Fórumok
Update: Megoldódott. Mégse oldódott meg.
Update #2: Talán megvan az ok...?
Időnként a rendszer (Debian 11, AMD64) fogja magát és boot közben megáll, miután kiírta, hogy
device-mapper: ioctl: 4.43.0-ioctl (2020-10-01) initialised: dm-devel@redhat.comEgy darabig még reszeli a winchestert, aztán abbafejezi és úgy marad. Ami érdekes, hogy ilyenkor sem warm, sem cold restart nem segít. Néhány sikertelen boot után viszont magától megjavul.
A neten nem találtam semmit. Van bárkinek ötlete, hogy mi ez, mitől van ez?
Hozzászólások
A tápegység öreg?
2012-ben vettem, szóval nem egy mai darab. (Corsair CX430) De a rendszer stabilan megy vele, még terhelés alatt is, ez meg néhány havonta jön elő. (Meg vannak itt Amigához 30 éves PC-s tápegységek is, amik szintén gond nélkül mennek.)
Oldschool Computer - http://oscomp.hu
a kep nem latszik a http miatt, https-en meg szar a cert
Hatvannyolcezerszer ki volt már tárgyalva.
Egyébként a lényegi sor, ahol megállt, az be volt copyzva.
Oldschool Computer - http://oscomp.hu
Nekem mondord? Te csinaltad.
[tibyke]mondo
rd[/tibyke]Ha nem tudsz, vagy nem akarsz érdemben semmit hozzátenni a témához, akkor viszontlátásra. A HTTPS miatti reklamálásra nem vagyok kíváncsi. Hatvannyolcezerszer el lett mondva, hogy nincs hozzáférésem, nem tudom megcsinálni. Kapcsold be a HTTPS-Everywhere-t, vagy a HTTPS-only módot és állítsd be a krómodat, vagy a rókádat, hogy ne reklamáljon a cert domain-mismatch miatt; a titkosítás a mismatch-csel együtt is menni fog és látni fogod a képeket. Titkosítva. Mert az olyan fontos. Ha ezt nem vagy képes megcsinálni, vagy nem akarod megcsinálni, akkor megint csak viszontlátásra. A trollkodásra sem vagyok kíváncsi.
Oldschool Computer - http://oscomp.hu
a neten a legutolsó pistike is valid certet tud generálni az oldalához. nyilván a te szarod miatt kikapcsolunk mindenn védelmet.
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
Képzeld, te legutolsó pistike, én is tudok generálni...csak épp hova teszem azt a valid certet, ha egyszer nincs hozzáférésem a szerverhez? Letolom a torkodon?
Ennyire analfabéták vagytok, vagy szellemi fogyatékosok, hogy ezt hatvannyolcezredszerre sem fogjátok fel? Különben is, miféle védelem kikapcsolásáról beszélsz? Pont azt mondtam, hogy force-oljátok a HTTPS-t, aztán meg kapcsoljátok be a mismatch ignore-t; a védelem - a titkosítás - úgy is működik, ha a domain nem stimmel, nem kell kikapcsolni. (Függetlenül attól, hogy az a "védelem" egyébként egy vödör szart se ér, ott törik meg, ahol akarják, dehát vallásos emberrel vitatkozni...)
Most komolyan. Nem tudtok olvasni? Vagy nem értitek? Vagy direkt csináljátok? Mi a jó nektek ebben? Degeneráltak vagytok, vagy csak simán rosszindulatúak és gerinctelenek?
BTW, a kutya nem kért téged személyesen semmire; sem a "védelem" (ROFL) kikapcsolására, sem másra. Ha nem tudsz segíteni, vagy nem akarsz, akkor te is húzhatsz a devnullba, ott a helyed. Ha konstruktívan nem tudsz hozzászólni egy topichoz, akkor inkább ne szólj semmit.
Habár jobban meggondolva, igazság szerint már mindegy, a probléma már megoldódott, szóval most már akár trolkodhattok is; több tőletek úgy sem tellik. Szakmai kvalitást egy csapat analfabéta HTTPS-hívőtől, vagy trolltól hiába vár az ember.
Egyébként meg majd akkor pistikézz, meg szarozz, ha letettél annyit az asztalra, mint én.
Oldschool Computer - http://oscomp.hu
"Képzeld, te legutolsó pistike, én is tudok generálni...csak épp hova teszem azt a valid certet, ha egyszer nincs hozzáférésem a szerverhez? Letolom a torkodon?" - A szervert üzemeltető legutolsó utáni pistike torkán kéne lenyomni, hogy oké, hogy retró, de a http-only az elég régóta űbergáz, és legyen olyan ügyes, és oldja meg, hogy http-n csak egy redirekt legyen a https-re.
" akkor te is húzhatsz a devnullba" - ahogy az az "üzemeltető" és tartalomelőállító (az előállított "tartalom"-mal együtt) is, akik nem képesek 2023-ban https-re váltani...
A te asztalodra fér még letennivaló? :)
"Normális ember már nem kommentel sehol." (c) Poli
Bejött pistikézni, meg szarozni; mire föl? Ha valaki lepistikézi a másikat, meg leszarozza, amit csinál, akkor illik megmutatni, hogy van mire arcoskodnia, ha már a témához nem tud, vagy nem akar hozzátenni. Apropó, téma: ahhoz valami a részedről? Vagy te is csak trollkodni jöttél?
Oldschool Computer - http://oscomp.hu
Van rajta HTTPS, csak a cert az ő domainjükre mutat. Szóval nem HTTP-only. Nem tudom, hogy ezt honnan szedted, hogy HTTP-only, amikor többször le lett írva, hogy van rajta HTTPS.
Na, ezt semmilyen körülmények között sem. Ld. itt a discrimination by protocol részt.
A tartalomelőállító? Azaz, hogy én? Mert nem férek hozzá és így beállítani sem tudom? Meg "tartalom", így idézőjellel? Miért, talán nem az? Ami meg a te weblapodon van, az meg az? Te döntöd el, mi minősül tartalomnak? Hát, ezt nevezem. 0 poszt, amíg átmentél személyeskedőbe. Ha már témánál vagyunk, te egyszer azt írtad nekem, hogy:
Ehhez képest te "foslának" hívod a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Ezt így hogy?
Oldschool Computer - http://oscomp.hu
Erre igazából nem nagyon van mit mondani...:
Ez bizony lejárt...
Az, hogy neked fixa ideád, hogy kötelezően legyen minden _is_ http-n, az a te problémád - a világ nem arra megy, amerre te szeretnéd, amit te elképzelsz... Ilyen alapon például egy netbanki felület miért csak https? Egy hírportál, egy bármilyen tartalomszolgáltatás miért is nem ad plain text http-s felületet _is_?
"A tartalomelőállító? Azaz, hogy én? Mert nem férek hozzá és így beállítani sem tudom?" - Mint írtam, nem neked a feladatot, hanem a site üzemeltetőpistikét kell toszogatnod, bár láthatóan bő egy éve volt legutóbb a cert lecserélve, azóta gondolom tojik rá... Azt látnod kell, hogy a http-s oldalak egyre inkább mennek a devnull-ba, a keresőoldalak nem indexelik azokat, nem foglalkoznak velük - erre értettem, hogy mehetnek oda, ahova valók, tartalmastól, mindenestől. Vagy a tartalom alkotója fogja magát, és átviszi az egész motyót oda, ahol értelmesen üzemeltetnek, értik, hogy 2023 van, és hogy milyen elvárások vannak egy webes tartalom alatti kiszolgálóval kapcsolatban...
Mit csináljak vele? Nem érted, hogy nincs hozzáférésem? Ha lenne, akkor már rég megcsináltam volna, hogy abbahagyjátok a folyamatos reklamálást.
Nem, ez nem az én fixa ideám, hanem a te szalmabábod. Ilyet, hogy "kötelezően", ilyet én sose mondok senkinek. Én nem írok elő senkinek semmit. Én opciókról beszélek, a választás lehetőségéről. Nagyon nem ugyanaz.
Egy szóval nem mondtam azt sem, hogy minden HTTP-n menjen, hogy csak az legyen, HTTPS meg opcióként se. Sőt, én másnak még a HTTP hiányát sem róttam fel soha, esetleg megkérdeztem, hogy lehet-e róla szó. Érted. Kértem. Tudod mi a különbség a kérés és a követelés között? Csak mert ti az utóbbit csináljátok. Erőszakosan, alpári módon, pistikézve, szarozva, mocskolódva követelőztök, hogy legyen HTTPS, miközben hatvannyolcezerszer elmondtam, hogy a) van, b) a titkosítás így is megy a végpontok között, max. a browser reklamál és c) a cert problémát hozzáférés híján nem tudom orvosolni; ha tudnám, már megtettem volna.
És egyáltalán: mégis mire is fel követelőztök itt nekem? Mit köszönhetek én nektek, hogy ti bármit is követelhessetek tőlem, pláne ilyen stílusban? A témákhoz amit nyitottam, a blogposztokhoz, amit írtam, érdemben hozzátenni nem tudtatok, és/vagy nem akartatok (nem csak itt, hanem en-generique), csak széttrollkodjátok a topicjaimat a HTTPS-hittérítéssel. A vallási félóra nem itt van, köszi. És mielőtt belemagyaráznád, ez nem en-bloc az egész hupra vonatkozott, hanem arra a 8-10 emberre, aki ebből űz sportot, hogy minden alkalommal, ha kép is van az általam írt nyitó/blogposztban, akkor bejönnek trollkodni/hittéríteni, hogy nem látszik. Szándékosan. És egyébként: miért is fáj az nektek? Ha publikálok valamit, az úgysem érdekel titeket, ha meg kérdezek valamit, úgysem akartok segíteni. Akkor miért érdekes nektek, hogy nem látszanak a képek? Ezt csak vallásossággal, és/vagy rosszindulattal lehet magyarázni, arra meg köszi, nincs szükség. Se itt, se másutt. Sehol sem.
Ami pedig a bankokat illeti, hát szép kis alma-sugárhajtású dízelmozdony hasonlat. Az oscompon nincs belépés, nem tárol a gépeden még sütit sem, onnan csak letölteni lehet. Mi olyat akartok onnan leszedni, amit feltétlenül csakis érvényes certtel titkosítva lehet letölteni, különben elvisz a KGB? Csak mert a titkosítás így is megy, mondom. Miért fontos, hogy még a cert is jó legyen? Szellemi kielégülés? Vagy a browser reklamálása zavaró? Ha annyira nem akarjátok kikapcsolni, akkor bezárhatjátok ám a tabot is; én elleszek nélkületek, érdemben eddig sem tettetek hozzá semelyik témámhoz sem - amit csináltok az nettó destruktív tevékenység, nem más, arra meg csak kínálat van, kereslet nincs.
Nincs mire fel toszogatnom. Szívességből hosztolják lassan 20 éve. Ingyen. Én itt csak köszönhetek nekik, reklamálni nincs jogom. Nem is teszem.
Csakhogy van HTTPS. Az egy dolog, hogy mismatch van, meg lejárt (rajtam kívülálló ok), de van. A keresőoldalak is indexelik. Google is, többi is. Olyannyira nem hagyják ki az indexelésből, hogy pl. a google-ös keresésekben "amiga memory map" kifejezésre első vagyok a neten, a binges keresésekben második, de a többiek (Yahoo, DDG) is első oldalra hozzák. HTTP-vel. Ennyire számít a HTTPS a valóságban.
BTW, ha csak ezt akartad mondani, akkor miért tetted idézőjelbe a tartalmat? Mire utaltál azzal?
Te szereted, ha turkásznak a pénztárcádban? Mert én sem. Láttál tőlem ilyet? Mert én sem. Mi lenne, ha te sem csinálnád velem?
Ez a "
CURRENT_YEARvan", meg egy ósdi pszeudoprogresszív mantra és vajmi kevés hatása van rám: én nem vagyok vallásos. Én tudom, hogy a HTTPS a légytől sem véd meg.Oldschool Computer - http://oscomp.hu
"Mit csináljak vele? Nem érted, hogy nincs hozzáférésem?" - Válts szolgáltatót - mert ez egy rakás kaki. Igen, ingyen, szivességből helyet adva is kaki.
"Csak mert ti az utóbbit csináljátok. Erőszakosan, alpári módon, pistikézve, szarozva, mocskolódva követelőztök" - tudod ahol közel egy éve tojnak a lejárt certre, az nem érdemel a fenti jelzőktől eltérőt vagy jobbat.
"Mit köszönhetek én nektek, hogy ti bármit is követelhessetek tőlem" - Az összes itteni hozzászólásod alján ott a kattintható link az oldaladra, egy kifejezetten komoly forgalmat lebonyolító portálon, és ugyebár egy oldal reputációját az is emeli, ha sokat és sokszor hivatkoznak rá más, jelentősebb forgalmú site-okon.
"Az oscompon nincs belépés, nem tárol a gépeden még sütit sem, onnan csak letölteni lehet." - Letölteni, de hogy az onnan jön-e, az-e, amit te kiraktál, az egyáltalán nem biztos.
"Nincs mire fel toszogatnom. Szívességből hosztolják lassan 20 éve." - Akkor szivességből (viszont szivességből) csináld meg nekik, hogy működjön a LE-s cert - legalább a saját domainjükre, ha már a tiedre nem szeretnéd...
"Ez a "
CURRENT_YEARvan", meg egy ósdi pszeudoprogresszív mantra" - Akkor miért nem gopher-t hazsnálsz? Anno az is jó volt... Vagy anonftp-t, mert ugye ha csak letölteni lehet, akkor minek csicsázni html-lel..."hogy a HTTPS a légytől sem véd meg." - Valóban, a https sérülékeny, támadható, csak épp a http, mint plaintext protokoll sokkal egyszerűbben, könnyebben és a végpontok számára gyakorlatilag teljesen észrevétlenül támadható sikeresen, a https meg azért nem annyira... Az autóban a biztonsági öv meg a légzsák azért van, hogy biztonságosabb legyen, miközben 160-nal a betonfalnak csattanva mégsem éled túl... De 80-90-nel még lesz esélyed...
Es kifizetitek neki?
Elvben egyetertek, meg szivessegbol is egy hatar szar az a hosting, ahol nem oldjak meg az ilyeneket, de az is durva, ami musor ilyenkor lemegy egy-egy threadben a temaban.
A gyakorlatban miert relevans, hogy egy cert lejart? A tankonyvi elmeletet ismerem, az nem erdekes. Elromlik benne a private key? :)
De mit er a forgalom, ha meg sem tudjatok nyitni az oldalt, mert lejart a cert? :)
Dehogy fizetik...csak követelőznek. Eddig egyedül NagyZ volt olyan nagylelkű - bármily megdöbbentő is ez - hogy felkínálta, hogy kifizeti a képhostert.
Valami gebasz lehet velük mostanság, mert 20 évig nem voltak gondok. Ne feledd, hogy mi volt az elmúlt három évben világszerte, lehet padlón vannak ők is...
A többire +1.
Oldschool Computer - http://oscomp.hu
20 éve még belső hálózaton a telnet meg az ftp is megtűrt dolog volt... Egyébként meg szerintem van akkora tudásod, amivel tudnál segíteni az üzemeltetőknek, hogy a LE-s certek rendbe legyenek rakva (legalább a sajátjuk...), illetve utána a tied is... Nem űrtechnológia (nagyon nem) - 20 év ingyenes tárhelyért cserébe nem lenne nagy áldozat tőled...
Ja, senki nem követelőzik, csak elmondjuk n+1. alkalommal is, hogy a plain text http használata szerintünk vállalhatatlan, mi több, kifejezetten idejétmúlt dolog, amit főleg IT-szakmai téren mozogva már rég el kellett volna felejteni, és áttérni https-re, vagy legalább valid certtel megtámogatott https-en _is_ elérhetővé tenni a megosztani kívánt tartalmat.
De hogy, ha egyszer nincs hozzáférésem? Már hatvannyolcezerszer elmondtam, hogy ha lenne hozzáférésem, már rég megcsináltam volna, csak, hogy végre abbahagyjátok, de nincs. És ők is meg tudnák maguknak csinálni, ha akarnák, szerintem történt velük valami és ennél ezerszer nagyobb gondjaik vannak...
Nem a túrót nem. NagyZ pl. minden alkalommal explicit utasításba adja, hogy fixáljam meg. De egyébként nem csak követelni, reklamálni se nagyon van jogotok.
Ez maximum a ti véleményetek, nem valami univerzális igazság: az összes gyakran ismételt "kérdéseteket" (mantrátokat) szakmailag cáfoltam (szemmel láthatólag hiába, mert hiába van benne ebben a FAQ-ban mindenre a válasz, minden alkalommal előjöttök velük újra; ebben a topicban is legalább a felét végigzongoráztuk ezeknek), szóval nagyon nem vagyok vevő a HTTPS valláskárosult lózungokra. És azt is leírtam már hatvannyolcezer-hatvanszor, hogy nincs. Hozzáférésem. A. Szerverhez. Különben. Már. Megcsináltam. Volna. Hogy. A. Reklamálást. Befejezzétek. Pont. Nem értem, mi nem érthető.
Eddig az összes ilyen HTTPS-mániás topicban mindössze két konstruktív javaslat volt összesen: az egyik ugye NagyZ felajánlása, hogy ő akár ki is fizeti a képhostert, a másik itt lejjebb andrej_ javaslata a domain validated cert-tel (hát az se rajtam csúszott el, hanem valószínűleg "leszóltak" a CA-knak, hogy ez így nem lesz jó, hogy akárki igazolhatja magát egy sima feltöltéssel, így nem lehet "hatóságilag" leszabályozni a netet és biztonságtechnikai kérdésnek álcázván a cenzúrát, fentről eldönteni, hogy kinek a weboldalát nyithatja ki a browser, vagy sem; adjunk a netsemlegességnek - discrimination by protocol és discrimination by certification - szabad internet, meg a seggem, az...), az összes többi megnyilvánulásotok ezekben a topicokban csak nettó destruktív trollkodás, vagy hittérítés volt; mindenki vegye magára azt, amelyiket csinálja.
Oldschool Computer - http://oscomp.hu
"De hogy, ha egyszer nincs hozzáférésem? Már hatvannyolcezerszer elmondtam, hogy ha lenne hozzáférésem, már rég megcsináltam volna, csak, hogy végre abbahagyjátok, de nincs. És ők is meg tudnák maguknak csinálni, ha akarnák, szerintem történt velük valami és ennél ezerszer nagyobb gondjaik vannak..." - ~20 év pro bono tárhelyért cserébe én rákérdeznék, hogy tudok-e segíteni... A "szakmailag cáfoltad" nagyjából a sértődött óvodás papagáj szintet éri el - a borzalmas színvilágot nem is említve...
"valószínűleg "leszóltak" a CA-knak, hogy ez így nem lesz jó, hogy akárki igazolhatja magát egy sima feltöltéssel" - A DV cert működik, azt mutatja/jelzi, hogy az adott domainen található webszerver tartalmához (és konfigurációs állományaihoz) / az adott domain DNS-bejegyzéseihez r/w joggal hozzáfér az, aki a certet igényelte.
"adjunk a netsemlegességnek" - a böngészők a hőskorban a gopher:// linkeket is megették... Már nem...
Egyébként destruktív annyiban, hogy a plaintext protokollok eltüntetését szeretnénk elérni - ha ez neked fáj, mert nem tudod/akarod/hosting nem tudja/akarja/képes megugrani a https-t, akkor sajnos ez az így jártál minősített esete...
Elég szomorú, ha abból a linkekkel vastagon alátámasztott érvelésből ennyit értettél meg...de mindenesetre, ha már visszajutottunk a személyeskedésig, akkor igazán megválaszolhatnád azt, hogy ha szerinted
akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Mi ez a kettős mérce? Illetve miért raktad fent idézőjelbe a "tartalmat"? Arra céloztál tán, hogy ami az oscompon van, az nem az?
De már nem megy sima fájlfeltöltéssel; vagy
adottdomain.tld-s emailcím kell hozzá, vagy a DR igazolása.Az enyém még igen. Mindenki olyan browsert választ, amilyet akar. Én a magam részéről olyat, ami nem dönti el helyettem, hogy mit nézhetek meg és mit nem.
Szóval elismered, hogy keresztes hadjáratot folytattok. Mondom én, hogy valláskárosultak vagytok.
Nem ez fáj, mindenki úgy hülye, ahogy akar, de nem a másik rovására: a topicjaim hijackelése és széttrolkodása zavar. Mondjuk ezt már trollkodhatjátok, mert itt már megoldottam magamnak a bajomat...de gondolván rátok, meg arra, hogy úgyis teleszemetelitek az egészet, már az OP-ba is belinkeltem a megoldást, így nem tudtátok elvenni a sorstársaimtól az okulás lehetőségét.
Csak kérdés, hogy kinek. Mert ti akartok annyira valid certet, szóval egyelőre ti jártatok így.
Oldschool Computer - http://oscomp.hu
Én szeretnék kimaradni az egész hercehurcátokból, de: a dv cert nem az, amikor a wellknown mappába feltöltöd a secretet, amit a letsencrypt ad?
Imho az még mindig megy, és a fenti linked is csak azt mondja, wildcard dv certek nincsenek már. Vagy én értek félre valamit, maradtam le valamiről? A CF néhány hónapja állított ki certet így, hogy csak egy cname bejegyzés mutatott ránk az xyz.company.tld, de se a company.tld nem volt nálunk, se email, se semmi, mégis megkaptuk a certet adott domainre.
A fenti linked meg mintha 2021-es lenne...
Szerk.: vagy neked wildcard cert kellene? Mert akkor erről az infóról maradtam le valahol a fenti háborúban 😉
Hát nem egészen. A DV cert validáló fájlja (nem maga a cert) az valóban az, amit a
.well-knownmappába töltesz fel, de azt nem a Let's Encrypt adja, hanem a CA-k. Illetve csak adták 2021-ig. A Let's Encrypt-hez ugyanúgy hozzá kéne férnem a szerverhez, de csak FTP, MySQL és PgSQL accountjaim vannak.Oldschool Computer - http://oscomp.hu
Ha nem kell neked wildcars cert, akkor szerinte ezt el tudod játszani egy mezei FTP accounttal: https://eff-certbot.readthedocs.io/en/stable/using.html#manual
Azaz:
Azt értem, hogy ez neked azért nem jó, mert a certet a jelenlegi helyeden nem tudod beállítani, máshova meg nem akarsz menni. Csak azt vitatom, hogy szerintem ez még mindig megy, és a fenti linked is csak annyit állít, hogy wildcard értettem nem adnak így ki - ami érthető.
Vagy hol beszélünk el egymás mellett?
Szerintem akkor én néztem be, amit te mondtál és tényleg wildcardra lett volna szükségem...
Oldschool Computer - http://oscomp.hu
Hülye autocorrect, ez a SwiftKey évről évre egyre szarabb. Bocs a fasságokért, typokért. A "wildcard értettem" az "wildcard certet" akart lenni, s a többi is mybad.
Ja, oké, no problem.
Oldschool Computer - http://oscomp.hu
En nem biztos, leginkabb azert, mert nem tudodm, kik ezek az "ok", akiknek segiteni kene. Ha ez egy hostingceg, akkor meg akar lehet ilyen kerdes, de ha ez TCH unokatesojanak a haverja, aki a sajat Minecraft szerveren adott neki egy wwwroot foldert, akkor valoszinuleg igeny sincs ra kulonosebben.
Pedig nem mondott teljesen faszsagot, par napja szoptam pont egy kort, hogy az Azure a classic CDN endpointokra mar nem hajlando apex domainre certet generalni (erdekes modon subdomainre megy, es ingyen van), de ha veszel a Digicerttol, tanusitvanyt, az mar jo. Vagy ott a Let's Encrypt, aminek nincs Azure DNS pluginje, cserebe viszont importalni sem lehet a default outputot Azure Keyvaultba, mert az veletlenul eppen megint nem supported, de mashogy igen.
Csak hogy kontextusba helyezzem, a Digicertnek a szarja listaaron korulbelul szaz rugo egy evre, es ez a basic csomag, ebben meg se wildcard, se semmi.
Nyilvan ez a problema konnyen megkerulheto, az idom meg ugyis ingyen van, kit erdekel, hogy egy komplett CI/CD job kell ahhoz, egyedi scriptekkel, hogy a fostalicska Let's Encrypt certet frissitgesse kethavonta, mert ugye le kell jarnia 3 havonta, anelkul nem lehet secure, sajat felelossegre sem kerhetsz hosszabbat, mert nehogy mar te dontsd el, mit akarsz.
Majd ugye a vegen kiesik valahol egy cert a folyamatbol, ami ugye biztosan secure, hiszen valaki eldontotte helyetted, hogy a TUBITAK Kamu SM SSL Kok Sertifikasi egy megbizhato valami, mondjuk a budos eletben nem hallottal rola, meg benne van a neveben, hogy kamu :), de az nem baj, jo lesz!
Hosting cég, akikkel anno az IG2 kapcsán kerültem kapcsolatba, de felesleges piszkálnom őket. Messze profibb sysadminok mint én (én amúgy is programozó vagyok), ha nem csinálják meg annak oka van. Én ott csak ötödik kerék lennék.
Többire akkora +1, hogy kilóg a DB-ből. Végre egy ember aki érti.
Következő lépés az lesz, amikor a CA-k kitalálják, hogy a LE nem is biztonságos, do not accept. Utána pedig hirtelen az összes mainstream browser fejlesztőcsapata/cége (ismét) egyszerre bejelentést tesz (mint a múltkor is), hogy innentől a HTTP-t egyáltalán nem nyitja meg egyik browser sem és a HTTPS-en is véget ért a warningok kora: csak az érvényes - non-LE - certtel rendelkező, TLS 1.3-on keresztül kiszolgált oldalakat fogják kinyitni, amúgy egy db
?LOAD ERRORlesz a végeredmény.Az még a kisebbik gond lesz, hogy onnantól mindenki fizetheti a CA-k
sarcátadóját, viszont onnantól akinek valamiért visszavonják a certjét, annak a weboldalát utána egyetlen browser sem fogja kinyitni. Központilag szabályzott internet. Ó de szép is lesz. zelleri disztópia...Oldschool Computer - http://oscomp.hu
En ettol azert nem felek annyira, mert azt mar nehezen tudjak betiltani, hogy tetszoleges CA-t felvegyel a trusted CA-nak. De szerintem nincs ilyen koncepcio, velemenybuborekot layer 7-ben kell epiteni: hajadra keneheted az ervenyes certet, ha a Google/Facebook/akarmi nem dobja fel az oldalad a usernek.
Azt se tudják betiltani, hogy underground browsert használj...de fog ilyeneket csinálni az átlagjúzer, hogy custom CA-kat vesz fel a trustlist-be, vagy underground browsert használ?
Az egyik nem zárja ki a másikat; attól, hogy bevittél egy balegyenest az opponensnek, még megküldheted utána egy jobbhoroggal is: minél több ponton támadsz, annál több esélyed van nyerni. De őszintén remélem, hogy neked lesz igazad.
Oldschool Computer - http://oscomp.hu
Ennyi pénzem van rá. Nem értem a problémádat. Reklamálni akkor van mire, ha fizettél. Fizetni itt senki se fizetett, de ti reklamáltok. Olyasvalamiért, ami egyébként nem is érint benneteket. Adtok ingyen jobb tárhelyet, ami felett kontrollom is van? Nem? Akkor IJ.
Szerinted. Szerintem meg ahol közel 20 éve adnak tárhelyet ingyen, ott reklamációnak helye nincs. Nekem amúgy sem fontos ez a cert mizéria, ez a ti bajotok, nem az enyém, én elvagyok nélküle.
Most ugyan kérdezhetném azt is, hogy ez miért fáj neked, de valójában nincs is igazad, mert ha megvizsgálod a linket, rajta van a
rel="noopener nofollow", szóval innen az oscompnak pontosan zéró darab hivatkozása van.Most erre is mondhatnám, hogy de, mert az a cég írta alá, aki hostolja, vagy kérdezhetném, hogy akkor biztos-e, ha jó a cert, ha - mint tisztáztuk - a HTTPS sem véd meg az MITM-től, ha elfogadtál egy másik certet (de jó is ez a cert ökoszisztéma), de valójában ez megint ilyen felesleges rettegés a semmitől; közel negyed évszázad alatt még egyszer sem volt olyan, hogy valamit eltérítettek volna, amit épp letöltöttem. Meg egyébként se értem, hogy ez titeket megint miért zavar; ti nem is akartok onnan letölteni semmit.
Hogy? Nincs hozzáférésem.
Mert. Nincs. Hozzáférésem. A. Szerverhez. Ha volna, lenne Gopher is.
Mert vannak képek, description-ök, hírek, stb.
Az első gondolat, amivel úgy-ahogy egyet tudok érteni, csak itt egyfelől van biztonsági öv, csak nincs ráírva, hogy a kocsihoz tartozik, másfelől meg itt nemhogy 160-nal, vagy akár csak 80-90-nel nem megyünk, de még 20-szal se nagyon. Ez nem egy netbank. Majd MITM után beleinjektálják a windows-os ransomware-t a Super Mario 6502-es kódjába?
Oldschool Computer - http://oscomp.hu
"ahol közel 20 éve adnak tárhelyet ingyen, ott reklamációnak helye nincs" - De viszonzásnak lenne, nem gondolod? Igen, látom, hogy "Hogy? Nincs hozzáférésem." a válaszod - de szád ugye van? felajánlani fel lehetne egy ilyet... Nem hiszem, hogy messzire zavarnának a segítő szándékú felajánlásoddal.
"a HTTPS sem véd meg az MITM-től, ha elfogadtál egy másik certet (de jó is ez a cert ökoszisztéma), de valójában ez megint ilyen felesleges rettegés a semmitől" - Leírtam már, de megismétlem: http-n bárki, bárhol bele tud turkálni a forgalomba, de egy DNS-spoof is elég, hogy ne azt kapja a böngésző, ami a te oldaladon van kipakolva _ és senki, ismétlem, senki nem fogja észrevenni, hogy ez történik.
Ahhoz, hogy TLS-en MITM-et csinálj, hozzá kell férned valamelyik a végponton elfogadott CA privát kulcsához (ami jó esetben HSM-ben csücsül...), _és_ on-the-fly át kell csomagolnod a TLS-t (azaz végződtetni a tcp-session-t, majd nyitni egy másikat a szerver felé) - mondjuk úgy, hogy ennek a technikai feltételei nem kicsit komolyabbak, mint egy plaintext protokollt meghágni...
"Majd MITM után beleinjektálják a windows-os ransomware-t a Super Mario 6502-es kódjába?" - Bármit bele lehet "út közben" pakolni a http-streambe, ha ügyes valaki, és nem fogod észrevenni sem kliens, sem szerver oldalon.
Ez igazából úgy indult, hogy anno én tettem nekik szívességet és ez volt a viszontszívesség, hogy "egy ideig" ingyen lesz a tárhely. Az az "egy ideig" azóta is tart, mert azóta se kértek pénzt.
És mondom: ők is meg tudnák csinálni, ha akarnák, de szerintem bajban vannak és van sürgősebb dolguk is, mint az, hogy pár hupper reklamál a cert miatt.
Bárki, bárhol bele tud turkálni a HTTP forgalomba? Jó, akkor légy szíves turkálj bele a HTTP forgalmamba, amikor kinyitom az oscompot (csak HTTP-n szoktam) és cserélj le benne bármit, amit leszedek. Bármit. Nincs megkötés. Azt cserélsz le, amit akarsz: HTML-t, CSS-t, képet, letöltött fájlt... Csak cseréld le. OK? Ha sikerül, esküszöm elismerem, hogy igazatok volt. Addig viszont ez nettó FUD.
Egyáltalán nincs ezekre szükség, akárki játszhat MITM-et, akinek elfogadtad a certjét (pl. internetszolgáltató, vagy akár egy tetves driver), de de elég ha a hulladék key-exchange miatt össze tudod szedegetni a kulcsokat.
És mit pakol bele, amivel kárt fog okozni? Nem fog elindulni az emulátorban a ROM?
De mondom, hajrá, bizonyítsd be, hogy ez tényleg akkora rizikó: MITM-elj meg; csak HTTP-n keresztül használom az oscompot. De nem muszáj pont neked, ha valaki mással csináltatod meg, az is játszik, a lényeg, hogy valaki csinálja meg. Hajrá. Cseréljetek ki valamit a HTTP forgalmamban az oscomp felől. Sok sikert hozzá...
Addig viszont be lehet fejezni a "biztonságra" való hivatkozást, mert röhej az egész.
Oldschool Computer - http://oscomp.hu
"tárhelyet, ami felett kontrollom is van" > dehat eppen azt irogatod itt evek ota, hogy nincs felette kontrollod, hiszen meg egy koszos ingyen certet sem tudsz feltenni ra :D
Kontroll alatt azt értem, hogy nem dobnak ki, mert olyat írok, vagy töltök fel, ami nem tetszik valakinek, meg nem törölgetik le a cuccaimat, azaz, hogy azt töltök fel a site-ra (nem a szerverre), amit akarok.
De ezt is elmondtam már többször.
Oldschool Computer - http://oscomp.hu
ez nem kontroll. a kontroll, amikor van hozzaferesed. es neked nincs. ezt leirtad mar tobbszor. de ahogy elnezem mar regen lehet, hogy a haverjaidnak sincs. ezt is leirtad mar tobbszor, hogy nem tudod mi van veluk. vagy a szerverrel. es a cert allapota alapjan erost kovetkeztethgeto, hogy a biztonsagi frissitesek is hasonlo allapotban lehetnek rajta.
https://www.cybersecurity-help.cz/vdb/nginx/nginx/1.14.0/
Ez is kontroll. A saját tartalmam felett kontrollom van. Ahhoz van hozzáférésem. Nekem elég is. Lehet, hogy ez csak részleges kontroll, de az még mindig több, mint a zéró; itt legalább a nekem fontos részleges kontroll megvan: nem fognak kidobni, letörölni, mert valaki füttyent egyet. Az összes többi engem nem érdekel, az a ti bajotok, nem az enyém. Bár azt nem értem, hogy nektek miért baj, miért fáj, dehát fájjon, ha ezt akarjátok.
És ugye még mindig ingyen volt.
Oldschool Computer - http://oscomp.hu
Ez is kontroll. > errol erdekes elkepzeleseid vannak, de mindegy. utazol egy autoban az anyosulesen, ami azt sem tudod honnan hova tart, de legalabb eldontheted mi legyen a kesztyutartoban. vegulis... :D
mi biztosit teged, hogy holnap nem tesznek ki onnan, mint cicat dolgavegezni? :D van szerzodesed, hogy neked ez jar? :)
amugy legalabb egy mailt dobhatnal nekik vagy hivd fel oket ha mar szerinted olyan baromi joban vagytok, mert az biztos, hogy technikailag kepesek megugrani a dolgot...
csakmondom. ingyenvo'na...
Tekintve, hogy azt tartok rajta, amit akarok, így az autó oda megy, ahova én akarom. A véleményed vajmi kevéssé érdekel.
Mi biztosít róla? Hát, ha 2005 óta nem tettek ki, akkor most miért tennének ki?
Miért írnék nekik? Ez a ti bajotok, nem az enyém, én viszont nem akarom olyasmikkel zargatni őket, hogy pár valláskárosult és/vagy troll huppernek nem tetszik a lejárt cert, amikor biztos van más bajuk is.
Egyébként mit szeretnél elérni ezekkel a szúrkálódásokkal? Vagy csak a szurkálódás a cél?
Oldschool Computer - http://oscomp.hu
segiteni probalok, baszdmeg... de neked nem lehet :D
biztos van más bajuk is > pl, hogy elfelejtettek kirakni a szerverrol es ha elokerulnel megtennek? :D vagy mitol felsz? elobb meg haverok voltatok 20 eve...
Te? Segíteni? Ez már alapból nem hihető. De ráadásul így? Szúrkálva? Fölényeskedve? Alaptalan, légből kapott, rosszindulatú spekulációkat hintve és azokon kárörvendve?
Eszük ágában sincs kirakni engem; amikor tavaly egy sysupgrade után volt egy hosszabb leállás, mert egy használ MySQL modul a FreeBSD új verziójában már nem létezett, akkor beszéltem velük, onnan tudom, hogy mi volt a gáz. Tudniillik, ha áll az oldal, az az én bajom, tehát írtam nekik, hogy mi a helyzet, viszont ez a cert mizéria, ez nem az én nyomorom, hanem a tiétek, ezért én nem fogok írni. Szóval ennyit a rosszindulatú spekulációidról, meg a kárörvendésedről.
Te nem segíteni próbálsz, hanem baszogatni. Csak a tőled megszokott tempó: baszakodsz, hazudozol és közben még adod is a szentet. (Te, segíteni...hát persze, hogyne.) Csak keresel valamit, amivel csesztethetsz; az oscomp sorsa, tartalma, vagy az én írásaim és a benne található képek téged nem érdekelnek, neked ez csak ürügy, a szardobálásra. Pont mint a többi trollnak. Mondjuk nem tudom, hogy ezt hogy és mivel fogod megideologizálni, hogy a hozzáférés hiánya ellenére miért az én hibám ez az egész, vagy milyen kamukat, vagy spekulációkat találsz még ki, hogy miért akarnának engem közel 20 év után pont most kirakni a szerverről, de nem is nagyon érdekel; mint mondtam: a véleményed vajmi kevéssé érdekel, a hazugságaid pedig még kevésbé.
Kellemes további szúrkálódást, majd küldj táviratot, vagy füstjeleket, ha rájöttél, hogy a levegőt döfködöd, de inkább ne.
Oldschool Computer - http://oscomp.hu
segitek: egy emailt dobni nekik errol 1 percbe tellett volna (nekik beallitani <5 perc, mert a certbot elintezi), itt baszakodni meg mennyibe is?
szivesen!
Kár idegeskedni. A helyzet az, hogy pláne let's encrypttel nem túlságosan izgalmas https -t generálni egy oldalhoz, illetve esetleg rendesen beállítani a webszervert. Ha pedig az üzemeltető bármiért ettől leakad, vagy nem foglalkozik vele, akkor egy jólirányzott Cloudflare regisztrációval megoldható a történet.
A másik oldaltól csak annyit kérdeznék, hogy "Nem mindegy?" Majd rájön az illető, hogy mivel jár a https elhagyása.
De nem érted, hogy nincs hozzáférésem? Hova teszem a legenerált let's encrypt-es certet, hogy állítsam be a weboldalt?
Miből regisztrálok a Cloudflare-re? Nincs egy vasam se. Itt ingyen van fent a cuccom.
Szemmel láthatólag nem mindegy nekik. Vagy vallásosságból, vagy trollkodásból csinálják.
Semmivel. A browserek ugyanúgy megnyitják, a keresőoldalak ugyanúgy indexelik...itt a mixed content az, ami miatt a képek nem jelennek meg, nem a HTTPS hiánya. Pláne, hogy egyébként van HTTPS, csak a cert nem jó, szóval úgy pláne nem jár semmivel a HTTPS elhagyása, ha el se hagytam...
Oldschool Computer - http://oscomp.hu
"Pláne, hogy egyébként van HTTPS, csak a cert nem jó, szóval úgy pláne nem jár semmivel a HTTPS elhagyása, ha el se hagytam..." - Lehet, hogy szerinted el sem hagytad, a kép URL-je viszont attól még http, nem https...
És erre mondtam, hogy ha ez benneteket annyira zavar, akkor be lehet kapcsolni (króm, róka), hogy force-olja, hogy minden HTTPS-en jöjjön. Mi volt a válasz? Hogy majd az én szarom miatt kapcsoljátok ki a védelmet. Miközben én pont azt mondtam, hogy force-oljátok a védelmet, nem azt, hogy kapcsoljátok ki. (Jó, tudom, az a poszt csak kassaiviktort minősíti szakmailag, meg emberileg is, de a HTTPS-force-ot ti is bekapcsolhattátok volna már régen...)
Oldschool Computer - http://oscomp.hu
Értelem szerűen... bár nehezen mennek át az infók, az üzemeltetői feladatot nem akarja senki rádtolni. Épp ezért van ott a második mondat miszerint létezik külső megoldás. A Cloudflare legszimplább megoldása pedig ingyenes, mégcsak bankkártya adatot sem kérnek.
A Google és minden hasonló előrébb rangsorol, és ha van regisztráció, vagy valamilyen adatcsere, azért az manapság nem árt, hogy ha titkosított. Egyébként az üzemeltetőnek azért írhatnál, hogy ha már letsencrypt van, akkor esetleg frissülhetne automatikusan.
Egy harmadik dolog amire kevesen gondolnak, hogy még egy domain validated cert is valamennyire igazolja a weboldalt, és vélhetően nem egy DNS vagy egyéb eltérítős történet van épp. (A miért épp engem törnek meg kérdésre a választ az, hogy jellemzően nem válogatnak, hanem ipari szinten próbálkoznak mindennel, amivel csak lehet, simán a *.* -ot irányítják fertőzött szerverre, ha egy routert sikerült megtalálni.)
Viszont füttyent egyet valamelyik nagy cég és repültem onnan. Nem bízom a felhős szolgáltatókban. Csak abban bízok, akiket ismerek. Ezt a két srácot ismerem cca. 20 éve és tudom, hogy megbízhatóak és profik. Hogy miért hagyták lejárni a certet, azt nem tudom; lehet, hogy valami baj történt velük és most a legkisebb bajuk is nagyobb ennél...
Aztán látod, hogy mégis én jövök ki első helyen, ha akarok...
Szerintem megvan a maguk baja, nem akarom őket zavarni az olyan piszlicsáré nyavalyáimmal, hogy pár hupper folyton reklamál a cert miatt.
Ahhoz vagy oscomp.hu-s emailcím, vagy a Domain Regisztrátor közreműködése kellene és egyik sincs. Ugyan korábban volt olyan opció, hogy feltöltöttél egy validátorfájlt és azzal visszaigazoltad a CA-nak, hogy te vagy te, viszont ezt 2021 november 30.-ával minden CA végérvényesen megszüntette, mint lehetőséget, szóval ez az opció sem játszik.
Oldschool Computer - http://oscomp.hu
A Let's encrypt DNS vagy file validál egyébként, és automatikusan megy a script, teljesen elgendett kézzel lehet használni. Sőt, használom mindenféle módon, és helyen, remekül bevált.
A forgalom elterelés értelem szerűen valami MITM történet. Azaz, ha valahol a köztes hálózaton "pobléma" van, például egy sima soho routert megtörtek (amikre ipari mennyiségű minden van, mert 2-3 év után már nem jön frissítés), akkor ott eléggé szabad a pálya, de akár egy névszerver is válhat célponttá. A certes dolgot meg szerintem félreértetted, pont a cert az ami legalább esélyt ad kivédeni egy mitm dolgot.
Azt kell mondjam, hogy kénytelen vagy (vagyunk) legalább a nagyobb felhősökben bízni. Az emailezés, és mindennek az egyre nagyobb része történik ott, és ha nem bízol benne, akkor végső soron emailezned sem lenne szabad felhős "túloldallal".
Kész... Ahhoz hozzáférés kellene a szerverhez, ami nincs! Hányszor írjam még le? A DVC-ből meg a filefeltöltéses verziót a CA-k 2021 óta nem teszik lehetővé; ott volt a link...
Jó, mondom, hajrá. Ha eléritek, hogy az oscompról HTTP-n ne az jöjjön le nekem, amit letöltök, akkor fejet hajtok az érveitek előtt. Addig viszont ez FUD.
Ha már ilyen vadakat feltételezünk, hogy a szolgáltató routereit is megtörik, akkor ennyi erővel magát a szervert is megtörhetik. Akkor aztán pláne nem az fog lejönni, aminek kéne, HTTPS ide, vagy oda... Egyébként, tekintve, hogy a szolgáltató certjeit akceptálni szokták, így ha egy menetközbeni routert megtörtek, ott az MITM-től nem véd meg a HTTPS; erről is adtam már linket.
Semmit se vagyok kénytelen. Bízni meg főleg nem.
Az, hogy hova küldök emailt, az nagyon nincs egy súlyban azzal, hogy hol tárolom a cuccaimat.
Oldschool Computer - http://oscomp.hu
Jellemzően a nagyüzemi megtörések a homerouterek ellen irányulnak, azért ott a dhcp-vel lehet random DNS-t osztani, ami aztán ki tudja mit ad vissza. A másik, hogy valóban szórják a szervereket is, de ott nem eltérítenek, hanem pakolják fel a malware tartalmat, és leginkább magát a tartalomkezelőket támadják. Az ssh bruteforce és hasonlóak, az inkább vaktyúk alapú, mert CMS fronton irgalmatlan problémák vannak.
Továbbra sem neked van felróva az üzemeltetői probléma, csak jelezni próbáltam, hogy azért ez nem egy megugorhatatlan dolog, hogy ha akarják persze.
A Let's encrypt továbbra is file alapon domain validál, legalábbis alaphelyzetben, nekik szabad? :) Igaz csak 3 hónapra szól a cert, és 30 napon belül lejárót megújít.
Hajrá, lehet megtörni az itthoni routeremet is...
Vagy jelen pillanatban van más bajuk is.
Felőlem szabad nekik, csak hogy lövöm be hozzáférés nélkül? Az egyetlen ami működhetne az a self-signed cert, de azt meg már nem eszik meg a browserek.
Oldschool Computer - http://oscomp.hu
Nélkülük van ez a Cloudflare...
A security témánál pedig ismét hangsúlyoznám, hogy nem a konkrét "te routered" a célpont, hanem adott gyártó aktuális, vagy valaha volt hibája, amire rámennek sajnos. Fantasztikus mennyiségű mindenféle ilyet látok a webszervereim access logjában, amik random weboldalon, IP címen látványosan valamilyen router hekket akarnak letölteni és indítani. A CMS vonal pedig szintén aggasztó.
Cloudflare, vagy más felhő nem játszik, már mondtam.
Hát, ez simán lehet, de ettől még a HTTP nem lesz kevésbé biztonságosabb ebből a szempontból, mint a HTTPS, legalábbis vezetékes hálózaton.
Én a HTTPS értelmét ott látom, amikor pl. mobilról netbankolnak és ezeket a wireless tranzakciókat megpróbálják a közelben elfogni és lehallgatni; na ott tényleg öngyilkosság a plaintext HTTP, viszont a HTTPS elég jó eséllyel meg fogja védeni az adatforgalmat; lehallgatni persze továbbra is tudják, csak kitörölhetik vele.
De ez itt nem az a case.
Oldschool Computer - http://oscomp.hu
"Hát, ez simán lehet, de ettől még a HTTP nem lesz kevésbé biztonságosabb ebből a szempontból, mint a HTTPS, legalábbis vezetékes hálózaton."
Te jószagú... #facepalm
Én ugyanezt mondom a ti mantráitokra. A HTTPS biztonságossága egy mítosz. Valódi biztonságot akarsz? Akkor használj VPN-t. És VPN alatt nyugodtan lehet plaintext protokollokat használni, mert mi a túrónak double encryption. Dehát ugye, aki a plaintext portok puszta létezése ellen harcol, annak ezt magyarázhatom... SSH-zzunk és SFTP-zzünk belső hálózaton is a sima RSH és FTP helyett, sőt a NAS web backendjét is használjuk HTTPS-en, nehogy egy belső hálózaton is beleturkásszon valaki a plaintext forgalomba.
Mondom, rizsa helyett lehet bizonyítani és beleturkálni a HTTP forgalmamba és lecserélni bármit, amit leszedek az oscomp-ról.
Egyébként nem válaszoltál a kérdésre, hogy ha szerinted
akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Mi ez a kettős mérce? Illetve miért raktad fent idézőjelbe a "tartalmat"? Arra céloztál tán, hogy ami az oscompon van, az nem az?
Oldschool Computer - http://oscomp.hu
Neked beakadt valami... "Valódi biztonságot akarsz? Akkor használj VPN-t. " - Vannak fokozatok/szintek a biztonságban. A plaintext a legalja, a TLS-be csomagolt bármi jobb, ha a végpontot tudod hitelesen azonosítani közben, az még jobb, ha kölcsönös azonosítás van, az tovább javít a dolgon - és még lehet cifrázni hsm-mel, hardvertokennel a kliens oldalon, 2FA-val, miegyébbel - azt fogd fel, hogy ott, ahol harmadik fél eszközén/infrastruktúráján megy keresztül az adat, ott akár az a harmadik fél, akár más, aki az érintett eszközhöz hozzáfér beletúrhat a forgalomba, megismerheti, módosíthatja, mindezt úgy, hogy a végpontokon ezt nem fogod észlelni.
"Mondom, rizsa helyett lehet bizonyítani és beleturkálni a HTTP forgalmamba és lecserélni bármit, amit leszedek az oscomp-ról."
Ezzel az a bibi, hogy amit kérsz, az büncselekmény. De tutod mit, gondolatban menjünk végig, hogy mit lehet csinálni... Például hozzáférek a DNS-kérésekhez, amit a kliens indít. Mert látom a hálózati forgalmát. Jól irányzott válasszal azt mondom neki, hogy a www.oscomp.hu az az 1.2.3.4 címen érhető el. Ezen a címen előtte létrehozok egy másolatot az oldaladról, telerakva ransomware-rel. De ha valamelyik "út közben" lévő routerbe sikerül "belepiszkálni" (nem a tiedbe, hanem a végponton, a kliensnél lévőbe, vagy bárhol a kliens és az oscomp.hu között, akor is eltéríthető a forgalom a támadó szervere felé, ahol át fog folyni a teljes adatforgalom, és szépen át lehet vakarni, ha a támadónak úgy tetszik.
A másik beakadásodról csak annyit, hogy a tartalomnak része az is, hogy hogyan néz ki...
#define jobbMire jobb? Minek titkosítsak szarrá idehaza mindent? Ki fogja azt feltörni? Vagy akár az oscomp forgalmát...Miért lenne? Azzal, hogy én itt írásban felkértelek arra, hogy hackelj meg, engedélyt kaptál egy biztonságtechnikai tesztre; ha feltörsz, én kértelek rá, ez etikus hackelés. (Egyébként meg nem értem, hogy most hirtelen miért zavar, hogy bűncselekményt követnél el ellenem, amikor szakmányban csinálod ezt: tudniillik, amikor alaptalanul megvádolsz engem egy bűncselekménnyel (pl., hogy egy filmwarezoldal 24-órás blokkját IP-cserével kikerülni lopás és még sorolhatnám), akkor is bűncselekményt - rágalmazást - követsz el ellenem.)
Igen és ha gondolatátvitellel tudsz engem irányítani, akkor simán alásétáltatsz egy vonatnak és azt se veszi észre senki. Hogy férnél te hozzá a DNS kérésekhez? Hogy látnád te a hálózati forgalmát? Ne rizsázz...
Tehát mégis jól értettem én és úgy értetted, hogy ami az oscompon van, az nem tartalom. Mert úgy néz ki. Usque 80-100 publikált program/unit/library/stb. az nem tartalom, mert úgy néz ki, ahogy... Ez egy forráskódnál, vagy binárisnál nagyon fontos szempont, hogy hogy néz ki. A weblap, ahonnan letöltöd. Hát szerinted, erre ezt tudom mondani. Nem te döntöd el, mi minősül tartalomnak. És ha már a kinézetnél tartunk, szerintem a te gagyi honlapod sokkal trébbül néz ki; nézd már meg ott a balszélen azt a semmi közepébe bebaszott zellert: hát hogy néz már az ki? Hát látom a pixeles körvonalait. Te osztasz engem esztétikából? Te? Röhögnöm kell.
Amúgy megint nem válaszoltad meg azt a kérdést, hogy ha szerinted
akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Mi ez a kettős mérce? És nem, ez nem beakadás, ez fényesen rávilágít arra, hogy miféle ember vagy te. És minden alkalommal, amikor megint nekiállsz engem, vagy a cuccaimat mocskolni, elő fogom venni és az orrod alá fogom dugni. Mert természetesen pontosan tudom, hogy nincs rá válaszod: egyszerűen csak kettős mércével mérsz és neked szabad gyerekes módon gúnyt űzni bármiből, nekem meg nem. Mert ezt te döntöd el. Mint ahogy azt is, hogy mi minősül tartalomnak. Quod licet Iovi, non licet bovi. És te döntöd el, ki Jupiter és ki az ökör.
Álmodban. Se.
Oldschool Computer - http://oscomp.hu
jogilag Te is saros vagy ezesetben, mert olyan dologra kerted meg, ami BTK. kategoria, ugy, hogy a szerver nem a tied es meg a tarhelyhez sincs jogilag kozod, nincs szerzodesed. :D csakmondom. Sot, igazabol mar felbujto lettel, szoval innentol kezdve a magad reszet le is tudtad, arra kered a HUPpereket, hogy torjenek meg egy szervert es/vagy modositsak/hamisitsak meg annak kiszolgalt tartalmat... well done.
"rágalmazást " > akkor tenne ilyet ha valotlant allitana - de Tenmagad mondod, hogy azt csinalod, amit. a masik oldal maximum abban teved vagy sem, hogy ezt eppen a jog minek is nevezi. :D
De van. Eredetileg havonta 1 Ft volt nekem 1 MB, csak utána megcsináltam nekik szívességből valamit és ez volt a viszontszívesség, hogy egy darabig ingyen lesz. Szóval ezt buktad, nagypofájú.
Megint hazudsz, mert ilyet nem kértem.
A tartalom és a tárhely az enyém, szóval erre megkérhetem. Te viszont most szintén elkövetted a rágalmazást, amikor felbujtással vádoltál alaptalanul.
Megint hazudsz. Egyrészt azért, mert ez csak egy példa volt és számos esetről beszélünk. Másrészt azért, mert egy adott tevékenységre falsul ráhúzni egy BTK-s kategóriát, vagy csak szimplán illegálisnak minősíteni, az rágalmazás. Lefestem a házamat és ő meg azt állítja, hogy ez garázdaság és illegális. Harmadrészt abban a konkrét példában is valótlant állított, mert egyfelől a magyar jog magáncélú felhasználásra nem tiltja a letöltést, tehát nem illegális, ahogy ő állította és nem is lopás, mert fizikailag nem vittem sehová az adott tartalmat. Ez nem jogi tévedés, hanem közönséges rágalmazás.
Viszont úgy látom, hogy te eltökélted, hogy rámszállsz és nem hagyod abba a baszogatásomat, meg a rólam való hazudozást. Ennyit arról, hogy te segíteni jöttél ide. Nem, te engem baszogatni, meg hazudozni, belemagyarázni, mocskolódni jöttél ide. Álszent, butthurt csicska vagy. Mi a baj? Mitől fáj a segged? Valami komplexusod, vagy traumád van velem kapcsolatban? Vagy csak simán egy rosszindulatú patkány vagy? Keress fel egy pszichiátert. Részemről permanensen ignore-ra kerültél, szórakozz mással.
Oldschool Computer - http://oscomp.hu
nekem semmi bajom, azok alapjan amiket itt frocsogsz, neked biztos van :D
Ennyi, be is zarhatnak a pentest cegek, kesz, vege, a megrendelok mehetnek a sittre. :)
Nem kert ilyenre senkit. A feladat egy MITM tamadas megvalositasa, hiszen pont arrol van szo, hogy https nelkul ott lesz a tamadasi vektor. Ha a szerverhez hozzafersz, akkor mar tokmindegy, hajadra kenheted a DV certedet.
hehe, mert szerinted az MITM-hez nem kell koztes szerverhez/halozati eszkozhoz hozzaferni, mi? :D nincs is benne a neveben sem :D
Pont arrol beszelek, hogy a koztes eszkozokhoz kell hozzaferni, nem az eredeti tartalomhoz. Igy TCH uzemelteto haverjai fellelegezhetnek.
mert az nem ugyanugy btk kategoria? :D vagy mit szeretnel ezzel mondani?
Marmint hogy valaki megbiz egy serulekenysegvizsgalattal, es te csinalsz egy PoC kornyezetet, ahol TCH a laptopjarol megnyitja az oldalt, es a deface-elt szenny jon be? Nem, szerintem az nem Btk-s, bar teny, hogy nem vagyok buntetojogasz. En rendeltem mar meg ilyen vizsgalatot, es legjobb tudomasom szerint nem lettek sem a pentester ceg dolgozoi lesittelve, sem en, pedig mar evek ota befejezodott a projekt.
Ehhez nem kell valos szolgaltatast kell szetbaszni, ha volt ilyen elkepzeles barki reszerol, az hiba, ugord at.
Mondjuk, ha jól sejtem, ez elég egyszerű - elég a poc környezetet úgy felállítani, hogy „hey TCH, csatlakozz erre a WiFi-re pls”, nem?
A kommentfolyamban a feladatkiírás, hogy ne legyen PoC környezet, és TCH az otthoni netjéről megnyitva a weboldalt is valami mást kapjon, nem? Ehhez pedig fel kell nyomni valaki köztes szereplőt (ami valszeg nehéz, és ilyen szempontból ha TCH megbízik a végpontja és a szerver közt minden szolgálatóban, akkor sok félnivalója nincs valszeg)
Nem véletlenül nem használok WiFi-t. :)
Köztes szereplőt nem feltétlen kell felnyomni; a legegyszerűbb, ha besétálnak éjszaka, vagy távollétemben a telkemre, elvágják kint az optikát a tető közelében és mindkét végét bedugják egy MITM-elésre felkészített bridge-be/router-be/whateverbe és máris lehallgathatják/módosíthatják a HTTP forgalmamat.
És nem, ez nem BTK-s, mert én kértem fel őket és implicit (ill. most már explicit) engedélyeztem ezt; a security breach-ba ez is belefér és írásos engedélyt kaptak itt. Persze, ha rajtakapom őket, akkor a kísérlet megbukott, mert normál esetben (igazi behatolókkal, nem felkért kollégákkal) természetesen fejbecsapkodnám őket a vaslapáttal, majd kihívnám rájuk a szonikokat.
De ha sikerül, akkor ők nyertek, igazuk volt, meg lehetett MITM-elni a HTTP forgalmamat, vezetékes hálózaton keresztül. Szavam nem lehetne, én kértem. Hogy ehhez tudniuk kéne, hogy ki vagyok és hol lakok? Hát ezt nyugodtan vehetjük nulladik védelmi vonalnak. :)
A szolgáltatókban természetesen nem bízom meg, de az oscompra mindent én töltöttem fel és tudom, hogy minek kell lejönnie és egyébként sincs ott semmi, amit érdemes lenne hijackelni, vagy ellopni.
Oldschool Computer - http://oscomp.hu
Tulajdonkeppen igen, de a PoC csak az egyik fele a dolognak, a merleg masik oldalan ott van a konkret forgatokonyv. Peldaul ha TCH csak VPN-en keresztul netbankol, akkor a teszt soran is csak VPN-en keresztul netbankoljon.
TCH nem netbankol, nincs bankszámlája; itt a mezei HTTP forgalmat kellett volna meghekkelni az oscomp felé. :)
De az elméletben igazad van.
Oldschool Computer - http://oscomp.hu
Attol fugg. Ha a vizsgalatot olyan eszkozre rendelted meg ami a tied, OK. Ha masera, na az ott mar erosen szurke zona, de inkabb azt mondanam BTK. Mivel TCH egy shared hostingon van, nem csak az o adatai vannak ott es nem o a tulaj.
De ha POC kell az mar itt van. Volt szerencsem uzemeltetni ilyet.
Es ha visszaemlekszel a 2010-es evek eleje kornyeki hup https rinyara, a corporate FW-k is pont azert nem engedtek a https-t, mert abban rohadt nehez lett volna turkalni. Sokaig az volt a mondas, hogy ezert nincs/nem lesz.
Ez miatt egészen pontosan mitől is véd meg a https?
https://iotguru.cloud
Fenti tapasztalatok alapján leginkább a hupon való rinyálástól...
attol, b+, hogy csak akkor tudsz igenyelni certet, ha hozzad mutat az oldal IP-je vagy a DNS nalad van. attol. nem tudom miert vagytok ennyire analfabetak :D errol szol a validacios folyamat.
Felnyomok egy weboldalt, teleteszem kártevőkkel, teszek rá https, mert tudom írni a weboldal tartalmát ugye, a cert ingyen van, beszopod, b+?
Ismét megkérdezem: miben és mi ellen véd, ha van rajta https, b+? :D
Amit keresel az értelmező szótárban az a false sense of security és a security by obscurity definíciója.
https://iotguru.cloud
nem ez ellen ved. amit keresel a szotaradban, az a MITM mitigation es owner validation.
a cert arrol szol, hogy validaltad, hogy a domain a tied es nem tudja minden ver istvan hamisitgatni utkozben az adatodat.
az ellen nem ved ha megbasznak es/vagy ransomware-t raksz az oldaladra, meg az ellen se, ha _utana_ fogod es odaadod barkinek, hogy hasznalja, es/vagy a dyndns CNAME-hez tartozo tokened is odapasszolod...
az, hogy nem erted a cert mire valo es mire nem, nem a cert problemaja...
kb. mintha azt mondanad a bankkartya+pin kod lofaszt se er, mert te a bankkartyad mellett tarolod a pin kododat, majd kidobod a tarcad az ut kozepere es igy leveszik a penzed az automatabol...
Egyik ellen se véd az ingyenes cert... ha úgy gondolod, hogy ezek ellen véd, az csak hamis biztonságérzet.
Ez ellen sem véd az ingyenes cert... ha bárki feltöri a weboldalt, tud generálni érvényes cert-et, lopja két pofára az adataidat, de a cert miatt te és sokan mások megnyugszanak, hogy itt biztonság van.
https://iotguru.cloud
"te és sokan mások megnyugszanak, hogy itt biztonság van" - A DV cert azt bizonyítja, hogy az, aki igényelte, az megfelelő jogosultsággal rendelkezett a szerveren ahhoz, hogy tanusítványt igényeljen az adott host.domain nevére. Az ennél magasabb szintű certek azt tanusítják, hogy a certet olyan igényelte, aki az adott domainnek jogosult tulajdonosa/használója.
Ezen felül azt is mutatja, hogy az adatfolyamot nem módosították út közben.
Oszt ez mit jelent biztonsági szempontból, amiről most épp szó van? Mitől lesz biztonságosabb egy gyütt-ment által igényelt ingyenes cert, mint ugyanott egy szimpla http, hogy le kell tiltani a http protokollt és tócsákat kell sírni mindig a földre, hogy nem éri el, mint http a link?
https://iotguru.cloud
Ha nem érted, hogy a két végpont között a plain text http-protokollal bármi is történhet, sőt akár az is lehet, hogy a klines nem is azzal beszélget, akinek a nevét a címsorban látja...
Ha te azt hiszed, hogy megvéd ettől az ingyenes cert, amikor csak boldog és boldogtalan kap ilyet, akkor... ott vagyunk újra, hogy van egy hamis biztonságérzeted. Szóval még mindig ott tartunk, hogy letiltani a böngészőben azért a http protokollt, mert nem biztonságos és tócsákat sírni, mert valami csak http protokollon érhető el, az nettó faszság.
https://iotguru.cloud
"boldog boldogtalan kaphat" - Nem. Az kaphat, aki az adott domain/szerver feletti rendelkezési jogát prezentálni tudja. Kérlek, mutass be egy mondjuk kispipacs.turablog.info szervernévre publikus, böngészők által elfogadott CA által kiadott certet. Elég, ha DV certet mutatsz.
Illetve mutasd be azt, hogy hogyan tudsz közbeékelődni egy kliens és publikus, böngészők által elfogadott CA által aláírt certtel rendelkező szerver közé úgy, hogy azt a kliens oldalon nem lehet észlelni - eltekintve a céges ssl-bontó proxy tűzfalaktól, ahol a céges CA, mint megbízható fel van véve a munkavállalók által használt gépeken.
Értem, és erre boldog és boldogtalan képes, attól várni biztonságot, hogy https valami és félni attól, hogy http, az faszság.
https://iotguru.cloud
Ha így van, kérném a fentebb említett hostra (kispipacs.turablog.info) a certet bemutatni. Köszönöm. És sokadszor: nem a tartalom biztonságosságát hirdeti, hanem a túloldalt azonosítja _és_ azt biztosítja, hogy tudd, _nem_ változott meg az adat a szerver és a böngésződ között, valamint azt, hogy harmadik fél az átvitt információhoz a végpontok kivételével nem férhetett hozzá.
TCH is kerte a PoC-t a sebezhetosegre, de meg o is turelmetlenul varja. :)
Mernél tranzaktálni egy banki felületen ami plain http?
Szerinted a Bankfelügyeletnél hülyék ülnek hogy ilyenért a bankot megbüntetnék mint a szél?
Gábriel Ákos
Bocsánat, de nem írtam, hogy tiltsuk le a https-t és legyen minden http, hanem azt, hogy a http generikus tiltása és üldözése faszság.
https://iotguru.cloud
H'ja, csak egesz eddig DV-rol volt szo, az meg egesz pontosan annyit validal, hogy aki a certbotot futtatja, az a DNS zonat is tudja irni. Vegso soron a http challenge is ennyit validal csak, mert semmi nem irja elo, hogy a .well-known ugyanott legyen, ahol a kesobbi kontent: ha megvan a cert, oda iranyitod a domaint, ahova akarod.
Még csak annyit se, elég egy írható webtartalom.
https://iotguru.cloud
Ahhoz kell DNS hogy a challenge-response-t a DV le tudja húzni a webserverről.
Gábriel Ákos
Nyilván oda kell mutasson, de ez alapvetően szokott működni, ha http elérhető a webtartalom, amit tudok módosítani, viszont attól kezdve van egy valid cert-em egy valid domain-re, amit tudok használni MITM-re is akár, hogy szép zöld legyen a címsor. Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is...
https://iotguru.cloud
kevered a szezont a fazonnal
miert kellene tudnod belenyulni a dns-be attol, hogy a http streamben valahol koztes lehetsz es forditva? ezt magyarazd mar el, legyszi :D
ugy gondolod a dns-t az a webszerver szolgalja ki aki a http-t? :D vagy mivan??? :D
Próbáld meg néha elolvasni és megérteni, amit írok, szerintem sokat segítene.
https://iotguru.cloud
elolvastam es ez egy ordas nagy baromsag ugyebar " Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is..."
a kettonek koze nincs egymashoz, nem jon egyik a masikbol.
ha a dns-hez hozza tudsz nyulni, onnantol oda viszed a tartalmat meg a certet is ahova akarod, mert a tied a domain, onnantol meg minek kene mitm-elni?
Sigh... nem.
https://iotguru.cloud
mit nem? azon vitazol, hogy ha kezeled a domaint nem irhatod at az A/AAAA rekordot es kerhetsz arra valid certet? :D
Leírom ismét: nem kell a valid cert-hez DNS-hez nyúlni.
https://iotguru.cloud
neked elment az ertelmezesed kenyaba :D
- Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is...
- miert kellene tudnod belenyulni a dns-be attol, hogy a http streamben valahol koztes lehetsz es forditva? ezt magyarazd mar el, legyszi :D
ugy gondolod a dns-t az a webszerver szolgalja ki aki a http-t? :D vagy mivan??? :D
- Próbáld meg néha elolvasni és megérteni, amit írok, szerintem sokat segítene.
- elolvastam es ez egy ordas nagy baromsag ugyebar " Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is..."
- ha a dns-hez hozza tudsz nyulni, onnantol oda viszed a tartalmat meg a certet is ahova akarod, mert a tied a domain, onnantol meg minek kene mitm-elni?
- Sigh... nem.
- mit nem? azon vitazol, hogy ha kezeled a domaint nem irhatod at az A/AAAA rekordot es kerhetsz arra valid certet? :D
ez hogy jon ide vagy mire valasz? :D
- Leírom ismét: nem kell a valid cert-hez DNS-hez nyúlni.
Melyik musort nezed?
1: a belenyulas a http-be semmi kapcsolatban nincs azzal, hogy tudod-e basztatni a DNS-t vagy sem. megcsak nem is egy fele szolgaltatasrol beszelunk. egy ordas nagy baromsag amit irtal.
2: ha tudod basztatni a DNS-t oda viszed az A rekordod ahova csak akarod. (es lehet is certed ra, hisz oda mutat hozzad)
Melyik resze nem vilagos?
Leírom ismét: ha bele tudnak nyúlni gépedről kimenő http kérésedbe, akkor a gépedről kimenő DNS kérésbe is, merthogy az az esetek nagyon-nagyon-nagy részében nem secure. Nem az oldal DNS bejegyzésébe, hanem a DNS query protokollba.
https://iotguru.cloud
nem, ez igy egy ordas nagy baromsag, a http keres kurvara nem kell arra menjen, es legtobbszor nem is arra megy, mint a dns... eleg ritka scenario, hogy egy random weboldal legyen a DNS kiszolgalod is. teljesen mas interface fele is route-olhatom. sot, localhoston is lehet a dns-em, akar hosts file-t is hasznalhatok.
a kettonek 0 koze van egymashoz ebbol a szempontbol.
jatszatsz mitm-et kozvetlen a kiszolgalo webszerver elotti utolso hop-on is, attol a kliens DNS kerese nem fog arra menni...
Hogyne, lehet localhost-on a teljes internet is, ez nem befolyásolja azt, hogy a DNS query ugyanúgy eltéríthető, mint a HTTP.
https://iotguru.cloud
ettol meg teny, hogy ez rohadtul nem allja meg a helyet es baromsag:
Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is...
Azt nem tudom miért nem "megy át" hogy egy globális DNS eltérítésre is szükség van egy ilyen cert megszerzéséhez, de mindegy is.
Én úgy gondolom a DNS egy teljesen különböző faktor mint a HTTP.
Szerintem a Letsencrypt-esek is így gondolták, és ők - valamint a milliónyi felhasználójuk - is úgy gondolta hogy ez a két faktor már elegendő biztosíték ahhoz hogy egy Letsencrypt certificate rákerüljön a site-ra és a forgalomra és az többet jelentsen a semminél.
Gábriel Ákos
Na: https://test.enaplo.hu/
Ezt csak úgy csináltam, hogy létrehoztam ezt a http challenge-t a tárhelyen: http://test.enaplo.hu/.well-known/acme-challenge/NwlZF86aRe5My4NiD-VBMg…
A DNS-hez hozzá se nyúltam. Mit rontottam el?
https://iotguru.cloud
semmit, kevered a szezont a fazonnal. meg mindig...
Leírhatnád végre a szezont és fazont is végre, mert egyelőre úgy néz ki, hogy te kevered a szezont a fazont...
https://iotguru.cloud
Én tudnék ugyanennek a szervernek egy másik certet csináltatni?
http://test.enaplo.hu virtualhostot tudok itthon csinálni. Azt is meg tudom oldani hogy a helyi gépeim azt gondolják hogy az én serverem a valódi http://test.enaplo.hu.
Self signed cert-tel https://test.enaplo.hu -t is tudnék csinálni.
De olyan https certificate-et amit a letsencrypt bocsájtott ki és a test.enaplo.hu-ra "zöld" a böngészőben nem vágom hogy hogyan tudnék csinálni.
Gábriel Ákos
A vita azon megy, hogy elég-e egy cert generálásához az, hogy hozzáférek az adott domain webtartalmához, vagyis tudok fájlokat módosítani rajta. Elég.
https://iotguru.cloud
nem eleg. TCH baratunk is hozzafer a webtartalomhoz, sot, az A rekord is oda mutat neki, megsem sikerult neki valid certet kernie ra es tennie az oldalra. :D
A cert generáláshoz elég, TCH barátunk tudna kapni egy letsencryptes certet, ha tudja írni .well-known-t. Betenni nem tudja a webszerverbe, hogy használja.
Az már az ő saját nyomora, viszont a cert generálásához elégséges feltétel az, hogy létre tud-e hozni '.well-known/acme-challenge/<token>' fájlt az adott tartalommal.
https://iotguru.cloud
ez igaz, csak kitorolheti a certjevel amig a webszerverben nem tudja konfigolni
De ez teljesen független attól, hogy a cert kiadásához mire van szükség.
Onnan indultunk, hogy tud-e valid cert-et generálni, aki betört egy szerverre és pusztán a weboldal fájlokat tudja módosítani: tud.
https://iotguru.cloud
csak ha konfigolni nem tudja vagy nem fer hozza a DNS-hez szart se er vele.
-1
Ha a sajat gepemen hasznalom a certbotot, es odaadom TCH-nak a challenge fajlt, hogy tegye ki a weboldalara, akkor a certbot az en gepemre fog valos certet generalni az oscomp.hu domainre.
A cert valodi lesz, es ervenyes. Az oscomp.hu-ra persze nem kerul ki magatol.
nem, ahhoz pont nem eleg :) dns validacio kell, hiszen benne van a neveben :D "Domain Validation (DV)"
De, elég. Nem kell a DNS-hez nyúlni, ugyanazt a cert-et kapod, ha http protokollon adod meg a token-t, lásd például: https://medium.com/@tsui.gordon.9/generate-let-encrypt-ssl-certificate-….
Annyi a korlátozás, hogy ilyenkor nem adnak wildcard cert-et, csak konkrét domain-re szólót. Van több ilyen cert-em is.
https://iotguru.cloud
az meg nem DV. kevered a szezont a fazonnal...
De. Ugyanaz a cert, amit kapsz, a challenge módja nem befolyásolja, hogy a challenge token az DNS TXT vagy HTTP file.
https://iotguru.cloud
ettol meg az egyik dv a masik nem. a ketto nem ugyanaz es nem keverendo.
Mind a kettő DV cert, mindössze a challenge más.
https://iotguru.cloud
az egyik http challenge a masik domain validalas.
https://en.wikipedia.org/wiki/Domain-validated_certificate
ne keverd a szezont a fazonnal...
csak akkor kapsz teljes domainre valid certet, ha DNS alapon azonositasz, a http challenge ehhez edeskeves.
A letsencrypt szerint ők DV certet adnak (az opposed to OV [Orgnanizational] és EV [Extended]).
Nem csak a *-os cert a DV, egy konkrét domainre szóló cert is DV, a challange mechanizumus technikai részletkérdés ebből a szempontból. A HTTP challenge is azt validálja, hogy a konkrét domain felett van kontrollod. És azért nem ad csillagosat, mert ezen a módon csak arról a konkrét domainről lehet belátni, hogy kontrollod van felette, míg mikor DNS challange van, akkor azt lehet belátni, hogy bármely subdomain felett is kontrollod van, tehát ad olyan certed, amely bármely subdomainre is jó lehet.
Az idézett linkedben a http challange az issuing criteria 4. pontját csinálja a gyakorlatban.
pontosan igy korrekt. ettol - ugyebar - a http challenge auth csak egy subsetje a DV-nek es nem is adnak ra *-os certet
Lófaszt már. Nem a * miatt lesz a cert DV cert. Legalább olvasd el és értelmezd, amit linkelsz.
https://iotguru.cloud
Nem subsetje, hanem egyik fajtája. Te kevered a szezont a fazonnal :) Illetve hát él egy koncepció a fejedben, hogy mi a DV cert definíciója, ami egyébként logikus, lehetne az is, de nem az van. Nem a *-os cert az igazi DV. A DV azt jelenti, hogy azt verifikálták, hogy kontrollod van-e az adott domain felett, az OV és az EV, pedig azt vizsgálja, hogy ki kér, illetve, hogy aki kér, annak megvan-e a megfelelő jogi alátámasztása arra, hogy ezt kérje. Ez a különbség, nem az, hogy milyen módon validálják a domainhez való hozzáférést.
Az ACME protokoll, amit a letsencyrpt használ arra való, hogy az validálja, hogy van e kontrollod a domain felett. Minden challange metódus erre való. Minden letsencrypt által kiadott cert DV cert. És erről a letsencyrptnek is ez a véleménye.
subset
noun
noun: subset; plural noun: subsets; noun: sub-set; plural noun: sub-sets
a part of a larger group of related things.
Things:
The part: Publishing a nonce provided by an automated certificate issuing system
Nem, az nem part, hanem az egyik metódus. A thingsjeid nem és kapcsolatban vannak, hanem vagyban.
De fordítsuk meg. Ha szerinted a http challanges nem domain validated cert, akkor kérlek idézd a letsencyrpt doksijából, hogy milyen.
Ezt próbáld értelmezni: "using one of the following".
https://iotguru.cloud
en ertem, azt erted-e, h attol, hogy a hangya egy rovar, meg nem mondhatod a rovarokra, hogy hangya?
Nem, nem érted. :D
https://iotguru.cloud
Egyébként az a baj, hogy rossz tengelyen mozogsz. Azt hiszed, hogy a DV az a milyen technikai részletet validálunk, hogy konkrétan a dns bejegyzést, vagy mást, miközben a DV/OV/EV felosztás nem erről szól, hanem arról, hogy mi az, ami validálásra kerül: DV: hozzáférésed van, OV: te vagy te, EV: te vagy te, és jogod van a domainhez). OVt szerverhez nincs is értelme. Csak mindnek elég fos a neve, de olvasd a DVt Technical Verificationnak, ha úgy jobban átjön.
Ehhez képest te azt hiszed, hogy a technikai hozzáférésen belüli különböző mit validálunk mentén vannak más nevek, de nem, ők mind DV.
en ertem es tudom ezt, Te nem erted mit jelent a subset (minden bogar rovar...)
Ha szemantikázni akarsz*, akkor viszont a *-os csak egy subsetje a DVnek, nem a 4. hanem a 3. pont a linkedben. És akkor is pont ugyanolyan, egyenrangú DV cert a *.example.com meg a test.example.com certificate, szóval mindegy, így is-úgy is dv.
*de egyébként nincs igazad, a part
A vagylagos izék nem akkor adják a DVt, ha when combined with others, tehát azok nem partok, következésképp nem subsetek
Igen, a *-os is csak egy subsetje.
A doksi ezt mondja a felsorolas elott: "using one of the following"
A "following" egy lista, 4 elemu, aminek minden eleme a lista egy subsetje (igaz csak 1 tagu, de ez mar csak terminusz teknikusz lvl100, valaszthatjuk akar a http challenge es email-t is belole)
Legalabbis szerintem. De ebben akar tevedhetek is es ilyet tilos mondani :D
Szóval akkor a *-os cert ugyanolyan DV cert mint a nem csillagos DV cert?
mit ertesz ugyanolyanon?
a vereb is olyan, mint a golya, csak sokkal kisebb es teljesen maskepp nez ki?
DV = madár
*.example.com = gólya
akarmi.example.com = veréb
Beláttuk, hogy a definíciós lista elemei között nincs alá-fölé rendelő viszony. Azt is beláttuk, hogy ezért nem hívják subsetnek, hanem max fajtának (alternatívának). Következésképpen ha az egyik DV, akkor pont ugyanolyan DV a másik is. Azt az állításod, hogy a *-os cert volna rovar, és "sima" a bogár nem támasztja alá semmi.
Igen, másképp néznek ki, az egyik
kicsi és barnaazt látja bizonyítottnak, hogy konkrétan az akarmi.example.com domainnéven futó webserver felett van kontrollod (igen, még a webszervert is beleírja az így validált certbe), a másik megfekete fehér hosszúcsőrűazt, hogy bármelyik example.com subdomain felett van kontrollod, és erről ad egy tanúsítványt. MindkettőmadárDomain Validated certificate.mert egy lista elemei nem subsetjei a listanak?
lista:1, 2, 3, 4
Subsets
16
Proper Subsets
15
Other Results
1subset with no elements.
4subset with 1 elements.
6subset with 2 elements.
4subset with 3 elements.
1subset with 4 elements.
Subsets
{},{1},{2},{3},{4},{1,2},{1,3},{2,3},{1,4},{2,4},{3,4},{1,2,3},{1,2,4},{1,3,4},{2,3,4},{1,2,3,4}
Ettol meg csak a {1,2,3,4} lesz a definicioja a listanak. Cserebe ezek a subsetjei.
Oké, megmondanád, hogy melyik DV cert és melyik nem?
https://mqtt.iotguru.cloud/
https://test.enaplo.hu/
https://iotguru.cloud
Lófaszt már, negyedik pont, önmagában elég és DV cert lesz belőle.
Typically control over a domain is determined using one of the following:
https://iotguru.cloud
lemaradt az olvasasodbol a "teljes domainre valid certet"
hogy lesz neked a 4. pontbol a *.domain-ra ervenyes certed?
Mert te képzeled azt, hogy csak az a DV, ami teljes domainre vonatkozik.
csak te kepzeled valamiert, hogy azt kepzelem. A DV egy gyujtofogalom, a http cahllenge auth csak egy a sok kozul...
Szóval akkor az is DV?
az is DV, de baromira nem lesz a TELJES domainre ervenyes, ahogy fentebb is irtam
Te azt írtad fentebb, hogy ez nem DV, és ne keverje Franko a szezont a fazonnal, majd belinkelted ezt a definíciót alátámasztandó, hogy ez nem DV.
Köszi, hogy beláttad a tévedésed :)
mert az nem a DV. egy subsetje annak. ezt mar kitargyaltuk
Most akkor DV, vagy nem DV, döntsd már el.
Már hétszer minden irányból beláttuk, hogy egyenrangúak, ha az egyik DV, akkor a másik is DV, beláttuk, hogy a vagylagos lista nem subset, tényleg ilyen nehéz beismerni, hogy benézted?
miert nem subsetje egy lista eleme a listanak?
miert ekvivalens a lista egy eleme a listaval?
nem ertelek.
Bármelyik feltétel a négy közül milyen subset-je minek?
https://iotguru.cloud
a feltetel a subsetje a felteteleknek.
list [ a, b, c, d ]
is a a subset of list?
nem tudom jobban elmagyarazni... https://en.wikipedia.org/wiki/Subset
Jézus, ehhez komolyan színes kréta kell:
Na most a subsetre, annak definíciója
noun: subset; plural noun: subsets; noun: sub-set; plural noun: sub-sets
A part definíciója:
Mivel nem szükséges, hogy a lista elemei ([2] és [3]) együtt adják ki a DV-t [1], ezért azok nem partjai ([14) a DVnek. Ebből következik, hogy [2] és [3] nem subsetje [1]-nek.
Minden normális emberi számítás szerint [2] és [3] típusai/alternatívái [1]-nek, és ugyanúgy önmagukban DV-k.
És továbbra is, ha még ha subsetnek mondjuk és [2] és [3]-at, akkor is mindketten a DV subsetjei nem [3] a [2] -nek, egymással ekvivalensek, tehát mindkettő önmagában [1].
megegyszer: ezt irja a wikipedia:
"determined using one of the following: "
szerinted a "one of the following" az nem lista? akkor micsoda is?
A DV a lista osszes elemet jelenti. a lista barmely tagja alkalmas DV cert keresere.
de a lista egyetlen eleme nem reprezentalja az egesz listat. legalabbis en ezt igy tudom :)
Nem: DV cert esik ki, ha bármelyiket választod a négy közül. Az, hogy neked ez nem tetszik, mert ragaszkodsz a faszságodhoz, az csak téged minősít.
https://iotguru.cloud
tehat egy lista elemei nem subsetjei a listanak, ma is tanultam valamit.
Micsoda Csubakka-védelem... :D
https://iotguru.cloud
Nem azt vitatom, hogy nem lista, hanem azt vitatom, hogy és kapcsolat van köztük. Te is belátod ezt, magad is írod, hogy "bármely tagja alkalmas" DV cert kérésére. Ez a mondat azt jelenti, hogy bármely tagját ha csinálom akkor DV certet kapok.
És mivel ez a lista nem egy és lista (tehát nem subsetek), ezért de, bármely eleme megfelel a típusnak. A gólya is madár, meg a veréb is madár.
De ha a te logikád alapján, mivel mindkét challange típus eleme a listának, egyik sem DV cert, hiszen egy eleme nem reprezentálja az egész listát. Az sehogy nem jön ki belőle, hogy a *-os DV, a másik meg nem DV. Vagy mindkettő az, vagy egyik sem (ekvivalensek). Te úgy csinálsz, mintha a csillagos lenne a lista, nem az is egy eleme lenne. De ezt nem támasztottad még alá semmivel.
ezt te magyarazod bele. en azt mondtam, hogy van egy 4 elemu listad, aminek elemei egyutt adjak a DV definiciojat. nem kulon kulon mondjak meg mint jelent a DV.
Az a lista egyrészt úgy kezdődik, hogy "tipically". Másrészt nem attól lesz DV egy cert, hogy mind négy challenge teljesül, elég egynek teljesülnie, ráadásul nem csak ez a négy challenge van, ezek csak a gyakran használt példák.
De: bármelyik eredménye egymástól függetlenül egy DV cert.
https://iotguru.cloud
Másrészt nem attól lesz DV egy cert, hogy mind négy challenge teljesül > es ezt nem is mondam egy szoval sem, csak ti hozzatok ide valamiert ujra es ujra.
De: bármelyik eredménye egymástól függetlenül egy DV cert."
teljesen masrol beszelunk.
Te kevered mindig ide, hogy együtt adják ki a definíciót... :D
Azt tudjuk.
https://iotguru.cloud
Nem, te azt mondtad hogy a lista egyik eleme [http challenge alapján kiállított cert] nem DV, a másik [dns challenge alapján kiállított *os cert] meg az.
És nem, nem együtt adják: hogy téged idézzelek:
Ez minden univerzumban azt jelenti, hogy ahhoz, hogy valami DV legyen az alábbiak közül egy kritériumnak kell teljesülnie. Ahhoz, hogy eldöntsük, hogy van e kontroll a domain felett, ezek közül az eljárások közül egyet végzünk el. Ha ennek az eredménye sikeres, akkor megfelel a "The sole criterion for a domain validated certificate"-nek, tehát ki lehet állítani egy domain validated certificated. Szóval az ez alapján kiállított certificate egy domain validated certificate. Bármelyik alapján kiállított certificate egy domain validated certificate. A csillagos domain validated certificate. A nem csillagos is domain validated certificate. A certificate subjectjébe meg az a domain kerül, amit validált a challange. Az egyikbe a *.ovoda.hu, a másikba a dorsy.ovoda.hu. És mindkettő Domain Validated certificate.
es ebbol hogy kovetkezik az, hogy a 4 elemu lista elemei ne lennenek subsetjei a listanak, vagy, hogy ezekbol barmelyik onmagaban definialna mi is az a domain validation?
Ne haragudj, ennél egyszerűbben nem tudom leírni. A DV cert kiállításának feltétele, hogy a lista egy eleme teljesüljön. Bármely így kiállított cert egy DV cert.
Egy szóval nem állította senki, hogy a lista egy eleme a lista definíciója.
A subset meg már csak egy próbáld értelmezni az angol nyelvű mondatot alszál, alapvetően halmazelméletet erőltetsz egy formális logikával leírandó problémára, de már többször írtam, nekem mindegy, hívd subsetnek, ha ez jobban esik (bár még csak nem is subset, mert simán csak member), lényegtelen.
A DV cert kiállításának feltétele, hogy a lista egy eleme teljesüljön. Bármely így kiállított cert egy DV cert. > igy van, leritam en is mar parszor.
Egy szóval nem állította senki, hogy a lista egy eleme a lista definíciója. > akkor min is vitazunk igazabol?
A subset meg az ami. Fentebb ott a definicioja.
Azon, hogy ennek ellenére, hogy
Szerinted a *.izehozé DV cert, az akarmi.izehozé meg nem DV cert. Én ezt az állításodat vitattam, és valahogy az összes "értem"-ed után jött egy de, ahol magyarázod, hogy "de".
Az egyik. Én meg hoztam neked egy másikat. Mint mondtam, ez nem egy halmazelméleti kérdés.
olyannal vitazol, amit nem allitottam.
azt allitom meg most is, hogy pl. a http challenge onmagaban nem a domain validation es nem keverendo.
es azt, hogy "csak akkor kapsz teljes domainre valid certet, ha DNS alapon azonositasz, a http challenge ehhez edeskeves."
Megbocsáss, de nem:
Pontosan azt állítottad, hogy a domain validáció csak a dns validáció. Én személy szerint végig ezt vitattam. Mindezt egyébként arra tetted, hogy Frankó mondta, hogy a dnshez sem kell hozzáférni a DVhez.
Szóval de, te ezt állítottad, és én egészen végig ezt vitattam.
ez nem eleg:
"Még csak annyit se, elég egy írható webtartalom."
erre volt valasz, hogy
"nem, ahhoz pont nem eleg :) dns validacio kell, hiszen benne van a neveben :D "Domain Validation (DV)""
kiragadod a kontextusbol a mondatot :) ugy nem nehez felreerteni
Nem ragadok én ki semmit sehonnan. Megpróbálom még egyszer.
gelei nyitója:
Ennek az első mondatában a DV nyilvánvalóan a Domain Validated cert. Erről később megállapítottuk együtt, hogy mind a dns challenge, mind a http challange eredményeképpen egy domain validated cert kerül kiállításra, ugye.
gelei azt állítja, hogy a DV csak annyit validál, hogy aki kéri a certet, tudja változtatni a zónát.
Erre jön _Franko_:
Ebben az van, hogy igazából ennél kevesebb is elég, mert a http challangehez elég, ha a [domainnéven elérhető] webtrartalmat tudja írni, az már DV certet eredményez. Amiben megegyeztünk, hogy igaz.
Erre jössz te:
Ezt én nem tudom, hogyan lehet miből kiragadni, hogy ne azt jelentse, hogy a DV certhez dns alapú validáció kell, és a http alapú validáció szerinted nem DVt eredményez. Egyszerűen összekeverted/mostad magadba az ACME DNS-01 challange típusú validációját a Domain validated certificate fogalmával.
igen, csak eppen pont kifelejted a beszelgetes ezen reszet is:
ugyanis az onmagaban edeskeves, hogy van egy webtarhelyed amit irogatsz, ha nem csinalsz DV-t.
nem tudom, hogyan kellene szebben leirni, hogy masra gondolsz, mint amit leirtam, de valoban, igy kiragadva felre lehet erteni.
a masik felreertes, hogy amikor azt irtuk DV en a validaciora gonoltam, ti meg a cert tipusara, de az ugye ket kulon dolog
ugyebar egyebkent sem szokas/jo otlet shared hostingban user altal mokolhatova tenni a .well-known-t + a webszerver konfigot ha LE lehetoseget adsz a usernek, hanem szepen ki van exclude-olva a webrootbol/proxy path-bol es a rendszer intezi a DV-t, rakja le a certet es konfigolja ennek megfelolen a webszervert, majd intezi az ujitast ha itt az ideje.
TCHnak is pont ez a fajasa, hogy nem fer hozza a konfighoz, meg ha elviekben technikailag meg is tudna a http challenget csinalni (felteve, hogy nincs a .well-know-ja egy masik location-on, amit a certbot kezel) ergo sokra nem megy onmagaban az irhato webtarhellyel.
Ja, azért, mert pont azt a részét elemeztem újra a beszélgetésnek, ami szerinted már teljesen korrekten leírja.
De igen, még mindig, ha van a webttárhely, amire tudsz írni, akkor http-01 challangel még mindig, mint már nem tudom hányszor megbeszéltük, csinálsz DV certet.
Egyrészt ja, keverted. Másrészt még el is hinném, ha nem te lennél az, aki belinkelte a wikipédiáról, hogy mi a DV definíciója, és próbálta ezzel is alátámasztani azt, hogy a http challengel kiadott cert nem DV cert. Így... hát szóval: Persze, persze :)
akkor http-01 challangel > Vegre, latod kepes vagy leirni te is, kell hozza DV, addig irogathatsz Te barmit a tarhelyedre... onmagaban edeskeves.
Many users do not understand the difference between the kernel, which is Linux, and the whole system, which they also call “Linux.”
Gyakorlatilag vegig ezen vitaztok es nem akarjatok erteni mi kulonbseg a ketto kozott.
A http challenge tovabbra sem egyenerteku a DV (Domain Validation)-nel, annak csak egy metodusa a sok kozul, es *-os cert sem lesz belole soha, attol, hogy DV (policy: Domain Validation) cert jon ki a vegen. Szezon a fazonnal esete. Persze keverni lehet.
Szerintem vilagos mirol beszeltem, ha igy sem jon at, nem igazan tudok mit kezdeni veletek. :)
Én ezen a vergődésen már csak röhögni tudok... :D
https://iotguru.cloud
Ne haragudj, de ez siralom. Ha tudok irogatni a tárhelyemre, akkor a http-01 challange segítségével tudok kapni egy certet, Semmi másra nincsen hozzá szükségem, nem édeskevés. Ez a cert egy Domain Validated cert. A http-01 a az ACME protokollban, ami Domain Validationt csinál, hogy az után Domain Validated certet állítsanak az egyik lehetséges eljárása, a benne található talán négyből, köztük a dns-01-el, ami szerinted a Domain Validation. Ezzel szemben bármelyik eredménye egy Domain Validated certificate.
Te nem vagy képes megérteni a különbséget a kettő között. Illetve hát azt nem vagy képes felfogni, hogy rajtad kívül nem használja senki a Domain Validated kifejezést a *os certekre, unlike a linuxos példád, folyamatosan rosszul használod,....
... áh, hagyjuk, már nem vicces
figyelj, le is irtam
mit ertek alatta es kesobb be is linkeltem
szerintem ennel tobbet nehez tenni az ugy erdekeben. ha ebbol nem jott at, imho nem tehetek rola. :D
A linkelt weboldalról idézve fordítsd már le ezt magyarra kérlek: "The sole criterion for a domain validated certificate is proof of control over whois records, DNS records file, email or web hosting account of a domain."
https://iotguru.cloud
Mi az a teljes domain?
innen indultunk egyebkent:
Így van, ha hozzáférsz a webtartalomhoz és tudod írni, akkor tudsz DV certet kérni arra a domain-re. Az, hogy te valami teljesen más értettél DV cert alatt és most is próbálsz valami teljesen mást érteni, az kutyát nem érdekel.
https://iotguru.cloud
nem tudsz. arra az egy darab koszos A/AAAA rekordra tudsz.
szerintem teljesen mast ertesz domain alatt, mint en :)
Igen, azt már tudjuk egy ideje, hogy te teljesen mást értesz DV cert alatt, mint amit a DV cert jelent...
https://iotguru.cloud
nem.
Hát pedig de, neked van egy külön bejáratú definíciód a DV cert-re, ami nem egyezik azzal, ami a DV cert definíciója. :D
https://iotguru.cloud
A DV a metodika, amit 4 féleképp lehet csinálni. Ettől egyik metódus sem definiálja teljes értékűen a DV-t.
Nincs olyan, hogy teljes értékű DV.
https://iotguru.cloud
tehat nincs definialva mi az, hogy DV?
Hogyne lenne, idézem onnan, amit linkeltél: "The sole criterion for a domain validated certificate is proof of control over whois records, DNS records file, email or web hosting account of a domain."
Olvasd el, fordítsd le, rágd meg, gondold át.
Tudod, az, hogy a Let's encrypt csak DNS TXT-re ad wildcard DV cert-et, az egy teljesen más constraint, egy ezzel foglalkozó szervezet belső szabályzata.
https://iotguru.cloud
tehat nem a TXT validation meg nem a http challenge a definicioja.
Te tudsz amúgy angolul?
Fordítsd már le ezt magyarra kérlek: "The sole criterion for a domain validated certificate is proof of control over whois records, DNS records file, email or web hosting account of a domain."
https://iotguru.cloud
ez egy felsorolas arrol mi kell ahhoz, hogy domain validalhass. lista. nem egy dolog, tobb. barmelyik jo hozza, de nem csak egy metodus van, azzal nem definialod mi a DV.
Fordítsd már le kérlek az egész mondatot magyarra.
https://iotguru.cloud
mert nem tudsz angolul? vagy mi a bajod?
Nem ő nem tud angolul. A megengedő vagy kapcsolat fogalmának felfogásával sem neki vannak bajai.
Oldschool Computer - http://oscomp.hu
Keresztkerdes, hatha ravezet a problemara: lehet-e ervenyes wildcard certet csinalni mondjuk a *.co.uk -re? Es a *.com-ra?
Figyelj: ha négy kapu van a kerítésen egymás mellett, akkor hány kapun kell átmenned, hogy bejuss? Ha bejutottál, számít az, hogy melyik kapun léptél be?
Mondtál egy ordas nagy faszágot és most próbálod valahogy elkenni.
https://iotguru.cloud
nem minden kapu visz ugyanoda.
De. Ugyanoda visz.
https://iotguru.cloud
tehat a hup.hu certje jo lesz a *.hup.hu-ra?
Nyilván nem, de mind a kettő DV cert. Az egyik wildcard. Nem attól lesz DV, mert wildcard. Ráadásul ugye a wildcard csak egy szintre jó, mint írtam már, tehát a *.hup.hu nem jó az x.y.hup.hu domain esetén, arra kell *.y.hup.hu wildcard cert. Nincs teljes domain-ra cert, hiába érted a DV alatt ezt és hiába próbálod ezt magyarázni mindenféle analógiával: faszság.
https://iotguru.cloud
tehat nem. ennyike.
De, mind a kettő DV cert... az egyik egy wildcard DV cert, a másik pedig egy nem wildcard DV cert. :D
https://iotguru.cloud
tehat tok mas var az ajto mogott? :D
Nem, ugyanaz vár: DV cert. A wildcard cert is egy DV cert és a nem wildcard cert is DV cert. Nincs olyan, hogy teljes értékű DV cert. A wildcard nem érvényes mindenre a domain alatt.
Szerintem érted te ezt pontosan, csak nem tudod kimondani, hogy faszságot írtál és most ragaszkodsz a faszságodhoz.
https://iotguru.cloud
delegaltam mar pont eleg sumbdomaint LE DNS challenge-hez, kosz :)
csakszolok, hogy egy *.domain.com nem ervenyes a magara a domain.com-ra sem. :)
pontosan ertem mi micsoda, definiciokon vitazol.
attol meg a ket fajta cert tok mas, mert az egyik nem wildcard, es DV 4 felekeppen igenyelheto. csak az egyik method nem definialja mi az a Domain Validation.
Te vitázol ezen... :D
Nem a lista egészétől lesz valami DV, a lista bármelyik elemétől már DV a cert. Érted te ezt, csak ragaszkodsz a faszságodhoz.
https://iotguru.cloud
es en nem is ezt mondtam, hogy attol lesz valami DV cert vagy sem. azt, hogy egyenkent ezek nem jelentik azt, mi az, h Domain Validation.
De, bármelyiket teljesíted, akkor DV cert lesz belőle.
https://iotguru.cloud
igy van, a ketto nem zarja ki egymast
:D
https://iotguru.cloud
Szerinted mitol fugg az konkretan, hogy jo-e?
szerk: lelovom a poent, sem a "hup.hu" nem fog mukodni a "*.hup.hu"-ra, sem a "*.hup.hu" nem fog mukodni a "hup.hu"-ra. RFC 2818 szerint: "Matching is performed using the matching rules specified by [RFC2459]", azaz "*.example.com would match a.example.com, foo.example.com, etc. but would not match example.com."
Ráadásul nem is vonatkozik a teljes domain-ra, tehát a *.domain.com cert se fed mindent, tehát például az api.dev.domain.com esetén kell egy *.dev.domain.com wildcard cert.
https://iotguru.cloud
Figyelj, most már kiderült, hogy neked halvány fogalmad nincs arról, hogy miről beszélsz és mi a DV cert... tudod még fokozni? :D
https://iotguru.cloud
Forditsuk meg a kerdest, oke, nem DV-t ad a http challenge utan a certbot. Akkor mit?
Ha tudod piszkalni a zonat, akkor lesz irhato webtartalmad. :)
De amugy ja, eleg csak az egyik felett irasi jogod szerezni. Utana a certet meg oda viszed ahova akarod, a kutya nem foglalkozik vele a kovetkezo megujitasig.
pontosan, ha tied a zona, vagy elintezed a tulajaval, h hozzad mutasson, akkor lehet ra valid certed is. ettol ugyebar a dv!=http challenge :)
es azert csak dv dns alapon lehet wildcardod, mert attol, h a veristvan.dyndns.com epp hozzad mutat, hadd ne kapj mar certet a *.dyndns.com-ra
Oke, nem DV. Akkor mi?
"teszek rá https, mert tudom írni a weboldal tartalmát ugye" - Ha root jogod van a gépen, akkor igen, DV certet tudsz rá rakni, mert le tudod cserélni/hozzá tudsz férni a webszerver konfigjához root joggal (mert a jobb webszerverek a privát kulcsot csak kellően szigorú jogosultságokkal fogadják el...) Ha csak a weboldal tartalmát tudod írni, az nem elég.
Az arra elég, hogy tele tudjam pakolni mindenféle földi jóval, és zokszó nélkül nyelik be, akik a cert-nek hisznek, hogy biztonságos.
https://iotguru.cloud
NEM a tartalom megbízhatóságáról szól a dolog, hanem arról, hogy a kiszolgáló az, akinek mondja magát, és a tartalom, amit kapsz az, ami ott elérhető. ha a www.0tp.bankhu.com -ot beregisztrálja, és csinál rajta egy fake otp-s netbank oldalt, és kap rá certet, az csak és kizárólag azt fogja tanúsítani, hogy a DNS-ből feloldott IP-cím 443.as portjára kapcsolódva a túloldal valóban a www.0tp.bankhu.com szerver, _és_ a kapott tartalom az, ami ott közzé van téve.
Oszt? Pont ezért hamis biztonságérzet, hogy csak-a-https-a-fasza, mert ha beregisztálom az 0tpbank.hu weboldalt, tolok rá fasza cert, olyan szuperzöld lesz, hogy ihaj és viszem mindenkinek is az adatát, aki rákattint. Arra nevelni a népet, hogy csak-a-https-a-fasza egy kurva nagy hamis biztonságérzetet ad, emelt biztonságot az nem.
https://iotguru.cloud
Na, akkor messzebbről... A cert azt bizonyítja, hogy azzal beszélgetsz, akit a címsorban látsz, és a tartalom az, amit ott közzétettek. Pont. Nem azt, hogy a túloldalon nincs ártalmas tartalom, nem azt, hogy a túloldal nem egy fake site - Ha valaki a lótépébankponthu-ra rákattint, és elhiszo róla, hogy az az OTP netbankja, akkor az sajnos a user hibája, ezért kell edukálni a felhasználókat, hogy nem, nem kattinani egy levélben, doksiban miegyébben kapott linkre, hanem a saját kezecskéjével beírni, hogy ótépébankponthu...
Ha van egy lótépébankponthu sima http-n, akkor meg midnn adatot, ami oda megy, onnan jön út közben bárki viheti - mert semmilyen védelem nincs az átvitt adatokon, sőt út közben bárki belekotyoghat, eltérítheti a kérést, és adhat saját választ, estébé... A "csak-a-https-a-fasza" nem egyenlő azzal hogy a "https jóval biztonságosabb" - csak te is megpróbálod a kettőt egybemosni, ahogy - sajnos ebben igazad van - a legtöbb r=1 user is gondolja.
Szerintem is lépjünk vissza, innen indultunk: "nyilván a te szarod miatt kikapcsolunk mindenn védelmet". Erre írtam vala, hogy a http letiltása a böngészőben nem védelem, hanem faszság, semmitől nem véd meg a https, amit egy http link tud okozni, ha ettől remél bárki is védelmet, az pusztán hamis biztonságérzet.
Szerintem te próbálod egybemosni.
https://iotguru.cloud
A mixed content már sok-sok éve is "piros betűs" pont volt bármilyen értelmes audit során. Hogy miért, azt felesleges lenne neked magyarázni, mert a https/cert alapú azonosítás _célját_ és az abból következő bizalmasságot sem óhajtod megérteni, ehhez meg mélyebben kéne ismerni a böngészők (főleg a régebbi/elavultabb) "lelki világát"/működését.
A https a túloldal azonosítását _és_ a tartalom (bármi is legyen az) sértetlenségét és bizalmasságát garantálja, semmi mást. Hogy az a tartalom biztonságos-e a kliens gép/böngésző/os számára azt senki sem mondta, senki sem állította.
Hagyd a rakba, felesleges huszanhatszor leirnunk neki ugyanazt, szerintem erti is amugy a dolgot, csak beakadt neki a lemez, hogy "demivanhamegtortek". Semmi, bammeg, "az ellen nem ved", "nem arra lesz jo" :D
Nézd, továbbra se értem, hogy egy http weboldal megtekintése miért jár minden védelem kikapcsolásával. Én innen azt látom, hogy két végletekig önszopató csapat szopatja egymást is.
https://iotguru.cloud
Oszt? Ha minden http, az nem mixed content. Te amúgy letiltottad a böngészőben a http-t kompletten, vagy most ismét csak szabadonfutó módban írod az irreleváns dolgokat és próbálod áthúzni a témát máshova?
https://iotguru.cloud
Te min szolgáltatsz? Miért?
Gábriel Ákos
Én http és/vagy https, MQTT-t is szolgáltatok TLS/SSL nélkül és TLS/SSL is. A fogyasztó eldönti, hogy neki melyik jó.
Továbbra is azt mondom, hogy faszság letiltani a http-t a biztonságra hivatkozva. Én innen továbbra is azt látom, hogy két végletekig önszopató csapat szopatja egymást is.
https://iotguru.cloud
Attol fugg,, hogyan ertelmezzuk a biztonsagot.
Sok szennytol megved mar az is, hogy alapbol szuri az igenytelen forrasokat. Ez meg az ublock origin. Ja, es a hosts fileban a sok 127.0.0.1.
Itt pl. nem kell latnom, hogy mit linkelt a szerzo. De nem hinnem, hogy sokat veszit a thread az erdekessegebol. Pont eleg vicces igy is.
A twitterrol linkelgeto hiszti sem erint. Szimplan csak nem latom, mert tiltva van.
Es ez igy jo. Biztonsagos. A szo tagabb ertelmeben.
Ha biztonságba beleérted a hamis biztonságérzetet, akkor teljesen igazad van. :D
https://iotguru.cloud
Mitol hamis?
Szerintem ezzel most Q. E. D.. hogy mitől hamis biztonságérzet...
https://iotguru.cloud
Na, meselj meg :)
De akkor kezdjuk az elejen! Kinek es milyen biztonsagerzeterol van szo?
Aztan akar atbeszelhetjuk, hogy mitol hamis, amit fent definialtunk.
Mit okoz egy http-n elért weboldal nálad és mitől lesz biztonságosabb, ha ugyanazokat a biteket kapod meg SSL csatornában?
https://iotguru.cloud
"ugyanazokat a biteket kapod meg SSL csatornában" - Vagy sem - TLS nélkül ezt nem lehet kijelenteni. Szóval már a hitelesség, sértetlenség ott van, a bizalmasság mellett.
Oszt? Ismét próbálod áthúzni máshova a témát.
https://iotguru.cloud
A "biztonságosabb"-nak része a bizalmasság és a sértetlenség.
Ugyanazokat a biteket kapod?
Egyreszt, biztosan nem. Sem a transzport, sem az applikacios layerben nem ez a helyzet.
De, hogy ertsem is a beleertett ertetlenkedest: annyival biztonsagosabb, hogy az esetleges tamadonak tobb erofeszitesebe kerul az informacio megvaltozatatasa es/vagy megismerese.
Es nem lehetetlen. Megfelelo eroforrassal (anyagi/emberi/technologiai) biro tamado ellen eselyed sincs. A kerdes csak annyi, hogy mennyi eroforrast er meg neked a vedekezes.
Hogy maganemberkent az ISP-d vagy az allamod nem tudja (=nem tesz eleget a kotelessegenek) lehallgatni es/vagy megvaltoztatni az adatfolymod, egy eleg naiv elkepzeles.
A leérkező tartalomban kapod meg ugyanazokat a biteket. A tartalom lesz bitre pontosan ugyanaz.
Hogy az ISP-d, vagy az államod nem tudja ugyanezt elkövetni HTTPS mellett is, na az a naív elképzelés. Bárki játszhat MITM-et HTTPS-en keresztül is, akinek a certjét elfogadtad. Akár az ISP is, de akár az állam is:
Ennyit a HTTPS "biztonságáról", meg a "garanciáiról". Slusszpoén: a HTTPS élharcosai, a browsergyártók suttyomban nagyon tolják a DNS-over HTTPS-t. Azaz először elhitetik mindenkivel, hogy majd a HTTPS megvéd, aztán ők maguk teszik lehetővé a kinyitását és a végén kiderül, hogy valójában a HTTPS ugyanúgy nem véd meg. _Franko_-nak igaza van: fals biztonságérzet. A semmire.
Igazi biztonságot akarsz? Akkor VPN. Pont. A HTTPS "biztonsága" egy illúzió. Nem azt mondom, hogy nincs olyan helyzet, amikor ne adna előnyt a HTTP-hez képest (mondtam is példát), de generikusan kb. ugyanott vagy. Arról nem is beszélve, hogy a HTTP kinyírásával a netsemlegességet nyírják ki. Discrimination by protocol. És discrimination by certification, csak ez még nincs az ismert fogalmak közt.
Oldschool Computer - http://oscomp.hu
de ne legyel mar 1-bites, ahhoz, hogy MITM-et tudj jatszani https-en eloszor be kell tenned a certet a trusted listbe, raadasul *.*-gal, te eszleny :D tehat fel kell hatalmaznod a cert adojat, hogy megtehesse. meg kell biznod benne.
http eseten semmi ilyen nem kell. errol beszelgetunk...
tolják a DNS-over HTTPS-t. > ugyanaz, ha nem bizol a DNS szolgaltatodban, ne hasznald. erre valo a dns-over-https, valasztasz egy olyan DNS-t ami secure es megbizol benne. (amugy teljesen mas ellen ved, de ezt most hagyjuk is, ugyebar, kevered a szezont a fazonnal)
A VPN nem erre jo. Az csak a vpn client-server kozott titkos, onnantol kifele mar nem... csak a halozatodbol valo kilepesi pontod lesz mas. Ennyit csinal.
end-to-end encryption amit keresel, olvass utana, please, utana vond le a kovetkezteteseket...
Ez igy nem teljesen igaz. A tartalomnak resze lesz a tanusitvany. Hogy szamodra ez hasznos, vagy sem; a rendszer a felhasznalo rendelkesere bocsajtja, vagy elnyeli valamelyik retegben az mas kerdes.
Pontosan. Ahogy irtam.
Igen, van ilyen tamadasi vektor is. Volt belole balhe par eve, mert magancegek es veluk osszedolgozo cert kibocsajto(k?) is csinaltak. Ha jol emlekszem, ki is tiltottak a kibocsajtot a Firefoxbol.
Tudd, hogy mitol mit varhatsz el. Aki abszolut biztonsagot keres, az mehetne Petofi sirja vagy a szent gral utan is, akkor legalabb ir rola az ujsag. Garancia meg semmire sincs.
De ettol fuggetlenul a HTTPS/TLS/SSH/*S* meg jo, es kell, mert megneheziti a tamado dolgat. Kb ingyen van, es sok mindentol megved.
A kocsid se azert zarod, mert akkor nem lehet ellopni. Hanem azert, mert akkor egy kicsit nehezebb ellopni. Egyszeru koltseg-haszon elemzes.
Nope. A tartalom a tartalom. Az, aminek a hosszát a
Content-Lengthmező mondja meg. Az pedig ugyanannyi lesz mindkét esetben.Ha úgy értetted, hogy mindkét protokollal meg tudják csinálni, akkor egyetértünk, de az írásodból nem ez jött le, hanem az, hogy a HTTP-re gondoltál.
És vajon hány ilyen lehet még, ami nem derül ki?
Tudom, feltörhetetlen védelem nincs. De a HTTPS-t sokkal könnyebb megtörni, mint egy secure VPN-en használt HTTP-t.
Ezt nem is vitattam, még példát is írtam rá. De ahogy _Franko_ is többször hangsúlyozta: ez nem a Fort Knox. Itt nincs mit megnehezíteni. Nincs mit ellopni, nincs mibe injektálni.
Egy túrót van ingyen. Sokszoros az overheadje a HTTP-hez képest. És ha a Let's Encryptet egy nap biztonságtalannak nyilvánítják, akkor még a cert se lesz ingyen.
Pontosítsunk: van, amitől megvéd. Csak pont azoktól nem, amiket az urak fennhangon hangsúlyoznak és van ahol kb. nincs különbség a HTTP-hez képest: egy vezetékes hálón átmenő HTTP forgalom megtöréséhez, lehallgatásához fizikailag kell beülni a két végpont közé, azaz kb. a szolgáltató tudja lehallgatni és ha a júzer elfogadta a szolgáltatója certjét, akkor onnantól kezdve az ISP-nek mindegy, hogy plaintext, vagy általa nyitható titkosítású a forgalom.
Nincs kocsim. Egy olyan ócska 26 éves biciklim van, amit még a csövesek, vagy a romák se lopnának el. Minek vegyek rá a TEK-hez bekötött trackert és öt db U-lakatot?
És aki most a fejéhez kapott, hogy milyen hülye vagyok, hogy szó szerint veszek egy analógiát, az nagyon sürgősen nézzen tükörbe...
Oldschool Computer - http://oscomp.hu
Itt erosen kulonbozik a velemenyunk.
A sima HTTP forgalmat az oreg hazmesterne is megfigyeli.
Mekkora az overhead savszelessegben vagy energiafogyasztasban? Milyen use case mellett (WEB bongeszes desktop PC+32" monitoron vs. machine-machine kommunikacio)? Hogy alakul ez azt atvitt tartalom meretenek fuggvenyeben?
Amelyek pedig ... ?
Tehat volt egy elemzesed, es ugy dontottel, hogy nem kell ra lakat. Csak ne sirj, ha az ellopasa utan keres meg egy gyujto, akinek mar az osszecsukhatos kempingbicikli hianyzik, es a multkor latott egy ilynnel szaladgalni...
Csakhogy ez nem vélemény kérdése. A HTTP/HTTPS protokollban a "content" fogalma egyértelműen definiálva van, az pedig mindkét esetben identikus.
Jó, akkor tessék, lehet megfigyelni az enyémet. Nagyon toljátok ezt a HTTP-t pistike is feltöri szöveget, de még egyikőtök sem törte meg a HTTP forgalmamat.
Sávszélességben nem vészes, de energiafogyasztásban és időben sokszoros, hiszen komoly matematikai algoritmusokat kell futtatnia a gépnek.
Minden use case mellett, hiszen a titkosítás minden esetben él.
Értelemszerűen minél több tartalmat kell titkosítani annál jobban eltolódik az arány a HTTP javára. Hogy milyen görbe mentén, azt nem tudom. Nem exponenciális, de nem is lineáris.
Pl., hogy a HTTPS megvéd az MITM-től.
Ezt nem lehet összecsukni. Ez senkinek se kell. Egyedül nekem.
Oldschool Computer - http://oscomp.hu
Azt elfelejtettem mondani, hogy mivel a browsergyártók (including mozzarella) maguk is bepakolhatnak alapból bármilyen certet az elfogadottak közé, így az átlagjúzerek - akik az elsődleges célpontok és akik meg fognak bízni minden default beállításban (akár a certekről van szó, akár a DNS-ről) - alapból lehallgathatóak lesznek, HTTPS, vagy sem. Ha meg államilag lesz kötelező felrakni egy certet, ahogy az idézett posztban volt írva, akkor meg amúgy is muszáj lesz felrakni.
Szóval VPN. Az lenne a biztos. Csak az kéne hozzá, hogy a különféle website-ok szerverei kliensként felcsatlakozzanak a mindenféle public VPN-ekre (pl. ProtonVPN) és elérhetőek legyenek, a hálózat részeként. Van, amelyik el is érhető egyébként.
Oldschool Computer - http://oscomp.hu
Ez nagyon kemény whataboutism.
Gábriel Ákos
Miért? Arról beszéltünk, hogy HTTPS biztonsága illúzió és az én kommentem is arról szólt, hogy miért az. Vagy az a baj, hogy behoztam a szálba a HTTP over VPN-t, mint a HTTPS-nél biztonságosabb alternatívát, amihez a gyűlölt plaintext HTTP protokollt használjuk - amit annyira szeretnének itt páran betiltani - és mégis jobb, mint a HTTPS? Ez mitől whataboutism? Témánál maradtunk, én nem tereltem sehova.
Oldschool Computer - http://oscomp.hu
Whataboutism: szarsz a korrekt certificate kezelésre merthogy a böngésző gyártók úgyis azt hamisítanak amit akarnak.
Gábriel Ákos
Ja értem, szóval analfabéta vagy te is. Nem az én kommentem volt whataboutism és nem én szarok a "korrekt certificate kezelésre" (ROFLMAO, korrekt certificate kezelés ilyen hulladék key-exchange mellett?!), hanem te nem tudsz olvasni, mert egyrészt eddig vagy hatvannyolcezerszer írtam le csak ebben a topicban, hogy nincs hozzáférésem, nem tudom megcsinálni: ha volna, már megcsináltam volna, hogy a rinyálást abbafejezzétek, másrészt meg én ilyet nem állítottam, hogy a browsergyártók certeket hamisítanak. Azt állítottam, hogy olyan certeket pakolnak bele defaultból a browser approve listájába, amilyet akarnak. Ez nem hamisítás. Azok valódi certek, csak te sose fogadtad el őket. Igen, te lehet, hogy kiszúrnád, de az átlagember nem fogja. Többek között ezért illúzió a HTTPS biztonsága.
Oldschool Computer - http://oscomp.hu
"korrekt certificate kezelés ilyen hulladék key-exchange mellett" - 2015 óta történt azért egy és más, példának okáért ECDH a javasolt...
"olyan certeket pakolnak bele defaultból a browser approve listájába, amilyet akarnak" - Aha. A Netlock is ezért küzdött anno, mint disznó a jégen, hogy bekerüljön... Attól, hogy belekerül_het_ még nem olyan idióta egyik gyártó sem, hogy tökönbökje magát ilyesmivel (nem úgy, mint a Debijjányos ssl csomag karbantartója anno... openszósz, sok szem sokat lát ide vagy oda...)
Ja, még több HTTPS breakage...
Miért böknék magukat tökön vele? Az emberek nem értik ezt az egészet és nem is érdekli őket. Egyébként sem maguktól találják ezt ki; szerinted amikor a fő browsergyártók egyszerre jelentették be (#1, #2, #3, #4), hogy a TLS 1.2 lesz a minimum (miközben sem a TLS 1.0-ában, sem a TLS 1.1-ben nem volt ismert sebezhetőség), azt maguktól találták ki? És azzal sem foglalkozott a kutya sem, hiába kongatták a vészharangot, hogy ez semmi másról nem szól, mint a régi browserek netről történő kiirtásáról. Ugyanis, ha a website owner azt akarja, hogy az oldala kinyíljon a mainstream browserekben, akkor olyan protokollt kell használnia, amit a régebbi - a júzereknek több kontrollt adó - browserek tuti nem ismernek, ergo nem fogják tudni kinyitni. Lehet használni a mainstream spyware-eket.
Hát igen, ezek a szar ópenszósz cuccok. Pl. a Chromium, vagy a Firefox.
Oldschool Computer - http://oscomp.hu
learagadtal 2012-ben... ideje haladni a korral
Akkor ezt a kommunikációt asszem elengedem.
Gábriel Ákos
Nincs mire fanyalognod. Két valótlanságot is a fejemre olvastál, ebből a másodikat már alpári stílusban, pedig én normálisan válaszoltam az elsőre.
Oldschool Computer - http://oscomp.hu
Tehat, a linkelt 2015-os irasban szo van egy elvi https toresi technikarol, ami ebbol indul ki:
"To comply with 1990s-era U.S. export restrictions on cryp-
tography, SSL 3.0 and TLS 1.0 supported reduced-strength
DHE_EXPORT ciphersuites that were restricted to primes no
longer than 512 bits. In all other respects, DHE_EXPORT
protocol messages are identical to DHE. The relevant export
restrictions are no longer in effect, but many libraries and
servers maintain support for backwards compatibility. Many
TLS servers are still configured with two groups: a strong
1024-bit group for regular DHE key exchanges and a 512-bit
group for legacy DHE_EXPORT. This has been considered
safe because most modern TLS clients do not offer or accept
DHE_EXPORT ciphersuites."
Utana, ilyen conspiracy theory-t tolsz le :D
"Következő lépés az lesz, amikor a CA-k kitalálják, hogy a LE nem is biztonságos, do not accept. Utána pedig hirtelen az összes mainstream browser fejlesztőcsapata/cége (ismét) egyszerre bejelentést tesz (mint a múltkor is), hogy innentől a HTTP-t egyáltalán nem nyitja meg egyik browser sem és a HTTPS-en is véget ért a warningok kora: csak az érvényes - non-LE - certtel rendelkező, TLS 1.3-on keresztül kiszolgált oldalakat fogják kinyitni, amúgy egy db
?LOAD ERRORlesz a végeredmény."Szerinted akkor mi a jo budos lopeniszert is engedtuk el az 512 bites legacy vackot es az ssl3/tls1-et evek ota? :D
Segitek: mert 2023 van, es a 90-es evek kriptoja azota elvben torheto lett a szamitasi kapacitas novekedtevel.
Mielőtt bárki elhinné ezt a baromságot, FTR érdemes ránézni a tényekre:
https://en.wikipedia.org/wiki/Transport_Layer_Security#History_and_development
Tehát a 2006-os TLS 1.1 a '90-es évek legacy kriptója, amit 2023-ban már simán törni lehet, míg a 2008-as TLS 1.2 a 2020-as évek szupermodern és törhetetlen kriptója. Fantasztikus, hogy két röpke év alatt annyit fejlődött a kriptográfia, hogy a 2006-os kriptó már 2021-ben sem jó, a 2008-as meg még 2023-ban is. (Persze, ha azt nézzük, hogy eme két röpke év alatt mindjárt harminc év telt el - hiszen 2006 még a '90-es években volt, 2008 meg már 2020-as években -, akkor tkp. érthető ez a mérhetetlen fejlődés.)
Mindeközben az implementációs szoftverek "hibájából" eredően 2012-től kezdve akár egy ZX-81-essel is boldog-boldogtalan nyugodt lélekkel rommátörögethette a világ összes SSL/TLS, azaz HTTPS/SFTP/SCP/SSH/SWHATEVERS forgalmát, legalábbis 2014-ig, amikor végre észrevette valaki. (Persze nemdirektvót, nem tennének ők olyat.) És ki tudja, még hány ilyen "bug" lehet "talonban"... So secure, it's not.
Kedves mindenki, ennyire lehet komolyan venni bármit, amit ez az edukálatlan, analfabéta, de mégis iszonyat nagyképű lamer írkál. I rest my case. (Amúgy iszonyat cringe ez a vergődés, ahogy ez a álszent, hazug és retardált faszparaszt görcsösen erőlködve revansot próbál venni, amiért a másik topicban rábizonyítottam, hogy azért titulál engem károkozónak, amit ő is szakmányban csinál...szánalmas.)
Oldschool Computer - http://oscomp.hu
Fogalmad sincs a technologiarol, sajnos es meg mindig majd' 10 evvel vagy elmaradva.
Ez ugye amugy megvo't?
Heartbleed
szerk: persze sajnalotos modon az, hogy nem egesz egy het alatt befoltoztak miutan kiderult, az olyan uzemeltetes ellen nem ved, ami egy eve tojik a lejart tanusitvanyara es nem rakja fel a biztonsagi frissiteseket.
Hint: "TLS 1.0 is a security protocol first defined in 1999 for establishing encryption channels over computer networks."
Tudod, ez az amirol a 2015-os cikked szolt, amiben annak az elvi megvalositasat targyaljak, hogyan lehet egy NSA szintu szamitasi kapacitassal MITM-et elkovetni (ha a kliens is ugy akarja persze es engedi a downgrade-elt securityt).
Nem tudom elolvastad-e vagy csak nem sikerult ertelmezni... :D
Ez mond amugy valamit? Semmit? Kellene.
"The PCI Council suggested that organizations migrate from TLS 1.0 to TLS 1.1 or higher before June 30, 2018. In October 2018, Apple, Google, Microsoft, and Mozilla jointly announced they would deprecate TLS 1.0 and 1.1 in March 2020. TLS 1.0 and 1.1 were formally deprecated in RFC 8996 in March 2021."
TLS 1.2 a 2020-as évek szupermodern és törhetetlen kriptója. > egyreszt ez dezinformacio, masreszt probalkozni lehet. sok sikert :) varom az eredmenyeket!
Amugy mar itt is TLS1.3-nal jarunk, a HUP amin a tudatlansagod szajkozasaval szorakoztatod a nagyerdemut is azt hasznal, FYI, ne zavarjon, de tenyleg :D
Kedves teceha, eldontheted magad is mennyire vagy edukalatlan a temaban, nem kerem hozza a kozonseg segitseget :D Hisz' tenmagad belathatod, hogy a sajat linkjeiden levo infokrol sincs halvany lila gozod :D
Minden masra ott a mastercard.
Direkt levágta a táblázat elejét:
azaz ollózik, hazudik. (Vajon az alatt a két év alatt hányan voltak, akik észrevették, de nem szóltak, hanem kihasználták? Hányan voltak, akik alapból tudtak róla, mert benne voltak?)
TLS 1.1 vs. TLS 1.2 volt az érvelés fókuszában, erre mutogat a TLS 1.0-ra, azaz terel, hazudik. (Mondjuk az is megér egy misét, hogy ami a '90-es évek leges-legvégén jelent meg, az mitől az egész évtized kriptója, de mindegy, kicsire nem adunk.)
Direkt ignorálja, hogy a Heartbleed idején már rég megtörték az összes SSL/TLS szart, azaz maszatol, hazudik.
Megpróbálja úgy beállítani, mintha attól, hogy egy site támogatja a TLS 1.3-at is, akkor csak azt támogatná, miközben én Opera 12-ből hupozok és Opera 12-ben nincs TLS 1.3, csak 1.0, 1.1 és 1.2, tehát nem nézhetem TLS 1.3-on keresztül a hupot, azaz csúsztat, hazudik.
Ollózik, terel, maszatol, csúsztat, azaz hazudik, hazudik, hazudik, hazudik és utána úgy próbálja meg beállítani, mintha a másik ne tudna olvasni és mindezt úgy, hogy fentebb már többször is beégett azzal, hogy ő nem tud olvasni, pl. amikor a HTTP default tiltásáról belinkelt egy change-et, ami igazából arról szólt, hogy ha a HTTPS-es betöltés befuccsol, akkor próbálja HTTP-n a browser kinyitni a page-et. Fail.
Mint mondtam, ez az "ember" (patkány) ide baszakodni és hazudozni - a másik mondandójába belemagyarázni, azt kiforgatni - jött, de ő ezt úgy próbálja meg beállítani, mintha segíteni jött volna. Álszent és hazug. Totál hiteltelen. (És aljas is. Teljesen mindegy milyen bullshittel próbálja megideologizálni azt, hogy ő is kiblokkolja a reklámokat: ha én károkozó vagyok ezért, akkor ő is az, ha meg ő nem, akkor én sem; az úgy nem működik, hogy ugyanazt csináljuk, de csak én okozok vele kárt.)
Ezeket csak a tények tisztábatétele végett írtam ide, hogy rávilágítsak ennek az erkölcsi és szakmai triplanullának a "szavahihetőségére". Mindenki eldöntheti, kinek, ill. minek ad hitelt, mert senkinek ne legyenek illúziói, erre is a fentiekhez hasonló sunyi és aljas hazugsághalommal fog reagálni - amiben megint összemos mindent mindennel, összeollózza úgy, hogy úgy tűnjön neki van igaza, mutogat irreleváns faszságokra -, pontosan ahogy szokta, zéró valóságtartalommal. Így tessék neki hitelt adni. (Persze, aki "HTTPS über alles, es ist ziel zu säubern: wir müssen das HTTP ausrotten" csatakiáltással küldene haláltáborba mindenkit, aki cleartext portot használ, az úgyis annak ad hitelt, amit hallani akar, mert gondolkodni már derogál neki...)
Zwölfisch!
Oldschool Computer - http://oscomp.hu
hazudik > nem, tenyeket ir. Te linkelgeted, ott vannak benne :D Elolvasnad esetleg amiket linkelgetsz vagy csak terelsz es frocsogsz? :D
ollózik > Te ollozgattal, lehagytad a tablazatod elejet es ignoralod a sajat linked mirol szol, amit ertelmezni sem voltal kepes es azt szeretned bizonygatni vele, hogy a https mennyire torheto. :D Az teny se zavarjon, hogy 6 nap alatt foltoztak be a HB-t. Errol szol a fenti :D Esetleg megcafolod ezt a tenyt, vagy mit is szeretnel mondani? :D
Vajon az alatt a két év alatt hányan voltak, akik észrevették, de nem szóltak, hanem kihasználták? Hányan voltak, akik alapból tudtak róla, mert benne voltak? > ezt Neked kellene bizonygatnod, barmilyen teny errol? 0? OK :D
a Heartbleed idején már rég megtörték > Esetleg erre is barmi fact? 0? Erdekesek a kenyszerkepzeteid. :D
nem nézhetem TLS 1.3-on keresztül a hupot > De nezheted, a lehetoseg adott. Ez egyeni szocialis problema, a site tudja :D Az, hogy Te beleszarsz a biztonsagba, nem mas hibaja, a sajatod.
Ollózik, terel, maszatol, csúsztat, azaz hazudik, hazudik, hazudik, hazudik és utána úgy próbálja meg beállítani, mintha a másik ne tudna olvasni és mindezt úgy, hogy fentebb már többször is beégett azzal, hogy ő nem tud olvasni > hogy mi van? kellenenek azok a bizonyos tenyek csusztatgatasok helyett.
pl. amikor a HTTP default tiltásáról belinkelt egy change-et > Tehat tenyt, commit/merge-t, hogy a browserek engedik el a default http-t. A kedves forumtars pedig elfelejtette a threadben honnan indultunk. Nem tehetek rola, hogy a csusztatast toljatok :D
Mint mondtam, ez az "ember" (patkány) ide baszakodni és hazudozni - a másik mondandójába belemagyarázni, azt kiforgatni - jött, de ő ezt úgy próbálja meg beállítani, mintha segíteni jött volna. Álszent és hazug. Totál hiteltelen. (És aljas is. Teljesen mindegy milyen bullshittel próbálja megideologizálni azt, hogy ő is kiblokkolja a reklámokat: ha én károkozó vagyok ezért, akkor ő is az, ha meg ő nem, akkor én sem; az úgy nem működik, hogy ugyanazt csináljuk, de csak én okozok vele kárt.) > Frocsogesen, terelesen, hazudozason kivul esetleg barmilyen teny a temaban? 0? OK. :D
zéró valóságtartalommal > aha, meg mindig varom a tenyeket, linkeket az allitasaid megalapozasara, tudod, ahogy en csinaltam eddig itt fentebb. 0? OK. :D
Ezeket csak a tények tisztábatétele végett írtam ide, hogy rávilágítsak ennek az erkölcsi és szakmai triplanullának a "szavahihetőségére". Mindenki eldöntheti, kinek, ill. minek ad hitelt, mert senkinek ne legyenek illúziói, erre is a fentiekhez hasonló sunyi és aljas hazugsághalommal fog reagálni - amiben megint összemos mindent mindennel, összeollózza úgy, hogy úgy tűnjön neki van igaza, mutogat irreleváns faszságokra -, pontosan ahogy szokta, zéró valóságtartalommal. Így tessék neki hitelt adni. (Persze, aki "HTTPS über alles, es ist ziel zu säubern: wir müssen das HTTP ausrotten" csatakiáltással küldene haláltáborba mindenkit, aki cleartext portot használ, az úgyis annak ad hitelt, amit hallani akar, mert gondolkodni már derogál neki...) > frocsoges helyett esetleg tenyek? 0? OK. :D
Tehat a fentiben a 0-hoz konvergalo szamu tenyt kozolsz az SSL/TLS kommunikaciorol.
Tudod, lehet galambokkal sakkozni, a galamb bizonyara elvezi is, csak eppen sproterteke nincsen. Ha szeretnel szakmailag beszelgetni a temarol, tegyuk, a frocsoges, alpari, aljas kurogatas csak a sajat szegenysegi bizonyitvanyodat tamasztja ala, nem tobbet, nem kevesebbet.
Csak én nem értem miért sakkozol még mindig ezzel a galambbal?
Gábriel Ákos
bizom benne, hogy kepes:
A: edukalodni
B: elobb-utobb elfaradni a vergodesben es beken hagyni minket a konteoival
"BBBBB"! :D
Új lehetsz errefelé... :-D Bízni lehet bármiben, de a tapasztalatok ebben a két dologban khm. mást mutatnak...
Szerintem te maradj csöndben Mr. Edukáció. Te voltál az, akinek a nagy szúrkálódásban sikerült összekevernie a ciphereket a protokollal... Annyi tudásod sincs network security terén, ami egy köpőcsészét megtöltene. Sőt, igazából en-bloc egy nagy nulla a tudásod, már összeszámolni sem tudom, hogy hányszor égtél be így, pl. amikor egy shell topicban osztottál ki valakit, hogy manageres a kódja, aztán közben a legnagyobb pazarlás az nem a processz, meg a pipe, hanem
awkvolt, amire te átírtad és amikor ez kiderült, még újabb hülyeséggel tetézted. Nem csoda, hogy ilyen véresszájú HTTPS falangista lettél, aki protokollokat tiltana be. Ennyi eszed van. De azért osztod. Mindenkinek, mindenütt. Te itt ne prézsmitálj edukálódás szintjén, mert az egyik legnagyobb nulla vagy szakmailag ezen a portálon. És az egyik legrosszindulatúbb is...És még mindig nem válaszoltál a kérdésre, hogy ha szerinted
akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem? Erre válaszolj most már, ha már te is bejöttél topicot szétbaszni.
Oldschool Computer - http://oscomp.hu
Tudod, lehet galambokkal sakkozni, a galamb bizonyara elvezi is, csak eppen sproterteke nincsen. Ha szeretnel szakmailag beszelgetni a temarol, tegyuk, a frocsoges, alpari, aljas kurogatas csak a sajat szegenysegi bizonyitvanyodat tamasztja ala, nem tobbet, nem kevesebbet.
Ez a pofátlanság magasiskolája... Ti jöttetek be az én topicomba és basztátok szét az egészet a HTTPS-keresztes hadjáratotokkal és ezek után, van bőr a pofádon azt hazudni, hogy én nem hagylak benneteket békén? Ez hogy jött ki, te hazug patkány? Ti nem hagytok engem békén a hittérítésetekkel. Nyugodtan ki lehet takarodni a topicomból, ahogy már az elején is írtam. Hozzátenni amúgy sem sikerült semmit, csak szétverni a folyamatos offolással, meg a mocskolásommal. Itt fentebb is megint nem sikerült semmi érdemit mondanod, csak megpróbálni visszafordítani rám, amit a fejedre olvastam, pont ahogy megjósoltam. (Én ollózgattam, meg hagytam le a táblázat elejét? Én? Amikor te vágtad direkt le a release date-et a felfedezés és a befoltozás elől, hogy úgy tűnjön, hogy a Heartbleed csak pár napig volt kihasználható két év helyett? Röhögnöm kell...)
Egyébként ahogy nézem, te tényleg kipécéztél magadnak, hogy jössz utánam mindenhova, mint egy kutya és hazudozol. Tényleg mentél a permignore-ra itt és az egész hupon, mert csak az időmet pazarlom veled. Te szarsz a biztonságra, szarsz a szakmai vitára, te engem akarsz baszogatni. Tudod kit baszogass.
Oldschool Computer - http://oscomp.hu
Te tosztad bele a https-es tartalomba a http-s linkedet, mixed content-et létrehozva, amit értelmesebb helyeken nagyon nem vesznek jó néven, aztán véded a védhetetlent...
Az, hogy te hoztad létre a kiinduló tartalmat, még nem a vastagbetűs "éntpoicom", hanem egy topic, aminek az indító cikkét te hoztad létre, egy közösségi portálon. Ha nem tetszik, hogy más is hozzászól, nem teszik, hogy bárki, aki regisztrált felhasználó, hozzászólhat, akkor a saját weboldaladon nyiss fórumot, és ott azt engedsz hozzászólni, akit akarsz... Ja, hogy ahhoz authentikáció kéne, és mint olyant értelmes ember nem rak http-re, sőt még mixed content-et sem csinál, ha credential "közlekedik" a dróton?
Ha HTTPS-en keresztül linkeltem volna, akkor meg azért vinnyognátok, hogy a browser reklamál a rossz cert miatt. Nektek mindegy, csak tolhassátok a szentigét.
Szerinted.
Szerinted. Ez a ti vallási nyomorotok. Mindenki más leszarja.
Ne hazudj, nem az a bajom, hogy bárki hozzászólhat, hanem, hogy szétoffoljátok a vallási hadjáratotokkal.
Szerinted. Idézz még légyszíves a Bibliából is.
De inkább válaszolj arra a kérdésre, hogy ha szerinted
akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem?
Nem fogom elengedni. Minden topicban, ahol nekem jössz, elő fogom venni.
Oldschool Computer - http://oscomp.hu
Tudod, lehet galambokkal sakkozni, a galamb bizonyara elvezi is, csak eppen sproterteke nincsen. Ha szeretnel szakmailag beszelgetni a temarol, tegyuk, a frocsoges, alpari, aljas kurogatas csak a sajat szegenysegi bizonyitvanyodat tamasztja ala, nem tobbet, nem kevesebbet.
A lejárt, nem az adott kiszolgálóra vonatkozó cert dettó rossz megoldás, igen, de ezt ugyebár a pro bono helyet adó üzemeltetőnempisitkehanemguru cimboráid is tudják, csak bokros teendőik miatt nem jutott idejük a certbot-ot rendesen működésre bírni...
Ha nem érted (bár szerintem nem vagy hülye, hogy nem érted, csak nem akarod érteni) hogy miért nem jó dolog planitext-ben forgalmazni harmadik fél eszközein/hálózatán keresztül, pláne akkor, ha credential is utazik a "dróton" (azaz authentikáció kell a tartalomeléréséhez), akkor sajnállak - gyógyíthatatlanul beleragadtál a múltba.
A beakadásod meg senki értelmes embert nem érdekel...
Te ne ossz senkit itt szakmailag. Egy Révai nagy lexikont meg tudnék tölteni azokkal a kommentjeiddel, amikben valami szakmai baromságot írtál.
Értem én, csak leszarom. Csak _Franko_ frappáns beszólását tudom ismételni: ez nem a Fort Knox. Vagy magamat: ez nem egy netbank.
Ez meg a te hazugságod, ilyet nem állítottam. Pont erről beszéltem, hogy az oscompon semmiféle autentikáció nincs és kártékony kódot sincs értelme injektálni semmibe, tehát egy olyan szakadt, 26 éves bicajra pakolunk trackert, meg több U-lakatot, amit még a romák is megköpködnének, hogy ezt még ellopni se érdemes. Hovatovább még mindig nem sikerült hitelt érdemlően bizonyítani, hogy hogy fogja nekem a vezetékes HTTP forgalmat bárki manipulálni innen.
A beakadásom? Azt hiszed, te szerencsétlenségtömeg, hogy ezzel a fölényeskedéssel lesöpörheted az egészet az asztalról? Hogy lehet valaki ennyire beképzelt, mint te? Kinek hiszed te magadat? Te egyszemélyben döntöd el, hogy mi minősül tartalomnak? A te az enyémnél ezerszer szarabb weblapod az az, az enyém meg nem? Te egyszemélyben döntöd el, hogy ki véglény és ki ember és azt is, hogy miért? Én véglény vagyok, ha kiforgatom egy koszos multi nevét, de ha te teszed ugyanezt, akkor te nem?
Neked mindent is szabad, nekem meg semmit se? Mert te ezt mondod? Ki a fasznak képzeled te magad? Válaszolj csak szépen a kérdésre: ha szerinted
akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem?
Vagy megválaszolod a kérdést, valami elfogadható, racionális magyarázattal (nehéz lesz), vagy szépen visszavonod és bocsánatot kérsz, belátván, hogy totál álszent voltál és kettős mércével mértél. Itt az ideje leszállnod a kurwa magas lóról, mert nincs mire felsőbbrendűsködnöd: egy triplanulla vagy szakmailag és emberileg is.
A következő az lesz, hogy kiteszem aláírásba.
Oldschool Computer - http://oscomp.hu
"az oscompon semmiféle autentikáció nincs és kártékony kódot sincs értelme injektálni semmibe" - Onnantól kezdve, hogy az onnan érkezőnek tekintett(!) tartalomért te, illetve a hostingot nyújtó fél felel, dehogynincs... Bármi, ami úgy néz ki, mintha onnan jönne(!) a te/ti felelősségetek. Tudod: kellő gondossággal eljárni.
Az IRL-jellegú linket jobb helyeken tiltják és ban jár érte - rólad pl. nem tudni, ki a lófogatújárműhajtója vagy... De sebaj. Az oldalnak egyébként egy ismert hibája van, mobilon túl közel esnek egymáshoz a kattintható elemek. A többi megfelel a Google és más erre a célra szolgáló ellenörzőeszközeinek.
A személyeskedésed, pláne az IRL adatokkal együtt jogi kategória, úgyhogy ne kelljen a HUP gazdájának ilyen jellegű megkeresés alapján kiadnia, hogy ki is vagy te, mert abból _neked_ lesz problémád - nem is kicsi. Egy trágár, vulgárisan kommunikáló egyén vagy, aki egy nick mögé bújik, és ír bizony-bizony rágalmazásnak és a jó hírnév megsértésének alapos gyanúját felvető hozzászólást. Nem először.
Jó, most már mutass valamit. Addig FUD.
2006-os sitebuild. Nekem meg nincs mobilom. Mondjuk nem is nagyon érdekelnek a mobilok.
Fenyegetni mersz? Figyelj, morzsikám, egyelőre ha valaki itt jogilag megütheti a bokáját, az te vagy, nem én. Kezdjük azzal, hogy már több esetben vádoltál meg bűncselekménnyel, pl. lopással; na AZ bűncselekmény: a rágalmazás. A trágárkodás nem, de egyébként minden egyes alkalommal te voltál az, aki először mocskolni kezdett engem és nem fordítva. Minden alkalommal te kezdted a személyeskedést, te álszentek császára. És én ezt bizonyítani is tudom, mert le van mentve az összes posztod.
Szóval, ha ezért akarsz engem felelősségre vonni, ott te leszel felelősségre vonva; a törvény nem fogja díjazni a neked szabad, nekem nem felfogásodat.
Ami pedig az IRL adatokat illeti, én egy darab IRL adatot nem publikáltam rólad, én csak belinkeltem a hulladék weblapodat, (amit te magad küldtél el nekem email-ben anno), ugyanúgy, ahogy te is az enyémet, szóval kiszophatod, tövig.
Legyen ez? Folytassuk a szuhakállói rendőrörsön? Vigyem be az összes kommentedet, ahol hamisan bűncselekménnyel vádoltál? Meg azokat is, ahol a vitában trágárságokat vágtál a fejemhez, személyeskedtél, mocskolódtál, te kis álszent triplanulla? Minden alkalommal, érted? Minden alkalommal te voltál az, aki először mocskolni kezdett engem. Ld. pl. a másik topciot, ahol először lopással vádoltál, utána meg nekiálltál trágárkodni ("őfaszkalapsága").
Vagy visszavonod ezt a véglényezést és bocsánatot kérsz, vagy kiteszem aláírásba, aztán lejátszhatjuk a törvény előtt, ha olyan kurwa biztos vagy a dolgodban, de te fogsz kurwára rászopni a folyamatos bűncselekményekkel való vádaskodásokkal. Utolsó figyelmeztetés volt.
Oldschool Computer - http://oscomp.hu
hogy hogy fogja nekem a vezetékes HTTP forgalmat bárki manipulálni innen.
Innen? Szerintem senki es sehogy, mert nem fogunk/akarunk a hulyeseged miatt jogserteni, nem ersz annyit :D
De akkor erre varrj gombot!
Nem is olyan regen, amikor meg a https sajnos nem volt ennyire elterjedt es a HSTS meg a DNS-over-HTTPS sem volt opcio, kepzeld, a Telekom ugy jelezte az ugyfel fele, hogy be kellene fizetni a Zinternetet, hogy minden DNS port fele meno kerest elkapott es a sajat szerverere iranyitott, ha beirtad, hogy google.com, facebook.com, whatever, majd a bongeszodben annyit tudtal konstatalni, hogy "Kedves ugyfelunk..."
Ennel mar csak az volt "szofisztikaltabb", amit a kisebb KTV-s szolgaltatok vezettek be. Ott az volt a deal, ha lejart szamlad volt, olyan DHCP poolba kerultel, ahol a router az osszes 80-as portos kommunikaciot atdobta egy squid proxyra, ami minden meglatogatott lap tetejere bedobta a "fizesd be a szamlad" bannert.
Na, pl. ezert is hasznalunk end-to-end titkositast. Azota ezt nem tudjak megtenni. Csak ugy mellekesen mondom. :)
Szerintem hagyjad rájuk! Csúcsra járatták a fingreszelés témáját! Mást úgysem tudnak.
Szomorú, hogy az oldalon ez a tendencia.
Na ez az, félelmetes, hogy mennyit tudnak rugózni ezen a https témán, mintha valami atomtitkokat rejtő oldal lenne :D Amúgy ez is csak azóta probléma, mióta a Google azt mondta, addig nem izgatott senkit.
Nyilván a MITM-et megy egyik se tudná megcsinálni, csak a szájuk nagy.
Amúgy kiíváncsi lennék arra is, hogy a hőbőrgők közül maga az oldal tartalma hányukat érdekli igazán.
Egyiküket se. Se az általam publikált programok, szakmai cikkek, sem az, hogy egy helpline topicban segítsenek. Az egyik fele valláskárosult és a HTTPS kötelező és kész, a másik fele meg troll és a HTTPS csak casus belli.
Oldschool Computer - http://oscomp.hu
Nem azóta probléma, amióta a Google azt mondta, az első SSL specifikáció 1995-ös, a Google még nem is létezett akkor. Viszont elég sok akadálya volt sokáig az elterjedésének, legfőképp az, hogy nehéz és drága volt certificate-hez jutni. Ezt a problémát is csak úgy 20 évvel később a Let's Encrypt indításával sikerül megoldani (aminek mellesleg az EFF mellett a Mozilla még alapítója, nem a Google). Azóta viszont sokat fejlődött a tooling a TLS körül, odáig, hogy pl. caddy web servernek az a default működése, hogy amint elindul (HTTPS only by default) automatikusan szerez egy valid certet anélkül, hogy a user bármit csinálna. Viszont igen, az is kellett az elterjedéséhez, hogy az EFF vezetésével a népszerű böngésző fejlesztők és webes szolgáltatók "büntessék" a rosszul konfigurált HTTPS-t és a plain HTTP-t, enélkül soha nem jutottunk volna el odáig, hogy mára a HTTPS forgalom bőven 90% feletti. (lásd IPv6, ahol hiányzik a hasonló motiváció, elég lassú is a váltás.)
Nyilván egy MITM támadást plain HTTP esetében sem egyszerű összehozni, egyszerűen azért, mert ahhoz hozzá rajta kell lenned az traffic útvonalán. (Amúgy vannak más támadási vektorok, nem csak MITM, pl. DNS poisoning). De pl. az ISP-d triviális módon tudja lehallgatni és módosítani a forgalmadat plain HTTP esetén. Másrészt ha viszont célzottan támadnak téged, akkor meg fogják oldani (pl. social engineering vagy kártevővel megfertőzik a gépedet, etc.). De nem is kell célzottnak lennie a támadásnak, elég egy rosszindulatú sysadmin egy starbucksban, aki mondjuk minden http streambe beinjektál egy bitcoin miner js-et (jó, persze azért ennél okosabban kell csinálni, de annyira azért nem nehéz). Szóval persze, lehet arra hivatkozni, hogy valakit mint szolgáltatót nem érdekli a TLS, mert semmi titkosat nem forgalmaz, de nagyon nem csak az a use-case a TLS-nek, hogy ne lehessen lehallgatni a forgalmat.
Sajnos közben szétkúrták a topicot. Hogy nekem nem hisznek, mert én per se ab ovo idióta vagyok, az egy dolog, de _Franko_ és gelei is kiosztotta őket (meg még egy páran, egy-egy kommenttel), de az ő érveikre is csak a vallásos mantra újra-és-újra felbüfögése érkezett.
Oldschool Computer - http://oscomp.hu
hogy úgy tűnjön, hogy a Heartbleed csak pár napig volt kihasználható két év helyett? > Ez a te prekoncepciod, nem allitottam ilyet. Azt mondtam, hogy 6 napig tartott befoltozni miutan kiderult. :) Te melyik musort nezed? Merthogy nem ezt, az nyilvanvalo :D
Ti jöttetek be az én topicomba > remelem nem tiltja a BTK :D
Én ollózgattam, meg hagytam le a táblázat elejét? Én? > Te. TLS1.0, 1999, tudod, kitargyaltuk...
van bőr a pofádon azt hazudni, hogy én nem hagylak benneteket békén? Ez hogy jött ki, te hazug patkány? > nem kene ilyen stilusban frocsogni es edukalodni kellene a temaban, akkor nem lenne gond sem :)
Ti nem hagytok engem békén a hittérítésetekkel. > leszarom miben hiszel, viszont a temaban tajekozatlan vagy, proballak tenyekkel felvertezni, lathatolag 0 eremennyel :)
Te szarsz a biztonságra > ez a konkluziod? rossz lehet neked :D
szarsz a szakmai vitára > kertem szakmai tartalmat, erveket, tenyeket, nem kaptam. :(
te engem akarsz baszogatni > again
Csatlakozni szeretnél? Te vádoltál olyasmivel, amit nem követtem el. Én ennek ellenére normálisan, emberi hangnemben megkérdeztem, hogy miért lenne az. Erre ismét bevádoltál valamivel, ami szintén nem igaz és ezt már alpári stílusban. És amikor erre már erélyesebben visszaszóltam, akkor nagy fölényesen csak fanyalgásra futotta. Mire fel vered magad?
Nem én vagyok itt a galamb, hanem ti, HTTPS valláskárosultak. Hogy amit én mondok, az csak rossz lehet, az egy dolog, de _Franko_ és gelei is leírták, hogy miért beszéltek egetverő baromságokat. Ők is tollasak?
Oldschool Computer - http://oscomp.hu
Tudod, lehet galambokkal sakkozni, a galamb bizonyara elvezi is, csak eppen sproterteke nincsen. Ha szeretnel szakmailag beszelgetni a temarol, tegyuk, a frocsoges, alpari, aljas kurogatas csak a sajat szegenysegi bizonyitvanyodat tamasztja ala, nem tobbet, nem kevesebbet.
A fogyasztó eldönti, hogy neki melyik jó. > a fogyasztonak biztonsagtechnikailag a https (TLS/SSL/[insert any crypt method here]) a jobb, persze, engedheted, hogy kreten legyen, csak... semmi nem fogja detektalni, ha a tuloldal IP-jet valaki mas vette fel es azon forgalmaz, kozbeekelodik vagy szimplan csomagokat hamisit egy koztes eszkozon.
Továbbra is azt mondom, hogy faszság letiltani a http-t a biztonságra hivatkozva. Én innen továbbra is azt látom, hogy két végletekig önszopató csapat szopatja egymást is. > ez pontosan igy van. keptelen vagy felfogni, hogy egy bezart ajtaju autot otthagyni valahol biztonsagosabb, mint egy nyitva hagyott ajtajut es fel kellene tenned a kerdest magadnak, hogy vajon melyiket fogjak konnyebben eltulajdonitani. vagy mondjuk azt, hogy a szervereken miert nem telnet van 20+ eve hanem ssh... ha nem tudsz eljutni idaig, akkor nincs mirol beszelgetni, sajnos.
Nem, nem bezárt és nyitott ajtóról van szó, hanem arról, hogy a buszon mersz-e a beszélgetni vagy sem. Ha minden közlésedet titkosított csatornán bonyolítod az életben, akkor igazad van, ha viszont beszélsz és írsz néha úgy, hogy mások is látják, akkor segget csináltál a szádból.
Hello, SMTP... :D
Az a baj, hogy teljesen más dimenziót próbálsz behozni a vitába, ami arról szól, hogy faszság-e kompletten letiltani és kiirtani minden plain protokollt. Az. Faszság.
https://iotguru.cloud
"buszon mersz-e a beszélgetni vagy sem" - részben. Ez csak a bizalmasság része a dolognak.
"Hello, SMTP... :D" - Hello, STARTLS...
"faszság-e kompletten letiltani és kiirtani minden plain protokollt. Az. Faszság." - Publikus, harmadik fél által birtokolt elemeket tartalmazó átviteli út használata esetén nem az. Egy egy feet-es patchkábellel összekötött két szerver között ezen a dróton átmenő forgalom esetén valóban nem "must have" a titkosítás - viszont egy telnet/rsh/rcp kódbázis karbantartása, frissen tartása olyan plusz humán erőforrásigényt jelent, amit nem biztos, hogy az ilyen cornercase-ek miatt érdemes beletolni.
:D
Az első SMTP szerverig...
Hát, pedig tele vagyunk ilyenekkel és sok esetben nincs értelme a komplett generikus tiltásnak és nem fokozza a biztonságot. A hamis biztonságérzetet igen, de ezt már írtam néhányszor.
https://iotguru.cloud
de, bezart es nyitott ajtokrol van szo.
nehogymar az legyen a de facto standard IoT eseten, hogy mindenki aki ra tud kapcsolodni egy halozatra, allitgathasson barmit (termosztat, villany) vagy 0 efforttal hamis adatokat kuldozgethessen (0 fokos a viz, futsel)
mert akkor eleg szar jovo ele nezunk ugy erzem :) jabocs, mar benne vagyunk
Nézd: http-n se tudja ezt egyszerűen akárki.
https://iotguru.cloud
Miért is nem? Nem, a "be kell jelentkezni" válasz nem játszik, mert onnantól kezdve, hogy plaintext, gyakorlatilag ellopható a session, de legjobb esetben is módosítható az átvitt adat, ráadásul úgy, hogy a végpontok nem is észlelik a változtatást. Oké, ha a kliens olyan xml-t küld/fogad, amiben adott mező valamilyen olyan módon van titkosítva, aminek a feloldásához szükséges adat nem volt kinyerhető a forgalomból, akkor jó _lehet_ a plaintext formátum is. De ez a ritkább eset...
Leírom ismét: nem a Fort Knox páncéltermét nyitja, és vannak eszközök, amelyek nem beszélnek se TLS, se SSL, se HTTPS, mert nincs bennük implementálva vagy a számolásra nincs elég kapacitásuk. És ha van rá kapacitás, meg egyéb erőforrás, akkor is vannak esetek, amikor teljesen felesleges is lenne.
https://iotguru.cloud
Ha és amennyiben az átvitt adatok esetében sem a bizalmasság, sem a sértetlenség nem fontos, azaz nem probléma, ha fals adat érkezik, ha bárki lehallgatja a forgalmat, akkor hazsnáld a plaintext protokollt, de azt fogadd el, hogy semmi garancia nincs arra, hogy az érkezik meg, ami elindult a dróton, illetve hogy a kliens valóban azzal beszélget, akinek hiszi a túloldalt.
azert olyan sok nem tart vissza, hogy barmilyen IP-t felvegyel egy otthoni halozatban, akar a kedves user defGW-t is, vagy barmelyik IoT vacak MAC cimet odahazudd vagy a kozted router/switchen kicsit megmaszkurald a packeteket. ezek mar 20 eve is ismert faktorok voltak, vannak is ra mitigaciok tobb-kevesebb sikerrel, de az ellen nem ved, hogy nem tudod megmondani, hogy amit kuldtel, az is ert oda, vagy amit fogadtal, azt a kuldo ugy gondolta-e. na erre van az ssl/tls.
De akkor legyen egy kis firmware
olyannyira jo otlet volt a http, hogy semmibol nem tartott ezt sem megnezni...
https://www.linkedin.com/posts/shaquib-izhar_gigabytemotherboard-backdo…
Szoval, ertem en... de ne kelljen mar halozati szinten blokkolgatni minden szart, mert a kedves iot/firmware fejleszto kenyelmes volt es beleszart a securitybe. Mert ez van.
Legszebbek a kinai kamera controllerek, ahol nincs is https!!! security cam system, az... ezert vagy elasod a halozat legmelyere fizikai/logikai szeparacioval, vagy csak ido kerdese mikor csatlakozol a botnethez :D
Ami _nem_ TLS, annál hogyan biztosítod a két végpontnak, hogy valóban az a szerver, akinek mondja magát, iléletve az, amit a szerver megkap, az attól és olyan formában/tartalommal indult el, amit a szerver megkapott, valamint bónuszként azt, hogy ezt út közben látta/láthatta-e valaki? Van-e a TLS-nélküli forgalomban credential küldözgetés? (Sértetlenség, bizalmasság)
"A fogyasztó eldönti, hogy neki melyik jó" - te, mint adatkezelő kell, hogy biztosítsd a fenti két dolgot, attól függetlenül(!), hogy a fogyasztónak megfelelne ezek nélkül is a szolgáltatásod.
Leszarom, úgy. Nem a Fort Knox páncéltermét nyitja, és vannak eszközök, amelyek nem beszélnek se TLS, se SSL, se HTTPS, mert nincs bennük implementálva vagy a számolásra nincs elég kapacitásuk. És ha van rá kapacitás, meg egyéb erőforrás, akkor is vannak esetek, amikor teljesen felesleges is lenne.
Generikus tiltása a plain protokolloknak és utána generikus sírás arról, hogy nem éri el a tartalmat, ami generikusan nem biztonságos: az generikus faszság.
Nem kell biztosítsam. Ha csak plain protokoll lenne, akkor a fogyasztó eldönti, hogy neki úgy is jó vagy sem.
https://iotguru.cloud
"Ha csak plain protokoll lenne, akkor a fogyasztó eldönti, hogy neki úgy is jó vagy sem." - Adatkezelőként te is felelős vagy azért, hogy az elvárható gondossággal véded-e az adatokat, vagy sem - akkor is, ha a fogyasztó khm. kevés tudással rendelkezik.
Khm... leszarom... khm... mert... khm... leszarhatom. Khm-khm.
https://iotguru.cloud
"leszarhatom" - Még megteheted. De az ilyen hozzáállás nagyon nem jó irány - és most még finoman fogalmaztam...
Khm... finoman... khm. És?
https://iotguru.cloud
Hat illetve annyibol de, hogy amikor a bongeszo meglatja a let's encryptes tanusitvanyt a phishing oldaladon, akkor nagy boldogan ki fogja irni, hogy ez a connection bizony secure, "This site has a valid certificate, issued by a trusted authority."
Az, hogy abban a pillanatban, hogy beirtad a kartyaszamod, mar megy is a fizetesi kiserlet valami filippino webshopban, az nem erdekes.
Egyebkent nem a https letjogosultsagat vitatom, csak azt, hogy (1) jol kitalalt a PKI architektura, es hogy (2) attol lesz biztonsagos valami, hogy le van dobva ele valami cert.
^ this.
https://iotguru.cloud
nem arrol szol, errol:
https://hup.hu/comment/2930836#comment-2930836
Ha ilyen nehéz, akkor miért ezt használod? Feltölthetnéd ingyenesen valamelyik anonim képmegosztó oldalra, mint pl. imgur. Nem?
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
De jó mindent százszor leírni... :(
Miközben a FAQ-ban erre is ott a válasz...
Oldschool Computer - http://oscomp.hu
Na megnéztem a FAQ-dat.
Szóval ha jól értem, azért nem akarod az imgurt használni, mert mi van, ha egyszer csak elvesznek a feltöltött képek?
A te dolgod, de én pont azért használom az imgurt, mert ha egy ilyen hibaüzenetet feltöltök, jön rá pár válasz, és utána nem kell azzal foglalkoznom, hogy megvan-e még a kép vagy elveszett, mert se én, se más nem fogja soha többet megnézni. Természetesen megőrizni kívánt képeket nem oda töltök fel.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
Én viszont minden képet meg szeretnék őrizni. Úgyhogy erről ennyit.
Oldschool Computer - http://oscomp.hu
Ja, egyébként még a képmegosztókhoz (bár a FAQ-ban ez is le van írva), hogy megfogdossák őket mindenféle helyi filterek. Itt a hupon is volt erre példa, amikor bennyh orbitális pofával nekiállt fölényeskedni, hogy így kell képet linkelni, aztán geleiéknél a céges proxy megfogta és neki nem jelent meg. Szóval ennyit a képmegosztókról.
Oldschool Computer - http://oscomp.hu
A mixed content miatt a te megosztásodat meg máshol fogta meg a tartalomszűrés...
De én nem is nyitottam topicot úgy, hogy na, így kell képet linkelni... Hovatovább, a mixed contentet rohadt egyszerűen orvosolni tudja a kliens is a forced HTTPS bekapcsolásával (nem linkelem be megint, hogy kell króm és róka alatt bekapcsolni), a céges proxy viszont blokkolni fog, ha tótágast állsz is.
Nem kötelező amúgy látogatni a topicjaimat, akkor nem kell nem látszó képekkel, vagy bad certekkel szembesülni. Problem solved.
Oldschool Computer - http://oscomp.hu
Sokadszor: az oscompponthu oldanak NINCS sem lejárt, sem érvényes certje. Tehát onnan nem tudsz https-en linkelni semmit. A t-hostingponthu-ról tudnál, de az meg a dnshostingponthu-ra dob át, ahol mondjuk legalább van valid cert, de tartalom nincs, és ugyebár az oscompponthu-s kontentet ezen a néven természetesen nem szolgáltatja...
"Nem kötelező amúgy látogatni a topicjaimat" - Nem a tied, hanem te hoztad létre egy közösségi portálon, ahol az megy oda az általad betolt tartalmat elolvasni, és hozzászólni, aki csak akar a portál regisztrált felhasználói közül. Nem kötelező itt tartalmat megosztani...
Ez nem tudom, hogy jött ki neked. Átraktam a belinkelt képet HTTPS alá. Látod? Tudok HTTPS-en linkelni, max. ezért is vinnyog a browser, mert nem az enyém a cert. De a titkosítás működik.
De. Az enyém. Ha írok egy blogposztot az is az enyém. Szerzői jog védi. Na erre gombolj varrodát.
Kommentelni lehet, de szétbaszni, szétoffolni nincs jogotok. Tudjátok végre, hol a helyetek.
Válaszolj inkább a kérdésre: ha szerinted
akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem?
Tényleg ki fogom rakni aláírásba, ha nem válaszolod meg, vagy nem vonod vissza és kérsz bocsánatot.
Oldschool Computer - http://oscomp.hu
szétoffolni nincs jogotok. > "En vagyok a torveny!" :D
De. Az enyém. Ha írok egy blogposztot az is az enyém. > az irasod tartama lehet, a kommenteles joganak szabalyozasa nem. Na, erre varrj gombot! :D
Nem tudom mi van a fejedben, sot, leginkabb nem is akarom, de a valosaggal sokszor koszono viszonyban sincs :D
HW hiba? Első körben kábellel csatlakoztatott dolgokat kihúznám.
Sajnos azon már túl vagyunk. Keyboard, mouse, ethernet, monitor, mind ki lett húzva, de nem volt változás.
Oldschool Computer - http://oscomp.hu
Diszkeket húzd le, könnyen lehet, hogy az egyik feladta a harcot, és eléréskor vagy bizonyos helyen eléréskor vége lesz. Ha diszk nélkül megáll, akkor az esetleges bővítőkártyák kivétele, ha integrált akkor letiltásuk (hang, hálózat), de innentől igazából alaplapcsere felé mész.
Előfordulhat még táp probléma, és mielőtt indítgatod a gépet azért a mobilod lámpájával a kondikat érdemes lenne szemrevételezned, illetve hogy van-e gyanús nyom a tápban, esetleg szagról nem árulkodik-e.
A lemezek a HDSentinel szerint kifogástalan állapotban vannak:
A SmartCtl sem jelez hibát:
Egyébként gond nélkül lehet őket mountolni, dismountolni, írni, olvasni,
fsckse jelez hibát sose...A videókártya és a hangkártya pedig új a gépben.
Táp lehetne, de akkor miért jön elő olyan ritkán? Egyébként patika a táp, hiába öreg, nincs amperszag, púpos, vagy megfolyt kondit pedig nem láttam, csak így belevilágítva, de az elektrolit szagát csak érezném.
Valami szoftveres probléma nem állhat mögötte? Csak mert jelen pillanatban úgy jött elő, hogy csak a backup diskről bootolva csinálja. Két SSD és két HDD van a gépben, az SSD-n van az OS és a programok, a HDD-n az adatok és az egyik SSD/HDD párról
rsyncsegítségével backupolok a másik párra. (Természetesen a backup systemdisken az UUID-ek át vannak írva, scriptből automatizáltan. Mind a GRUB-ban, mind azfstab-ban. A normál SSD-n lévő rendszer a normál HDD partícióit húzza fel, a backup SSD a backup HDD-ét.) Ma fel akartam róla bootolni és megint előjött. A normál diszkről meg simán megy. Máskor meg a normál diszkről nem akar. De a lemezekkel nincs baj, mint mondtam, simán csatolható, írható, olvasható. Ha ez hardware hiba lenne, akkor egyik pár se kelne fel.Oldschool Computer - http://oscomp.hu
Azért érdekes egy Seagate winyó ez, ahol a Head Flying Hours > Power On Hours.
Valóban, nekem fel se tűnt, csak a fail-eket néztem, hogy van-e. Vagy bugos a SmartCtl (nem hiszem), vagy bullshit van a flash-ben (sanszos).
Oldschool Computer - http://oscomp.hu
ez se tunt fel, gondolom:
A Seagate-nak vannak marhaságai. Épp néztem itt most egy 1T-s diszket, hogy mivan vele, és kb. ugyanez, és ha megnézed, akkor a seek_error_rate is az egekben van, ami szintén Seagate őrület.
Jó, de azt tudjuk, hogy azzal nem kell foglalkozni :) (mint a raw_read_error_rate-el sem)
Ilyen óracserés dolgot viszont még nem láttam.
Oké, kiderült, hogy mi a fene ez: eszerint a bugreport szerint ez "entropy starvation", amit felszámolni pedig úgy lehet, hogy először fel kell rakni a
havegedcsomagot (apt-get install haveged), majd az/etc/default/grubfájlban aGRUB_CMDLINE_LINUXváltozót ki kell egészíteni arandom.trust_cpu=onargumentummal, aztán vagy újra kell húzatni a/boot/grub/grub.cfg-t egydpkg-reconfigure grub-pcparanccsal, vagy kézzel szerkeszteni és az előbb említett argumentumot hozzácsapni a kernel parancssorához minden entry-nél.Oldschool Computer - http://oscomp.hu
Az baj, hogy ez engem nem emlékeztet entropy starvation-re. Nekem is volt ilyen régen, meg fórumok pár embernek, és nálunk volt értelmes hibaüzenet a dmesg-ben, hogy ez az entropy cucc a bajos, és igaz, hogy megállt a bootfolyamat egy jó pár másodpercre, volt, akinek 1-2 percre is, de aztán tovább kéne bootoljon.
Anno én is a haveged felrakásával oldottam meg, de pár hónap után javították, és nem kellett többé azt sem feltenni, a mai napig nincs is fent.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
Nekem nem írt hibaüzenetet, viszont forever lemerevedett. De mindegy, megoldotta.
Oldschool Computer - http://oscomp.hu
Rendben, örülök, hogy megoldódott. Ezek szerint ez az random entropy seed kotyvalék egyre rosszabb, az én esetem olyan 2 éve történt. Simán lehet, hogy azóta még fosabb, nem ír ki semmi normális hibaüzenet, és a bootot is végleg beakasztja. Csak azért írtam, hogy bár megfordult a fejemben ez, de elvetettem a nálad tapasztalt tünetek alapján.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
Hmm, nem azt írtad, hogy néha csinálja? Akkor még nem biztos hogy megoldotta? Btw. haveged és egyéb userspace csoda random dolgokkal kapcsolatban: https://sockpuppet.org/blog/2014/02/25/safely-generate-random-numbers/
https://www.2uo.de/myths-about-urandom/
De, néha csinálja, de most a kettes diszken pont előjött és abban a pillanatban, ahogy belőttem, el is múlt, szóval szerintem a debianos fickónak igaza volt és ez entropy starvation volt.
Ha nem volt igaza és megint előjön, akkor neked volt igazad, de erre egyelőre nem tudok választ adni.
Oldschool Computer - http://oscomp.hu
Te nyertél. Ma megint előjött. A reboot sem segített. Aztán átbootoltam a szekunder lemezekre és az felbootolt elsőre. Utána vissza a primerre és az is.
Nem tudom mi ez, de nem hardwarehiba, mert akkor nem lenne ez, hogy az egyiken előjön, a másikon meg nem. Vagy, mégis entropy starvation, de nem oldotta meg a haveged.
Oldschool Computer - http://oscomp.hu
Loglevel allitasa lehet kozelebb visz, valahogy igy: https://www.thegeekdiary.com/centos-rhel-7-how-to-change-the-verbosity-…
Köszi a tippet, feltoltam 6-osra a loglevelt, aztán ha megint előjön, akkor lehet, hogy már többet fogok látni.
Oldschool Computer - http://oscomp.hu
Feltoltam 7-esre is, de nem látok változást, ugyanazokat az üzeneteket látom, mint eddig.
Oldschool Computer - http://oscomp.hu
Sajnalom ... Van meg ez az ut, ami nehez de 99.99%, hogy nyomra vezet: https://www.kernel.org/doc/html/v4.18/dev-tools/kgdb.html
Lehet bohockodni azzal, hogy valtogatod ide-oda a kernel verziokat, boot konfiguraciot hatha nem jelentkezik, de a nap vegen az lesz, hogy elegetsz egy csomo idot ... En a helyedben inkabb nekiesnek a debugnak ^^
Köszi a tippet, csak sajnos hiába debuggolok, ha nem tudom, hogy mit keresek. Ez az izé csak ritkán jön elő és akkor elakad a boot, már nem tudom bekapcsolni a debugot. Hogy álljak neki, mit keressek? Zéró tapasztalatom van kernelfejlesztés terén.
Egyébként az a kernel bug is lehet, amit trey linkelt be és most találták meg; a következő kernelpatch után kiderül.
Oldschool Computer - http://oscomp.hu
Ez a legrosszabb hiba. Siman lehet ez barmi (hw/sw), amig nem csiped el nem fogod tudni, hogy mitol all be ez a deadlock.
de, ettol meg nagyon is lehet HW gond, sot.
memtest megvolt mar?
rootdelay?
ha rendes HW esetleg SEL log, raid vezerlo - ha van - allapota, stb?
merthogy a hw-rol lofuttyt se tudunk pl.
az ok, h bedobtal ide par sd[abcd] smartot, de mi van az sg* es sd[efgh]-val?
.
“A computer is like air conditioning – it becomes useless when you open Windows.” (Linus Torvalds)
Statisztika: 93 komment, ebből ontopic 16 db és HTTPS-es/certificate-es offtopic 77 db. Nice.
Oldschool Computer - http://oscomp.hu
De ráérsz... Arra persze gondolom nem, hogy az üzemeltető pistikéknek szólj, hogy baromi rég lejárt a certjük, és hogy ez rájuk nézve űbergáz...
Miért, te nem érsz rá, hogy még mindig itt téped a szádat? Ami pedig az üzemeltető "pistikéket" illeti, te sehol nem vagy szakmailag hozzájuk képest. Csak szólok, hogy az egyikük Pakson mérnök, az atomerőműben. Szerinted oda pistikéket vesznek fel?
Ami pedig a nekik való szólást illeti, nem nem érek rá, hanem nem akarok nekik írni, mert egyfelől nem akarom őket zargatni ezzel a baromsággal, hogy - _Franko_ frappáns szófordulatával élvén - pár hupper tócsákat sír ide nekem, hogy nem jó a cert, másfelől meg ez a ti nyomorotok, nem az enyém. Oldjátok meg ti, ha annyira zavar benneteket. Pl. javaslom a böngészőfül bezárását, vagy valami olyan URL-re átirányítását, ahol nem lesz gonosz HTTP-s tartalom. Ha be se jöttök a topicjaimba, akkor tuti, hogy nem fogtok lejárt certekkel és HTTP-n linkelt képekkel találkozni. Probléma megoldva.
BTW, még mindig nem válaszoltál arra a kérdésre, hogy ha szerinted
akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem?
Oldschool Computer - http://oscomp.hu
"Csak szólok, hogy az egyikük Pakson mérnök, az atomerőműben"
Hát, ez inkább szomorú
// Happy debugging, suckers
#define true (rand() > 10)
Miért? Mert valószínűleg valami gáz van velük és nem érnek rá piszlicsáré dolgokra?
Oldschool Computer - http://oscomp.hu
Az, hogy bő egy éve futott legutóbb a certbot a szerveren, meg az, hogy olyan verzióval megy a webkiszolgálás, amilyennel... Nos, az annyit jelent, hogy erősen a "nem foglalkoznak vele" kategória. Ha neked ez piszlicsáré kategória, hát lelked rajta, szakmailag viszont a minimumszintet sem ugorják meg ezzel...
Tisztázzunk valamit: neked minimumszint. Meg a többi HTTPS valláskárosult falangistának. Ha egyszer nem érnek rá, mert ellepte őket az élet, akkor nem ez lesz a fő bajuk. Én meg nem fogom ezzel basztatni őket, csak mert pár zelóta a hupon rinyál érte. Ti bajotok. Ti nyomorotok. Nem vagytok képesek bezárni a tabot? Helyette inkább a jószándék legcsekélyebb jele nélkül, alpári módon követelőztök, rosszindulatú módon szarnak beállítva a tartalmat is? Akkor szenvedjetek! Az oldal ettől nem lesz kevésbé biztonságos - ez a ti lázálmotok -, szóval én torkonszarom.
BTW, még mindig nem válaszoltál