Ott a konnektor, hát miért nem használja?!

Akarom mondani, miért nem tölti le nekem a Firefox az alábbiak egyikét sem?
http://xmlsoft.org/sources/libxml2-2.9.12.tar.gz
ftp://xmlsoft.org/libxml2/libxml2-2.9.12.tar.gz
 

Természetesen azért, mert a fejlesztő mindig okosabb, mint a felhasználó, tehát ha ő úgy dönt, hogy én nem akarok ilyet letölteni, akkor nyilván úgy is van.

( ibenny v | 2022. 01. 18., k – 13:17 )

Az első nálam szó nélkül lejön, csak a linkre kattintva.

Mert az http nem ftp. Az ftp-vel a Chome sem boldogul már ... ( Zorin OS  Linux 15.3 , Google Chome Verzió: 97.0.4692.71 (Hivatalos verzió) (64 bites) )

Érdekeség :   A legelső linkre kattintva a Firefox simán letölti a fájlt, de a Chrome NEM.
Elé kel írni : http://   !!!!   Csak így hajlandó letölteni.

Kivéve, ha közben az XYz CA-t hackertámadás érte és "véletlenül" kiállított jónéhány hamis certet.

Kivéve, ha közben egy WXy CA is fel van véve a rendszeredbe, mint megbízható tanúsító.

Mindeközben a fősodratú mérnök úr a HTTPS és a zöld lakat nyújtotta kényelemérzetre bízta a libxml2 forráskódjának érintetlenségét. Pedig megnézhette és ellenőrizhette volna a mellékelt libxml2-2.9.12.tar.gz.asc fájl aláírását is, anélkül, hogy az egész fájlt betitkosíttatja a szerverrel és kititkosíttatja a kliensével, sokkal több energiát elpöfögtetve, mint amennyi egy aláírás-ellenőrzéshez szükséges. Pláne, hogy a hálózati proxy akár még cache-elni is tudta volna ezt a forráskódot, ha valaki a cégnél már esetleg letöltötte.

A fájl aláírása egy dolog (Honnan tudod, hogy az aláírás valid, és ahhoz tartozik, aki a fájlt eredetileg elkészítette?)

"anélkül, hogy az egész fájlt betitkosíttatja a szerverrel és kititkosíttatja a kliensével, sokszor annyi energiát elpöfögtetve, mint amennyi egy aláírás-ellenőrzéshez szükséges."

Gondolom explicit méréseket tudsz citálni ezzel a "sokszor annyi energiát elpöfögtetve" kijelentéseddel kapcsolatban, mert azért illene az állításodat alátámasztani. Nem, a tizen-huszon-sok évvel ezelőtti méréseket ne hozd ide, messze nem relevánsak manapság.
 

Dehogynem:

Oldschool Computer - http://oscomp.hu

bool question = (2 * B) || !(2 * B); // true

A mellékelt libxml2-2.9.12.tar.gz.asc signature meg arra jó, hogy megnézd, ténylegesen beleszólt-e valaki a forgalomba. Akár HTTP-n, akár HTTPS-en. És sokkal pontosabban meg is fogja mondani, mint a zöld lakat mögé képzelt biztonság illúziója, már ahogy multiék, tűzrókáék FUD-fantáziájában, meg a smartpolgárság tudatában létezik.

Nyilván az utóbbinak, csakhogy kérdés egyfelől, hogy mennyivel, másfelől meg létezik egy olyan dolog, hogy netsemlegesség, amivel ez az egész cert mánia homlokegyenest szembemegy. A web mindenkié és nem azoké, akiknek certjük van. Igen, egyelőre még mindenkinek lehet. Még. Ezen van a hangsúly, hogy még. Ha kitalálják, hogy a Let's Encrypt se biztonságos és megideologizálják valami bullshittel, akkor aztán pisloghat, akinek nincs pénze kicsengetni a certért a lóvét, vagy aki felkerül valami feketelistára és nem adnak neki. Ez nem a biztonságról szól, hanem a net leszabályozásáról.

Oldschool Computer - http://oscomp.hu

bool question = (2 * B) || !(2 * B); // true

Hát ez bizony így van. Csak ezzel egy a baj: ezt egy demokratikus jogállamban nem tudják megcsinálni. Majd ha diktatúra lesz. A nagy cégek viszont pontosan ezt próbálják megcsinálni, csak persze sutyiban.

Oldschool Computer - http://oscomp.hu

bool question = (2 * B) || !(2 * B); // true

( uid_19334 | 2022. 01. 18., k – 15:32 )

Szerkesztve: 2022. 01. 18., k – 15:33

+1 Elég idegesítő.

( batyu v | 2022. 01. 18., k – 23:09 )

itt leginkább a libxml fejlesztő döntött úgy, hogy nem töltöd le...
Vicces, hogy az oldal https-sel létezik, de a libvirt oldalára mutat. Van ott gond :)

itt leginkább a libxml fejlesztő döntött úgy, hogy nem töltöd le...

Nem, ő nem döntött így. Ő úgy döntött, hogy nem fogja túltitkosítani a weboldalát, amikor a libxml2-2.9.12.tar.gz.asc signature ellenőrzésével amúgy is le lehet csekkolni, beleszólt-e bárki bárhol a forgalomba. Ami amúgy egymillióból egyszer, ha előfordul, de a titkosítást erőltető Google és a multibuzi Mozilla Foundation FUD-álomvilágában és security™-mániás FUD-marketingasztalán mindennapos esemény. Arról persze már hallani sem akar sem az előbb említett konglomerátum, sem úgy általában a fősodor, hogy a HTTP-t használni sok esetben kompatíbilisebb, optimálisabb, mint HTTPS-t, pláne ha valamilyen szeparált, proxyzott hálózatról vagy amúgy is titkosított VPN-kapcsolaton áttolt HTTP-ről beszélünk. Ahogy arról sem akar hallani, hogy ebben az esetben a HTTP + signature ellenőrzés biztonságosabb, mivel attól is véd, ha HTTPS-en szólt bele valaki a forgalomba, mondjuk egy kompromittált tanúsító certjeivel való visszaéléssel, amilyenre picivel több hétköznapi példát láttunk, mint célzott HTTP MITM-támadásra.

Vicces, hogy az oldal https-sel létezik, de a libvirt oldalára mutat. Van ott gond :)

Valóban van gond, de multiék és tűzrókáék házatáján egy nagyságrenddel nagyobb a gond. Főként a fejekben.

Egy: loop, ezzel nem invalidáljátok a másikat.
Kettő: hogy honnan tudom, pl. megvan korábbról?
Három: remélem tudod, hogy azért ez már masszívan a FUD kategória, hogy már ki sem lehet nyitni a netet, nehogy valaki meg ne MITM-eljen. Erre csillagászatian kicsi az esély, hacsak nem valami vadidegen wifire csatlakozol fel.

Oldschool Computer - http://oscomp.hu

bool question = (2 * B) || !(2 * B); // true

tehát nem tudod semmivel sem nagyobb biztonsággal garantálni, hogy a vérpistike gépégékulcsával aláírt adathalmaz valóban az, amit vérpistike felrakott a szerverére, és odarakott mellé egy aláírást tartalmazó fájlt... Nem, a "régebbről megvan" nem játszik, mert ilyen alapon mindenkinek a kulcsát először hiteles, azonosított forrásból meg kéne szerezned, illetve az adott kulcs segítségével történő ellenőrzés előtt is egyeztetned kéne a kulcs tulajdonosával(!), hogy nem vonta-e vissza azt... Így gyakorlatilag totál fölösleges az aláírás: letöltöd, nyomsz rá egy értelmes hash-t, és egyezteted az eredeti fájl készítőjével, hogy rendben van-e...

De igen, ld. harmadik pont. Majd ha be tudod nekem bizonyítani, hogy amit itt a vezetékes hálón FTP-n vagy HTTP-n keresztül letöltöttem, azt korrumpálták menet közben, akkor majd visszatérünk a kérdésre. Addig ez nettó FUD, nem több. Egyébként nem a HTTPS az egyetlen lehetőség a titkosított adatfolyamra, lehet használni VPN-t is.

Oldschool Computer - http://oscomp.hu

bool question = (2 * B) || !(2 * B); // true

" Majd ha be tudod nekem bizonyítani, hogy amit itt a vezetékes hálón FTP-n vagy HTTP-n keresztül letöltöttem, azt korrumpálták menet közben" - pont a te letöltésedet nem, de láttam már karón varjút, maradjunk annyiban... és tudod miért karikás az ördög szeme? Mert nem alszik...

A VPN jó dolog - ha meggyőződtél arról, hogy a túloldalon az van, akinek mondja magát.

Jók ezek a mondások, csak semmi közük a témához. Az MITM támadások elsöprő többsége wifi esetében történik, a vezetékes hálózatok esetén erre kvázi majd zéró esély van, hacsak nem hackelte valaki meg a routeredet, de akkor a HTTPS-sel sem vagy beljebb. Tessék VPN-en keresztül wifizni.

Arról meg meg tudsz győződni, hogy az van a túloldalon, akinek kell: vezetékes hálón kulcsot cserélsz a VPN-nel, utána már wifin is tudni fogod, hogy közbeékelődött-e valaki, vagy sem.

Oldschool Computer - http://oscomp.hu

bool question = (2 * B) || !(2 * B); // true

( NevemTeve | 2022. 01. 19., sze – 10:32 )

Nemrég hallottam, hogy egyes Windows-os körökben a libxml veszélyes szoftvernek számít. [Vagy tényleg van egy malware, ami ilyen néven álcázza magát.]