitelesítőket (notaries) - használ az olyan oldalak authentikálásához, amelyek biztonságos kommunikációt kívánnak. A kívánt oldalak független lekérdezése által a közjegyzők ellenőrizni tudják, hogy vajon mindegyikük ugyanazt az authentikációs információt - digitális certificate-et - kapja-e válaszul. Ha a közjegyzők közül egy vagy több azt jelzi, hogy a kapott authentikációs információ különbözik a böngésző vagy a többi közjegyző által kapott információtól, akkor a felhasználó joggal gyanakodhat arra, hogy egy támadó kompromittálta a kapcsolatot."

A pontos és teljes leírás elolvasható a bejelentésben, illetve a projekt honlapján.

( Tyra3l | 2008. 08. 25., h – 20:28 )

jol hangzik, orulnek neki ha elterjednenek es nem csak kemeny valutaert lehetne az elterjedt bongeszok altal is elfogadott certet venni. :(

Tyrael

2008 van, ideje lenne körülnézned, miután kijöttél a barlangodból. :))) Nem reklám akar lenni, de www.onestepssl.com , Paypallel fizetve valami 4000 Ft környékén van egy teljesen jó hitelesítés, online lehet mindent intézni.

--
Ruby takes the elegance and simplicity of Perl, and mixes it with the library support of Lisp.

huha, koszi, de elmagyaraznad, hogy ez melyik reszet cafolta az altalam irott hozzaszolasnak?

akkor picit reszletesebben kifejtve: orulnek neki, ha elterjedne ez a fajta egymas ssl tanusitvanyait korbehitelesitjuk rendszer, mivel egyreszt nagy meretu halozat kialakulasa eseten biztonsagosabb lehet mint egy "monopol" szolgaltato, persze azert az anyagi vonzata sem elhanyagolhato, ha normalis (nem 128bites) hitelesitest szeretnel.
cacert-ben biztam, de nem valtotta meg a vilagot, nem kerult bele az ff-be.
:(

Tyrael

Nem csak FF3, hanem korábbi is.

Mindegy, természetesen nem jó mindenre, csak mivel te szomorkodtál, hogy a cacert nem került be az ff-be, ezért írtam, hogy ez viszont benne van.

Aki IE-vel szivatja magát, az figyelmeztetést lát. Aki firefoxszal vagy konquerorral megy, az meg jól működő weblapot talál.

Akkor kerdezem en tfh IRL veszel egy lakast, az elado elvisz egy palihoz, aki a haverja, es o egy megbizhato csavo, te nem ismered, a haverodat felhivod, o ismeri. Alairjatok a papirokat. Fel ev mulva kiderul nem is az eladoe volt a haz. Kie a felelosseg? Vagy csak ez is amolyan: a nincs ertelme mert nincs akkora erteke.
Persze ez igaz lenne, de pl a cacert egy olyan teszta amiben nem nagyon tudok bizni (gy.k senki nem vallal anyagi felelosseget a tetteiert)
Persze ugyanez szol Adi-nak is, aki tudja, hogy egy semmit sem jelento (majdnemhogy csak titkositott kapcsolatra elegendo szavatolas) nem nagy mutatvany, ilyen tanusitvanykiadot barki uzemeltethet.

ebay-en nem szoktal vasarolni, ugye?
hiszen nem latod a palit, lehet hogy csak egy teglat kuld...
azert ha van egy cert, amit mondjuk szazas, vagy ezres nagysagrendben tartanak hitelesnek, az nekem eleg.
verisign is csak arra fizet, ha egy phising site-ra azt mondja hogy valid, de ez egy normalis kulcsmeretnel eleg valoszinutlen.
szoval nem tartom valoszinuleg hogy te vagy en valaha egy kanyi vasat is latok toluk karpotlasul.
viszont azt siman elkepzelhetonek tartom, hogy egyszer azert dolok be 1 phising site-nak, mert xy oldalnak nincs parszaz dollarja hogy ne sajat maga alairt certet hasznaljon, amit max telefonon tudok hitelesen ellenorizni. :/

szoval en jobban orulnek a a technikailag biztonsagos, de anyagi felelossegvallalas nelkuli megoldasnak, mint a sokszazezer dollarra biztositott, de epp ezert csak egy szukebb kor szamara megengedhetonek.

Tyrael

Eltalatad:) Magamnak soha. Mindenesetre, ha lenne (biztos lesz egyszer) biztosito aki erre az eshetosegre felkeszulve biztositast ad, akkor fogok venni, illetve ha ez az anyagi lehetosegeimet nem erinti, es nem vehetem meg a boltban, vagy masik magyar vallalattol akkor veszek ebay-on dolgokat. Osszessegeben mukodik, nagy szamok torvenye szerint vannak rajta csalasok is, en nem kultivalom.
Van lehetoseged erre most is. Van ingyenes, illetve kozel ingyenes ssl tanusitvany, koztuk nagyon sok minden bongeszobe importaltan. (sot olyan is van aki az ingyenesre ad biztositast de errol inkabb ne beszeljunk)
A hitelesitesben az a jo, hogy ha biztositott, akkor arra fizet, amit biztosit, tehat arra, hogy ez az ssl az o altaluk alairt tanusitvannyal rendelkezik. Kesz.
EV eseten ennel picit tobbrol van szo....

2 dolog:

1, itt arról volt szó, hogy közhitelesítők hitelesítenének, pl. közjegyző (mondjuk azt nem tudom, miért hitelesítené egy közjegyző ingyen, de ez más kérdés)

2, értékarányosság... simán lehetne kétféle jel. Mondjuk nem csak piros és zöld, hanem legyen egy sárga is. Zöld lakat, ha valamelyik nagy, fizetős CA tanúsította, és akkor lehet biztonsággal pénzt is küldeni. Sárga, ha csak amolyan web of trust féle dolog van, vagy mondjuk ingyenes online CA -> pénzt nem küldök, de mondjuk egy jelszó beírásához valami oldalra (blog, web2, előfizetéses oldalak, webmail, stb) már elég jó lehet (legalábbis a pirosnál (self signed), vagy a titkosítatlan http-nél sokkal jobb)

G

"online lehet mindent intézni"

Annyit is er:

During the order process you will select a email address that is tied to your domain, either by the WhoIs record or the domain name itself. After the completion of your order a email containing a unique approval link will be sent to that address. Simply clicking that approval link will validate your order and issue your certificate to you.

--
Fontos feladatot soha ne bizz olyan gepre, amit egyedul is fel tudsz emelni!