Ez WTF? (Random boot alatti lemerevedés ugyanannál a hibaüzenetnél.)

Debian GNU/Linux

Update: Megoldódott. Mégse oldódott meg.
Update #2: Talán megvan az ok...?

Időnként a rendszer (Debian 11, AMD64) fogja magát és boot közben megáll, miután kiírta, hogy

device-mapper: ioctl: 4.43.0-ioctl (2020-10-01) initialised: dm-devel@redhat.com

Egy darabig még reszeli a winchestert, aztán abbafejezi és úgy marad. Ami érdekes, hogy ilyenkor sem warm, sem cold restart nem segít. Néhány sikertelen boot után viszont magától megjavul.

http://oscomp.hu/depot/device-mapper_ioctl_4.43.0-ioctl_2020-10-01_initialised_dm-devel_redhat.com.jpg

A neten nem találtam semmit. Van bárkinek ötlete, hogy mi ez, mitől van ez?

  • 5509 megtekintés

( tibyke | 2023. 06. 10., szo – 20:13 )

a kep nem latszik a http miatt, https-en meg szar a cert

[tibyke]mondord[/tibyke]

Ha nem tudsz, vagy nem akarsz érdemben semmit hozzátenni a témához, akkor viszontlátásra. A HTTPS miatti reklamálásra nem vagyok kíváncsi. Hatvannyolcezerszer el lett mondva, hogy nincs hozzáférésem, nem tudom megcsinálni. Kapcsold be a HTTPS-Everywhere-t, vagy a HTTPS-only módot és állítsd be a krómodat, vagy a rókádat, hogy ne reklamáljon a cert domain-mismatch miatt; a titkosítás a mismatch-csel együtt is menni fog és látni fogod a képeket. Titkosítva. Mert az olyan fontos. Ha ezt nem vagy képes megcsinálni, vagy nem akarod megcsinálni, akkor megint csak viszontlátásra. A trollkodásra sem vagyok kíváncsi.

Oldschool Computer - http://oscomp.hu

a neten a legutolsó pistike is valid certet tud generálni az oldalához. nyilván a te szarod miatt kikapcsolunk mindenn védelmet. 

4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.

Képzeld, te legutolsó pistike, én is tudok generálni...csak épp hova teszem azt a valid certet, ha egyszer nincs hozzáférésem a szerverhez? Letolom a torkodon?
Ennyire analfabéták vagytok, vagy szellemi fogyatékosok, hogy ezt hatvannyolcezredszerre sem fogjátok fel? Különben is, miféle védelem kikapcsolásáról beszélsz? Pont azt mondtam, hogy force-oljátok a HTTPS-t, aztán meg kapcsoljátok be a mismatch ignore-t; a védelem - a titkosítás - úgy is működik, ha a domain nem stimmel, nem kell kikapcsolni. (Függetlenül attól, hogy az a "védelem" egyébként egy vödör szart se ér, ott törik meg, ahol akarják, dehát vallásos emberrel vitatkozni...)

Most komolyan. Nem tudtok olvasni? Vagy nem értitek? Vagy direkt csináljátok? Mi a jó nektek ebben? Degeneráltak vagytok, vagy csak simán rosszindulatúak és gerinctelenek?

BTW, a kutya nem kért téged személyesen semmire; sem a "védelem" (ROFL) kikapcsolására, sem másra. Ha nem tudsz segíteni, vagy nem akarsz, akkor te is húzhatsz a devnullba, ott a helyed. Ha konstruktívan nem tudsz hozzászólni egy topichoz, akkor inkább ne szólj semmit.
Habár jobban meggondolva, igazság szerint már mindegy, a probléma már megoldódott, szóval most már akár trolkodhattok is; több tőletek úgy sem tellik. Szakmai kvalitást egy csapat analfabéta HTTPS-hívőtől, vagy trolltól hiába vár az ember.

Egyébként meg majd akkor pistikézz, meg szarozz, ha letettél annyit az asztalra, mint én.

Oldschool Computer - http://oscomp.hu

"Képzeld, te legutolsó pistike, én is tudok generálni...csak épp hova teszem azt a valid certet, ha egyszer nincs hozzáférésem a szerverhez? Letolom a torkodon?" - A szervert üzemeltető legutolsó utáni pistike torkán kéne lenyomni, hogy oké, hogy retró, de a http-only az elég régóta űbergáz, és legyen olyan ügyes, és oldja meg, hogy http-n csak egy redirekt legyen a https-re.

" akkor te is húzhatsz a devnullba" - ahogy az az "üzemeltető" és tartalomelőállító (az előállított "tartalom"-mal együtt) is, akik nem képesek 2023-ban https-re váltani...

Bejött pistikézni, meg szarozni; mire föl? Ha valaki lepistikézi a másikat, meg leszarozza, amit csinál, akkor illik megmutatni, hogy van mire arcoskodnia, ha már a témához nem tud, vagy nem akar hozzátenni. Apropó, téma: ahhoz valami a részedről? Vagy te is csak trollkodni jöttél?

Oldschool Computer - http://oscomp.hu

A szervert üzemeltető legutolsó utáni pistike torkán kéne lenyomni, hogy oké, hogy retró, de a http-only az elég régóta űbergáz

Van rajta HTTPS, csak a cert az ő domainjükre mutat. Szóval nem HTTP-only. Nem tudom, hogy ezt honnan szedted, hogy HTTP-only, amikor többször le lett írva, hogy van rajta HTTPS.

és legyen olyan ügyes, és oldja meg, hogy http-n csak egy redirekt legyen a https-re.

Na, ezt semmilyen körülmények között sem. Ld. itt a discrimination by protocol részt.

ahogy az az "üzemeltető" és tartalomelőállító (az előállított "tartalom"-mal együtt) is, akik nem képesek 2023-ban https-re váltani...

A tartalomelőállító? Azaz, hogy én? Mert nem férek hozzá és így beállítani sem tudom? Meg "tartalom", így idézőjellel? Miért, talán nem az? Ami meg a te weblapodon van, az meg az? Te döntöd el, mi minősül tartalomnak? Hát, ezt nevezem. 0 poszt, amíg átmentél személyeskedőbe. Ha már témánál vagyunk, te egyszer azt írtad nekem, hogy:

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

Ehhez képest te "foslának" hívod a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Ezt így hogy?

Oldschool Computer - http://oscomp.hu

Erre igazából nem nagyon van mit mondani...:
 

$ openssl s_client -connect 87.229.73.95:443 -servername oscomp.hu
CONNECTED(00000003)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify return:1
depth=1 C = US, O = Let's Encrypt, CN = R3
verify return:1
depth=0 CN = www.t-hosting.hu
verify error:num=10:certificate has expired
notAfter=Jul 19 15:43:07 2022 GMT
verify return:1
depth=0 CN = www.t-hosting.hu
notAfter=Jul 19 15:43:07 2022 GMT
verify return:1
---
Certificate chain
 0 s:CN = www.t-hosting.hu
   i:C = US, O = Let's Encrypt, CN = R3
 1 s:C = US, O = Let's Encrypt, CN = R3
   i:C = US, O = Internet Security Research Group, CN = ISRG Root X1
 2 s:C = US, O = Internet Security Research Group, CN = ISRG Root X1
   i:O = Digital Signature Trust Co., CN = DST Root CA X3
---

Ez bizony lejárt...

Az, hogy neked fixa ideád, hogy kötelezően legyen minden _is_ http-n, az a te problémád - a világ nem arra megy, amerre te szeretnéd, amit te elképzelsz... Ilyen alapon például egy netbanki felület miért csak https? Egy hírportál, egy bármilyen tartalomszolgáltatás miért is nem ad plain text http-s felületet _is_?

"A tartalomelőállító? Azaz, hogy én? Mert nem férek hozzá és így beállítani sem tudom?" - Mint írtam, nem neked a feladatot, hanem a site üzemeltetőpistikét kell toszogatnod, bár láthatóan bő egy éve volt legutóbb a cert lecserélve, azóta gondolom tojik rá... Azt látnod kell, hogy a http-s oldalak egyre inkább mennek a devnull-ba, a keresőoldalak nem indexelik azokat, nem foglalkoznak velük - erre értettem, hogy mehetnek oda, ahova valók, tartalmastól, mindenestől. Vagy a tartalom alkotója fogja magát, és átviszi az egész motyót oda, ahol értelmesen üzemeltetnek, értik, hogy 2023 van, és hogy milyen elvárások vannak egy webes tartalom alatti kiszolgálóval kapcsolatban...

Ez bizony lejárt...

Mit csináljak vele? Nem érted, hogy nincs hozzáférésem? Ha lenne, akkor már rég megcsináltam volna, hogy abbahagyjátok a folyamatos reklamálást.

Az, hogy neked fixa ideád, hogy kötelezően legyen minden _is_ http-n, az a te problémád - a világ nem arra megy, amerre te szeretnéd, amit te elképzelsz... Ilyen alapon például egy netbanki felület miért csak https? Egy hírportál, egy bármilyen tartalomszolgáltatás miért is nem ad plain text http-s felületet _is_?

Nem, ez nem az én fixa ideám, hanem a te szalmabábod. Ilyet, hogy "kötelezően", ilyet én sose mondok senkinek. Én nem írok elő senkinek semmit. Én opciókról beszélek, a választás lehetőségéről. Nagyon nem ugyanaz.
Egy szóval nem mondtam azt sem, hogy minden HTTP-n menjen, hogy csak az legyen, HTTPS meg opcióként se. Sőt, én másnak még a HTTP hiányát sem róttam fel soha, esetleg megkérdeztem, hogy lehet-e róla szó. Érted. Kértem. Tudod mi a különbség a kérés és a követelés között? Csak mert ti az utóbbit csináljátok. Erőszakosan, alpári módon, pistikézve, szarozva, mocskolódva követelőztök, hogy legyen HTTPS, miközben hatvannyolcezerszer elmondtam, hogy a) van, b) a titkosítás így is megy a végpontok között, max. a browser reklamál és c) a cert problémát hozzáférés híján nem tudom orvosolni; ha tudnám, már megtettem volna.

És egyáltalán: mégis mire is fel követelőztök itt nekem? Mit köszönhetek én nektek, hogy ti bármit is követelhessetek tőlem, pláne ilyen stílusban? A témákhoz amit nyitottam, a blogposztokhoz, amit írtam, érdemben hozzátenni nem tudtatok, és/vagy nem akartatok (nem csak itt, hanem en-generique), csak széttrollkodjátok a topicjaimat a HTTPS-hittérítéssel. A vallási félóra nem itt van, köszi. És mielőtt belemagyaráznád, ez nem en-bloc az egész hupra vonatkozott, hanem arra a 8-10 emberre, aki ebből űz sportot, hogy minden alkalommal, ha kép is van az általam írt nyitó/blogposztban, akkor bejönnek trollkodni/hittéríteni, hogy nem látszik. Szándékosan. És egyébként: miért is fáj az nektek? Ha publikálok valamit, az úgysem érdekel titeket, ha meg kérdezek valamit, úgysem akartok segíteni. Akkor miért érdekes nektek, hogy nem látszanak a képek? Ezt csak vallásossággal, és/vagy rosszindulattal lehet magyarázni, arra meg köszi, nincs szükség. Se itt, se másutt. Sehol sem.

Ami pedig a bankokat illeti, hát szép kis alma-sugárhajtású dízelmozdony hasonlat. Az oscompon nincs belépés, nem tárol a gépeden még sütit sem, onnan csak letölteni lehet. Mi olyat akartok onnan leszedni, amit feltétlenül csakis érvényes certtel titkosítva lehet letölteni, különben elvisz a KGB? Csak mert a titkosítás így is megy, mondom. Miért fontos, hogy még a cert is jó legyen? Szellemi kielégülés? Vagy a browser reklamálása zavaró? Ha annyira nem akarjátok kikapcsolni, akkor bezárhatjátok ám a tabot is; én elleszek nélkületek, érdemben eddig sem tettetek hozzá semelyik témámhoz sem - amit csináltok az nettó destruktív tevékenység, nem más, arra meg csak kínálat van, kereslet nincs.

Mint írtam, nem neked a feladatot, hanem a site üzemeltetőpistikét kell toszogatnod

Nincs mire fel toszogatnom. Szívességből hosztolják lassan 20 éve. Ingyen. Én itt csak köszönhetek nekik, reklamálni nincs jogom. Nem is teszem.

Azt látnod kell, hogy a http-s oldalak egyre inkább mennek a devnull-ba, a keresőoldalak nem indexelik azokat, nem foglalkoznak velük - erre értettem, hogy mehetnek oda, ahova valók, tartalmastól, mindenestől.

Csakhogy van HTTPS. Az egy dolog, hogy mismatch van, meg lejárt (rajtam kívülálló ok), de van. A keresőoldalak is indexelik. Google is, többi is. Olyannyira nem hagyják ki az indexelésből, hogy pl. a google-ös keresésekben "amiga memory map" kifejezésre első vagyok a neten, a binges keresésekben második, de a többiek (Yahoo, DDG) is első oldalra hozzák. HTTP-vel. Ennyire számít a HTTPS a valóságban.

BTW, ha csak ezt akartad mondani, akkor miért tetted idézőjelbe a tartalmat? Mire utaltál azzal?

Vagy a tartalom alkotója fogja magát, és átviszi az egész motyót oda, ahol értelmesen üzemeltetnek, értik, hogy 2023 van, és hogy milyen elvárások vannak egy webes tartalom alatti kiszolgálóval kapcsolatban...

Te szereted, ha turkásznak a pénztárcádban? Mert én sem. Láttál tőlem ilyet? Mert én sem. Mi lenne, ha te sem csinálnád velem?
Ez a "CURRENT_YEAR van", meg egy ósdi pszeudoprogresszív mantra és vajmi kevés hatása van rám: én nem vagyok vallásos. Én tudom, hogy a HTTPS a légytől sem véd meg.

Oldschool Computer - http://oscomp.hu

"Mit csináljak vele? Nem érted, hogy nincs hozzáférésem?" - Válts szolgáltatót - mert ez egy rakás kaki. Igen, ingyen, szivességből helyet adva is kaki.

"Csak mert ti az utóbbit csináljátok. Erőszakosan, alpári módon, pistikézve, szarozva, mocskolódva követelőztök" - tudod ahol közel egy éve tojnak a lejárt certre, az nem érdemel a fenti jelzőktől eltérőt vagy jobbat.

"Mit köszönhetek én nektek, hogy ti bármit is követelhessetek tőlem" - Az összes itteni hozzászólásod alján ott a kattintható link az oldaladra, egy kifejezetten komoly forgalmat lebonyolító portálon, és ugyebár egy oldal reputációját az is emeli, ha sokat és sokszor hivatkoznak rá más, jelentősebb forgalmú site-okon.

"Az oscompon nincs belépés, nem tárol a gépeden még sütit sem, onnan csak letölteni lehet." - Letölteni, de hogy az onnan jön-e, az-e, amit te kiraktál, az egyáltalán nem biztos.

"Nincs mire fel toszogatnom. Szívességből hosztolják lassan 20 éve." - Akkor szivességből (viszont szivességből) csináld meg nekik, hogy működjön a LE-s cert - legalább a saját domainjükre, ha már a tiedre nem szeretnéd...

"Ez a "CURRENT_YEAR van", meg egy ósdi pszeudoprogresszív mantra" - Akkor miért nem gopher-t hazsnálsz? Anno az is jó volt... Vagy anonftp-t, mert ugye ha csak letölteni lehet, akkor minek csicsázni html-lel...

"hogy a HTTPS a légytől sem véd meg." - Valóban, a https sérülékeny, támadható, csak épp a http, mint plaintext protokoll sokkal egyszerűbben, könnyebben és a végpontok számára gyakorlatilag teljesen észrevétlenül támadható sikeresen, a https meg azért nem annyira... Az autóban a biztonsági öv meg a légzsák azért van, hogy biztonságosabb legyen, miközben 160-nal a betonfalnak csattanva mégsem éled túl... De 80-90-nel még lesz esélyed...

Válts szolgáltatót - mert ez egy rakás kaki. Igen, ingyen, szivességből helyet adva is kaki.

Es kifizetitek neki? 

Elvben egyetertek, meg szivessegbol is egy hatar szar az a hosting, ahol nem oldjak meg az ilyeneket, de az is durva, ami musor ilyenkor lemegy egy-egy threadben a temaban. 

tudod ahol közel egy éve tojnak a lejárt certre, az nem érdemel a fenti jelzőktől eltérőt vagy jobbat.

A gyakorlatban miert relevans, hogy egy cert lejart? A tankonyvi elmeletet ismerem, az nem erdekes. Elromlik benne a private key? :)

Az összes itteni hozzászólásod alján ott a kattintható link az oldaladra, egy kifejezetten komoly forgalmat lebonyolító portálon

De mit er a forgalom, ha meg sem tudjatok nyitni az oldalt, mert lejart a cert? :)

Es kifizetitek neki?

Dehogy fizetik...csak követelőznek. Eddig egyedül NagyZ volt olyan nagylelkű - bármily megdöbbentő is ez - hogy felkínálta, hogy kifizeti a képhostert.

Elvben egyetertek, meg szivessegbol is egy hatar szar az a hosting, ahol nem oldjak meg az ilyeneket

Valami gebasz lehet velük mostanság, mert 20 évig nem voltak gondok. Ne feledd, hogy mi volt az elmúlt három évben világszerte, lehet padlón vannak ők is...

A többire +1.

Oldschool Computer - http://oscomp.hu

20 éve még belső hálózaton a telnet meg az ftp is megtűrt dolog volt... Egyébként meg szerintem van akkora tudásod, amivel tudnál segíteni az üzemeltetőknek, hogy a LE-s certek rendbe legyenek rakva (legalább a sajátjuk...), illetve utána a tied is... Nem űrtechnológia (nagyon nem) - 20 év ingyenes tárhelyért cserébe nem lenne nagy áldozat tőled...

Ja, senki nem követelőzik, csak elmondjuk n+1. alkalommal is, hogy a plain text http használata szerintünk vállalhatatlan, mi több, kifejezetten idejétmúlt dolog, amit főleg IT-szakmai téren mozogva már rég el kellett volna felejteni, és áttérni https-re, vagy legalább valid certtel megtámogatott https-en _is_ elérhetővé tenni a megosztani kívánt tartalmat.

20 éve még belső hálózaton a telnet meg az ftp is megtűrt dolog volt... Egyébként meg szerintem van akkora tudásod, amivel tudnál segíteni az üzemeltetőknek, hogy a LE-s certek rendbe legyenek rakva (legalább a sajátjuk...), illetve utána a tied is... Nem űrtechnológia (nagyon nem) - 20 év ingyenes tárhelyért cserébe nem lenne nagy áldozat tőled...

De hogy, ha egyszer nincs hozzáférésem? Már hatvannyolcezerszer elmondtam, hogy ha lenne hozzáférésem, már rég megcsináltam volna, csak, hogy végre abbahagyjátok, de nincs. És ők is meg tudnák maguknak csinálni, ha akarnák, szerintem történt velük valami és ennél ezerszer nagyobb gondjaik vannak...

Ja, senki nem követelőzik,

Nem a túrót nem. NagyZ pl. minden alkalommal explicit utasításba adja, hogy fixáljam meg. De egyébként nem csak követelni, reklamálni se nagyon van jogotok.

csak elmondjuk n+1. alkalommal is, hogy a plain text http használata szerintünk vállalhatatlan, mi több, kifejezetten idejétmúlt dolog, amit főleg IT-szakmai téren mozogva már rég el kellett volna felejteni, és áttérni https-re, vagy legalább valid certtel megtámogatott https-en _is_ elérhetővé tenni a megosztani kívánt tartalmat.

Ez maximum a ti véleményetek, nem valami univerzális igazság: az összes gyakran ismételt "kérdéseteket" (mantrátokat) szakmailag cáfoltam (szemmel láthatólag hiába, mert hiába van benne ebben a FAQ-ban mindenre a válasz, minden alkalommal előjöttök velük újra; ebben a topicban is legalább a felét végigzongoráztuk ezeknek), szóval nagyon nem vagyok vevő a HTTPS valláskárosult lózungokra. És azt is leírtam már hatvannyolcezer-hatvanszor, hogy nincs. Hozzáférésem. A. Szerverhez. Különben. Már. Megcsináltam. Volna. Hogy. A. Reklamálást. Befejezzétek. Pont. Nem értem, mi nem érthető.

Eddig az összes ilyen HTTPS-mániás topicban mindössze két konstruktív javaslat volt összesen: az egyik ugye NagyZ felajánlása, hogy ő akár ki is fizeti a képhostert, a másik itt lejjebb andrej_ javaslata a domain validated cert-tel (hát az se rajtam csúszott el, hanem valószínűleg "leszóltak" a CA-knak, hogy ez így nem lesz jó, hogy akárki igazolhatja magát egy sima feltöltéssel, így nem lehet "hatóságilag" leszabályozni a netet és biztonságtechnikai kérdésnek álcázván a cenzúrát, fentről eldönteni, hogy kinek a weboldalát nyithatja ki a browser, vagy sem; adjunk a netsemlegességnek - discrimination by protocol és discrimination by certification - szabad internet, meg a seggem, az...), az összes többi megnyilvánulásotok ezekben a topicokban csak nettó destruktív trollkodás, vagy hittérítés volt; mindenki vegye magára azt, amelyiket csinálja.

Oldschool Computer - http://oscomp.hu

"De hogy, ha egyszer nincs hozzáférésem? Már hatvannyolcezerszer elmondtam, hogy ha lenne hozzáférésem, már rég megcsináltam volna, csak, hogy végre abbahagyjátok, de nincs. És ők is meg tudnák maguknak csinálni, ha akarnák, szerintem történt velük valami és ennél ezerszer nagyobb gondjaik vannak..." - ~20 év pro bono tárhelyért cserébe én rákérdeznék, hogy tudok-e segíteni...  A "szakmailag cáfoltad" nagyjából a sértődött óvodás papagáj szintet éri el - a borzalmas színvilágot nem is említve...

"valószínűleg "leszóltak" a CA-knak, hogy ez így nem lesz jó, hogy akárki igazolhatja magát egy sima feltöltéssel" - A DV cert működik, azt mutatja/jelzi, hogy az adott domainen található webszerver tartalmához (és konfigurációs állományaihoz) / az adott domain DNS-bejegyzéseihez r/w joggal hozzáfér az, aki a certet igényelte.
"adjunk a netsemlegességnek" - a böngészők a hőskorban a gopher:// linkeket is megették... Már nem...

Egyébként destruktív annyiban, hogy a plaintext protokollok eltüntetését szeretnénk elérni - ha ez neked fáj, mert nem tudod/akarod/hosting nem tudja/akarja/képes megugrani a https-t, akkor sajnos ez az így jártál minősített esete...

A "szakmailag cáfoltad" nagyjából a sértődött óvodás papagáj szintet éri el - a borzalmas színvilágot nem is említve...

Elég szomorú, ha abból a linkekkel vastagon alátámasztott érvelésből ennyit értettél meg...de mindenesetre, ha már visszajutottunk a személyeskedésig, akkor igazán megválaszolhatnád azt, hogy ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Mi ez a kettős mérce? Illetve miért raktad fent idézőjelbe a "tartalmat"? Arra céloztál tán, hogy ami az oscompon van, az nem az?

A DV cert működik, azt mutatja/jelzi, hogy az adott domainen található webszerver tartalmához (és konfigurációs állományaihoz) / az adott domain DNS-bejegyzéseihez r/w joggal hozzáfér az, aki a certet igényelte.

De már nem megy sima fájlfeltöltéssel; vagy adottdomain.tld-s emailcím kell hozzá, vagy a DR igazolása.

a böngészők a hőskorban a gopher:// linkeket is megették... Már nem...

Az enyém még igen. Mindenki olyan browsert választ, amilyet akar. Én a magam részéről olyat, ami nem dönti el helyettem, hogy mit nézhetek meg és mit nem.

Egyébként destruktív annyiban, hogy a plaintext protokollok eltüntetését szeretnénk elérni

Szóval elismered, hogy keresztes hadjáratot folytattok. Mondom én, hogy valláskárosultak vagytok.

ha ez neked fáj

Nem ez fáj, mindenki úgy hülye, ahogy akar, de nem a másik rovására: a topicjaim hijackelése és széttrolkodása zavar. Mondjuk ezt már trollkodhatjátok, mert itt már megoldottam magamnak a bajomat...de gondolván rátok, meg arra, hogy úgyis teleszemetelitek az egészet, már az OP-ba is belinkeltem a megoldást, így nem tudtátok elvenni a sorstársaimtól az okulás lehetőségét.

mert nem tudod/akarod/hosting nem tudja/akarja/képes megugrani a https-t, akkor sajnos ez az így jártál minősített esete...

Csak kérdés, hogy kinek. Mert ti akartok annyira valid certet, szóval egyelőre ti jártatok így.

Oldschool Computer - http://oscomp.hu

Én szeretnék kimaradni az egész hercehurcátokból, de: a dv cert nem az, amikor a wellknown mappába feltöltöd a secretet, amit a letsencrypt ad?

Imho az még mindig megy, és a fenti linked is csak azt mondja, wildcard dv certek nincsenek már. Vagy én értek félre valamit, maradtam le valamiről? A CF néhány hónapja állított ki certet így, hogy csak egy cname bejegyzés mutatott ránk az xyz.company.tld, de se a company.tld nem volt nálunk, se email, se semmi, mégis megkaptuk a certet adott domainre.

A fenti linked meg mintha 2021-es lenne...

Szerk.: vagy neked wildcard cert kellene? Mert akkor erről az infóról maradtam le valahol a fenti háborúban 😉

Hát nem egészen. A DV cert validáló fájlja (nem maga a cert) az valóban az, amit a .well-known mappába töltesz fel, de azt nem a Let's Encrypt adja, hanem a CA-k. Illetve csak adták 2021-ig. A Let's Encrypt-hez ugyanúgy hozzá kéne férnem a szerverhez, de csak FTP, MySQL és PgSQL accountjaim vannak.

Oldschool Computer - http://oscomp.hu

Ha nem kell neked wildcars cert, akkor szerinte ezt el tudod játszani egy mezei FTP accounttal: https://eff-certbot.readthedocs.io/en/stable/using.html#manual

Azaz:

  1. Lokálisan elindítod a certbotot a fenti manual móddal, http verificationnel 
  2. Amit kiköp fájlt, azt FTPvel odamásolod a wellknown mappába (ha hozzáférsz) 
  3. Kapsz egy certhez dolgokat a saját gépeden futó certbottól 

Azt értem, hogy ez neked azért nem jó, mert a certet a jelenlegi helyeden nem tudod beállítani, máshova meg nem akarsz menni. Csak azt vitatom, hogy szerintem ez még mindig megy, és a fenti linked is csak annyit állít, hogy wildcard értettem nem adnak így ki - ami érthető.

Vagy hol beszélünk el egymás mellett? 

~20 év pro bono tárhelyért cserébe én rákérdeznék, hogy tudok-e segíteni...

En nem biztos, leginkabb azert, mert nem tudodm, kik ezek az "ok", akiknek segiteni kene. Ha ez egy hostingceg, akkor meg akar lehet ilyen kerdes, de ha ez TCH unokatesojanak a haverja, aki a sajat Minecraft szerveren adott neki egy wwwroot foldert, akkor valoszinuleg igeny sincs ra kulonosebben.

"adjunk a netsemlegességnek" - a böngészők a hőskorban a gopher:// linkeket is megették... Már nem...

Pedig nem mondott teljesen faszsagot, par napja szoptam pont egy kort, hogy az Azure a classic CDN endpointokra mar nem hajlando apex domainre certet generalni (erdekes modon subdomainre megy, es ingyen van), de ha veszel a Digicerttol, tanusitvanyt, az mar jo. Vagy ott a Let's Encrypt, aminek nincs Azure DNS pluginje, cserebe viszont importalni sem lehet a default outputot Azure Keyvaultba, mert az veletlenul eppen megint nem supported, de mashogy igen. 

Csak hogy kontextusba helyezzem, a Digicertnek a szarja listaaron korulbelul szaz rugo egy evre, es ez a basic csomag, ebben meg se wildcard, se semmi. 

Nyilvan ez a problema konnyen megkerulheto, az idom meg ugyis ingyen van, kit erdekel, hogy egy komplett CI/CD job kell ahhoz, egyedi scriptekkel, hogy a fostalicska Let's Encrypt certet frissitgesse kethavonta, mert ugye le kell jarnia 3 havonta, anelkul nem lehet secure, sajat felelossegre sem kerhetsz hosszabbat, mert nehogy mar te dontsd el, mit akarsz.

Majd ugye a vegen kiesik valahol egy cert a folyamatbol, ami ugye biztosan secure, hiszen valaki eldontotte helyetted, hogy a TUBITAK Kamu SM SSL Kok Sertifikasi egy megbizhato valami, mondjuk a budos eletben nem hallottal rola, meg benne van a neveben, hogy kamu :), de az nem baj, jo lesz!

Hosting cég, akikkel anno az IG2 kapcsán kerültem kapcsolatba, de felesleges piszkálnom őket. Messze profibb sysadminok mint én (én amúgy is programozó vagyok), ha nem csinálják meg annak oka van. Én ott csak ötödik kerék lennék.

Többire akkora +1, hogy kilóg a DB-ből. Végre egy ember aki érti.

Következő lépés az lesz, amikor a CA-k kitalálják, hogy a LE nem is biztonságos, do not accept. Utána pedig hirtelen az összes mainstream browser fejlesztőcsapata/cége (ismét) egyszerre bejelentést tesz (mint a múltkor is), hogy innentől a HTTP-t egyáltalán nem nyitja meg egyik browser sem és a HTTPS-en is véget ért a warningok kora: csak az érvényes - non-LE - certtel rendelkező, TLS 1.3-on keresztül kiszolgált oldalakat fogják kinyitni, amúgy egy db ?LOAD ERROR lesz a végeredmény.

Az még a kisebbik gond lesz, hogy onnantól mindenki fizetheti a CA-k sarcát adóját, viszont onnantól akinek valamiért visszavonják a certjét, annak a weboldalát utána egyetlen browser sem fogja kinyitni. Központilag szabályzott internet. Ó de szép is lesz. zelleri disztópia...

Oldschool Computer - http://oscomp.hu

En ettol azert nem felek annyira, mert azt mar nehezen tudjak betiltani, hogy tetszoleges CA-t felvegyel a trusted CA-nak. De szerintem nincs ilyen koncepcio, velemenybuborekot layer 7-ben kell epiteni: hajadra keneheted az ervenyes certet, ha a Google/Facebook/akarmi nem dobja fel az oldalad a usernek.

En ettol azert nem felek annyira, mert azt mar nehezen tudjak betiltani, hogy tetszoleges CA-t felvegyel a trusted CA-nak.

Azt se tudják betiltani, hogy underground browsert használj...de fog ilyeneket csinálni az átlagjúzer, hogy custom CA-kat vesz fel a trustlist-be, vagy underground browsert használ?

De szerintem nincs ilyen koncepcio, velemenybuborekot layer 7-ben kell epiteni: hajadra keneheted az ervenyes certet, ha a Google/Facebook/akarmi nem dobja fel az oldalad a usernek.

Az egyik nem zárja ki a másikat; attól, hogy bevittél egy balegyenest az opponensnek, még megküldheted utána egy jobbhoroggal is: minél több ponton támadsz, annál több esélyed van nyerni. De őszintén remélem, hogy neked lesz igazad.

Oldschool Computer - http://oscomp.hu

Válts szolgáltatót - mert ez egy rakás kaki. Igen, ingyen, szivességből helyet adva is kaki.

Ennyi pénzem van rá. Nem értem a problémádat. Reklamálni akkor van mire, ha fizettél. Fizetni itt senki se fizetett, de ti reklamáltok. Olyasvalamiért, ami egyébként nem is érint benneteket. Adtok ingyen jobb tárhelyet, ami felett kontrollom is van? Nem? Akkor IJ.

tudod ahol közel egy éve tojnak a lejárt certre, az nem érdemel a fenti jelzőktől eltérőt vagy jobbat.

Szerinted. Szerintem meg ahol közel 20 éve adnak tárhelyet ingyen, ott reklamációnak helye nincs. Nekem amúgy sem fontos ez a cert mizéria, ez a ti bajotok, nem az enyém, én elvagyok nélküle.

Az összes itteni hozzászólásod alján ott a kattintható link az oldaladra, egy kifejezetten komoly forgalmat lebonyolító portálon, és ugyebár egy oldal reputációját az is emeli, ha sokat és sokszor hivatkoznak rá más, jelentősebb forgalmú site-okon.

Most ugyan kérdezhetném azt is, hogy ez miért fáj neked, de valójában nincs is igazad, mert ha megvizsgálod a linket, rajta van a rel="noopener nofollow", szóval innen az oscompnak pontosan zéró darab hivatkozása van.

Letölteni, de hogy az onnan jön-e, az-e, amit te kiraktál, az egyáltalán nem biztos.

Most erre is mondhatnám, hogy de, mert az a cég írta alá, aki hostolja, vagy kérdezhetném, hogy akkor biztos-e, ha jó a cert, ha - mint tisztáztuk - a HTTPS sem véd meg az MITM-től, ha elfogadtál egy másik certet (de jó is ez a cert ökoszisztéma), de valójában ez megint ilyen felesleges rettegés a semmitől; közel negyed évszázad alatt még egyszer sem volt olyan, hogy valamit eltérítettek volna, amit épp letöltöttem. Meg egyébként se értem, hogy ez titeket megint miért zavar; ti nem is akartok onnan letölteni semmit.

Akkor szivességből (viszont szivességből) csináld meg nekik, hogy működjön a LE-s cert - legalább a saját domainjükre, ha már a tiedre nem szeretnéd...

Hogy? Nincs hozzáférésem.

Akkor miért nem gopher-t hazsnálsz? Anno az is jó volt...

Mert. Nincs. Hozzáférésem. A. Szerverhez. Ha volna, lenne Gopher is.

Vagy anonftp-t, mert ugye ha csak letölteni lehet, akkor minek csicsázni html-lel...

Mert vannak képek, description-ök, hírek, stb.

Valóban, a https sérülékeny, támadható, csak épp a http, mint plaintext protokoll sokkal egyszerűbben, könnyebben és a végpontok számára gyakorlatilag teljesen észrevétlenül támadható sikeresen, a https meg azért nem annyira... Az autóban a biztonsági öv meg a légzsák azért van, hogy biztonságosabb legyen, miközben 160-nal a betonfalnak csattanva mégsem éled túl... De 80-90-nel még lesz esélyed...

Az első gondolat, amivel úgy-ahogy egyet tudok érteni, csak itt egyfelől van biztonsági öv, csak nincs ráírva, hogy a kocsihoz tartozik, másfelől meg itt nemhogy 160-nal, vagy akár csak 80-90-nel nem megyünk, de még 20-szal se nagyon. Ez nem egy netbank. Majd MITM után beleinjektálják a windows-os ransomware-t a Super Mario 6502-es kódjába?

Oldschool Computer - http://oscomp.hu

"ahol közel 20 éve adnak tárhelyet ingyen, ott reklamációnak helye nincs" - De viszonzásnak lenne, nem gondolod?  Igen, látom, hogy "Hogy? Nincs hozzáférésem." a válaszod - de szád ugye van? felajánlani fel lehetne egy ilyet... Nem hiszem, hogy messzire zavarnának a segítő szándékú felajánlásoddal.

"a HTTPS sem véd meg az MITM-től, ha elfogadtál egy másik certet (de jó is ez a cert ökoszisztéma), de valójában ez megint ilyen felesleges rettegés a semmitől" - Leírtam már, de megismétlem: http-n bárki, bárhol bele tud turkálni a forgalomba, de egy DNS-spoof is elég, hogy ne azt kapja a böngésző, ami a te oldaladon van kipakolva _ és senki, ismétlem, senki nem fogja észrevenni, hogy ez történik.
Ahhoz, hogy TLS-en MITM-et csinálj, hozzá kell férned valamelyik a végponton elfogadott CA privát kulcsához (ami jó esetben HSM-ben csücsül...), _és_ on-the-fly át kell csomagolnod a TLS-t (azaz végződtetni a tcp-session-t, majd nyitni egy másikat a szerver felé) - mondjuk úgy, hogy ennek a technikai feltételei nem kicsit komolyabbak, mint egy plaintext protokollt meghágni...

"Majd MITM után beleinjektálják a windows-os ransomware-t a Super Mario 6502-es kódjába?" - Bármit bele lehet "út közben" pakolni a http-streambe, ha ügyes valaki, és nem fogod észrevenni sem kliens, sem szerver oldalon. 

De viszonzásnak lenne, nem gondolod? Igen, látom, hogy "Hogy? Nincs hozzáférésem." a válaszod - de szád ugye van? felajánlani fel lehetne egy ilyet... Nem hiszem, hogy messzire zavarnának a segítő szándékú felajánlásoddal.

Ez igazából úgy indult, hogy anno én tettem nekik szívességet és ez volt a viszontszívesség, hogy "egy ideig" ingyen lesz a tárhely. Az az "egy ideig" azóta is tart, mert azóta se kértek pénzt.
És mondom: ők is meg tudnák csinálni, ha akarnák, de szerintem bajban vannak és van sürgősebb dolguk is, mint az, hogy pár hupper reklamál a cert miatt.

Leírtam már, de megismétlem: http-n bárki, bárhol bele tud turkálni a forgalomba, de egy DNS-spoof is elég, hogy ne azt kapja a böngésző, ami a te oldaladon van kipakolva _ és senki, ismétlem, senki nem fogja észrevenni, hogy ez történik.

Bárki, bárhol bele tud turkálni a HTTP forgalomba? Jó, akkor légy szíves turkálj bele a HTTP forgalmamba, amikor kinyitom az oscompot (csak HTTP-n szoktam) és cserélj le benne bármit, amit leszedek. Bármit. Nincs megkötés. Azt cserélsz le, amit akarsz: HTML-t, CSS-t, képet, letöltött fájlt... Csak cseréld le. OK? Ha sikerül, esküszöm elismerem, hogy igazatok volt. Addig viszont ez nettó FUD.

Ahhoz, hogy TLS-en MITM-et csinálj, hozzá kell férned valamelyik a végponton elfogadott CA privát kulcsához (ami jó esetben HSM-ben csücsül...), _és_ on-the-fly át kell csomagolnod a TLS-t (azaz végződtetni a tcp-session-t, majd nyitni egy másikat a szerver felé) - mondjuk úgy, hogy ennek a technikai feltételei nem kicsit komolyabbak, mint egy plaintext protokollt meghágni...

Egyáltalán nincs ezekre szükség, akárki játszhat MITM-et, akinek elfogadtad a certjét (pl. internetszolgáltató, vagy akár egy tetves driver), de de elég ha a hulladék key-exchange miatt össze tudod szedegetni a kulcsokat.

Bármit bele lehet "út közben" pakolni a http-streambe, ha ügyes valaki, és nem fogod észrevenni sem kliens, sem szerver oldalon.

És mit pakol bele, amivel kárt fog okozni? Nem fog elindulni az emulátorban a ROM?
De mondom, hajrá, bizonyítsd be, hogy ez tényleg akkora rizikó: MITM-elj meg; csak HTTP-n keresztül használom az oscompot. De nem muszáj pont neked, ha valaki mással csináltatod meg, az is játszik, a lényeg, hogy valaki csinálja meg. Hajrá. Cseréljetek ki valamit a HTTP forgalmamban az oscomp felől. Sok sikert hozzá...

Addig viszont be lehet fejezni a "biztonságra" való hivatkozást, mert röhej az egész.

Oldschool Computer - http://oscomp.hu

Kontroll alatt azt értem, hogy nem dobnak ki, mert olyat írok, vagy töltök fel, ami nem tetszik valakinek, meg nem törölgetik le a cuccaimat, azaz, hogy azt töltök fel a site-ra (nem a szerverre), amit akarok.
De ezt is elmondtam már többször.

Oldschool Computer - http://oscomp.hu

ez nem kontroll. a kontroll, amikor van hozzaferesed. es neked nincs. ezt leirtad mar tobbszor. de ahogy elnezem mar regen lehet, hogy a haverjaidnak sincs. ezt is leirtad mar tobbszor, hogy nem tudod mi van veluk. vagy a szerverrel. es a cert allapota alapjan erost kovetkeztethgeto, hogy a biztonsagi frissitesek is hasonlo allapotban lehetnek rajta.
 

*   Trying 87.229.73.95:80...
* Connected to 87.229.73.95 (87.229.73.95) port 80 (#0)
> GET / HTTP/1.1
> Host: 87.229.73.95
> User-Agent: curl/7.85.0
> Accept: */*
>
* Mark bundle as not supporting multiuse
< HTTP/1.1 404 Not Found
< Server: nginx/1.14.0
< Date: Sun, 11 Jun 2023 23:01:19 GMT
< Content-Type: text/html; charset=utf-8
< Content-Length: 169
< Connection: keep-alive
< Vary: Accept-Encoding
<
<html>
<head><title>404 Not Found</title></head>
<body bgcolor="white">
<center><h1>404 Not Found</h1></center>
<hr><center>nginx/1.14.0</center>
</body>
</html>
* Connection #0 to host 87.229.73.95 left intact

https://www.cybersecurity-help.cz/vdb/nginx/nginx/1.14.0/

Ez is kontroll. A saját tartalmam felett kontrollom van. Ahhoz van hozzáférésem. Nekem elég is. Lehet, hogy ez csak részleges kontroll, de az még mindig több, mint a zéró; itt legalább a nekem fontos részleges kontroll megvan: nem fognak kidobni, letörölni, mert valaki füttyent egyet. Az összes többi engem nem érdekel, az a ti bajotok, nem az enyém. Bár azt nem értem, hogy nektek miért baj, miért fáj, dehát fájjon, ha ezt akarjátok.

És ugye még mindig ingyen volt.

Oldschool Computer - http://oscomp.hu

Ez is kontroll. > errol erdekes elkepzeleseid vannak, de mindegy. utazol egy autoban az anyosulesen, ami azt sem tudod honnan hova tart, de legalabb eldontheted mi legyen a kesztyutartoban. vegulis... :D

mi biztosit teged, hogy holnap nem tesznek ki onnan, mint cicat dolgavegezni? :D van szerzodesed, hogy neked ez jar? :)

amugy legalabb egy mailt dobhatnal nekik vagy hivd fel oket ha mar szerinted olyan baromi joban vagytok, mert az biztos, hogy technikailag kepesek megugrani a dolgot...
csakmondom. ingyenvo'na...

*   Trying 87.229.73.95:443...
* Connected to kovesdan.org (87.229.73.95) port 443 (#0)

*  subject: CN=kovesdan.org
*  start date: Apr 25 15:49:27 2023 GMT
*  expire date: Jul 24 15:49:26 2023 GMT
*  subjectAltName: host "kovesdan.org" matched cert's "kovesdan.org"
*  issuer: C=US; O=Let's Encrypt; CN=R3
*  SSL certificate verify ok.

Tekintve, hogy azt tartok rajta, amit akarok, így az autó oda megy, ahova én akarom. A véleményed vajmi kevéssé érdekel.

Mi biztosít róla? Hát, ha 2005 óta nem tettek ki, akkor most miért tennének ki?

Miért írnék nekik? Ez a ti bajotok, nem az enyém, én viszont nem akarom olyasmikkel zargatni őket, hogy pár valláskárosult és/vagy troll huppernek nem tetszik a lejárt cert, amikor biztos van más bajuk is.

Egyébként mit szeretnél elérni ezekkel a szúrkálódásokkal? Vagy csak a szurkálódás a cél?

Oldschool Computer - http://oscomp.hu

Te? Segíteni? Ez már alapból nem hihető. De ráadásul így? Szúrkálva? Fölényeskedve? Alaptalan, légből kapott, rosszindulatú spekulációkat hintve és azokon kárörvendve?
Eszük ágában sincs kirakni engem; amikor tavaly egy sysupgrade után volt egy hosszabb leállás, mert egy használ MySQL modul a FreeBSD új verziójában már nem létezett, akkor beszéltem velük, onnan tudom, hogy mi volt a gáz. Tudniillik, ha áll az oldal, az az én bajom, tehát írtam nekik, hogy mi a helyzet, viszont ez a cert mizéria, ez nem az én nyomorom, hanem a tiétek, ezért én nem fogok írni. Szóval ennyit a rosszindulatú spekulációidról, meg a kárörvendésedről.

Te nem segíteni próbálsz, hanem baszogatni. Csak a tőled megszokott tempó: baszakodsz, hazudozol és közben még adod is a szentet. (Te, segíteni...hát persze, hogyne.) Csak keresel valamit, amivel csesztethetsz; az oscomp sorsa, tartalma, vagy az én írásaim és a benne található képek téged nem érdekelnek, neked ez csak ürügy, a szardobálásra. Pont mint a többi trollnak. Mondjuk nem tudom, hogy ezt hogy és mivel fogod megideologizálni, hogy a hozzáférés hiánya ellenére miért az én hibám ez az egész, vagy milyen kamukat, vagy spekulációkat találsz még ki, hogy miért akarnának engem közel 20 év után pont most kirakni a szerverről, de nem is nagyon érdekel; mint mondtam: a véleményed vajmi kevéssé érdekel, a hazugságaid pedig még kevésbé.

Kellemes további szúrkálódást, majd küldj táviratot, vagy füstjeleket, ha rájöttél, hogy a levegőt döfködöd, de inkább ne.

Oldschool Computer - http://oscomp.hu

Kár idegeskedni. A helyzet az, hogy pláne let's encrypttel nem túlságosan izgalmas https -t generálni egy oldalhoz, illetve esetleg rendesen beállítani a webszervert. Ha pedig az üzemeltető bármiért ettől leakad, vagy nem foglalkozik vele, akkor egy jólirányzott Cloudflare regisztrációval megoldható a történet.

A másik oldaltól csak annyit kérdeznék, hogy "Nem mindegy?" Majd rájön az illető, hogy mivel jár a https elhagyása.

Kár idegeskedni. A helyzet az, hogy pláne let's encrypttel nem túlságosan izgalmas https -t generálni egy oldalhoz, illetve esetleg rendesen beállítani a webszervert.

De nem érted, hogy nincs hozzáférésem? Hova teszem a legenerált let's encrypt-es certet, hogy állítsam be a weboldalt?

Ha pedig az üzemeltető bármiért ettől leakad, vagy nem foglalkozik vele, akkor egy jólirányzott Cloudflare regisztrációval megoldható a történet.

Miből regisztrálok a Cloudflare-re? Nincs egy vasam se. Itt ingyen van fent a cuccom.

A másik oldaltól csak annyit kérdeznék, hogy "Nem mindegy?"

Szemmel láthatólag nem mindegy nekik. Vagy vallásosságból, vagy trollkodásból csinálják.

Majd rájön az illető, hogy mivel jár a https elhagyása.

Semmivel. A browserek ugyanúgy megnyitják, a keresőoldalak ugyanúgy indexelik...itt a mixed content az, ami miatt a képek nem jelennek meg, nem a HTTPS hiánya. Pláne, hogy egyébként van HTTPS, csak a cert nem jó, szóval úgy pláne nem jár semmivel a HTTPS elhagyása, ha el se hagytam...

Oldschool Computer - http://oscomp.hu

És erre mondtam, hogy ha ez benneteket annyira zavar, akkor be lehet kapcsolni (króm, róka), hogy force-olja, hogy minden HTTPS-en jöjjön. Mi volt a válasz? Hogy majd az én szarom miatt kapcsoljátok ki a védelmet. Miközben én pont azt mondtam, hogy force-oljátok a védelmet, nem azt, hogy kapcsoljátok ki. (Jó, tudom, az a poszt csak kassaiviktort minősíti szakmailag, meg emberileg is, de a HTTPS-force-ot ti is bekapcsolhattátok volna már régen...)

Oldschool Computer - http://oscomp.hu

Értelem szerűen... bár nehezen mennek át az infók, az üzemeltetői feladatot nem akarja senki rádtolni. Épp ezért van ott a második mondat miszerint létezik külső megoldás. A Cloudflare legszimplább megoldása pedig ingyenes, mégcsak bankkártya adatot sem kérnek.

A Google és minden hasonló előrébb rangsorol, és ha van regisztráció, vagy valamilyen adatcsere, azért az manapság nem árt, hogy ha titkosított. Egyébként az üzemeltetőnek azért írhatnál, hogy ha már letsencrypt van, akkor esetleg frissülhetne automatikusan.

Egy harmadik dolog amire kevesen gondolnak, hogy még egy domain validated cert is valamennyire igazolja a weboldalt, és vélhetően nem egy DNS vagy egyéb eltérítős történet van épp. (A miért épp engem törnek meg kérdésre a választ az, hogy jellemzően nem válogatnak, hanem ipari szinten próbálkoznak mindennel, amivel csak lehet, simán a *.* -ot irányítják fertőzött szerverre, ha egy routert sikerült megtalálni.)

Értelem szerűen... bár nehezen mennek át az infók, az üzemeltetői feladatot nem akarja senki rádtolni. Épp ezért van ott a második mondat miszerint létezik külső megoldás. A Cloudflare legszimplább megoldása pedig ingyenes, mégcsak bankkártya adatot sem kérnek.

Viszont füttyent egyet valamelyik nagy cég és repültem onnan. Nem bízom a felhős szolgáltatókban. Csak abban bízok, akiket ismerek. Ezt a két srácot ismerem cca. 20 éve és tudom, hogy megbízhatóak és profik. Hogy miért hagyták lejárni a certet, azt nem tudom; lehet, hogy valami baj történt velük és most a legkisebb bajuk is nagyobb ennél...

A Google és minden hasonló előrébb rangsorol, és ha van regisztráció, vagy valamilyen adatcsere, azért az manapság nem árt, hogy ha titkosított.

Aztán látod, hogy mégis én jövök ki első helyen, ha akarok...

Egyébként az üzemeltetőnek azért írhatnál, hogy ha már letsencrypt van, akkor esetleg frissülhetne automatikusan.

Szerintem megvan a maguk baja, nem akarom őket zavarni az olyan piszlicsáré nyavalyáimmal, hogy pár hupper folyton reklamál a cert miatt.

Egy harmadik dolog amire kevesen gondolnak, hogy még egy domain validated cert is valamennyire igazolja a weboldalt, és vélhetően nem egy DNS vagy egyéb eltérítős történet van épp. (A miért épp engem törnek meg kérdésre a választ az, hogy jellemzően nem válogatnak, hanem ipari szinten próbálkoznak mindennel, amivel csak lehet, simán a *.* -ot irányítják fertőzött szerverre, ha egy routert sikerült megtalálni.)

Ahhoz vagy oscomp.hu-s emailcím, vagy a Domain Regisztrátor közreműködése kellene és egyik sincs. Ugyan korábban volt olyan opció, hogy feltöltöttél egy validátorfájlt és azzal visszaigazoltad a CA-nak, hogy te vagy te, viszont ezt 2021 november 30.-ával minden CA végérvényesen megszüntette, mint lehetőséget, szóval ez az opció sem játszik.

Oldschool Computer - http://oscomp.hu

A Let's encrypt DNS vagy file validál egyébként, és automatikusan megy a script, teljesen elgendett kézzel lehet használni. Sőt, használom mindenféle módon, és helyen, remekül bevált.

A forgalom elterelés értelem szerűen valami MITM történet. Azaz, ha valahol a köztes hálózaton "pobléma" van, például egy sima soho routert megtörtek (amikre ipari mennyiségű minden van, mert 2-3 év után már nem jön frissítés), akkor ott eléggé szabad a pálya, de akár egy névszerver is válhat célponttá. A certes dolgot meg szerintem félreértetted, pont a cert az ami legalább esélyt ad kivédeni egy mitm dolgot.

Azt kell mondjam, hogy kénytelen vagy (vagyunk) legalább a nagyobb felhősökben bízni. Az emailezés, és mindennek az egyre nagyobb része történik ott, és ha nem bízol benne, akkor végső soron emailezned sem lenne szabad felhős "túloldallal".

A Let's encrypt DNS vagy file validál egyébként, és automatikusan megy a script, teljesen elgendett kézzel lehet használni. Sőt, használom mindenféle módon, és helyen, remekül bevált.

Kész... Ahhoz hozzáférés kellene a szerverhez, ami nincs! Hányszor írjam még le? A DVC-ből meg a filefeltöltéses verziót a CA-k 2021 óta nem teszik lehetővé; ott volt a link...

A forgalom elterelés értelem szerűen valami MITM történet. Azaz, ha valahol a köztes hálózaton "pobléma" van, például egy sima soho routert megtörtek (amikre ipari mennyiségű minden van, mert 2-3 év után már nem jön frissítés), akkor ott eléggé szabad a pálya, de akár egy névszerver is válhat célponttá.

Jó, mondom, hajrá. Ha eléritek, hogy az oscompról HTTP-n ne az jöjjön le nekem, amit letöltök, akkor fejet hajtok az érveitek előtt. Addig viszont ez FUD.

A certes dolgot meg szerintem félreértetted, pont a cert az ami legalább esélyt ad kivédeni egy mitm dolgot.

Ha már ilyen vadakat feltételezünk, hogy a szolgáltató routereit is megtörik, akkor ennyi erővel magát a szervert is megtörhetik. Akkor aztán pláne nem az fog lejönni, aminek kéne, HTTPS ide, vagy oda... Egyébként, tekintve, hogy a szolgáltató certjeit akceptálni szokták, így ha egy menetközbeni routert megtörtek, ott az MITM-től nem véd meg a HTTPS; erről is adtam már linket.

Azt kell mondjam, hogy kénytelen vagy (vagyunk) legalább a nagyobb felhősökben bízni.

Semmit se vagyok kénytelen. Bízni meg főleg nem.

Az emailezés, és mindennek az egyre nagyobb része történik ott, és ha nem bízol benne, akkor végső soron emailezned sem lenne szabad felhős "túloldallal".

Az, hogy hova küldök emailt, az nagyon nincs egy súlyban azzal, hogy hol tárolom a cuccaimat.

Oldschool Computer - http://oscomp.hu

Jellemzően a nagyüzemi megtörések a homerouterek ellen irányulnak, azért ott a dhcp-vel lehet random DNS-t osztani, ami aztán ki tudja mit ad vissza. A másik, hogy valóban szórják a szervereket is, de ott nem eltérítenek, hanem pakolják fel a malware tartalmat, és leginkább magát a tartalomkezelőket támadják. Az ssh bruteforce és hasonlóak, az inkább vaktyúk alapú, mert CMS fronton irgalmatlan problémák vannak.

Továbbra sem neked van felróva az üzemeltetői probléma, csak jelezni próbáltam, hogy azért ez nem egy megugorhatatlan dolog, hogy ha akarják persze.

A Let's encrypt továbbra is file alapon domain validál, legalábbis alaphelyzetben, nekik szabad? :) Igaz csak 3 hónapra szól a cert, és 30 napon belül lejárót megújít.

Hajrá, lehet megtörni az itthoni routeremet is...

Vagy jelen pillanatban van más bajuk is.

Felőlem szabad nekik, csak hogy lövöm be hozzáférés nélkül? Az egyetlen ami működhetne az a self-signed cert, de azt meg már nem eszik meg a browserek.

Oldschool Computer - http://oscomp.hu

Nélkülük van ez a Cloudflare...

A security témánál pedig ismét hangsúlyoznám, hogy nem a konkrét "te routered" a célpont, hanem adott gyártó aktuális, vagy valaha volt hibája, amire rámennek sajnos. Fantasztikus mennyiségű mindenféle ilyet látok a webszervereim access logjában, amik random weboldalon, IP címen látványosan valamilyen router hekket akarnak letölteni és indítani. A CMS vonal pedig szintén aggasztó.

Cloudflare, vagy más felhő nem játszik, már mondtam.

Hát, ez simán lehet, de ettől még a HTTP nem lesz kevésbé biztonságosabb ebből a szempontból, mint a HTTPS, legalábbis vezetékes hálózaton.
Én a HTTPS értelmét ott látom, amikor pl. mobilról netbankolnak és ezeket a wireless tranzakciókat megpróbálják a közelben elfogni és lehallgatni; na ott tényleg öngyilkosság a plaintext HTTP, viszont a HTTPS elég jó eséllyel meg fogja védeni az adatforgalmat; lehallgatni persze továbbra is tudják, csak kitörölhetik vele.

De ez itt nem az a case.

Oldschool Computer - http://oscomp.hu

Én ugyanezt mondom a ti mantráitokra. A HTTPS biztonságossága egy mítosz. Valódi biztonságot akarsz? Akkor használj VPN-t. És VPN alatt nyugodtan lehet plaintext protokollokat használni, mert mi a túrónak double encryption. Dehát ugye, aki a plaintext portok puszta létezése ellen harcol, annak ezt magyarázhatom... SSH-zzunk és SFTP-zzünk belső hálózaton is a sima RSH és FTP helyett, sőt a NAS web backendjét is használjuk HTTPS-en, nehogy egy belső hálózaton is beleturkásszon valaki a plaintext forgalomba.
Mondom, rizsa helyett lehet bizonyítani és beleturkálni a HTTP forgalmamba és lecserélni bármit, amit leszedek az oscomp-ról.

Egyébként nem válaszoltál a kérdésre, hogy ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Mi ez a kettős mérce? Illetve miért raktad fent idézőjelbe a "tartalmat"? Arra céloztál tán, hogy ami az oscompon van, az nem az?

Oldschool Computer - http://oscomp.hu

Neked beakadt valami... "Valódi biztonságot akarsz? Akkor használj VPN-t. " - Vannak fokozatok/szintek a biztonságban. A plaintext a legalja, a TLS-be csomagolt bármi jobb, ha a végpontot tudod hitelesen azonosítani közben, az még jobb, ha kölcsönös azonosítás van, az tovább javít a dolgon - és még lehet cifrázni hsm-mel, hardvertokennel a kliens oldalon, 2FA-val, miegyébbel - azt fogd fel, hogy ott, ahol harmadik fél eszközén/infrastruktúráján megy keresztül az adat, ott akár az a harmadik fél, akár más, aki az érintett eszközhöz hozzáfér beletúrhat a forgalomba, megismerheti, módosíthatja, mindezt úgy, hogy a végpontokon ezt nem fogod észlelni.

"Mondom, rizsa helyett lehet bizonyítani és beleturkálni a HTTP forgalmamba és lecserélni bármit, amit leszedek az oscomp-ról."

Ezzel az a bibi, hogy amit kérsz, az büncselekmény. De tutod mit, gondolatban menjünk végig, hogy mit lehet csinálni... Például hozzáférek a DNS-kérésekhez, amit a kliens indít. Mert látom a hálózati forgalmát. Jól irányzott válasszal azt mondom neki, hogy a www.oscomp.hu az az 1.2.3.4 címen érhető el. Ezen a címen előtte létrehozok egy másolatot az oldaladról, telerakva ransomware-rel. De ha valamelyik "út közben" lévő routerbe sikerül "belepiszkálni" (nem a tiedbe, hanem a végponton, a kliensnél lévőbe, vagy bárhol a kliens és az oscomp.hu között, akor is eltéríthető a forgalom a támadó szervere felé, ahol át fog folyni a teljes adatforgalom, és szépen át lehet vakarni, ha a támadónak úgy tetszik.

A másik beakadásodról csak annyit, hogy a tartalomnak része az is, hogy hogyan néz ki...

 

A plaintext a legalja, a TLS-be csomagolt bármi jobb

#define jobb Mire jobb? Minek titkosítsak szarrá idehaza mindent? Ki fogja azt feltörni? Vagy akár az oscomp forgalmát...

Ezzel az a bibi, hogy amit kérsz, az büncselekmény.

Miért lenne? Azzal, hogy én itt írásban felkértelek arra, hogy hackelj meg, engedélyt kaptál egy biztonságtechnikai tesztre; ha feltörsz, én kértelek rá, ez etikus hackelés. (Egyébként meg nem értem, hogy most hirtelen miért zavar, hogy bűncselekményt követnél el ellenem, amikor szakmányban csinálod ezt: tudniillik, amikor alaptalanul megvádolsz engem egy bűncselekménnyel (pl., hogy egy filmwarezoldal 24-órás blokkját IP-cserével kikerülni lopás és még sorolhatnám), akkor is bűncselekményt - rágalmazást - követsz el ellenem.)

Például hozzáférek a DNS-kérésekhez, amit a kliens indít. Mert látom a hálózati forgalmát.

Igen és ha gondolatátvitellel tudsz engem irányítani, akkor simán alásétáltatsz egy vonatnak és azt se veszi észre senki. Hogy férnél te hozzá a DNS kérésekhez? Hogy látnád te a hálózati forgalmát? Ne rizsázz...

A másik beakadásodról csak annyit, hogy a tartalomnak része az is, hogy hogyan néz ki...

Tehát mégis jól értettem én és úgy értetted, hogy ami az oscompon van, az nem tartalom. Mert úgy néz ki. Usque 80-100 publikált program/unit/library/stb. az nem tartalom, mert úgy néz ki, ahogy... Ez egy forráskódnál, vagy binárisnál nagyon fontos szempont, hogy hogy néz ki. A weblap, ahonnan letöltöd. Hát szerinted, erre ezt tudom mondani. Nem te döntöd el, mi minősül tartalomnak. És ha már a kinézetnél tartunk, szerintem a te gagyi honlapod sokkal trébbül néz ki; nézd már meg ott a balszélen azt a semmi közepébe bebaszott zellert: hát hogy néz már az ki? Hát látom a pixeles körvonalait. Te osztasz engem esztétikából? Te? Röhögnöm kell.

Amúgy megint nem válaszoltad meg azt a kérdést, hogy ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Mi ez a kettős mérce? És nem, ez nem beakadás, ez fényesen rávilágít arra, hogy miféle ember vagy te. És minden alkalommal, amikor megint nekiállsz engem, vagy a cuccaimat mocskolni, elő fogom venni és az orrod alá fogom dugni. Mert természetesen pontosan tudom, hogy nincs rá válaszod: egyszerűen csak kettős mércével mérsz és neked szabad gyerekes módon gúnyt űzni bármiből, nekem meg nem. Mert ezt te döntöd el. Mint ahogy azt is, hogy mi minősül tartalomnak. Quod licet Iovi, non licet bovi. És te döntöd el, ki Jupiter és ki az ökör.

Álmodban. Se.

Oldschool Computer - http://oscomp.hu

Azzal, hogy én itt írásban felkértelek arra, hogy hackelj meg, engedélyt kaptál egy biztonságtechnikai tesztre >

jogilag Te is saros vagy ezesetben, mert olyan dologra kerted meg, ami BTK. kategoria, ugy, hogy a szerver nem a tied es meg a tarhelyhez sincs jogilag kozod, nincs szerzodesed. :D csakmondom. Sot, igazabol mar felbujto lettel, szoval innentol kezdve a magad reszet le is tudtad, arra kered a HUPpereket, hogy torjenek meg egy szervert es/vagy modositsak/hamisitsak meg annak kiszolgalt tartalmat... well done.

"rágalmazást " > akkor tenne ilyet ha valotlant allitana - de Tenmagad mondod, hogy azt csinalod, amit. a masik oldal maximum abban teved vagy sem, hogy ezt eppen a jog minek is nevezi. :D

es meg a tarhelyhez sincs jogilag kozod, nincs szerzodesed.

De van. Eredetileg havonta 1 Ft volt nekem 1 MB, csak utána megcsináltam nekik szívességből valamit és ez volt a viszontszívesség, hogy egy darabig ingyen lesz. Szóval ezt buktad, nagypofájú.

arra kered a HUPpereket, hogy torjenek meg egy szervert

Megint hazudsz, mert ilyet nem kértem.

es/vagy modositsak/hamisitsak meg annak kiszolgalt tartalmat

A tartalom és a tárhely az enyém, szóval erre megkérhetem. Te viszont most szintén elkövetted a rágalmazást, amikor felbujtással vádoltál alaptalanul.

akkor tenne ilyet ha valotlant allitana - de Tenmagad mondod, hogy azt csinalod, amit. a masik oldal maximum abban teved vagy sem, hogy ezt eppen a jog minek is nevezi. :D

Megint hazudsz. Egyrészt azért, mert ez csak egy példa volt és számos esetről beszélünk. Másrészt azért, mert egy adott tevékenységre falsul ráhúzni egy BTK-s kategóriát, vagy csak szimplán illegálisnak minősíteni, az rágalmazás. Lefestem a házamat és ő meg azt állítja, hogy ez garázdaság és illegális. Harmadrészt abban a konkrét példában is valótlant állított, mert egyfelől a magyar jog magáncélú felhasználásra nem tiltja a letöltést, tehát nem illegális, ahogy ő állította és nem is lopás, mert fizikailag nem vittem sehová az adott tartalmat. Ez nem jogi tévedés, hanem közönséges rágalmazás.

Viszont úgy látom, hogy te eltökélted, hogy rámszállsz és nem hagyod abba a baszogatásomat, meg a rólam való hazudozást. Ennyit arról, hogy te segíteni jöttél ide. Nem, te engem baszogatni, meg hazudozni, belemagyarázni, mocskolódni jöttél ide. Álszent, butthurt csicska vagy. Mi a baj? Mitől fáj a segged? Valami komplexusod, vagy traumád van velem kapcsolatban? Vagy csak simán egy rosszindulatú patkány vagy? Keress fel egy pszichiátert. Részemről permanensen ignore-ra kerültél, szórakozz mással.

Oldschool Computer - http://oscomp.hu

Ennyi, be is zarhatnak a pentest cegek, kesz, vege, a megrendelok mehetnek a sittre. :)

arra kered a HUPpereket, hogy torjenek meg egy szervert es/vagy modositsak/hamisitsak meg annak kiszolgalt tartalmat

Nem kert ilyenre senkit. A feladat egy MITM tamadas megvalositasa, hiszen pont arrol van szo, hogy https nelkul ott lesz a tamadasi vektor. Ha a szerverhez hozzafersz, akkor mar tokmindegy, hajadra kenheted a DV certedet.

Marmint hogy valaki megbiz egy serulekenysegvizsgalattal, es te csinalsz egy PoC kornyezetet, ahol TCH a laptopjarol megnyitja az oldalt, es a deface-elt szenny jon be? Nem, szerintem az nem Btk-s, bar teny, hogy nem vagyok buntetojogasz. En rendeltem mar meg ilyen vizsgalatot, es legjobb tudomasom szerint nem lettek sem a pentester ceg dolgozoi lesittelve, sem en, pedig mar evek ota befejezodott a projekt.

Ehhez nem kell valos szolgaltatast kell szetbaszni, ha volt ilyen elkepzeles barki reszerol, az hiba, ugord at.

es te csinalsz egy PoC kornyezetet, ahol TCH a laptopjarol megnyitja az oldalt

Mondjuk, ha jól sejtem, ez elég egyszerű - elég a poc környezetet úgy felállítani, hogy „hey TCH, csatlakozz erre a WiFi-re pls”, nem?

A kommentfolyamban a feladatkiírás, hogy ne legyen PoC környezet, és TCH az otthoni netjéről megnyitva a weboldalt is valami mást kapjon, nem? Ehhez pedig fel kell nyomni valaki köztes szereplőt (ami valszeg nehéz, és ilyen szempontból ha TCH megbízik a végpontja és a szerver közt minden szolgálatóban, akkor sok félnivalója nincs valszeg)

Nem véletlenül nem használok WiFi-t. :)

Köztes szereplőt nem feltétlen kell felnyomni; a legegyszerűbb, ha besétálnak éjszaka, vagy távollétemben a telkemre, elvágják kint az optikát a tető közelében és mindkét végét bedugják egy MITM-elésre felkészített bridge-be/router-be/whateverbe és máris lehallgathatják/módosíthatják a HTTP forgalmamat.
És nem, ez nem BTK-s, mert én kértem fel őket és implicit (ill. most már explicit) engedélyeztem ezt; a security breach-ba ez is belefér és írásos engedélyt kaptak itt. Persze, ha rajtakapom őket, akkor a kísérlet megbukott, mert normál esetben (igazi behatolókkal, nem felkért kollégákkal) természetesen fejbecsapkodnám őket a vaslapáttal, majd kihívnám rájuk a szonikokat.
De ha sikerül, akkor ők nyertek, igazuk volt, meg lehetett MITM-elni a HTTP forgalmamat, vezetékes hálózaton keresztül. Szavam nem lehetne, én kértem. Hogy ehhez tudniuk kéne, hogy ki vagyok és hol lakok? Hát ezt nyugodtan vehetjük nulladik védelmi vonalnak. :)

A szolgáltatókban természetesen nem bízom meg, de az oscompra mindent én töltöttem fel és tudom, hogy minek kell lejönnie és egyébként sincs ott semmi, amit érdemes lenne hijackelni, vagy ellopni.

Oldschool Computer - http://oscomp.hu

Mondjuk, ha jól sejtem, ez elég egyszerű - elég a poc környezetet úgy felállítani, hogy „hey TCH, csatlakozz erre a WiFi-re pls”, nem?

Tulajdonkeppen igen, de a PoC csak az egyik fele a dolognak, a merleg masik oldalan ott van a konkret forgatokonyv. Peldaul ha TCH csak VPN-en keresztul netbankol, akkor a teszt soran is csak VPN-en keresztul netbankoljon.

Attol fugg. Ha a vizsgalatot olyan eszkozre rendelted meg ami a tied, OK. Ha masera, na az ott mar erosen szurke zona, de inkabb azt mondanam BTK. Mivel TCH egy shared hostingon van, nem csak az o adatai vannak ott es nem o a tulaj.

De ha POC kell az mar itt van. Volt szerencsem uzemeltetni ilyet.

Es ha visszaemlekszel a 2010-es evek eleje kornyeki hup https rinyara, a corporate FW-k is pont azert nem engedtek a https-t, mert abban rohadt nehez lett volna turkalni. Sokaig az volt a mondas, hogy ezert nincs/nem lesz.

Felnyomok egy weboldalt, teleteszem kártevőkkel, teszek rá https, mert tudom írni a weboldal tartalmát ugye, a cert ingyen van, beszopod, b+?

Ismét megkérdezem: miben és mi ellen véd, ha van rajta https, b+? :D

Amit keresel az értelmező szótárban az a false sense of security és a security by obscurity definíciója.

https://iotguru.cloud

nem ez ellen ved. amit keresel a szotaradban, az a MITM mitigation es owner validation.
a cert arrol szol, hogy validaltad, hogy a domain a tied es nem tudja minden ver istvan hamisitgatni utkozben az adatodat.
az ellen nem ved ha megbasznak es/vagy ransomware-t raksz az oldaladra, meg az ellen se, ha _utana_ fogod es odaadod barkinek, hogy hasznalja, es/vagy a dyndns CNAME-hez tartozo tokened is odapasszolod...
az, hogy nem erted a cert mire valo es mire nem, nem a cert problemaja...

kb. mintha azt mondanad a bankkartya+pin kod lofaszt se er, mert te a bankkartyad mellett tarolod a pin kododat, majd kidobod a tarcad az ut kozepere es igy leveszik a penzed az automatabol...

az a MITM mitigation es owner validation

Egyik ellen se véd az ingyenes cert... ha úgy gondolod, hogy ezek ellen véd, az csak hamis biztonságérzet.

a cert arrol szol, hogy validaltad, hogy a domain a tied es nem tudja minden ver istvan hamisitgatni utkozben az adatodat.

Ez ellen sem véd az ingyenes cert... ha bárki feltöri a weboldalt, tud generálni érvényes cert-et, lopja két pofára az adataidat, de a cert miatt te és sokan mások megnyugszanak, hogy itt biztonság van.

https://iotguru.cloud

"te és sokan mások megnyugszanak, hogy itt biztonság van" - A DV cert azt bizonyítja, hogy az, aki igényelte, az megfelelő jogosultsággal rendelkezett a szerveren ahhoz, hogy tanusítványt igényeljen az adott host.domain nevére. Az ennél magasabb szintű certek azt tanusítják, hogy a certet olyan igényelte, aki az adott domainnek jogosult tulajdonosa/használója.

Ezen felül azt is mutatja, hogy az adatfolyamot nem módosították út közben.

 

A DV cert azt bizonyítja, hogy az, aki igényelte, az megfelelő jogosultsággal rendelkezett a szerveren ahhoz, hogy tanusítványt igényeljen az adott host.domain nevére.

Oszt ez mit jelent biztonsági szempontból, amiről most épp szó van? Mitől lesz biztonságosabb egy gyütt-ment által igényelt ingyenes cert, mint ugyanott egy szimpla http, hogy le kell tiltani a http protokollt és tócsákat kell sírni mindig a földre, hogy nem éri el, mint http a link?

https://iotguru.cloud

Ha te azt hiszed, hogy megvéd ettől az ingyenes cert, amikor csak boldog és boldogtalan kap ilyet, akkor... ott vagyunk újra, hogy van egy hamis biztonságérzeted. Szóval még mindig ott tartunk, hogy letiltani a böngészőben azért a http protokollt, mert nem biztonságos és tócsákat sírni, mert valami csak http protokollon érhető el, az nettó faszság.

https://iotguru.cloud

"boldog boldogtalan kaphat"  - Nem. Az kaphat, aki az adott domain/szerver feletti rendelkezési jogát prezentálni tudja. Kérlek, mutass be egy mondjuk kispipacs.turablog.info szervernévre publikus, böngészők által elfogadott CA által kiadott certet. Elég, ha DV certet mutatsz.
Illetve mutasd be azt, hogy hogyan tudsz közbeékelődni egy kliens és publikus, böngészők által elfogadott CA által aláírt certtel rendelkező szerver közé úgy, hogy azt a kliens oldalon nem lehet észlelni - eltekintve a céges ssl-bontó proxy tűzfalaktól, ahol a céges CA, mint megbízható fel van véve a munkavállalók által használt gépeken.
 

Ha így van, kérném a fentebb említett hostra (kispipacs.turablog.info) a certet bemutatni. Köszönöm. És sokadszor: nem a tartalom biztonságosságát hirdeti, hanem a túloldalt azonosítja _és_ azt biztosítja, hogy tudd, _nem_ változott meg az adat a szerver és a böngésződ között, valamint azt, hogy harmadik fél az átvitt információhoz a végpontok kivételével nem férhetett hozzá.

 

owner validation.

H'ja, csak egesz eddig DV-rol volt szo, az meg egesz pontosan annyit validal, hogy aki a certbotot futtatja, az a DNS zonat is tudja irni. Vegso soron a http challenge is ennyit validal csak, mert semmi nem irja elo, hogy a .well-known ugyanott legyen, ahol a kesobbi kontent: ha megvan a cert, oda iranyitod a domaint, ahova akarod.

Nyilván oda kell mutasson, de ez alapvetően szokott működni, ha http elérhető a webtartalom, amit tudok módosítani, viszont attól kezdve van egy valid cert-em egy valid domain-re, amit tudok használni MITM-re is akár, hogy szép zöld legyen a címsor. Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is...

https://iotguru.cloud

kevered a szezont a fazonnal
miert kellene tudnod belenyulni a dns-be attol, hogy a http streamben valahol koztes lehetsz es forditva? ezt magyarazd mar el, legyszi :D
ugy gondolod a dns-t az a webszerver szolgalja ki aki a http-t? :D vagy mivan??? :D

elolvastam es ez egy ordas nagy baromsag ugyebar " Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is..."
a kettonek koze nincs egymashoz, nem jon egyik a masikbol.

ha a dns-hez hozza tudsz nyulni, onnantol oda viszed a tartalmat meg a certet is ahova akarod, mert a tied a domain, onnantol meg minek kene mitm-elni?

neked elment az ertelmezesed kenyaba :D

- Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is...
- miert kellene tudnod belenyulni a dns-be attol, hogy a http streamben valahol koztes lehetsz es forditva? ezt magyarazd mar el, legyszi :D
ugy gondolod a dns-t az a webszerver szolgalja ki aki a http-t? :D vagy mivan??? :D
- Próbáld meg néha elolvasni és megérteni, amit írok, szerintem sokat segítene.
- elolvastam es ez egy ordas nagy baromsag ugyebar " Ha bele tudok nyúlni a http protokollba (ami ugye a félelem), akkor a DNS-be is..."

- ha a dns-hez hozza tudsz nyulni, onnantol oda viszed a tartalmat meg a certet is ahova akarod, mert a tied a domain, onnantol meg minek kene mitm-elni?
- Sigh... nem.
- mit nem? azon vitazol, hogy ha kezeled a domaint nem irhatod at az A/AAAA rekordot es kerhetsz arra valid certet? :D

ez hogy jon ide vagy mire valasz? :D
- Leírom ismét: nem kell a valid cert-hez DNS-hez nyúlni.

Melyik musort nezed?

1: a belenyulas a http-be semmi kapcsolatban nincs azzal, hogy tudod-e basztatni a DNS-t vagy sem. megcsak nem is egy fele szolgaltatasrol beszelunk. egy ordas nagy baromsag amit irtal.

2: ha tudod basztatni a DNS-t oda viszed az A rekordod ahova csak akarod. (es lehet is certed ra, hisz oda mutat hozzad)

Melyik resze nem vilagos?

nem, ez igy egy ordas nagy baromsag, a http keres kurvara nem kell arra menjen, es legtobbszor nem is arra megy, mint a dns... eleg ritka scenario, hogy egy random weboldal legyen a DNS kiszolgalod is. teljesen mas interface fele is route-olhatom. sot, localhoston is lehet a dns-em, akar hosts file-t is hasznalhatok.
a kettonek 0 koze van egymashoz ebbol a szempontbol.
jatszatsz mitm-et kozvetlen a kiszolgalo webszerver elotti utolso hop-on is, attol a kliens DNS kerese nem fog arra menni...

nem, ez igy egy ordas nagy baromsag, a http keres kurvara nem kell arra menjen, mint a dns... teljesen mas interface fele is route-olhatom. sot, localhoston is lehet a dns-em, akar hosts file-t is hasznalhatok.

Hogyne, lehet localhost-on a teljes internet is, ez nem befolyásolja azt, hogy a DNS query ugyanúgy eltéríthető, mint a HTTP.

https://iotguru.cloud

Azt nem tudom miért nem "megy át" hogy egy globális DNS eltérítésre is szükség van egy ilyen cert megszerzéséhez, de mindegy is.
Én úgy gondolom a DNS egy teljesen különböző faktor mint a HTTP.

Szerintem a Letsencrypt-esek is így gondolták, és ők - valamint a milliónyi felhasználójuk - is úgy gondolta hogy ez a két faktor már elegendő biztosíték ahhoz hogy egy Letsencrypt certificate rákerüljön a site-ra és a forgalomra és az többet jelentsen a semminél. 

Gábriel Ákos

Én tudnék ugyanennek a szervernek egy másik certet csináltatni?

http://test.enaplo.hu virtualhostot tudok itthon csinálni. Azt is meg tudom oldani hogy a helyi gépeim azt gondolják hogy az én serverem a valódi http://test.enaplo.hu.

Self signed cert-tel https://test.enaplo.hu -t is tudnék csinálni.

De olyan https certificate-et amit a letsencrypt bocsájtott ki és a test.enaplo.hu-ra "zöld" a böngészőben nem vágom hogy hogyan tudnék csinálni.

Gábriel Ákos

De, elég. Nem kell a DNS-hez nyúlni, ugyanazt a cert-et kapod, ha http protokollon adod meg a token-t, lásd például: https://medium.com/@tsui.gordon.9/generate-let-encrypt-ssl-certificate-….

Annyi a korlátozás, hogy ilyenkor nem adnak wildcard cert-et, csak konkrét domain-re szólót. Van több ilyen cert-em is.

https://iotguru.cloud

az egyik http challenge a masik domain validalas.
https://en.wikipedia.org/wiki/Domain-validated_certificate
ne keverd a szezont a fazonnal...
csak akkor kapsz teljes domainre valid certet, ha DNS alapon azonositasz, a http challenge ehhez edeskeves.

A letsencrypt szerint ők DV certet adnak (az opposed to OV [Orgnanizational] és EV [Extended]).

Nem csak a *-os cert a DV, egy konkrét domainre szóló cert is DV, a challange mechanizumus technikai részletkérdés ebből a szempontból. A HTTP challenge is azt validálja, hogy a konkrét domain felett van kontrollod. És azért nem ad csillagosat, mert ezen a módon csak arról a konkrét domainről lehet belátni, hogy kontrollod van felette, míg mikor DNS challange van, akkor azt lehet belátni, hogy bármely subdomain felett is kontrollod van, tehát ad olyan certed, amely bármely subdomainre is jó lehet.

Az idézett linkedben a http challange az issuing criteria 4. pontját csinálja a gyakorlatban.

Nem subsetje, hanem egyik fajtája. Te kevered a szezont a fazonnal :) Illetve hát él egy koncepció a fejedben, hogy mi a DV cert definíciója, ami egyébként logikus, lehetne az is, de nem az van. Nem a *-os cert az igazi DV. A DV azt jelenti, hogy azt verifikálták, hogy kontrollod van-e az adott domain felett, az OV és az EV, pedig azt vizsgálja, hogy ki kér, illetve, hogy aki kér, annak megvan-e a megfelelő jogi alátámasztása arra, hogy ezt kérje. Ez a különbség, nem az, hogy milyen módon validálják a domainhez való hozzáférést.

Az ACME protokoll, amit a letsencyrpt használ arra való, hogy az validálja, hogy van e kontrollod a domain felett. Minden challange metódus erre való. Minden letsencrypt által kiadott cert DV cert. És erről a letsencyrptnek is ez a véleménye.

subset

 

noun

noun: subset; plural noun: subsets; noun: sub-set; plural noun: sub-sets

  1. a part of a larger group of related things.

Things:

  • Response to email sent to the email contact in the domain's whois details
  • Response to email sent to a well-known administrative contact in the domain, e.g. (admin@, postmaster@, etc.)
  • Publishing a DNS TXT record
  • Publishing a nonce provided by an automated certificate issuing system
     

The part: Publishing a nonce provided by an automated certificate issuing system

Egyébként az a baj, hogy rossz tengelyen mozogsz. Azt hiszed, hogy a DV az a milyen technikai részletet validálunk, hogy konkrétan a dns bejegyzést, vagy mást, miközben a DV/OV/EV felosztás nem erről szól, hanem arról, hogy mi az, ami validálásra kerül: DV: hozzáférésed van, OV: te vagy te, EV: te vagy te, és jogod van a domainhez). OVt szerverhez nincs is értelme. Csak mindnek elég fos a neve, de olvasd a DVt Technical Verificationnak, ha úgy jobban átjön.

Ehhez képest te azt hiszed, hogy a technikai hozzáférésen belüli különböző mit validálunk mentén vannak más nevek, de nem, ők mind DV.

Ha szemantikázni akarsz*, akkor viszont a *-os csak egy subsetje a DVnek, nem a 4. hanem a 3. pont a linkedben. És akkor is pont ugyanolyan, egyenrangú DV cert a *.example.com meg a test.example.com certificate, szóval mindegy, így is-úgy is dv.

*de egyébként nincs igazad, a part

noun

  1. 1.

    an amount or section which, when combined with others, makes up the whole of something.

    "divide the circle into three equal parts

A vagylagos izék nem akkor adják a DVt, ha when combined with others, tehát azok nem partok, következésképp nem subsetek

Igen, a *-os is csak egy subsetje.

A doksi ezt mondja a felsorolas elott: "using one of the following"

A "following" egy lista, 4 elemu, aminek minden eleme a lista egy subsetje (igaz csak 1 tagu, de ez mar csak terminusz teknikusz lvl100, valaszthatjuk akar a http challenge es email-t is belole)

Legalabbis szerintem. De ebben akar tevedhetek is es ilyet tilos mondani :D

DV = madár

*.example.com = gólya

akarmi.example.com = veréb

Beláttuk, hogy a definíciós lista elemei között nincs alá-fölé rendelő viszony. Azt is beláttuk, hogy ezért nem hívják subsetnek, hanem max fajtának (alternatívának). Következésképpen ha az egyik DV, akkor pont ugyanolyan DV a másik is. Azt az állításod, hogy a *-os cert volna rovar, és "sima" a bogár nem támasztja alá semmi. 

Igen, másképp néznek ki, az egyik kicsi és barna azt látja bizonyítottnak, hogy konkrétan az akarmi.example.com domainnéven futó webserver felett van kontrollod (igen, még a webszervert is beleírja az így validált certbe), a másik meg fekete fehér hosszúcsőrű azt, hogy bármelyik example.com subdomain felett van kontrollod, és erről ad egy tanúsítványt. Mindkettő madár Domain Validated certificate.

mert egy lista elemei nem subsetjei a listanak?

lista:1, 2, 3, 4

Subsets

16

Proper Subsets

15

Other Results

1subset with no elements.

4subset with 1 elements.

6subset with 2 elements.

4subset with 3 elements.

1subset with 4 elements.

Subsets

{},{1},{2},{3},{4},{1,2},{1,3},{2,3},{1,4},{2,4},{3,4},{1,2,3},{1,2,4},{1,3,4},{2,3,4},{1,2,3,4}

Ettol meg csak a {1,2,3,4} lesz a definicioja a listanak. Cserebe ezek a subsetjei.

csak akkor kapsz teljes domainre valid certet, ha DNS alapon azonositasz, a http challenge ehhez edeskeves.

Lófaszt már, negyedik pont, önmagában elég és DV cert lesz belőle.

Typically control over a domain is determined using one of the following:

  • Response to email sent to the email contact in the domain's whois details
  • Response to email sent to a well-known administrative contact in the domain, e.g. (admin@, postmaster@, etc.)
  • Publishing a DNS TXT record
  • Publishing a nonce provided by an automated certificate issuing system

https://iotguru.cloud

Jézus, ehhez komolyan színes kréta kell:

The sole criterion for a domain validated certificate is proof of control over whois records, DNS records file, email or web hosting account of a domain[1]. Typically control over a domain is determined using one of the following:

  • Response to email sent to the email contact in the domain's whois details
  • Response to email sent to a well-known administrative contact in the domain, e.g. (admin@, postmaster@, etc.)
  • Publishing a DNS TXT record [2]
  • Publishing a nonce provided by an automated certificate issuing system [3]

 

  • [1] Bármelyik ilyen kritériumnak megfelelő certificate domain validated (vagylagos kapcsolat van a dolog tagjai között)
  • [2] a dns challange
  • [3] a http challange
  • [2] nem a lista, az a lista egyik eleme.
  • [3] nem a lista, az a lista egyik eleme.
  • [2] és a [3] egymással ekvivalensek.
  • Mivel [2] nem a lista, ezért nem felérendeltje [3]
  • A vagylagos feltétel miatt [2] és [3] ugyanúgy önmagában teljesíti a az [1]-et, tehát mindkettő Domain Validated certificate.

Na most a subsetre, annak definíciója

noun: subset; plural noun: subsets; noun: sub-set; plural noun: sub-sets

a part[4] of a larger group of related things.

A part definíciója:

an amount or section which, when combined with others[5], makes up the whole of something.

Mivel nem szükséges, hogy a lista elemei ([2] és [3]) együtt adják ki a DV-t [1], ezért azok nem partjai ([14) a DVnek. Ebből következik, hogy [2] és [3] nem subsetje [1]-nek.

Minden normális emberi számítás szerint [2] és [3] típusai/alternatívái [1]-nek, és ugyanúgy önmagukban DV-k.

És továbbra is, ha még ha subsetnek mondjuk és [2] és [3]-at, akkor is mindketten a DV subsetjei nem [3] a [2] -nek, egymással ekvivalensek, tehát mindkettő önmagában [1].

megegyszer: ezt irja a wikipedia:

"determined using one of the following: "

szerinted a "one of the following" az nem lista? akkor micsoda is?

A DV a lista osszes elemet jelenti. a lista barmely tagja alkalmas DV cert keresere.
de a lista egyetlen eleme nem reprezentalja az egesz listat. legalabbis en ezt igy tudom :)

A DV a lista osszes elemet jelenti. a lista barmely tagja alkalmas DV cert keresere.
de a lista egyetlen eleme nem reprezentalja az egesz listat. legalabbis en ezt igy tudom :)

Nem azt vitatom, hogy nem lista, hanem azt vitatom, hogy és kapcsolat van köztük. Te is belátod ezt, magad is írod, hogy "bármely tagja alkalmas" DV cert kérésére. Ez a mondat azt jelenti, hogy bármely tagját ha csinálom akkor DV certet kapok.

És mivel ez a lista nem egy és lista (tehát nem subsetek), ezért de, bármely eleme megfelel a típusnak. A gólya is madár, meg a veréb is madár.

De ha a te logikád alapján, mivel mindkét challange típus eleme a listának, egyik sem DV cert, hiszen egy eleme nem reprezentálja az egész listát. Az sehogy nem jön ki belőle, hogy a *-os DV, a másik meg nem DV. Vagy mindkettő az, vagy egyik sem (ekvivalensek). Te úgy csinálsz, mintha a csillagos lenne a lista, nem az is egy eleme lenne. De ezt nem támasztottad még alá semmivel.

en azt mondtam, hogy van egy 4 elemu listad, aminek elemei egyutt adjak a DV definiciojat.

Az a lista egyrészt úgy kezdődik, hogy "tipically". Másrészt nem attól lesz DV egy cert, hogy mind négy challenge teljesül, elég egynek teljesülnie, ráadásul nem csak ez a négy challenge van, ezek csak a gyakran használt példák.

nem kulon kulon mondjak meg mint jelent a DV.

De: bármelyik eredménye egymástól függetlenül egy DV cert.

https://iotguru.cloud

Másrészt nem attól lesz DV egy cert, hogy mind négy challenge teljesül > es ezt nem is mondam egy szoval sem, csak ti hozzatok ide valamiert ujra es ujra.

"nem kulon kulon mondjak meg mint jelent a DV.

De: bármelyik eredménye egymástól függetlenül egy DV cert."
teljesen masrol beszelunk.

Másrészt nem attól lesz DV egy cert, hogy mind négy challenge teljesül > es ezt nem is mondam egy szoval sem, csak ti hozzatok ide valamiert ujra es ujra.

Te kevered mindig ide, hogy együtt adják ki a definíciót... :D

teljesen masrol beszelunk.

Azt tudjuk.

https://iotguru.cloud

Nem, te azt mondtad hogy a lista egyik eleme [http challenge alapján kiállított cert] nem DV, a másik [dns challenge alapján kiállított  *os cert] meg az.

És nem, nem együtt adják: hogy téged idézzelek:

megegyszer: ezt irja a wikipedia:

"determined using one of the following: "

Ez minden univerzumban azt jelenti, hogy ahhoz, hogy valami DV legyen az alábbiak közül egy kritériumnak kell teljesülnie. Ahhoz, hogy eldöntsük, hogy van e kontroll a domain felett, ezek közül az eljárások közül egyet végzünk el. Ha ennek az eredménye sikeres, akkor megfelel a "The sole criterion for a domain validated certificate"-nek, tehát ki lehet állítani egy domain validated certificated. Szóval az ez alapján kiállított certificate egy domain validated certificate. Bármelyik alapján kiállított certificate egy domain validated certificate. A csillagos domain validated certificate. A nem csillagos is domain validated certificate. A certificate subjectjébe meg az a domain kerül, amit validált a challange. Az egyikbe a *.ovoda.hu, a másikba a dorsy.ovoda.hu. És mindkettő Domain Validated certificate.

Ne haragudj, ennél egyszerűbben nem tudom leírni. A DV cert kiállításának feltétele, hogy a lista egy eleme teljesüljön. Bármely így kiállított cert egy DV cert.

Egy szóval nem állította senki, hogy a lista egy eleme a lista definíciója.

A subset meg már csak egy próbáld értelmezni az angol nyelvű mondatot alszál, alapvetően halmazelméletet erőltetsz egy formális logikával leírandó problémára, de már többször írtam, nekem mindegy, hívd subsetnek, ha ez jobban esik (bár még csak nem is subset, mert simán csak member), lényegtelen. 

A DV cert kiállításának feltétele, hogy a lista egy eleme teljesüljön. Bármely így kiállított cert egy DV cert. > igy van, leritam en is mar parszor.
Egy szóval nem állította senki, hogy a lista egy eleme a lista definíciója. > akkor min is vitazunk igazabol?
A subset meg az ami. Fentebb ott a definicioja.

akkor min is vitazunk igazabol?
 

Azon, hogy ennek ellenére, hogy

 igy van, leritam en is mar parszor.

Szerinted a *.izehozé DV cert, az akarmi.izehozé meg nem DV cert. Én ezt az állításodat vitattam, és valahogy az összes "értem"-ed után jött egy de, ahol magyarázod, hogy "de". 

A subset meg az ami. Fentebb ott a definicioja.

Az egyik. Én meg hoztam neked egy másikat. Mint mondtam, ez nem egy halmazelméleti kérdés. 

olyannal vitazol, amit nem allitottam.
azt allitom meg most is, hogy pl. a http challenge onmagaban nem a domain validation es nem keverendo.
es azt, hogy "csak akkor kapsz teljes domainre valid certet, ha DNS alapon azonositasz, a http challenge ehhez edeskeves."

Megbocsáss, de nem:

nem, ahhoz pont nem eleg :) dns validacio kell, hiszen benne van a neveben :D "Domain Validation (DV)"

Pontosan azt állítottad, hogy a domain validáció csak a dns validáció. Én személy szerint végig ezt vitattam. Mindezt egyébként arra tetted, hogy Frankó mondta, hogy a dnshez sem kell hozzáférni a DVhez.

Szóval de, te ezt állítottad, és én egészen végig ezt vitattam.

ez nem eleg:
"Még csak annyit se, elég egy írható webtartalom."
erre volt valasz, hogy
"nem, ahhoz pont nem eleg :) dns validacio kell, hiszen benne van a neveben :D "Domain Validation (DV)""
kiragadod a kontextusbol a mondatot :) ugy nem nehez felreerteni

Nem ragadok én ki semmit sehonnan. Megpróbálom még egyszer.

gelei nyitója:

H'ja, csak egesz eddig DV-rol volt szo, az meg egesz pontosan annyit validal, hogy aki a certbotot futtatja, az a DNS zonat is tudja irni. 

Ennek az első mondatában a DV nyilvánvalóan a Domain Validated cert. Erről később megállapítottuk együtt, hogy mind a dns challenge, mind a http challange eredményeképpen egy domain validated cert kerül kiállításra, ugye.

gelei azt állítja, hogy a DV csak annyit validál, hogy aki kéri a certet, tudja változtatni a zónát.

Erre jön _Franko_:

Még csak annyit se, elég egy írható webtartalom.

Ebben az van, hogy igazából ennél kevesebb is elég, mert a http challangehez elég, ha a [domainnéven elérhető] webtrartalmat tudja írni, az már DV certet eredményez. Amiben megegyeztünk, hogy igaz.

Erre jössz te:

nem, ahhoz pont nem eleg :) dns validacio kell, hiszen benne van a neveben :D "Domain Validation (DV)"

Ezt én nem tudom, hogyan lehet miből kiragadni, hogy ne azt jelentse, hogy a DV certhez dns alapú validáció kell, és a http alapú validáció szerinted nem DVt eredményez. Egyszerűen összekeverted/mostad magadba az ACME DNS-01 challange típusú validációját a Domain validated certificate fogalmával.

igen, csak eppen pont kifelejted a beszelgetes ezen reszet is:

( gabrielakos v | 2023. 06. 15., cs – 08:36 )

Ahhoz kell DNS hogy a challenge-response-t a DV le tudja húzni a webserverről. 

ugyanis az onmagaban edeskeves, hogy van egy webtarhelyed amit irogatsz, ha nem csinalsz DV-t.

nem tudom, hogyan kellene szebben leirni, hogy masra gondolsz, mint amit leirtam, de valoban, igy kiragadva felre lehet erteni.

a masik felreertes, hogy amikor azt irtuk DV en a validaciora gonoltam, ti meg a cert tipusara, de az ugye ket kulon dolog

ugyebar egyebkent sem szokas/jo otlet shared hostingban user altal mokolhatova tenni a .well-known-t + a webszerver konfigot ha LE lehetoseget adsz a usernek, hanem szepen ki van exclude-olva a webrootbol/proxy path-bol es a rendszer intezi a DV-t, rakja le a certet es konfigolja ennek megfelolen a webszervert, majd intezi az ujitast ha itt az ideje.
TCHnak is pont ez a fajasa, hogy nem fer hozza a konfighoz, meg ha elviekben technikailag meg is tudna a http challenget csinalni (felteve, hogy nincs a .well-know-ja egy masik location-on, amit a certbot kezel) ergo sokra nem megy onmagaban az irhato webtarhellyel.

igen, csak eppen pont kifelejted a beszelgetes ezen reszet is:

Ja, azért, mert pont azt a részét elemeztem újra a beszélgetésnek, ami szerinted már teljesen korrekten leírja.

ugyanis az onmagaban edeskeves, hogy van egy webtarhelyed amit irogatsz, ha nem csinalsz DV-t.

De igen, még mindig, ha van a webttárhely, amire tudsz írni, akkor http-01 challangel még mindig, mint már nem tudom hányszor megbeszéltük, csinálsz DV certet. 

a masik felreertes, hogy amikor azt irtuk DV en a validaciora gonoltam, ti meg a cert tipusara, de az ugye ket kulon dolog

Egyrészt ja, keverted. Másrészt még el is hinném, ha nem te lennél az, aki belinkelte a wikipédiáról, hogy mi a DV definíciója, és próbálta ezzel is alátámasztani azt, hogy a http challengel kiadott cert nem DV cert. Így... hát szóval: Persze, persze :)

akkor http-01 challangel > Vegre, latod kepes vagy leirni te is, kell hozza DV, addig irogathatsz Te barmit a tarhelyedre... onmagaban edeskeves.

Many users do not understand the difference between the kernel, which is Linux, and the whole system, which they also call “Linux.”
Gyakorlatilag vegig ezen vitaztok es nem akarjatok erteni mi kulonbseg a ketto kozott.

A http challenge tovabbra sem egyenerteku a DV (Domain Validation)-nel, annak csak egy metodusa a sok kozul, es *-os cert sem lesz belole soha, attol, hogy DV (policy: Domain Validation) cert jon ki a vegen. Szezon a fazonnal esete. Persze keverni lehet.

Szerintem vilagos mirol beszeltem, ha igy sem jon at, nem igazan tudok mit kezdeni veletek. :)
 

  |-H'ja, csak egesz eddig DV-rol volt szo, az meg egesz pontosan annyit validal, hogy aki a certbotot futtatja, az a DNS zonat is tudja irni. 
-Még csak annyit se, elég egy írható webtartalom.
  |-Ahhoz kell DNS hogy a challenge-response-t a DV le tudja húzni a webserverről. 
-nem, ahhoz pont nem eleg :) dns validacio kell, hiszen benne van a neveben :D "Domain Validation (DV)"
-De, elég. Nem kell a DNS-hez nyúlni, ugyanazt a cert-et kapod, ha http protokollon adod meg a token-t, lásd például: https://medium.com/@tsui.gordon.9/generate-let-encrypt-ssl-certificate-….
Annyi a korlátozás, hogy ilyenkor nem adnak wildcard cert-et, csak konkrét domain-re szólót. Van több ilyen cert-em is.
-az meg nem DV. kevered a szezont a fazonnal...
-De. Ugyanaz a cert, amit kapsz, a challenge módja nem befolyásolja, hogy a challenge token az DNS TXT vagy HTTP file.
-ettol meg az egyik dv a masik nem. a ketto nem ugyanaz es nem keverendo.
-Mind a kettő DV cert, mindössze a challenge más.
-az egyik http challenge a masik domain validalas.
https://en.wikipedia.org/wiki/Domain-validated_certificate
ne keverd a szezont a fazonnal...
csak akkor kapsz teljes domainre valid certet, ha DNS alapon azonositasz, a http challenge ehhez edeskeves.

akkor http-01 challangel > Vegre, latod kepes vagy leirni te is, kell hozza DV, addig irogathatsz Te barmit a tarhelyedre... onmagaban edeskeves.

Ne haragudj, de ez siralom. Ha tudok irogatni a tárhelyemre, akkor a http-01 challange segítségével tudok kapni egy certet, Semmi másra nincsen hozzá szükségem, nem édeskevés. Ez a cert egy Domain Validated cert. A http-01 a az ACME protokollban, ami Domain Validationt csinál, hogy az után Domain Validated certet állítsanak az egyik lehetséges eljárása, a benne található talán négyből, köztük a dns-01-el, ami szerinted a Domain Validation. Ezzel szemben bármelyik eredménye egy Domain Validated certificate. 

Gyakorlatilag vegig ezen vitaztok es nem akarjatok erteni mi kulonbseg a ketto kozott.

Te nem vagy képes megérteni a különbséget a kettő között. Illetve hát azt nem vagy képes felfogni, hogy rajtad kívül nem használja senki a Domain Validated kifejezést a *os certekre, unlike a linuxos példád, folyamatosan rosszul használod,....

 

... áh, hagyjuk, már nem vicces

figyelj, le is irtam

"Domain Validation (DV)"

mit ertek alatta es kesobb be is linkeltem

https://en.wikipedia.org/wiki/Domain-validated_certificate

szerintem ennel tobbet nehez tenni az ugy erdekeben. ha ebbol nem jott at, imho nem tehetek rola. :D

- Még csak annyit se, elég egy írható webtartalom.

Így van, ha hozzáférsz a webtartalomhoz és tudod írni, akkor tudsz DV certet kérni arra a domain-re. Az, hogy te valami teljesen más értettél DV cert alatt és most is próbálsz valami teljesen mást érteni, az kutyát nem érdekel.

https://iotguru.cloud

Hogyne lenne, idézem onnan, amit linkeltél: "The sole criterion for a domain validated certificate is proof of control over whois records, DNS records file, email or web hosting account of a domain."

Olvasd el, fordítsd le, rágd meg, gondold át.

Tudod, az, hogy a Let's encrypt csak DNS TXT-re ad wildcard DV cert-et, az egy teljesen más constraint, egy ezzel foglalkozó szervezet belső szabályzata.

https://iotguru.cloud

tehat nem a TXT validation meg nem a http challenge a definicioja.

Te tudsz amúgy angolul?

Fordítsd már le ezt magyarra kérlek: "The sole criterion for a domain validated certificate is proof of control over whois records, DNS records file, email or web hosting account of a domain."

https://iotguru.cloud

Nyilván nem, de mind a kettő DV cert. Az egyik wildcard. Nem attól lesz DV, mert wildcard. Ráadásul ugye a wildcard csak egy szintre jó, mint írtam már, tehát a *.hup.hu nem jó az x.y.hup.hu domain esetén, arra kell *.y.hup.hu wildcard cert. Nincs teljes domain-ra cert, hiába érted a DV alatt ezt és hiába próbálod ezt magyarázni mindenféle analógiával: faszság.

https://iotguru.cloud

Nem, ugyanaz vár: DV cert. A wildcard cert is egy DV cert és a nem wildcard cert is DV cert. Nincs olyan, hogy teljes értékű DV cert. A wildcard nem érvényes mindenre a domain alatt.

Szerintem érted te ezt pontosan, csak nem tudod kimondani, hogy faszságot írtál és most ragaszkodsz a faszságodhoz.

https://iotguru.cloud

delegaltam mar pont eleg sumbdomaint LE DNS challenge-hez, kosz :)
csakszolok, hogy egy *.domain.com nem ervenyes a magara a domain.com-ra sem. :)

pontosan ertem mi micsoda, definiciokon vitazol.

attol meg a ket fajta cert tok mas, mert az egyik nem wildcard, es DV 4 felekeppen igenyelheto. csak az egyik method nem definialja mi az a Domain Validation.

pontosan ertem mi micsoda, definiciokon vitazol.

Te vitázol ezen... :D

attol meg a ket fajta cert tok mas, mert az egyik nem wildcard, es DV 4 felekeppen igenyelheto. csak az egyik method nem definialja mi az a Domain Validation.

Nem a lista egészétől lesz valami DV, a lista bármelyik elemétől már DV a cert. Érted te ezt, csak ragaszkodsz a faszságodhoz.

https://iotguru.cloud

Szerinted mitol fugg az konkretan, hogy jo-e?

szerk: lelovom a poent, sem a "hup.hu" nem fog mukodni a "*.hup.hu"-ra, sem a "*.hup.hu" nem fog mukodni a "hup.hu"-ra. RFC 2818 szerint: "Matching is performed using the matching rules specified by [RFC2459]", azaz "*.example.com would match a.example.com, foo.example.com, etc. but would not match example.com."

pontosan, ha tied a zona, vagy elintezed a tulajaval, h hozzad mutasson, akkor lehet ra valid certed is. ettol ugyebar a dv!=http challenge :)
es azert csak dv dns alapon lehet wildcardod, mert attol, h a veristvan.dyndns.com epp hozzad mutat, hadd ne kapj mar certet a *.dyndns.com-ra

"teszek rá https, mert tudom írni a weboldal tartalmát ugye" - Ha root jogod van a gépen, akkor igen, DV certet tudsz rá rakni, mert le tudod cserélni/hozzá tudsz férni a webszerver konfigjához root joggal (mert a jobb webszerverek a privát kulcsot csak kellően szigorú jogosultságokkal fogadják el...) Ha csak a weboldal tartalmát tudod írni, az nem elég.

 

NEM a tartalom megbízhatóságáról szól a dolog, hanem arról, hogy a kiszolgáló az, akinek mondja magát, és a tartalom, amit kapsz az, ami ott elérhető. ha a www.0tp.bankhu.com -ot beregisztrálja, és csinál rajta egy fake otp-s netbank oldalt, és kap rá certet, az csak és kizárólag azt fogja tanúsítani, hogy a DNS-ből feloldott IP-cím 443.as portjára kapcsolódva a túloldal valóban a www.0tp.bankhu.com szerver, _és_ a kapott tartalom az, ami ott közzé van téve.
 

NEM a tartalom megbízhatóságáról szól a dolog, hanem arról, hogy a kiszolgáló az, akinek mondja magát, és a tartalom, amit kapsz az, ami ott elérhető. ha a www.0tp.bankhu.com -ot beregisztrálja, és csinál rajta egy fake otp-s netbank oldalt, és kap rá certet, az csak és kizárólag azt fogja tanúsítani, hogy a DNS-ből feloldott IP-cím 443.as portjára kapcsolódva a túloldal valóban a www.0tp.bankhu.com szerver, _és_ a kapott tartalom az, ami ott közzé van téve.

Oszt? Pont ezért hamis biztonságérzet, hogy csak-a-https-a-fasza, mert ha beregisztálom az 0tpbank.hu weboldalt, tolok rá fasza cert, olyan szuperzöld lesz, hogy ihaj és viszem mindenkinek is az adatát, aki rákattint. Arra nevelni a népet, hogy csak-a-https-a-fasza egy kurva nagy hamis biztonságérzetet ad, emelt biztonságot az nem.

https://iotguru.cloud

Na, akkor messzebbről... A cert azt bizonyítja, hogy azzal beszélgetsz, akit a címsorban látsz, és a tartalom az, amit ott közzétettek. Pont. Nem azt, hogy a túloldalon nincs ártalmas tartalom, nem azt, hogy a túloldal nem egy fake site - Ha valaki a lótépébankponthu-ra rákattint, és elhiszo róla, hogy az az OTP netbankja, akkor az sajnos a user hibája, ezért kell edukálni a felhasználókat, hogy nem, nem kattinani egy levélben, doksiban miegyébben kapott linkre, hanem a saját kezecskéjével beírni, hogy ótépébankponthu...

Ha van egy lótépébankponthu sima http-n, akkor meg midnn adatot, ami oda megy, onnan jön út közben bárki viheti - mert semmilyen védelem nincs az átvitt adatokon, sőt út közben bárki belekotyoghat, eltérítheti a kérést, és adhat saját választ, estébé... A "csak-a-https-a-fasza" nem egyenlő azzal hogy a "https jóval biztonságosabb" - csak te is megpróbálod a kettőt egybemosni, ahogy - sajnos ebben igazad van - a legtöbb r=1 user is gondolja.

Na, akkor messzebbről...

Szerintem is lépjünk vissza, innen indultunk: "nyilván a te szarod miatt kikapcsolunk mindenn védelmet". Erre írtam vala, hogy a http letiltása a böngészőben nem védelem, hanem faszság, semmitől nem véd meg a https, amit egy http link tud okozni, ha ettől remél bárki is védelmet, az pusztán hamis biztonságérzet.

csak te is megpróbálod a kettőt egybemosni

Szerintem te próbálod egybemosni.

https://iotguru.cloud

A mixed content már sok-sok éve is "piros betűs" pont volt bármilyen értelmes audit során. Hogy miért, azt felesleges lenne neked magyarázni, mert a https/cert alapú azonosítás _célját_ és az abból következő bizalmasságot sem óhajtod megérteni, ehhez meg mélyebben kéne ismerni a böngészők (főleg a régebbi/elavultabb) "lelki világát"/működését.

A https a túloldal azonosítását _és_ a tartalom (bármi is legyen az) sértetlenségét és bizalmasságát garantálja, semmi mást. Hogy az a tartalom biztonságos-e a kliens gép/böngésző/os számára azt senki sem mondta, senki sem állította.

A mixed content már sok-sok éve is "piros betűs" pont volt bármilyen értelmes audit során.

Oszt? Ha minden http, az nem mixed content. Te amúgy letiltottad a böngészőben a http-t kompletten, vagy most ismét csak szabadonfutó módban írod az irreleváns dolgokat és próbálod áthúzni a témát máshova?

https://iotguru.cloud

Én http és/vagy https, MQTT-t is szolgáltatok TLS/SSL nélkül és TLS/SSL is. A fogyasztó eldönti, hogy neki melyik jó.

Továbbra is azt mondom, hogy faszság letiltani a http-t a biztonságra hivatkozva. Én innen továbbra is azt látom, hogy két végletekig önszopató csapat szopatja egymást is.

https://iotguru.cloud

faszság letiltani a http-t a biztonságra hivatkozva

Attol fugg,, hogyan ertelmezzuk a biztonsagot.

Sok szennytol megved mar az is, hogy alapbol szuri az igenytelen forrasokat. Ez meg az ublock origin. Ja, es a hosts fileban a sok 127.0.0.1.

Itt pl. nem kell latnom, hogy mit linkelt a szerzo. De nem hinnem, hogy sokat veszit a thread az erdekessegebol. Pont eleg vicces igy is.

A twitterrol linkelgeto hiszti sem erint. Szimplan csak nem latom, mert tiltva van.

Es ez igy jo. Biztonsagos. A szo tagabb ertelmeben.

Ugyanazokat a biteket kapod?

Egyreszt, biztosan nem. Sem a transzport, sem az applikacios layerben nem ez a helyzet.

De, hogy ertsem is a beleertett ertetlenkedest: annyival biztonsagosabb, hogy az esetleges tamadonak tobb erofeszitesebe kerul az informacio megvaltozatatasa es/vagy megismerese.

Es nem lehetetlen. Megfelelo eroforrassal (anyagi/emberi/technologiai) biro tamado ellen eselyed sincs. A kerdes csak annyi, hogy mennyi eroforrast er meg neked a vedekezes.

Hogy maganemberkent az ISP-d vagy az allamod nem tudja (=nem tesz eleget a kotelessegenek) lehallgatni es/vagy megvaltoztatni az adatfolymod, egy eleg naiv elkepzeles.

Ugyanazokat a biteket kapod?

Egyreszt, biztosan nem. Sem a transzport, sem az applikacios layerben nem ez a helyzet.

A leérkező tartalomban kapod meg ugyanazokat a biteket. A tartalom lesz bitre pontosan ugyanaz.

Hogy maganemberkent az ISP-d vagy az allamod nem tudja (=nem tesz eleget a kotelessegenek) lehallgatni es/vagy megvaltoztatni az adatfolymod, egy eleg naiv elkepzeles.

Hogy az ISP-d, vagy az államod nem tudja ugyanezt elkövetni HTTPS mellett is, na az a naív elképzelés. Bárki játszhat MITM-et HTTPS-en keresztül is, akinek a certjét elfogadtad. Akár az ISP is, de akár az állam is:

Az ukrán kollégám mondott valami hasonlót (mindketten Németországban dolgozunk), hogy Oroszországban mintha lenne valami hasonló már most is (vagy jóváhagytak hozzá valami törvényt és éppen vezetik be, nem emlékszem), hogy a szolgáltató felrakatja veled a saját HTTPS certjét mert államilag kötelező, és szétproxyzza a forgalmat mintha sima HTTP lenne, kész. így a hatalom nagyjából abba néz bele amibe akar, szevasz.

Ennyit a HTTPS "biztonságáról", meg a "garanciáiról". Slusszpoén: a HTTPS élharcosai, a browsergyártók suttyomban nagyon tolják a DNS-over HTTPS-t. Azaz először elhitetik mindenkivel, hogy majd a HTTPS megvéd, aztán ők maguk teszik lehetővé a kinyitását és a végén kiderül, hogy valójában a HTTPS ugyanúgy nem véd meg. _Franko_-nak igaza van: fals biztonságérzet. A semmire.

Igazi biztonságot akarsz? Akkor VPN. Pont. A HTTPS "biztonsága" egy illúzió. Nem azt mondom, hogy nincs olyan helyzet, amikor ne adna előnyt a HTTP-hez képest (mondtam is példát), de generikusan kb. ugyanott vagy. Arról nem is beszélve, hogy a HTTP kinyírásával a netsemlegességet nyírják ki. Discrimination by protocol. És discrimination by certification, csak ez még nincs az ismert fogalmak közt.

Oldschool Computer - http://oscomp.hu

de ne legyel mar 1-bites, ahhoz, hogy MITM-et tudj jatszani https-en eloszor be kell tenned a certet a trusted listbe, raadasul *.*-gal, te eszleny :D tehat fel kell hatalmaznod a cert adojat, hogy megtehesse. meg kell biznod benne.
http eseten semmi ilyen nem kell. errol beszelgetunk...
tolják a DNS-over HTTPS-t. > ugyanaz, ha nem bizol a DNS szolgaltatodban, ne hasznald. erre valo a dns-over-https, valasztasz egy olyan DNS-t ami secure es megbizol benne. (amugy teljesen mas ellen ved, de ezt most hagyjuk is, ugyebar, kevered a szezont a fazonnal)

A VPN nem erre jo. Az csak a vpn client-server kozott titkos, onnantol kifele mar nem... csak a halozatodbol valo kilepesi pontod lesz mas. Ennyit csinal.

end-to-end encryption amit keresel, olvass utana, please, utana vond le a kovetkezteteseket...

A leérkező tartalomban kapod meg ugyanazokat a biteket

Ez igy nem teljesen igaz. A tartalomnak resze lesz a tanusitvany. Hogy szamodra ez hasznos, vagy sem; a rendszer a felhasznalo rendelkesere bocsajtja, vagy elnyeli valamelyik retegben az mas kerdes.

Hogy az ISP-d, vagy az államod nem tudja ugyanezt elkövetni HTTPS mellett is, na az a naív elképzelés

Pontosan. Ahogy irtam.

Az ukrán kollégám mondott valami hasonlót ...

Igen, van ilyen tamadasi vektor is. Volt belole balhe par eve, mert magancegek es veluk osszedolgozo cert kibocsajto(k?) is csinaltak. Ha jol emlekszem, ki is tiltottak a kibocsajtot a Firefoxbol.

Ennyit a HTTPS "biztonságáról", meg a "garanciáiról".

Tudd, hogy mitol mit varhatsz el. Aki abszolut biztonsagot keres, az mehetne Petofi sirja vagy a szent gral utan is, akkor legalabb ir rola az ujsag. Garancia meg semmire sincs.

De ettol fuggetlenul a HTTPS/TLS/SSH/*S* meg jo, es kell, mert megneheziti a tamado dolgat. Kb ingyen van, es sok mindentol megved.

A kocsid se azert zarod, mert akkor nem lehet ellopni. Hanem azert, mert akkor egy kicsit nehezebb ellopni. Egyszeru koltseg-haszon elemzes.

Ez igy nem teljesen igaz. A tartalomnak resze lesz a tanusitvany. Hogy szamodra ez hasznos, vagy sem; a rendszer a felhasznalo rendelkesere bocsajtja, vagy elnyeli valamelyik retegben az mas kerdes.

Nope. A tartalom a tartalom. Az, aminek a hosszát a Content-Length mező mondja meg. Az pedig ugyanannyi lesz mindkét esetben.

Pontosan. Ahogy irtam.

Ha úgy értetted, hogy mindkét protokollal meg tudják csinálni, akkor egyetértünk, de az írásodból nem ez jött le, hanem az, hogy a HTTP-re gondoltál.

Igen, van ilyen tamadasi vektor is. Volt belole balhe par eve, mert magancegek es veluk osszedolgozo cert kibocsajto(k?) is csinaltak. Ha jol emlekszem, ki is tiltottak a kibocsajtot a Firefoxbol.

És vajon hány ilyen lehet még, ami nem derül ki?

Tudd, hogy mitol mit varhatsz el. Aki abszolut biztonsagot keres, az mehetne Petofi sirja vagy a szent gral utan is, akkor legalabb ir rola az ujsag. Garancia meg semmire sincs.

Tudom, feltörhetetlen védelem nincs. De a HTTPS-t sokkal könnyebb megtörni, mint egy secure VPN-en használt HTTP-t.

De ettol fuggetlenul a HTTPS/TLS/SSH/*S* meg jo, es kell, mert megneheziti a tamado dolgat.

Ezt nem is vitattam, még példát is írtam rá. De ahogy _Franko_ is többször hangsúlyozta: ez nem a Fort Knox. Itt nincs mit megnehezíteni. Nincs mit ellopni, nincs mibe injektálni.

Kb ingyen van

Egy túrót van ingyen. Sokszoros az overheadje a HTTP-hez képest. És ha a Let's Encryptet egy nap biztonságtalannak nyilvánítják, akkor még a cert se lesz ingyen.

es sok mindentol megved.

Pontosítsunk: van, amitől megvéd. Csak pont azoktól nem, amiket az urak fennhangon hangsúlyoznak és van ahol kb. nincs különbség a HTTP-hez képest: egy vezetékes hálón átmenő HTTP forgalom megtöréséhez, lehallgatásához fizikailag kell beülni a két végpont közé, azaz kb. a szolgáltató tudja lehallgatni és ha a júzer elfogadta a szolgáltatója certjét, akkor onnantól kezdve az ISP-nek mindegy, hogy plaintext, vagy általa nyitható titkosítású a forgalom.

A kocsid se azert zarod, mert akkor nem lehet ellopni. Hanem azert, mert akkor egy kicsit nehezebb ellopni. Egyszeru koltseg-haszon elemzes.

Nincs kocsim. Egy olyan ócska 26 éves biciklim van, amit még a csövesek, vagy a romák se lopnának el. Minek vegyek rá a TEK-hez bekötött trackert és öt db U-lakatot?

És aki most a fejéhez kapott, hogy milyen hülye vagyok, hogy szó szerint veszek egy analógiát, az nagyon sürgősen nézzen tükörbe...

Oldschool Computer - http://oscomp.hu

Nope. A tartalom a tartalom. Az, aminek a hosszát a Content-Length mező mondja meg. Az pedig ugyanannyi lesz mindkét esetben.

Itt erosen kulonbozik a velemenyunk.

Ha úgy értetted, hogy mindkét protokollal meg tudják csinálni, akkor egyetértünk, de az írásodból nem ez jött le, hanem az, hogy a HTTP-re gondoltál.

A sima HTTP forgalmat az oreg hazmesterne is megfigyeli.

Egy túrót van ingyen. Sokszoros az overheadje a HTTP-hez képest. És ha a Let's Encryptet egy nap biztonságtalannak nyilvánítják, akkor még a cert se lesz ingyen.

Mekkora az overhead savszelessegben vagy energiafogyasztasban? Milyen use case mellett (WEB bongeszes desktop PC+32" monitoron vs. machine-machine kommunikacio)?  Hogy alakul ez azt atvitt tartalom meretenek fuggvenyeben?

Csak pont azoktól nem, amiket az urak fennhangon hangsúlyoznak

Amelyek pedig ... ?

Egy olyan ócska 26 éves biciklim van

Tehat volt egy elemzesed, es ugy dontottel, hogy nem kell ra lakat. Csak ne sirj, ha az ellopasa utan keres meg egy gyujto, akinek mar az osszecsukhatos kempingbicikli hianyzik, es a multkor latott egy ilynnel szaladgalni...

Itt erosen kulonbozik a velemenyunk.

Csakhogy ez nem vélemény kérdése. A HTTP/HTTPS protokollban a "content" fogalma egyértelműen definiálva van, az pedig mindkét esetben identikus.

A sima HTTP forgalmat az oreg hazmesterne is megfigyeli.

Jó, akkor tessék, lehet megfigyelni az enyémet. Nagyon toljátok ezt a HTTP-t pistike is feltöri szöveget, de még egyikőtök sem törte meg a HTTP forgalmamat.

Mekkora az overhead savszelessegben vagy energiafogyasztasban?

Sávszélességben nem vészes, de energiafogyasztásban és időben sokszoros, hiszen komoly matematikai algoritmusokat kell futtatnia a gépnek.

Milyen use case mellett (WEB bongeszes desktop PC+32" monitoron vs. machine-machine kommunikacio)?

Minden use case mellett, hiszen a titkosítás minden esetben él.

Hogy alakul ez azt atvitt tartalom meretenek fuggvenyeben?

Értelemszerűen minél több tartalmat kell titkosítani annál jobban eltolódik az arány a HTTP javára. Hogy milyen görbe mentén, azt nem tudom. Nem exponenciális, de nem is lineáris.

Amelyek pedig ... ?

Pl., hogy a HTTPS megvéd az MITM-től.

Tehat volt egy elemzesed, es ugy dontottel, hogy nem kell ra lakat. Csak ne sirj, ha az ellopasa utan keres meg egy gyujto, akinek mar az osszecsukhatos kempingbicikli hianyzik, es a multkor latott egy ilynnel szaladgalni...

Ezt nem lehet összecsukni. Ez senkinek se kell. Egyedül nekem.

Oldschool Computer - http://oscomp.hu

Azt elfelejtettem mondani, hogy mivel a browsergyártók (including mozzarella) maguk is bepakolhatnak alapból bármilyen certet az elfogadottak közé, így az átlagjúzerek - akik az elsődleges célpontok és akik meg fognak bízni minden default beállításban (akár a certekről van szó, akár a DNS-ről) - alapból lehallgathatóak lesznek, HTTPS, vagy sem. Ha meg államilag lesz kötelező felrakni egy certet, ahogy az idézett posztban volt írva, akkor meg amúgy is muszáj lesz felrakni.

Szóval VPN. Az lenne a biztos. Csak az kéne hozzá, hogy a különféle website-ok szerverei kliensként felcsatlakozzanak a mindenféle public VPN-ekre (pl. ProtonVPN) és elérhetőek legyenek, a hálózat részeként. Van, amelyik el is érhető egyébként.

Oldschool Computer - http://oscomp.hu

Miért? Arról beszéltünk, hogy HTTPS biztonsága illúzió és az én kommentem is arról szólt, hogy miért az. Vagy az a baj, hogy behoztam a szálba a HTTP over VPN-t, mint a HTTPS-nél biztonságosabb alternatívát, amihez a gyűlölt plaintext HTTP protokollt használjuk - amit annyira szeretnének itt páran betiltani - és mégis jobb, mint a HTTPS? Ez mitől whataboutism? Témánál maradtunk, én nem tereltem sehova.

Oldschool Computer - http://oscomp.hu

Ja értem, szóval analfabéta vagy te is. Nem az én kommentem volt whataboutism és nem én szarok a "korrekt certificate kezelésre" (ROFLMAO, korrekt certificate kezelés ilyen hulladék key-exchange mellett?!), hanem te nem tudsz olvasni, mert egyrészt eddig vagy hatvannyolcezerszer írtam le csak ebben a topicban, hogy nincs hozzáférésem, nem tudom megcsinálni: ha volna, már megcsináltam volna, hogy a rinyálást abbafejezzétek, másrészt meg én ilyet nem állítottam, hogy a browsergyártók certeket hamisítanak. Azt állítottam, hogy olyan certeket pakolnak bele defaultból a browser approve listájába, amilyet akarnak. Ez nem hamisítás. Azok valódi certek, csak te sose fogadtad el őket. Igen, te lehet, hogy kiszúrnád, de az átlagember nem fogja. Többek között ezért illúzió a HTTPS biztonsága.

Oldschool Computer - http://oscomp.hu

"korrekt certificate kezelés ilyen hulladék key-exchange mellett" - 2015 óta történt azért egy és más, példának okáért ECDH a javasolt...

"olyan certeket pakolnak bele defaultból a browser approve listájába, amilyet akarnak" - Aha. A Netlock is ezért küzdött anno, mint disznó a jégen, hogy bekerüljön... Attól, hogy belekerül_het_ még nem olyan idióta egyik gyártó sem, hogy tökönbökje magát ilyesmivel (nem úgy, mint a Debijjányos ssl csomag karbantartója anno... openszósz, sok szem sokat lát ide vagy oda...)

2015 óta történt azért egy és más

Ja, még több HTTPS breakage...

Attól, hogy belekerül_het_ még nem olyan idióta egyik gyártó sem, hogy tökönbökje magát ilyesmivel

Miért böknék magukat tökön vele? Az emberek nem értik ezt az egészet és nem is érdekli őket. Egyébként sem maguktól találják ezt ki; szerinted amikor a fő browsergyártók egyszerre jelentették be (#1, #2, #3, #4), hogy a TLS 1.2 lesz a minimum (miközben sem a TLS 1.0-ában, sem a TLS 1.1-ben nem volt ismert sebezhetőség), azt maguktól találták ki? És azzal sem foglalkozott a kutya sem, hiába kongatták a vészharangot, hogy ez semmi másról nem szól, mint a régi browserek netről történő kiirtásáról. Ugyanis, ha a website owner azt akarja, hogy az oldala kinyíljon a mainstream browserekben, akkor olyan protokollt kell használnia, amit a régebbi - a júzereknek több kontrollt adó - browserek tuti nem ismernek, ergo nem fogják tudni kinyitni. Lehet használni a mainstream spyware-eket.

(nem úgy, mint a Debijjányos ssl csomag karbantartója anno... openszósz, sok szem sokat lát ide vagy oda...)

Hát igen, ezek a szar ópenszósz cuccok. Pl. a Chromium, vagy a Firefox.

Oldschool Computer - http://oscomp.hu

Tehat, a linkelt 2015-os irasban szo van egy elvi https toresi technikarol, ami ebbol indul ki:

"To comply with 1990s-era U.S. export restrictions on cryp-
tography, SSL 3.0 and TLS 1.0 supported reduced-strength
DHE_EXPORT ciphersuites that were restricted to primes no
longer than 512 bits. In all other respects, DHE_EXPORT
protocol messages are identical to DHE. The relevant export
restrictions are no longer in effect, but many libraries and
servers maintain support for backwards compatibility. Many
TLS servers are still configured with two groups: a strong
1024-bit group for regular DHE key exchanges and a 512-bit
group for legacy DHE_EXPORT. This has been considered
safe because most modern TLS clients do not offer or accept
DHE_EXPORT ciphersuites."

Utana, ilyen conspiracy theory-t tolsz le :D

"Következő lépés az lesz, amikor a CA-k kitalálják, hogy a LE nem is biztonságos, do not accept. Utána pedig hirtelen az összes mainstream browser fejlesztőcsapata/cége (ismét) egyszerre bejelentést tesz (mint a múltkor is), hogy innentől a HTTP-t egyáltalán nem nyitja meg egyik browser sem és a HTTPS-en is véget ért a warningok kora: csak az érvényes - non-LE - certtel rendelkező, TLS 1.3-on keresztül kiszolgált oldalakat fogják kinyitni, amúgy egy db ?LOAD ERROR lesz a végeredmény."

Szerinted akkor mi a jo budos lopeniszert is engedtuk el az 512 bites legacy vackot es az ssl3/tls1-et evek ota? :D
Segitek: mert 2023 van, es a 90-es evek kriptoja azota elvben torheto lett a szamitasi kapacitas novekedtevel.

Szerinted akkor mi a jo budos lopeniszert is engedtuk el az 512 bites legacy vackot es az ssl3/tls1-et evek ota? :D
Segitek: mert 2023 van, es a 90-es evek kriptoja azota elvben torheto lett a szamitasi kapacitas novekedtevel.

Mielőtt bárki elhinné ezt a baromságot, FTR érdemes ránézni a tényekre:
https://en.wikipedia.org/wiki/Transport_Layer_Security#History_and_development

Protocol Published Status
TLS 1.1 2006 Deprecated in 2021 (RFC 8996)
TLS 1.2 2008 In use since 2008

Tehát a 2006-os TLS 1.1 a '90-es évek legacy kriptója, amit 2023-ban már simán törni lehet, míg a 2008-as TLS 1.2 a 2020-as évek szupermodern és törhetetlen kriptója. Fantasztikus, hogy két röpke év alatt annyit fejlődött a kriptográfia, hogy a 2006-os kriptó már 2021-ben sem jó, a 2008-as meg még 2023-ban is. (Persze, ha azt nézzük, hogy eme két röpke év alatt mindjárt harminc év telt el - hiszen 2006 még a '90-es években volt, 2008 meg már 2020-as években -, akkor tkp. érthető ez a mérhetetlen fejlődés.)
Mindeközben az implementációs szoftverek "hibájából" eredően 2012-től kezdve akár egy ZX-81-essel is boldog-boldogtalan nyugodt lélekkel rommátörögethette a világ összes SSL/TLS, azaz HTTPS/SFTP/SCP/SSH/SWHATEVERS forgalmát, legalábbis 2014-ig, amikor végre észrevette valaki. (Persze nemdirektvót, nem tennének ők olyat.) És ki tudja, még hány ilyen "bug" lehet "talonban"... So secure, it's not.

Kedves mindenki, ennyire lehet komolyan venni bármit, amit ez az edukálatlan, analfabéta, de mégis iszonyat nagyképű lamer írkál. I rest my case. (Amúgy iszonyat cringe ez a vergődés, ahogy ez a álszent, hazug és retardált faszparaszt görcsösen erőlködve revansot próbál venni, amiért a másik topicban rábizonyítottam, hogy azért titulál engem károkozónak, amit ő is szakmányban csinál...szánalmas.)

Oldschool Computer - http://oscomp.hu

Fogalmad sincs a technologiarol, sajnos es meg mindig majd' 10 evvel vagy elmaradva.
Ez ugye amugy megvo't?

Heartbleed

Date discovered 1 April 2014; 9 years ago
Date patched 7 April 2014; 9 years ago

szerk: persze sajnalotos modon az, hogy nem egesz egy het alatt befoltoztak miutan kiderult, az olyan uzemeltetes ellen nem ved, ami egy eve tojik a lejart tanusitvanyara es nem rakja fel a biztonsagi frissiteseket.

Hint: "TLS 1.0 is a security protocol first defined in 1999 for establishing encryption channels over computer networks."
Tudod, ez az amirol a 2015-os cikked szolt, amiben annak az elvi megvalositasat targyaljak, hogyan lehet egy NSA szintu szamitasi kapacitassal MITM-et elkovetni (ha a kliens is ugy akarja persze es engedi a downgrade-elt securityt).
Nem tudom elolvastad-e vagy csak nem sikerult ertelmezni... :D

Ez mond amugy valamit? Semmit? Kellene.
"The PCI Council suggested that organizations migrate from TLS 1.0 to TLS 1.1 or higher before June 30, 2018. In October 2018, Apple, Google, Microsoft, and Mozilla jointly announced they would deprecate TLS 1.0 and 1.1 in March 2020. TLS 1.0 and 1.1 were formally deprecated in RFC 8996 in March 2021."

TLS 1.2 a 2020-as évek szupermodern és törhetetlen kriptója. > egyreszt ez dezinformacio, masreszt probalkozni lehet. sok sikert :) varom az eredmenyeket!

Amugy mar itt is TLS1.3-nal jarunk, a HUP amin a tudatlansagod szajkozasaval szorakoztatod a nagyerdemut is azt hasznal, FYI, ne zavarjon, de tenyleg :D

* SSL connection using TLSv1.3 / TLS_AES_256_GCM_SHA384
* ALPN: server accepted http/1.1
* Server certificate:
*  subject: CN=hup.hu
*  start date: Apr 21 11:03:44 2023 GMT
*  expire date: Jul 20 11:03:43 2023 GMT

Kedves teceha, eldontheted magad is mennyire vagy edukalatlan a temaban, nem kerem hozza a kozonseg segitseget :D Hisz' tenmagad belathatod, hogy a sajat linkjeiden levo infokrol sincs halvany lila gozod :D
Minden masra ott a mastercard.

Ez ugye amugy megvo't?

HeartbleedDate discovered 1 April 2014; 9 years ago
Date patched 7 April 2014; 9 years ago

Direkt levágta a táblázat elejét:

Released 1 February 2012; 11 years ago
HeartbleedDate discovered 1 April 2014; 9 years ago
Date patched 7 April 2014; 9 years ago

azaz ollózik, hazudik. (Vajon az alatt a két év alatt hányan voltak, akik észrevették, de nem szóltak, hanem kihasználták? Hányan voltak, akik alapból tudtak róla, mert benne voltak?)

Hint: "TLS 1.0 is a security protocol first defined in 1999 for establishing encryption channels over computer networks."

TLS 1.1 vs. TLS 1.2 volt az érvelés fókuszában, erre mutogat a TLS 1.0-ra, azaz terel, hazudik. (Mondjuk az is megér egy misét, hogy ami a '90-es évek leges-legvégén jelent meg, az mitől az egész évtized kriptója, de mindegy, kicsire nem adunk.)

probalkozni lehet. sok sikert :) varom az eredmenyeket!

Direkt ignorálja, hogy a Heartbleed idején már rég megtörték az összes SSL/TLS szart, azaz maszatol, hazudik.

Amugy mar itt is TLS1.3-nal jarunk, a HUP amin a tudatlansagod szajkozasaval szorakoztatod a nagyerdemut is azt hasznal, FYI, ne zavarjon, de tenyleg :D

Megpróbálja úgy beállítani, mintha attól, hogy egy site támogatja a TLS 1.3-at is, akkor csak azt támogatná, miközben én Opera 12-ből hupozok és Opera 12-ben nincs TLS 1.3, csak 1.0, 1.1 és 1.2, tehát nem nézhetem TLS 1.3-on keresztül a hupot, azaz csúsztat, hazudik.

Kedves teceha, eldontheted magad is mennyire vagy edukalatlan a temaban, nem kerem hozza a kozonseg segitseget :D Hisz' tenmagad belathatod, hogy a sajat linkjeiden levo infokrol sincs halvany lila gozod :D

Ollózik, terel, maszatol, csúsztat, azaz hazudik, hazudik, hazudik, hazudik és utána úgy próbálja meg beállítani, mintha a másik ne tudna olvasni és mindezt úgy, hogy fentebb már többször is beégett azzal, hogy ő nem tud olvasni, pl. amikor a HTTP default tiltásáról belinkelt egy change-et, ami igazából arról szólt, hogy ha a HTTPS-es betöltés befuccsol, akkor próbálja HTTP-n a browser kinyitni a page-et. Fail.

Mint mondtam, ez az "ember" (patkány) ide baszakodni és hazudozni - a másik mondandójába belemagyarázni, azt kiforgatni - jött, de ő ezt úgy próbálja meg beállítani, mintha segíteni jött volna. Álszent és hazug. Totál hiteltelen. (És aljas is. Teljesen mindegy milyen bullshittel próbálja megideologizálni azt, hogy ő is kiblokkolja a reklámokat: ha én károkozó vagyok ezért, akkor ő is az, ha meg ő nem, akkor én sem; az úgy nem működik, hogy ugyanazt csináljuk, de csak én okozok vele kárt.)

Ezeket csak a tények tisztábatétele végett írtam ide, hogy rávilágítsak ennek az erkölcsi és szakmai triplanullának a "szavahihetőségére". Mindenki eldöntheti, kinek, ill. minek ad hitelt, mert senkinek ne legyenek illúziói, erre is a fentiekhez hasonló sunyi és aljas hazugsághalommal fog reagálni - amiben megint összemos mindent mindennel, összeollózza úgy, hogy úgy tűnjön neki van igaza, mutogat irreleváns faszságokra -, pontosan ahogy szokta, zéró valóságtartalommal. Így tessék neki hitelt adni. (Persze, aki "HTTPS über alles, es ist ziel zu säubern: wir müssen das HTTP ausrotten" csatakiáltással küldene haláltáborba mindenkit, aki cleartext portot használ, az úgyis annak ad hitelt, amit hallani akar, mert gondolkodni már derogál neki...)

Zwölfisch!

Oldschool Computer - http://oscomp.hu

hazudik > nem, tenyeket ir. Te linkelgeted, ott vannak benne :D Elolvasnad esetleg amiket linkelgetsz vagy csak terelsz es frocsogsz? :D

ollózik > Te ollozgattal, lehagytad a tablazatod elejet es ignoralod a sajat linked mirol szol, amit ertelmezni sem voltal kepes es azt szeretned bizonygatni vele, hogy a https mennyire torheto. :D Az teny se zavarjon, hogy 6 nap alatt foltoztak be a HB-t. Errol szol a fenti :D Esetleg megcafolod ezt a tenyt, vagy mit is szeretnel mondani? :D

Vajon az alatt a két év alatt hányan voltak, akik észrevették, de nem szóltak, hanem kihasználták? Hányan voltak, akik alapból tudtak róla, mert benne voltak? > ezt Neked kellene bizonygatnod, barmilyen teny errol? 0? OK :D

a Heartbleed idején már rég megtörték > Esetleg erre is barmi fact? 0? Erdekesek a kenyszerkepzeteid. :D

nem nézhetem TLS 1.3-on keresztül a hupot > De nezheted, a lehetoseg adott. Ez egyeni szocialis problema, a site tudja :D Az, hogy Te beleszarsz a biztonsagba, nem mas hibaja, a sajatod.

Ollózik, terel, maszatol, csúsztat, azaz hazudik, hazudik, hazudik, hazudik és utána úgy próbálja meg beállítani, mintha a másik ne tudna olvasni és mindezt úgy, hogy fentebb már többször is beégett azzal, hogy ő nem tud olvasni > hogy mi van? kellenenek azok a bizonyos tenyek csusztatgatasok helyett.

pl. amikor a HTTP default tiltásáról belinkelt egy change-et > Tehat tenyt, commit/merge-t, hogy a browserek engedik el a default http-t. A kedves forumtars pedig elfelejtette a threadben honnan indultunk. Nem tehetek rola, hogy a csusztatast toljatok :D

Mint mondtam, ez az "ember" (patkány) ide baszakodni és hazudozni - a másik mondandójába belemagyarázni, azt kiforgatni - jött, de ő ezt úgy próbálja meg beállítani, mintha segíteni jött volna. Álszent és hazug. Totál hiteltelen. (És aljas is. Teljesen mindegy milyen bullshittel próbálja megideologizálni azt, hogy ő is kiblokkolja a reklámokat: ha én károkozó vagyok ezért, akkor ő is az, ha meg ő nem, akkor én sem; az úgy nem működik, hogy ugyanazt csináljuk, de csak én okozok vele kárt.) > Frocsogesen, terelesen, hazudozason kivul esetleg barmilyen teny a temaban? 0? OK. :D

zéró valóságtartalommal > aha, meg mindig varom a tenyeket, linkeket az allitasaid megalapozasara, tudod, ahogy en csinaltam eddig itt fentebb. 0? OK. :D

Ezeket csak a tények tisztábatétele végett írtam ide, hogy rávilágítsak ennek az erkölcsi és szakmai triplanullának a "szavahihetőségére". Mindenki eldöntheti, kinek, ill. minek ad hitelt, mert senkinek ne legyenek illúziói, erre is a fentiekhez hasonló sunyi és aljas hazugsághalommal fog reagálni - amiben megint összemos mindent mindennel, összeollózza úgy, hogy úgy tűnjön neki van igaza, mutogat irreleváns faszságokra -, pontosan ahogy szokta, zéró valóságtartalommal. Így tessék neki hitelt adni. (Persze, aki "HTTPS über alles, es ist ziel zu säubern: wir müssen das HTTP ausrotten" csatakiáltással küldene haláltáborba mindenkit, aki cleartext portot használ, az úgyis annak ad hitelt, amit hallani akar, mert gondolkodni már derogál neki...) > frocsoges helyett esetleg tenyek? 0? OK. :D

Tehat a fentiben a 0-hoz konvergalo szamu tenyt kozolsz az SSL/TLS kommunikaciorol.

Tudod, lehet galambokkal sakkozni, a galamb bizonyara elvezi is, csak eppen sproterteke nincsen. Ha szeretnel szakmailag beszelgetni a temarol, tegyuk, a frocsoges, alpari, aljas kurogatas csak a sajat szegenysegi bizonyitvanyodat tamasztja ala, nem tobbet, nem kevesebbet.

Szerintem te maradj csöndben Mr. Edukáció. Te voltál az, akinek a nagy szúrkálódásban sikerült összekevernie a ciphereket a protokollal... Annyi tudásod sincs network security terén, ami egy köpőcsészét megtöltene. Sőt, igazából en-bloc egy nagy nulla a tudásod, már összeszámolni sem tudom, hogy hányszor égtél be így, pl. amikor egy shell topicban osztottál ki valakit, hogy manageres a kódja, aztán közben a legnagyobb pazarlás az nem a processz, meg a pipe, hanem awk volt, amire te átírtad és amikor ez kiderült, még újabb hülyeséggel tetézted. Nem csoda, hogy ilyen véresszájú HTTPS falangista lettél, aki protokollokat tiltana be. Ennyi eszed van. De azért osztod. Mindenkinek, mindenütt. Te itt ne prézsmitálj edukálódás szintjén, mert az egyik legnagyobb nulla vagy szakmailag ezen a portálon. És az egyik legrosszindulatúbb is...

És még mindig nem válaszoltál a kérdésre, hogy ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem? Erre válaszolj most már, ha már te is bejöttél topicot szétbaszni.

Oldschool Computer - http://oscomp.hu

Ez a pofátlanság magasiskolája... Ti jöttetek be az én topicomba és basztátok szét az egészet a HTTPS-keresztes hadjáratotokkal és ezek után, van bőr a pofádon azt hazudni, hogy én nem hagylak benneteket békén? Ez hogy jött ki, te hazug patkány? Ti nem hagytok engem békén a hittérítésetekkel. Nyugodtan ki lehet takarodni a topicomból, ahogy már az elején is írtam. Hozzátenni amúgy sem sikerült semmit, csak szétverni a folyamatos offolással, meg a mocskolásommal. Itt fentebb is megint nem sikerült semmi érdemit mondanod, csak megpróbálni visszafordítani rám, amit a fejedre olvastam, pont ahogy megjósoltam. (Én ollózgattam, meg hagytam le a táblázat elejét? Én? Amikor te vágtad direkt le a release date-et a felfedezés és a befoltozás elől, hogy úgy tűnjön, hogy a Heartbleed csak pár napig volt kihasználható két év helyett? Röhögnöm kell...)

Egyébként ahogy nézem, te tényleg kipécéztél magadnak, hogy jössz utánam mindenhova, mint egy kutya és hazudozol. Tényleg mentél a permignore-ra itt és az egész hupon, mert csak az időmet pazarlom veled. Te szarsz a biztonságra, szarsz a szakmai vitára, te engem akarsz baszogatni. Tudod kit baszogass.

Oldschool Computer - http://oscomp.hu

Te tosztad bele a https-es tartalomba a http-s linkedet, mixed content-et létrehozva, amit értelmesebb helyeken nagyon nem vesznek jó néven, aztán véded a védhetetlent...

 

Az, hogy te hoztad létre a kiinduló tartalmat, még nem a vastagbetűs "éntpoicom", hanem egy topic, aminek az indító cikkét te hoztad létre, egy közösségi portálon. Ha nem tetszik, hogy más is hozzászól, nem teszik, hogy bárki, aki regisztrált felhasználó, hozzászólhat, akkor a saját weboldaladon nyiss fórumot, és ott azt engedsz hozzászólni, akit akarsz...  Ja, hogy ahhoz authentikáció kéne, és mint olyant értelmes ember nem rak http-re, sőt még mixed content-et sem csinál, ha credential "közlekedik" a dróton?

Te tosztad bele a https-es tartalomba a http-s linkedet

Ha HTTPS-en keresztül linkeltem volna, akkor meg azért vinnyognátok, hogy a browser reklamál a rossz cert miatt. Nektek mindegy, csak tolhassátok a szentigét.

értelmesebb helyeken

Szerinted.

a védhetetlent

Szerinted. Ez a ti vallási nyomorotok. Mindenki más leszarja.

Ha nem tetszik, hogy más is hozzászól, nem teszik, hogy bárki, aki regisztrált felhasználó, hozzászólhat, akkor a saját weboldaladon nyiss fórumot, és ott azt engedsz hozzászólni, akit akarsz...

Ne hazudj, nem az a bajom, hogy bárki hozzászólhat, hanem, hogy szétoffoljátok a vallási hadjáratotokkal.

Ja, hogy ahhoz authentikáció kéne, és mint olyant értelmes ember nem rak http-re, sőt még mixed content-et sem csinál, ha credential "közlekedik" a dróton?

Szerinted. Idézz még légyszíves a Bibliából is.

De inkább válaszolj arra a kérdésre, hogy ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem?

Nem fogom elengedni. Minden topicban, ahol nekem jössz, elő fogom venni.

Oldschool Computer - http://oscomp.hu

A lejárt, nem az adott kiszolgálóra vonatkozó cert dettó rossz megoldás, igen, de ezt ugyebár a pro bono helyet adó üzemeltetőnempisitkehanemguru cimboráid is tudják, csak bokros teendőik miatt nem jutott idejük a certbot-ot rendesen működésre bírni...
Ha nem érted (bár szerintem nem vagy hülye, hogy nem érted, csak nem akarod érteni) hogy miért nem jó dolog planitext-ben forgalmazni harmadik fél eszközein/hálózatán keresztül, pláne akkor, ha credential is utazik a "dróton" (azaz authentikáció kell a tartalomeléréséhez), akkor sajnállak - gyógyíthatatlanul beleragadtál a múltba.

A beakadásod meg senki értelmes embert nem érdekel...

A lejárt, nem az adott kiszolgálóra vonatkozó cert dettó rossz megoldás, igen, de ezt ugyebár a pro bono helyet adó üzemeltetőnempisitkehanemguru cimboráid is tudják, csak bokros teendőik miatt nem jutott idejük a certbot-ot rendesen működésre bírni (meg úgy en bloc a szervert rendesen frissen tartani se)...

Te ne ossz senkit itt szakmailag. Egy Révai nagy lexikont meg tudnék tölteni azokkal a kommentjeiddel, amikben valami szakmai baromságot írtál.

Ha nem érted (bár szerintem nem vagy hülye, hogy nem érted, csak nem akarod érteni) hogy miért nem jó dolog planitext-ben forgalmazni harmadik fél eszközein/hálózatán keresztül

Értem én, csak leszarom. Csak _Franko_ frappáns beszólását tudom ismételni: ez nem a Fort Knox. Vagy magamat: ez nem egy netbank.

pláne akkor, ha credential is utazik a "dróton" (azaz authentikáció kell a tartalomeléréséhez), akkor sajnállak - gyógyíthatatlanul beleragadtál a múltba.

Ez meg a te hazugságod, ilyet nem állítottam. Pont erről beszéltem, hogy az oscompon semmiféle autentikáció nincs és kártékony kódot sincs értelme injektálni semmibe, tehát egy olyan szakadt, 26 éves bicajra pakolunk trackert, meg több U-lakatot, amit még a romák is megköpködnének, hogy ezt még ellopni se érdemes. Hovatovább még mindig nem sikerült hitelt érdemlően bizonyítani, hogy hogy fogja nekem a vezetékes HTTP forgalmat bárki manipulálni innen.

A beakadásod meg senki értelmes embert nem érdekel...

A beakadásom? Azt hiszed, te szerencsétlenségtömeg, hogy ezzel a fölényeskedéssel lesöpörheted az egészet az asztalról? Hogy lehet valaki ennyire beképzelt, mint te? Kinek hiszed te magadat? Te egyszemélyben döntöd el, hogy mi minősül tartalomnak? A te az enyémnél ezerszer szarabb weblapod az az, az enyém meg nem? Te egyszemélyben döntöd el, hogy ki véglény és ki ember és azt is, hogy miért? Én véglény vagyok, ha kiforgatom egy koszos multi nevét, de ha te teszed ugyanezt, akkor te nem?

Neked mindent is szabad, nekem meg semmit se? Mert te ezt mondod? Ki a fasznak képzeled te magad? Válaszolj csak szépen a kérdésre: ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem?

Vagy megválaszolod a kérdést, valami elfogadható, racionális magyarázattal (nehéz lesz), vagy szépen visszavonod és bocsánatot kérsz, belátván, hogy totál álszent voltál és kettős mércével mértél. Itt az ideje leszállnod a kurwa magas lóról, mert nincs mire felsőbbrendűsködnöd: egy triplanulla vagy szakmailag és emberileg is.

A következő az lesz, hogy kiteszem aláírásba.

Oldschool Computer - http://oscomp.hu

"az oscompon semmiféle autentikáció nincs és kártékony kódot sincs értelme injektálni semmibe" - Onnantól kezdve, hogy az onnan érkezőnek tekintett(!) tartalomért te, illetve a hostingot nyújtó fél felel, dehogynincs... Bármi, ami úgy néz ki, mintha onnan jönne(!) a te/ti felelősségetek. Tudod: kellő gondossággal eljárni.

Az IRL-jellegú linket jobb helyeken tiltják és ban jár érte - rólad pl. nem tudni, ki a lófogatújárműhajtója vagy... De sebaj. Az oldalnak egyébként egy ismert hibája van, mobilon túl közel esnek egymáshoz a kattintható elemek. A többi megfelel a Google és más erre a célra szolgáló ellenörzőeszközeinek.

A személyeskedésed, pláne az IRL adatokkal együtt jogi kategória, úgyhogy ne kelljen a HUP gazdájának ilyen jellegű megkeresés alapján kiadnia, hogy ki is vagy te, mert abból _neked_ lesz problémád - nem is kicsi. Egy trágár, vulgárisan kommunikáló egyén vagy, aki egy nick mögé bújik, és ír bizony-bizony rágalmazásnak és a jó hírnév megsértésének alapos gyanúját felvető hozzászólást. Nem először.

Onnantól kezdve, hogy az onnan érkezőnek tekintett(!) tartalomért te, illetve a hostingot nyújtó fél felel, dehogynincs... Bármi, ami úgy néz ki, mintha onnan jönne(!) a te/ti felelősségetek. Tudod: kellő gondossággal eljárni.

Jó, most már mutass valamit. Addig FUD.

Az oldalnak egyébként egy ismert hibája van, mobilon túl közel esnek egymáshoz a kattintható elemek.

2006-os sitebuild. Nekem meg nincs mobilom. Mondjuk nem is nagyon érdekelnek a mobilok.

A személyeskedésed, pláne az IRL adatokkal együtt jogi kategória, úgyhogy ne kelljen a HUP gazdájának ilyen jellegű megkeresés alapján kiadnia, hogy ki is vagy te, mert abból _neked_ lesz problémád - nem is kicsi. Egy trágár, vulgárisan kommunikáló egyén vagy, aki egy nick mögé bújik, és ír bizony-bizony rágalmazásnak és a jó hírnév megsértésének alapos gyanúját felvető hozzászólást. Nem először.

Fenyegetni mersz? Figyelj, morzsikám, egyelőre ha valaki itt jogilag megütheti a bokáját, az te vagy, nem én. Kezdjük azzal, hogy már több esetben vádoltál meg bűncselekménnyel, pl. lopással; na AZ bűncselekmény: a rágalmazás. A trágárkodás nem, de egyébként minden egyes alkalommal te voltál az, aki először mocskolni kezdett engem és nem fordítva. Minden alkalommal te kezdted a személyeskedést, te álszentek császára. És én ezt bizonyítani is tudom, mert le van mentve az összes posztod.
Szóval, ha ezért akarsz engem felelősségre vonni, ott te leszel felelősségre vonva; a törvény nem fogja díjazni a neked szabad, nekem nem felfogásodat.
Ami pedig az IRL adatokat illeti, én egy darab IRL adatot nem publikáltam rólad, én csak belinkeltem a hulladék weblapodat, (amit te magad küldtél el nekem email-ben anno), ugyanúgy, ahogy te is az enyémet, szóval kiszophatod, tövig.

Legyen ez? Folytassuk a szuhakállói rendőrörsön? Vigyem be az összes kommentedet, ahol hamisan bűncselekménnyel vádoltál? Meg azokat is, ahol a vitában trágárságokat vágtál a fejemhez, személyeskedtél, mocskolódtál, te kis álszent triplanulla? Minden alkalommal, érted? Minden alkalommal te voltál az, aki először mocskolni kezdett engem. Ld. pl. a másik topciot, ahol először lopással vádoltál, utána meg nekiálltál trágárkodni ("őfaszkalapsága").

Vagy visszavonod ezt a véglényezést és bocsánatot kérsz, vagy kiteszem aláírásba, aztán lejátszhatjuk a törvény előtt, ha olyan kurwa biztos vagy a dolgodban, de te fogsz kurwára rászopni a folyamatos bűncselekményekkel való vádaskodásokkal. Utolsó figyelmeztetés volt.

Oldschool Computer - http://oscomp.hu

hogy hogy fogja nekem a vezetékes HTTP forgalmat bárki manipulálni innen.
Innen? Szerintem senki es sehogy, mert nem fogunk/akarunk a hulyeseged miatt jogserteni, nem ersz annyit :D

De akkor erre varrj gombot!

Nem is olyan regen, amikor meg a https sajnos nem volt ennyire elterjedt es a HSTS meg a DNS-over-HTTPS sem volt opcio, kepzeld, a Telekom ugy jelezte az ugyfel fele, hogy be kellene fizetni a Zinternetet, hogy minden DNS port fele meno kerest elkapott es a sajat szerverere iranyitott, ha beirtad, hogy google.com, facebook.com, whatever, majd a bongeszodben annyit tudtal konstatalni, hogy "Kedves ugyfelunk..."

Ennel mar csak az volt "szofisztikaltabb", amit a kisebb KTV-s szolgaltatok vezettek be. Ott az volt a deal, ha lejart szamlad volt, olyan DHCP poolba kerultel, ahol a router az osszes 80-as portos kommunikaciot atdobta egy squid proxyra, ami minden meglatogatott lap tetejere bedobta a "fizesd be a szamlad" bannert.

Na, pl. ezert is hasznalunk end-to-end titkositast. Azota ezt nem tudjak megtenni. Csak ugy mellekesen mondom. :)

Na ez az, félelmetes, hogy mennyit tudnak rugózni ezen a https témán, mintha valami atomtitkokat rejtő oldal lenne :D Amúgy ez is csak azóta probléma, mióta a Google azt mondta, addig nem izgatott senkit.

Nyilván a MITM-et megy egyik se tudná megcsinálni, csak a szájuk nagy.

Amúgy kiíváncsi lennék arra is, hogy a hőbőrgők közül maga az oldal tartalma hányukat érdekli igazán.

Amúgy kiíváncsi lennék arra is, hogy a hőbőrgők közül maga az oldal tartalma hányukat érdekli igazán.

Egyiküket se. Se az általam publikált programok, szakmai cikkek, sem az, hogy egy helpline topicban segítsenek. Az egyik fele valláskárosult és a HTTPS kötelező és kész, a másik fele meg troll és a HTTPS csak casus belli.

Oldschool Computer - http://oscomp.hu

 

Nem azóta probléma, amióta a Google azt mondta, az első SSL specifikáció 1995-ös, a Google még nem is létezett akkor. Viszont elég sok akadálya volt sokáig az elterjedésének, legfőképp az, hogy nehéz és drága volt certificate-hez jutni. Ezt a problémát is csak úgy 20 évvel később a Let's Encrypt indításával sikerül megoldani (aminek mellesleg az EFF mellett a Mozilla még alapítója, nem a Google). Azóta viszont sokat fejlődött a tooling a TLS körül, odáig, hogy pl. caddy web servernek az a default működése, hogy amint elindul (HTTPS only by default) automatikusan szerez egy valid certet anélkül, hogy a user bármit csinálna. Viszont igen, az is kellett az elterjedéséhez, hogy az EFF vezetésével a népszerű böngésző fejlesztők és webes szolgáltatók "büntessék" a rosszul konfigurált HTTPS-t és a plain HTTP-t, enélkül soha nem jutottunk volna el odáig, hogy mára a HTTPS forgalom bőven 90% feletti. (lásd IPv6, ahol hiányzik a hasonló motiváció, elég lassú is a váltás.)

 

Nyilván egy MITM támadást plain HTTP esetében sem egyszerű összehozni, egyszerűen azért, mert ahhoz hozzá rajta kell lenned az traffic útvonalán. (Amúgy vannak más támadási vektorok, nem csak MITM, pl. DNS poisoning). De pl. az ISP-d triviális módon tudja lehallgatni és módosítani a forgalmadat plain HTTP esetén. Másrészt ha viszont célzottan támadnak téged, akkor meg fogják oldani (pl. social engineering vagy kártevővel megfertőzik a gépedet, etc.). De nem is kell célzottnak lennie a támadásnak, elég egy rosszindulatú sysadmin egy starbucksban, aki mondjuk minden http streambe beinjektál egy bitcoin miner js-et (jó, persze azért ennél okosabban kell csinálni, de annyira azért nem nehéz). Szóval persze, lehet arra hivatkozni, hogy valakit mint szolgáltatót nem érdekli a TLS, mert semmi titkosat nem forgalmaz, de nagyon nem csak az a use-case a TLS-nek, hogy ne lehessen lehallgatni a forgalmat.

Sajnos közben szétkúrták a topicot. Hogy nekem nem hisznek, mert én per se ab ovo idióta vagyok, az egy dolog, de _Franko_ és gelei is kiosztotta őket (meg még egy páran, egy-egy kommenttel), de az ő érveikre is csak a vallásos mantra újra-és-újra felbüfögése érkezett.

Oldschool Computer - http://oscomp.hu

hogy úgy tűnjön, hogy a Heartbleed csak pár napig volt kihasználható két év helyett?  > Ez a te prekoncepciod, nem allitottam ilyet. Azt mondtam, hogy 6 napig tartott befoltozni miutan kiderult. :) Te melyik musort nezed? Merthogy nem ezt, az nyilvanvalo :D
Ti jöttetek be az én topicomba  > remelem nem tiltja a BTK :D
Én ollózgattam, meg hagytam le a táblázat elejét? Én? > Te. TLS1.0, 1999, tudod, kitargyaltuk...
van bőr a pofádon azt hazudni, hogy én nem hagylak benneteket békén? Ez hogy jött ki, te hazug patkány? > nem kene ilyen stilusban frocsogni es edukalodni kellene a temaban, akkor nem lenne gond sem :)
Ti nem hagytok engem békén a hittérítésetekkel. > leszarom miben hiszel, viszont a temaban tajekozatlan vagy, proballak tenyekkel felvertezni, lathatolag 0 eremennyel :)
Te szarsz a biztonságra > ez a konkluziod? rossz lehet neked :D
szarsz a szakmai vitára > kertem szakmai tartalmat, erveket, tenyeket, nem kaptam. :(
te engem akarsz baszogatni > again

Csatlakozni szeretnél? Te vádoltál olyasmivel, amit nem követtem el. Én ennek ellenére normálisan, emberi hangnemben megkérdeztem, hogy miért lenne az. Erre ismét bevádoltál valamivel, ami szintén nem igaz és ezt már alpári stílusban. És amikor erre már erélyesebben visszaszóltam, akkor nagy fölényesen csak fanyalgásra futotta. Mire fel vered magad?

Nem én vagyok itt a galamb, hanem ti, HTTPS valláskárosultak. Hogy amit én mondok, az csak rossz lehet, az egy dolog, de _Franko_ és gelei is leírták, hogy miért beszéltek egetverő baromságokat. Ők is tollasak?

Oldschool Computer - http://oscomp.hu

A fogyasztó eldönti, hogy neki melyik jó. > a fogyasztonak biztonsagtechnikailag a https (TLS/SSL/[insert any crypt method here]) a jobb, persze, engedheted, hogy kreten legyen, csak... semmi nem fogja detektalni, ha a tuloldal IP-jet valaki mas vette fel es azon forgalmaz, kozbeekelodik vagy szimplan csomagokat hamisit egy koztes eszkozon.

Továbbra is azt mondom, hogy faszság letiltani a http-t a biztonságra hivatkozva. Én innen továbbra is azt látom, hogy két végletekig önszopató csapat szopatja egymást is. > ez pontosan igy van. keptelen vagy felfogni, hogy egy bezart ajtaju autot otthagyni valahol biztonsagosabb, mint egy nyitva hagyott ajtajut es fel kellene tenned a kerdest magadnak, hogy vajon melyiket fogjak konnyebben eltulajdonitani. vagy mondjuk azt, hogy a szervereken miert nem telnet van 20+ eve hanem ssh... ha nem tudsz eljutni idaig, akkor nincs mirol beszelgetni, sajnos.

ez pontosan igy van. keptelen vagy felfogni, hogy egy bezart ajtaju autot otthagyni valahol biztonsagosabb, mint egy nyitva hagyott ajtajut es fel kellene tenned a kerdest magadnak, hogy vajon melyiket fogjak konnyebben eltulajdonitani.

Nem, nem bezárt és nyitott ajtóról van szó, hanem arról, hogy a buszon mersz-e a beszélgetni vagy sem. Ha minden közlésedet titkosított csatornán bonyolítod az életben, akkor igazad van, ha viszont beszélsz és írsz néha úgy, hogy mások is látják, akkor segget csináltál a szádból. 

vagy mondjuk azt, hogy a szervereken miert nem telnet van 20+ eve hanem ssh

Hello, SMTP... :D

ha nem tudsz eljutni idaig, akkor nincs mirol beszelgetni, sajnos.

Az a baj, hogy teljesen más dimenziót próbálsz behozni a vitába, ami arról szól, hogy faszság-e kompletten letiltani és kiirtani minden plain protokollt. Az. Faszság.

https://iotguru.cloud

"buszon mersz-e a beszélgetni vagy sem" - részben. Ez csak a bizalmasság része a dolognak.
"Hello, SMTP... :D" - Hello, STARTLS...

"faszság-e kompletten letiltani és kiirtani minden plain protokollt. Az. Faszság." - Publikus, harmadik fél által birtokolt elemeket tartalmazó átviteli út használata esetén nem az. Egy egy feet-es patchkábellel összekötött két szerver között ezen a dróton átmenő forgalom esetén valóban nem "must have" a titkosítás - viszont egy telnet/rsh/rcp kódbázis karbantartása, frissen tartása olyan plusz humán erőforrásigényt jelent, amit nem biztos, hogy az ilyen cornercase-ek miatt érdemes beletolni.
 

részben. Ez csak a bizalmasság része a dolognak.

:D

Hello, STARTLS...

Az első SMTP szerverig...

Publikus, harmadik fél által birtokolt elemeket tartalmazó átviteli út használata esetén nem az.

Hát, pedig tele vagyunk ilyenekkel és sok esetben nincs értelme a komplett generikus tiltásnak és nem fokozza a biztonságot. A hamis biztonságérzetet igen, de ezt már írtam néhányszor.

https://iotguru.cloud

de, bezart es nyitott ajtokrol van szo.
nehogymar az legyen a de facto standard IoT eseten, hogy mindenki aki ra tud kapcsolodni egy halozatra, allitgathasson barmit (termosztat, villany) vagy 0 efforttal hamis adatokat kuldozgethessen (0 fokos a viz, futsel)
mert akkor eleg szar jovo ele nezunk ugy erzem :) jabocs, mar benne vagyunk
 

nehogymar az legyen a de facto standard IoT eseten, hogy mindenki aki ra tud kapcsolodni egy halozatra, allitgathasson barmit (termosztat, villany) vagy 0 efforttal hamis adatokat kuldozgethessen (0 fokos a viz, futsel) mert akkor eleg szar jovo ele nezunk ugy erzem :) jabocs, mar benne vagyunk

Nézd: http-n se tudja ezt egyszerűen akárki.

https://iotguru.cloud

Miért is nem? Nem, a "be kell jelentkezni" válasz nem játszik, mert onnantól kezdve, hogy plaintext, gyakorlatilag ellopható a session, de legjobb esetben is módosítható az átvitt adat, ráadásul úgy, hogy a végpontok nem is észlelik a változtatást. Oké, ha a kliens olyan xml-t küld/fogad, amiben adott mező valamilyen olyan módon van titkosítva, aminek a feloldásához szükséges adat nem volt kinyerhető a forgalomból, akkor jó _lehet_ a plaintext formátum is. De ez a ritkább eset...

Leírom ismét: nem a Fort Knox páncéltermét nyitja, és vannak eszközök, amelyek nem beszélnek se TLS, se SSL, se HTTPS, mert nincs bennük implementálva vagy a számolásra nincs elég kapacitásuk. És ha van rá kapacitás, meg egyéb erőforrás, akkor is vannak esetek, amikor teljesen felesleges is lenne.

https://iotguru.cloud

Ha és amennyiben az átvitt adatok esetében sem a bizalmasság, sem a sértetlenség nem fontos, azaz nem probléma, ha fals adat érkezik, ha bárki lehallgatja a forgalmat, akkor hazsnáld a plaintext protokollt, de azt fogadd el, hogy semmi garancia nincs arra, hogy az érkezik meg, ami elindult a dróton, illetve hogy a kliens valóban azzal beszélget, akinek hiszi a túloldalt.

azert olyan sok nem tart vissza, hogy barmilyen IP-t felvegyel egy otthoni halozatban, akar a kedves user defGW-t is, vagy barmelyik IoT vacak MAC cimet odahazudd vagy a kozted router/switchen kicsit megmaszkurald a packeteket. ezek mar 20 eve is ismert faktorok voltak, vannak is ra mitigaciok tobb-kevesebb sikerrel, de az ellen nem ved, hogy nem tudod megmondani, hogy amit kuldtel, az is ert oda, vagy amit fogadtal, azt a kuldo ugy gondolta-e. na erre van az ssl/tls.
De akkor legyen egy kis firmware
olyannyira jo otlet volt a http, hogy semmibol nem tartott ezt sem megnezni...
https://www.linkedin.com/posts/shaquib-izhar_gigabytemotherboard-backdo…

Szoval, ertem en... de ne kelljen mar halozati szinten blokkolgatni minden szart, mert a kedves iot/firmware fejleszto kenyelmes volt es beleszart a securitybe. Mert ez van.
Legszebbek a kinai kamera controllerek, ahol nincs is https!!! security cam system, az... ezert vagy elasod a halozat legmelyere fizikai/logikai szeparacioval, vagy csak ido kerdese mikor csatlakozol a botnethez :D

Ami _nem_ TLS, annál hogyan biztosítod a két végpontnak, hogy valóban az a szerver, akinek mondja magát, iléletve az, amit a szerver megkap, az attól és olyan formában/tartalommal indult el, amit a szerver megkapott, valamint bónuszként azt, hogy ezt út közben látta/láthatta-e valaki? Van-e a TLS-nélküli forgalomban credential küldözgetés? (Sértetlenség, bizalmasság)

"A fogyasztó eldönti, hogy neki melyik jó" - te, mint adatkezelő kell, hogy biztosítsd a fenti két dolgot, attól függetlenül(!), hogy a fogyasztónak megfelelne ezek nélkül is a szolgáltatásod.

Ami _nem_ TLS, annál hogyan biztosítod a két végpontnak, hogy valóban az a szerver, akinek mondja magát, iléletve az, amit a szerver megkap, az attól és olyan formában/tartalommal indult el, amit a szerver megkapott, valamint bónuszként azt, hogy ezt út közben látta/láthatta-e valaki? Van-e a TLS-nélküli forgalomban credential küldözgetés? (Sértetlenség, bizalmasság)

Leszarom, úgy. Nem a Fort Knox páncéltermét nyitja, és vannak eszközök, amelyek nem beszélnek se TLS, se SSL, se HTTPS, mert nincs bennük implementálva vagy a számolásra nincs elég kapacitásuk. És ha van rá kapacitás, meg egyéb erőforrás, akkor is vannak esetek, amikor teljesen felesleges is lenne.

Generikus tiltása a plain protokolloknak és utána generikus sírás arról, hogy nem éri el a tartalmat, ami generikusan nem biztonságos: az generikus faszság.

hogy biztosítsd a fenti két dolgot

Nem kell biztosítsam. Ha csak plain protokoll lenne, akkor a fogyasztó eldönti, hogy neki úgy is jó vagy sem.

https://iotguru.cloud

NEM a tartalom megbízhatóságáról szól a dolog

Hat illetve annyibol de, hogy amikor a bongeszo meglatja a let's encryptes tanusitvanyt a phishing oldaladon, akkor nagy boldogan ki fogja irni, hogy ez a connection bizony secure, "This site has a valid certificate, issued by a trusted authority."

Az, hogy abban a pillanatban, hogy beirtad a kartyaszamod, mar megy is a fizetesi kiserlet valami filippino webshopban, az nem erdekes.

Egyebkent nem a https letjogosultsagat vitatom, csak azt, hogy (1) jol kitalalt a PKI architektura, es hogy (2) attol lesz biztonsagos valami, hogy le van dobva ele valami cert.

Ha ilyen nehéz, akkor miért ezt használod? Feltölthetnéd ingyenesen valamelyik anonim képmegosztó oldalra, mint pl. imgur. Nem?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Na megnéztem a FAQ-dat.

Szóval ha jól értem, azért nem akarod az imgurt használni, mert mi van, ha egyszer csak elvesznek a feltöltött képek?

A te dolgod, de én pont azért használom az imgurt, mert ha egy ilyen hibaüzenetet feltöltök, jön rá pár válasz, és utána nem kell azzal foglalkoznom, hogy megvan-e még a kép vagy elveszett, mert se én, se más nem fogja soha többet megnézni. Természetesen megőrizni kívánt képeket nem oda töltök fel.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ja, egyébként még a képmegosztókhoz (bár a FAQ-ban ez is le van írva), hogy megfogdossák őket mindenféle helyi filterek. Itt a hupon is volt erre példa, amikor bennyh orbitális pofával nekiállt fölényeskedni, hogy így kell képet linkelni, aztán geleiéknél a céges proxy megfogta és neki nem jelent meg. Szóval ennyit a képmegosztókról.

Oldschool Computer - http://oscomp.hu

De én nem is nyitottam topicot úgy, hogy na, így kell képet linkelni... Hovatovább, a mixed contentet rohadt egyszerűen orvosolni tudja a kliens is a forced HTTPS bekapcsolásával (nem linkelem be megint, hogy kell króm és róka alatt bekapcsolni), a céges proxy viszont blokkolni fog, ha tótágast állsz is.

Nem kötelező amúgy látogatni a topicjaimat, akkor nem kell nem látszó képekkel, vagy bad certekkel szembesülni. Problem solved.

Oldschool Computer - http://oscomp.hu

Sokadszor: az oscompponthu oldanak NINCS sem lejárt, sem érvényes certje. Tehát onnan nem tudsz https-en linkelni semmit. A t-hostingponthu-ról tudnál, de az meg a dnshostingponthu-ra dob át, ahol mondjuk legalább van valid cert, de tartalom nincs, és ugyebár az oscompponthu-s kontentet ezen a néven természetesen nem szolgáltatja...

"Nem kötelező amúgy látogatni a topicjaimat" - Nem a tied, hanem te hoztad létre egy közösségi portálon, ahol az megy oda az általad betolt tartalmat elolvasni, és hozzászólni, aki csak akar a portál regisztrált felhasználói közül. Nem kötelező itt tartalmat megosztani...

Sokadszor: az oscompponthu oldanak NINCS sem lejárt, sem érvényes certje. Tehát onnan nem tudsz https-en linkelni semmit.

Ez nem tudom, hogy jött ki neked. Átraktam a belinkelt képet HTTPS alá. Látod? Tudok HTTPS-en linkelni, max. ezért is vinnyog a browser, mert nem az enyém a cert. De a titkosítás működik.

Nem a tied

De. Az enyém. Ha írok egy blogposztot az is az enyém. Szerzői jog védi. Na erre gombolj varrodát.

hanem te hoztad létre egy közösségi portálon, ahol az megy oda az általad betolt tartalmat elolvasni, és hozzászólni, aki csak akar a portál regisztrált felhasználói közül. Nem kötelező itt tartalmat megosztani...

Kommentelni lehet, de szétbaszni, szétoffolni nincs jogotok. Tudjátok végre, hol a helyetek.

Válaszolj inkább a kérdésre: ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem?

Tényleg ki fogom rakni aláírásba, ha nem válaszolod meg, vagy nem vonod vissza és kérsz bocsánatot.

Oldschool Computer - http://oscomp.hu

szétoffolni nincs jogotok. > "En vagyok a torveny!" :D
De. Az enyém. Ha írok egy blogposztot az is az enyém. > az irasod tartama lehet, a kommenteles joganak szabalyozasa nem. Na, erre varrj gombot! :D
Nem tudom mi van a fejedben, sot, leginkabb nem is akarom, de a valosaggal sokszor koszono viszonyban sincs :D

( dcsaba v | 2023. 06. 10., szo – 22:13 )

HW hiba? Első körben kábellel csatlakoztatott dolgokat kihúznám. 

Diszkeket húzd le, könnyen lehet, hogy az egyik feladta a harcot, és eléréskor vagy bizonyos helyen eléréskor vége lesz. Ha diszk nélkül megáll, akkor az esetleges bővítőkártyák kivétele, ha integrált akkor letiltásuk (hang, hálózat), de innentől igazából alaplapcsere felé mész.

Előfordulhat még táp probléma, és mielőtt indítgatod a gépet azért a mobilod lámpájával a kondikat érdemes lenne szemrevételezned, illetve hogy van-e gyanús nyom a tápban, esetleg szagról nem árulkodik-e.

A lemezek a HDSentinel szerint kifogástalan állapotban vannak:

HDD Device  0: /dev/sda
HDD Model ID : ADATA SP900
HDD Serial No: 2E1220031675
HDD Revision : 5.0.7b
HDD Size     : 122104 MB
Interface    : S-ATA Gen3, 6 Gbps
Temperature  : 36 °C
Highest Temp.: 56 °C
Health       : 100 %
Performance  : 100 %
Power on time: 1331 days, 0 hours
Est. lifetime: more than 494 days
Total written: 6.88 TB
  The status of the solid state disk is PERFECT. Problematic or weak sectors were not found. 
  The health is determined by SSD specific S.M.A.R.T. attribute(s):  #231 SSD Life Left
    No actions needed.

HDD Device  1: /dev/sdb
HDD Model ID : ADATA SP900
HDD Serial No: 2E1220031657
HDD Revision : 5.0.7b
HDD Size     : 122104 MB
Interface    : S-ATA Gen3, 6 Gbps
Temperature  : 36 °C
Highest Temp.: 59 °C
Health       : 100 %
Performance  : 100 %
Power on time: 1312 days, 17 hours
Est. lifetime: more than 512 days
Total written: 799 GB
  The status of the solid state disk is PERFECT. Problematic or weak sectors were not found. 
  The health is determined by SSD specific S.M.A.R.T. attribute(s):  #231 SSD Life Left
    No actions needed.

HDD Device  2: /dev/sdc
HDD Model ID : ST3500412AS
HDD Serial No: 5VV38RQV
HDD Revision : CC32
HDD Size     : 476940 MB
Interface    : S-ATA II
Temperature  : 33 °C
Highest Temp.: 44 °C
Health       : 100 %
Performance  : 100 %
Power on time: 1520 days, 14 hours
Est. lifetime: more than 304 days
  The hard disk status is PERFECT. Problematic or weak sectors were not found and there are no spin up or data transfer errors. 
    No actions needed.

HDD Device  3: /dev/sdd
HDD Model ID : WDC WD5000AUDX-73H9TY0
HDD Serial No: WD-WCC4J3997989
HDD Revision : 01.01A01
HDD Size     : 476940 MB
Interface    : S-ATA Gen3, 6 Gbps
Temperature  : 35 °C
Highest Temp.: 43 °C
Health       : 100 %
Performance  : 100 %
Power on time: 1333 days, 14 hours
Est. lifetime: more than 491 days
  The hard disk status is PERFECT. Problematic or weak sectors were not found and there are no spin up or data transfer errors. 
    No actions needed.

A SmartCtl sem jelez hibát:

smartctl 7.2 2020-12-30 r5155 [x86_64-linux-5.10.0-23-amd64] (local build)
Copyright (C) 2002-20, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
Model Family:     SandForce Driven SSDs
Device Model:     ADATA SP900
Serial Number:    2E1220031675
LU WWN Device Id: 5 707c18 1000236bd
Firmware Version: 5.0.7b
User Capacity:    128.035.676.160 bytes [128 GB]
Sector Size:      512 bytes logical/physical
Rotation Rate:    Solid State Device
TRIM Command:     Available, deterministic
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   ATA8-ACS, ACS-2 T13/2015-D revision 3
SATA Version is:  SATA 3.0, 6.0 Gb/s (current: 6.0 Gb/s)
Local Time is:    Sat Jun 10 22:57:06 2023 CEST
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

General SMART Values:
Offline data collection status:  (0x00)	Offline data collection activity
					was never started.
					Auto Offline Data Collection: Disabled.
Self-test execution status:      (   0)	The previous self-test routine completed
					without error or no self-test has ever 
					been run.
Total time to complete Offline 
data collection: 		(    0) seconds.
Offline data collection
capabilities: 			 (0x7b) SMART execute Offline immediate.
					Auto Offline data collection on/off support.
					Suspend Offline collection upon new
					command.
					Offline surface scan supported.
					Self-test supported.
					Conveyance Self-test supported.
					Selective Self-test supported.
SMART capabilities:            (0x0003)	Saves SMART data before entering
					power-saving mode.
					Supports SMART auto save timer.
Error logging capability:        (0x01)	Error logging supported.
					General Purpose Logging supported.
Short self-test routine 
recommended polling time: 	 (   1) minutes.
Extended self-test routine
recommended polling time: 	 (  48) minutes.
Conveyance self-test routine
recommended polling time: 	 (   2) minutes.
SCT capabilities: 	       (0x0021)	SCT Status supported.
					SCT Data Table supported.

SMART Attributes Data Structure revision number: 10
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x000f   100   100   050    Pre-fail  Always       -       0/3050694
  5 Retired_Block_Count     0x0033   100   100   003    Pre-fail  Always       -       0
  9 Power_On_Hours_and_Msec 0x0032   064   064   000    Old_age   Always       -       31944h+58m+35.610s
 12 Power_Cycle_Count       0x0032   094   094   000    Old_age   Always       -       7073
171 Program_Fail_Count      0x0032   000   000   000    Old_age   Always       -       0
172 Erase_Fail_Count        0x0032   000   000   000    Old_age   Always       -       0
174 Unexpect_Power_Loss_Ct  0x0030   000   000   000    Old_age   Offline      -       439
177 Wear_Range_Delta        0x0000   000   000   000    Old_age   Offline      -       3
181 Program_Fail_Count      0x0032   000   000   000    Old_age   Always       -       0
182 Erase_Fail_Count        0x0032   000   000   000    Old_age   Always       -       0
187 Reported_Uncorrect      0x0032   100   100   000    Old_age   Always       -       0
194 Temperature_Celsius     0x0022   036   056   000    Old_age   Always       -       36 (Min/Max 13/56)
195 ECC_Uncorr_Error_Count  0x001c   120   120   000    Old_age   Offline      -       0/3050694
196 Reallocated_Event_Count 0x0033   100   100   003    Pre-fail  Always       -       0
201 Unc_Soft_Read_Err_Rate  0x001c   120   120   000    Old_age   Offline      -       0/3050694
204 Soft_ECC_Correct_Rate   0x001c   120   120   000    Old_age   Offline      -       0/3050694
230 Life_Curve_Status       0x0013   100   100   000    Pre-fail  Always       -       100
231 SSD_Life_Left           0x0013   100   100   010    Pre-fail  Always       -       0
233 SandForce_Internal      0x0000   000   000   000    Old_age   Offline      -       5988
234 SandForce_Internal      0x0032   000   000   000    Old_age   Always       -       7047
241 Lifetime_Writes_GiB     0x0032   000   000   000    Old_age   Always       -       7047
242 Lifetime_Reads_GiB      0x0032   000   000   000    Old_age   Always       -       10342

SMART Error Log not supported

SMART Self-test Log not supported

SMART Selective self-test log data structure revision number 1
 SPAN  MIN_LBA  MAX_LBA  CURRENT_TEST_STATUS
    1        0        0  Not_testing
    2        0        0  Not_testing
    3        0        0  Not_testing
    4        0        0  Not_testing
    5        0        0  Not_testing
Selective self-test flags (0x0):
  After scanning selected spans, do NOT read-scan remainder of disk.
If Selective self-test is pending on power-up, resume after 0 minute delay.

smartctl 7.2 2020-12-30 r5155 [x86_64-linux-5.10.0-23-amd64] (local build)
Copyright (C) 2002-20, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
Model Family:     SandForce Driven SSDs
Device Model:     ADATA SP900
Serial Number:    2E1220031657
LU WWN Device Id: 5 707c18 1000236ab
Firmware Version: 5.0.7b
User Capacity:    128.035.676.160 bytes [128 GB]
Sector Size:      512 bytes logical/physical
Rotation Rate:    Solid State Device
TRIM Command:     Available, deterministic
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   ATA8-ACS, ACS-2 T13/2015-D revision 3
SATA Version is:  SATA 3.0, 6.0 Gb/s (current: 6.0 Gb/s)
Local Time is:    Sat Jun 10 22:57:06 2023 CEST
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

General SMART Values:
Offline data collection status:  (0x00)	Offline data collection activity
					was never started.
					Auto Offline Data Collection: Disabled.
Self-test execution status:      (   0)	The previous self-test routine completed
					without error or no self-test has ever 
					been run.
Total time to complete Offline 
data collection: 		(    0) seconds.
Offline data collection
capabilities: 			 (0x7b) SMART execute Offline immediate.
					Auto Offline data collection on/off support.
					Suspend Offline collection upon new
					command.
					Offline surface scan supported.
					Self-test supported.
					Conveyance Self-test supported.
					Selective Self-test supported.
SMART capabilities:            (0x0003)	Saves SMART data before entering
					power-saving mode.
					Supports SMART auto save timer.
Error logging capability:        (0x01)	Error logging supported.
					General Purpose Logging supported.
Short self-test routine 
recommended polling time: 	 (   1) minutes.
Extended self-test routine
recommended polling time: 	 (  48) minutes.
Conveyance self-test routine
recommended polling time: 	 (   2) minutes.
SCT capabilities: 	       (0x0021)	SCT Status supported.
					SCT Data Table supported.

SMART Attributes Data Structure revision number: 10
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x000f   120   120   050    Pre-fail  Always       -       0/0
  5 Retired_Block_Count     0x0033   100   100   003    Pre-fail  Always       -       0
  9 Power_On_Hours_and_Msec 0x0032   065   065   000    Old_age   Always       -       31505h+48m+05.170s
 12 Power_Cycle_Count       0x0032   094   094   000    Old_age   Always       -       7073
171 Program_Fail_Count      0x0032   000   000   000    Old_age   Always       -       0
172 Erase_Fail_Count        0x0032   000   000   000    Old_age   Always       -       0
174 Unexpect_Power_Loss_Ct  0x0030   000   000   000    Old_age   Offline      -       609
177 Wear_Range_Delta        0x0000   000   000   000    Old_age   Offline      -       0
181 Program_Fail_Count      0x0032   000   000   000    Old_age   Always       -       0
182 Erase_Fail_Count        0x0032   000   000   000    Old_age   Always       -       0
187 Reported_Uncorrect      0x0032   100   100   000    Old_age   Always       -       0
194 Temperature_Celsius     0x0022   036   059   000    Old_age   Always       -       36 (Min/Max 13/59)
195 ECC_Uncorr_Error_Count  0x001c   100   100   000    Old_age   Offline      -       0/0
196 Reallocated_Event_Count 0x0033   100   100   003    Pre-fail  Always       -       0
201 Unc_Soft_Read_Err_Rate  0x001c   100   100   000    Old_age   Offline      -       0/0
204 Soft_ECC_Correct_Rate   0x001c   100   100   000    Old_age   Offline      -       0/0
230 Life_Curve_Status       0x0013   100   100   000    Pre-fail  Always       -       100
231 SSD_Life_Left           0x0013   100   100   010    Pre-fail  Always       -       0
233 SandForce_Internal      0x0000   000   000   000    Old_age   Offline      -       600
234 SandForce_Internal      0x0032   000   000   000    Old_age   Always       -       799
241 Lifetime_Writes_GiB     0x0032   000   000   000    Old_age   Always       -       799
242 Lifetime_Reads_GiB      0x0032   000   000   000    Old_age   Always       -       961

SMART Error Log not supported

SMART Self-test Log not supported

SMART Selective self-test log data structure revision number 1
 SPAN  MIN_LBA  MAX_LBA  CURRENT_TEST_STATUS
    1        0        0  Not_testing
    2        0        0  Not_testing
    3        0        0  Not_testing
    4        0        0  Not_testing
    5        0        0  Not_testing
Selective self-test flags (0x0):
  After scanning selected spans, do NOT read-scan remainder of disk.
If Selective self-test is pending on power-up, resume after 0 minute delay.

smartctl 7.2 2020-12-30 r5155 [x86_64-linux-5.10.0-23-amd64] (local build)
Copyright (C) 2002-20, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
Model Family:     Seagate Barracuda LP
Device Model:     ST3500412AS
Serial Number:    5VV38RQV
LU WWN Device Id: 5 000c50 02a35a06c
Firmware Version: CC32
User Capacity:    500.107.862.016 bytes [500 GB]
Sector Size:      512 bytes logical/physical
Rotation Rate:    5900 rpm
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   ATA8-ACS T13/1699-D revision 4
SATA Version is:  SATA 2.6, 3.0 Gb/s
Local Time is:    Sat Jun 10 22:57:06 2023 CEST

==> WARNING: A firmware update for this drive may be available,
see the following Seagate web pages:
http://knowledge.seagate.com/articles/en_US/FAQ/207931en
http://knowledge.seagate.com/articles/en_US/FAQ/213915en

SMART support is: Available - device has SMART capability.
SMART support is: Enabled

=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

General SMART Values:
Offline data collection status:  (0x82)	Offline data collection activity
					was completed without error.
					Auto Offline Data Collection: Enabled.
Self-test execution status:      (   0)	The previous self-test routine completed
					without error or no self-test has ever 
					been run.
Total time to complete Offline 
data collection: 		(  623) seconds.
Offline data collection
capabilities: 			 (0x7b) SMART execute Offline immediate.
					Auto Offline data collection on/off support.
					Suspend Offline collection upon new
					command.
					Offline surface scan supported.
					Self-test supported.
					Conveyance Self-test supported.
					Selective Self-test supported.
SMART capabilities:            (0x0003)	Saves SMART data before entering
					power-saving mode.
					Supports SMART auto save timer.
Error logging capability:        (0x01)	Error logging supported.
					General Purpose Logging supported.
Short self-test routine 
recommended polling time: 	 (   1) minutes.
Extended self-test routine
recommended polling time: 	 ( 107) minutes.
Conveyance self-test routine
recommended polling time: 	 (   2) minutes.
SCT capabilities: 	       (0x103f)	SCT Status supported.
					SCT Error Recovery Control supported.
					SCT Feature Control supported.
					SCT Data Table supported.

SMART Attributes Data Structure revision number: 10
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x000f   119   099   006    Pre-fail  Always       -       201549374
  3 Spin_Up_Time            0x0003   097   097   000    Pre-fail  Always       -       0
  4 Start_Stop_Count        0x0032   084   084   020    Old_age   Always       -       17073
  5 Reallocated_Sector_Ct   0x0033   100   100   036    Pre-fail  Always       -       0
  7 Seek_Error_Rate         0x000f   078   060   030    Pre-fail  Always       -       83560266
  9 Power_On_Hours          0x0032   059   059   000    Old_age   Always       -       36494
 10 Spin_Retry_Count        0x0013   100   100   097    Pre-fail  Always       -       0
 12 Power_Cycle_Count       0x0032   092   092   020    Old_age   Always       -       8535
183 Runtime_Bad_Block       0x0032   100   100   000    Old_age   Always       -       0
184 End-to-End_Error        0x0032   100   100   099    Old_age   Always       -       0
187 Reported_Uncorrect      0x0032   100   100   000    Old_age   Always       -       0
188 Command_Timeout         0x0032   100   099   000    Old_age   Always       -       8590065675
189 High_Fly_Writes         0x003a   100   100   000    Old_age   Always       -       0
190 Airflow_Temperature_Cel 0x0022   067   056   045    Old_age   Always       -       33 (Min/Max 33/38)
194 Temperature_Celsius     0x0022   033   044   000    Old_age   Always       -       33 (0 13 0 0 0)
195 Hardware_ECC_Recovered  0x001a   037   020   000    Old_age   Always       -       201549374
197 Current_Pending_Sector  0x0012   100   100   000    Old_age   Always       -       0
198 Offline_Uncorrectable   0x0010   100   100   000    Old_age   Offline      -       0
199 UDMA_CRC_Error_Count    0x003e   200   200   000    Old_age   Always       -       0
240 Head_Flying_Hours       0x0000   100   253   000    Old_age   Offline      -       59707 (196 96 0)
241 Total_LBAs_Written      0x0000   100   253   000    Old_age   Offline      -       1356585852
242 Total_LBAs_Read         0x0000   100   253   000    Old_age   Offline      -       1616076369

SMART Error Log Version: 1
No Errors Logged

SMART Self-test log structure revision number 1
Num  Test_Description    Status                  Remaining  LifeTime(hours)  LBA_of_first_error
# 1  Extended offline    Aborted by host               90%     35221         -
# 2  Extended offline    Completed without error       00%     15737         -

SMART Selective self-test log data structure revision number 1
 SPAN  MIN_LBA  MAX_LBA  CURRENT_TEST_STATUS
    1        0        0  Not_testing
    2        0        0  Not_testing
    3        0        0  Not_testing
    4        0        0  Not_testing
    5        0        0  Not_testing
Selective self-test flags (0x0):
  After scanning selected spans, do NOT read-scan remainder of disk.
If Selective self-test is pending on power-up, resume after 0 minute delay.

smartctl 7.2 2020-12-30 r5155 [x86_64-linux-5.10.0-23-amd64] (local build)
Copyright (C) 2002-20, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF INFORMATION SECTION ===
Model Family:     Western Digital AV-GP (AF)
Device Model:     WDC WD5000AUDX-73H9TY0
Serial Number:    WD-WCC4J3997989
LU WWN Device Id: 5 0014ee 2b4c82659
Firmware Version: 01.01A01
User Capacity:    500.107.862.016 bytes [500 GB]
Sector Sizes:     512 bytes logical, 4096 bytes physical
Rotation Rate:    5400 rpm
Device is:        In smartctl database [for details use: -P show]
ATA Version is:   ACS-2 (minor revision not indicated)
SATA Version is:  SATA 3.0, 6.0 Gb/s (current: 6.0 Gb/s)
Local Time is:    Sat Jun 10 22:57:06 2023 CEST
SMART support is: Available - device has SMART capability.
SMART support is: Enabled

=== START OF READ SMART DATA SECTION ===
SMART overall-health self-assessment test result: PASSED

General SMART Values:
Offline data collection status:  (0x00)	Offline data collection activity
					was never started.
					Auto Offline Data Collection: Disabled.
Self-test execution status:      (   0)	The previous self-test routine completed
					without error or no self-test has ever 
					been run.
Total time to complete Offline 
data collection: 		( 6720) seconds.
Offline data collection
capabilities: 			 (0x7b) SMART execute Offline immediate.
					Auto Offline data collection on/off support.
					Suspend Offline collection upon new
					command.
					Offline surface scan supported.
					Self-test supported.
					Conveyance Self-test supported.
					Selective Self-test supported.
SMART capabilities:            (0x0003)	Saves SMART data before entering
					power-saving mode.
					Supports SMART auto save timer.
Error logging capability:        (0x01)	Error logging supported.
					General Purpose Logging supported.
Short self-test routine 
recommended polling time: 	 (   2) minutes.
Extended self-test routine
recommended polling time: 	 (  79) minutes.
Conveyance self-test routine
recommended polling time: 	 (   5) minutes.
SCT capabilities: 	       (0x3035)	SCT Status supported.
					SCT Feature Control supported.
					SCT Data Table supported.

SMART Attributes Data Structure revision number: 16
Vendor Specific SMART Attributes with Thresholds:
ID# ATTRIBUTE_NAME          FLAG     VALUE WORST THRESH TYPE      UPDATED  WHEN_FAILED RAW_VALUE
  1 Raw_Read_Error_Rate     0x002f   200   200   051    Pre-fail  Always       -       0
  3 Spin_Up_Time            0x0027   138   127   021    Pre-fail  Always       -       4066
  4 Start_Stop_Count        0x0032   093   093   000    Old_age   Always       -       7070
  5 Reallocated_Sector_Ct   0x0033   200   200   140    Pre-fail  Always       -       0
  7 Seek_Error_Rate         0x002e   200   200   000    Old_age   Always       -       0
  9 Power_On_Hours          0x0032   057   057   000    Old_age   Always       -       32006
 10 Spin_Retry_Count        0x0032   100   100   000    Old_age   Always       -       0
 11 Calibration_Retry_Count 0x0032   100   100   000    Old_age   Always       -       0
 12 Power_Cycle_Count       0x0032   093   093   000    Old_age   Always       -       7068
192 Power-Off_Retract_Count 0x0032   200   200   000    Old_age   Always       -       259
193 Load_Cycle_Count        0x0032   198   198   000    Old_age   Always       -       6804
194 Temperature_Celsius     0x0022   108   100   000    Old_age   Always       -       35
196 Reallocated_Event_Count 0x0032   200   200   000    Old_age   Always       -       0
197 Current_Pending_Sector  0x0032   200   200   000    Old_age   Always       -       0
198 Offline_Uncorrectable   0x0030   100   253   000    Old_age   Offline      -       0
199 UDMA_CRC_Error_Count    0x0032   200   200   000    Old_age   Always       -       2
200 Multi_Zone_Error_Rate   0x0008   200   200   000    Old_age   Offline      -       0

SMART Error Log Version: 1
No Errors Logged

SMART Self-test log structure revision number 1
Num  Test_Description    Status                  Remaining  LifeTime(hours)  LBA_of_first_error
# 1  Extended offline    Aborted by host               90%     30723         -
# 2  Extended offline    Completed without error       00%     10984         -

SMART Selective self-test log data structure revision number 1
 SPAN  MIN_LBA  MAX_LBA  CURRENT_TEST_STATUS
    1        0        0  Not_testing
    2        0        0  Not_testing
    3        0        0  Not_testing
    4        0        0  Not_testing
    5        0        0  Not_testing
Selective self-test flags (0x0):
  After scanning selected spans, do NOT read-scan remainder of disk.
If Selective self-test is pending on power-up, resume after 0 minute delay.

Egyébként gond nélkül lehet őket mountolni, dismountolni, írni, olvasni, fsck se jelez hibát sose...
A videókártya és a hangkártya pedig új a gépben.

Táp lehetne, de akkor miért jön elő olyan ritkán? Egyébként patika a táp, hiába öreg, nincs amperszag, púpos, vagy megfolyt kondit pedig nem láttam, csak így belevilágítva, de az elektrolit szagát csak érezném.

Valami szoftveres probléma nem állhat mögötte? Csak mert jelen pillanatban úgy jött elő, hogy csak a backup diskről bootolva csinálja. Két SSD és két HDD van a gépben, az SSD-n van az OS és a programok, a HDD-n az adatok és az egyik SSD/HDD párról rsync segítségével backupolok a másik párra. (Természetesen a backup systemdisken az UUID-ek át vannak írva, scriptből automatizáltan. Mind a GRUB-ban, mind az fstab-ban. A normál SSD-n lévő rendszer a normál HDD partícióit húzza fel, a backup SSD a backup HDD-ét.) Ma fel akartam róla bootolni és megint előjött. A normál diszkről meg simán megy. Máskor meg a normál diszkről nem akar. De a lemezekkel nincs baj, mint mondtam, simán csatolható, írható, olvasható. Ha ez hardware hiba lenne, akkor egyik pár se kelne fel.

Oldschool Computer - http://oscomp.hu

( TCH | 2023. 06. 11., v – 00:00 )

Oké, kiderült, hogy mi a fene ez: eszerint a bugreport szerint ez "entropy starvation", amit felszámolni pedig úgy lehet, hogy először fel kell rakni a haveged csomagot (apt-get install haveged), majd az /etc/default/grub fájlban a GRUB_CMDLINE_LINUX változót ki kell egészíteni a random.trust_cpu=on argumentummal, aztán vagy újra kell húzatni a /boot/grub/grub.cfg-t egy dpkg-reconfigure grub-pc paranccsal, vagy kézzel szerkeszteni és az előbb említett argumentumot hozzácsapni a kernel parancssorához minden entry-nél.

Oldschool Computer - http://oscomp.hu

Az baj, hogy ez engem nem emlékeztet entropy starvation-re. Nekem is volt ilyen régen, meg fórumok pár embernek, és nálunk volt értelmes hibaüzenet a dmesg-ben, hogy ez az entropy cucc a bajos, és igaz, hogy megállt a bootfolyamat egy jó pár másodpercre, volt, akinek 1-2 percre is, de aztán tovább kéne bootoljon.

Anno én is a haveged felrakásával oldottam meg, de pár hónap után javították, és nem kellett többé azt sem feltenni, a mai napig nincs is fent.

The world runs on Excel spreadsheets. (Dylan Beattie)

Rendben, örülök, hogy megoldódott. Ezek szerint ez az random entropy seed kotyvalék egyre rosszabb, az én esetem olyan 2 éve történt. Simán lehet, hogy azóta még fosabb, nem ír ki semmi normális hibaüzenet, és a bootot is végleg beakasztja. Csak azért írtam, hogy bár megfordult a fejemben ez, de elvetettem a nálad tapasztalt tünetek alapján.

The world runs on Excel spreadsheets. (Dylan Beattie)

De, néha csinálja, de most a kettes diszken pont előjött és abban a pillanatban, ahogy belőttem, el is múlt, szóval szerintem a debianos fickónak igaza volt és ez entropy starvation volt.

Ha nem volt igaza és megint előjön, akkor neked volt igazad, de erre egyelőre nem tudok választ adni.

Oldschool Computer - http://oscomp.hu

Te nyertél. Ma megint előjött. A reboot sem segített. Aztán átbootoltam a szekunder lemezekre és az felbootolt elsőre. Utána vissza a primerre és az is.

Nem tudom mi ez, de nem hardwarehiba, mert akkor nem lenne ez, hogy az egyiken előjön, a másikon meg nem. Vagy, mégis entropy starvation, de nem oldotta meg a haveged.

Oldschool Computer - http://oscomp.hu

Sajnalom ... Van meg ez az ut, ami nehez de 99.99%, hogy nyomra vezet: https://www.kernel.org/doc/html/v4.18/dev-tools/kgdb.html

Lehet bohockodni azzal, hogy valtogatod ide-oda a kernel verziokat, boot konfiguraciot hatha nem jelentkezik, de a nap vegen az lesz, hogy elegetsz egy csomo idot ... En a helyedben inkabb nekiesnek a debugnak ^^

Köszi a tippet, csak sajnos hiába debuggolok, ha nem tudom, hogy mit keresek. Ez az izé csak ritkán jön elő és akkor elakad a boot, már nem tudom bekapcsolni a debugot. Hogy álljak neki, mit keressek? Zéró tapasztalatom van kernelfejlesztés terén.

Egyébként az a kernel bug is lehet, amit trey linkelt be és most találták meg; a következő kernelpatch után kiderül.

Oldschool Computer - http://oscomp.hu

de, ettol meg nagyon is lehet HW gond, sot.
memtest megvolt mar?
rootdelay?
ha rendes HW esetleg SEL log, raid vezerlo - ha van - allapota, stb?
merthogy a hw-rol lofuttyt se tudunk pl.
az ok, h bedobtal ide par sd[abcd] smartot, de mi van az sg* es sd[efgh]-val?

( Raynes v | 2023. 06. 11., v – 00:25 )

Szerkesztve: 2023. 06. 11., v – 00:31

.

The world runs on Excel spreadsheets. (Dylan Beattie)

Miért, te nem érsz rá, hogy még mindig itt téped a szádat? Ami pedig az üzemeltető "pistikéket" illeti, te sehol nem vagy szakmailag hozzájuk képest. Csak szólok, hogy az egyikük Pakson mérnök, az atomerőműben. Szerinted oda pistikéket vesznek fel?
Ami pedig a nekik való szólást illeti, nem nem érek rá, hanem nem akarok nekik írni, mert egyfelől nem akarom őket zargatni ezzel a baromsággal, hogy - _Franko_ frappáns szófordulatával élvén - pár hupper tócsákat sír ide nekem, hogy nem jó a cert, másfelől meg ez a ti nyomorotok, nem az enyém. Oldjátok meg ti, ha annyira zavar benneteket. Pl. javaslom a böngészőfül bezárását, vagy valami olyan URL-re átirányítását, ahol nem lesz gonosz HTTP-s tartalom. Ha be se jöttök a topicjaimba, akkor tuti, hogy nem fogtok lejárt certekkel és HTTP-n linkelt képekkel találkozni. Probléma megoldva.

BTW, még mindig nem válaszoltál arra a kérdésre, hogy ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem?

Oldschool Computer - http://oscomp.hu

Az, hogy bő egy éve futott legutóbb a certbot a szerveren, meg az, hogy olyan verzióval megy a webkiszolgálás, amilyennel... Nos, az annyit jelent, hogy erősen a "nem foglalkoznak vele" kategória. Ha neked ez piszlicsáré kategória, hát lelked rajta, szakmailag viszont a minimumszintet sem ugorják meg ezzel...

Tisztázzunk valamit: neked minimumszint. Meg a többi HTTPS valláskárosult falangistának. Ha egyszer nem érnek rá, mert ellepte őket az élet, akkor nem ez lesz a fő bajuk. Én meg nem fogom ezzel basztatni őket, csak mert pár zelóta a hupon rinyál érte. Ti bajotok. Ti nyomorotok. Nem vagytok képesek bezárni a tabot? Helyette inkább a jószándék legcsekélyebb jele nélkül, alpári módon követelőztök, rosszindulatú módon szarnak beállítva a tartalmat is? Akkor szenvedjetek! Az oldal ettől nem lesz kevésbé biztonságos - ez a ti lázálmotok -, szóval én torkonszarom.

BTW, még mindig nem válaszoltál arra a kérdésre, hogy ha szerinted

aki gyermekded módon azzal próbál lealázni egy céget/terméket, vagy azzal próbálja a nemtetszését kifejezni, hogy kisbetűvel, szándékosan elferdítve írja, az számomra egy amőba szintjét picit meghaladó értelemmel bíró véglény. maximum.

akkor te miért hívod "foslának" a Teslát, "trének" a T-t és "ártósgyuszinak" az Artisjustot. Ha én azt mondom, hogy kugli, akkor én véglény vagyok, ha meg te mondod, hogy fosla, vagy tré, meg ártósgyuszi, akkor te nem? Neked szabad, nekem nem?

Erre válaszolj már, mert nagyon nem akarsz. Nem tudsz mit?

Oldschool Computer - http://oscomp.hu

Tisztázzunk valamit: ez a bongeszok szamara a minumum szint 2023-ban.
Ti nyomorotok. > nem, ez az o nyomoruk.
Az oldal ettől nem lesz kevésbé biztonságos - ez a ti lázálmotok -, szóval én torkonszarom. > ez meg a Te nyomorod es tudatlansagod, hogy nem fogod fel mitol biztonsagosabb a https.
alpári módon követelőztök > alpari Te vagy mar megint, en leirtam mit kellett volna tenned, 1 percet raszanni egy joindulatu mailre az uzemelteto fele. nem tobbet, nem kevesebbet.
valószínűleg valami gáz van velük > nem kene feltetelezgetni. rakerdezni egy db. egy perces emailbol all.

Tisztázzunk valamit: ez a bongeszok szamara a minumum szint 2023-ban.

Miért, melyik böngészőben van default letiltva kompletten a http? Én csak hármat használok napi szinten, egyikben sincs és nem is sír miatta. Az, hogy "Not secure", az egy ténymegállapítás a böngésző részéről.

https://iotguru.cloud

Hát, ez kurvára nem a http letiltásról szól... ez arról szól, hogy ha user nem ír protokollt, akkor ne a [http, https] legyen a default, hanem a [https, http], de ha nincs https, akkor bejön a http default.

De megnéztem most a kedvedért Chromium-ban is: bejön a http://enaplo.hu

Szóval melyik böngészőben van default tiltva a http?

https://iotguru.cloud

aminek a javat Te szerezted, a helyett, hogy:

- hupperek jeleztek joszandekbol, hogy nem biztonsagos az oldalad.
- 1 percet raszantal volna egy mailre, amiben jelzed az uzemeltetonek, hogy, figyumar, lejart a certetek az oldalon, jeleztek a kockak a forumban, ha arra jartok, raktok nekem is egy letsencryptet az enyemre? Kosz. Udv, Te'Ce'Ha'Ha'Ha'. Ezzel segitve a haverjaidnak, akiknek ingyen hasznalod a szerveret 20 eve.
- ok raszantak volna 5 percet /ha nem linux/, ezzel neked segitve, hogy jobb legyen (nem, akarhogy is baszakodsz, a http nem jobb, mint a https. pont. velemenyed lehet rola, de a tenyeken mitsem valtoztat) es a sajat vackukat rendberaktak volna, mert szolgaltatokent ez kurvara gaz. nem kicsit. nagyon. (fentebb joszandekbol azt is jeleztem, hogy a szerveren van valid LE-s oldal is, tehat a fenti 5 perc fele mar keszen van egyebkent is, de ettol most nagyvonaluan tekintsunk is el)
- hupperek boldogok, mert nem kell baszakodniuk a bongeszoben a szarod kivetelbe rakasaval

cca. 6 perc "melo", ebbol a Te reszed 1, azaz egy perc. mindenki boldog.
ennyit kellett volna tenned. nem tobbet, nem kevesebbet :D

Ehhez kepest ennyire futja toled:
"hazudozni, belemagyarázni, mocskolódni jöttél ide. Álszent, butthurt csicska vagy. Mi a baj? Mitől fáj a segged? Valami komplexusod, vagy traumád van velem kapcsolatban? Vagy csak simán egy rosszindulatú patkány vagy? Keress fel egy pszichiátert."
Ugyanezeket kerdezd mar meg magadtol, mivel csak nalad mentek el otthonrol, ide le is irhatod a valaszt. thxbye. :D

Várjá má, ez így eléggé kapufa:

Q: Rakd helyre a certet a weblapodon, Let's Encrypt kb. 5 perc.
A: Nincs hozzáférésem. Ha lenne, már megcsináltam volna, hogy a biccsegés abbafejezõdjön.

vs

Q: Tedd fel egy ingyenes kémegosztóra. (Sic! :] - TCH)
A: Ld. elõzõ pont. Csak olyan helyen tartok bármit, ami felett kontrollom van

Szóval most olyan helyen tárolod, ami felett nincs, ahol egyébként nem tárolnád, de mégis, mert mert :D

// Happy debugging, suckers
#define true (rand() > 10)

Kontroll alatt azt értem, hogy nem dobnak ki, mert olyat írok, vagy töltök fel, ami nem tetszik valakinek, meg nem törölgetik le a cuccaimat, azaz, hogy azt töltök fel a site-ra (nem a szerverre), amit akarok. A saját tartalmam felett kontrollom van. Ahhoz van hozzáférésem. Nekem elég is. Lehet, hogy ez csak részleges kontroll, de az még mindig több, mint a zéró; itt legalább a nekem fontos részleges kontroll megvan: nem fognak kidobni, letörölni, mert valaki füttyent egyet. Az összes többi engem nem érdekel, az a ti bajotok, nem az enyém.

Oldschool Computer - http://oscomp.hu

Neked is szólok, hogy a rágalmazást bünteti a törvény. Nem törvénytelenségeket csinálok, hanem olyan tartalmat (írást/képet/videót) rakok fel, ami nem tetszik a világuralomra törő amcsi nagytőkéseknek, meg a megacorpoknak. Pl., hogy "csak két nem van", vagy "darabolják fel a multikat és számoltassák el a milliárdosokat". Stb.

És egyébként a zaklatást is bünteti a törvény. Szóval, ha az oscomp.hu vendégkönyvében te írtál "mindegy" néven, akkor azt kurwa sürgősen fejezd abba. Hogy itt jössz utánam, mint egy kutya és minden posztomra írsz valami gusztustalan hazugságot, azzal nem tudok mást csinálni, mint ignorálni, de ha feljössz az én oldalamra is hazudozni (pl., belinkeled kubi posztját, amiben állításod szerint én hordtam össze marhaságokat), az már más tészta.

Ezt csak a miheztartás végett írtam le. És most mentél vissza a permignore-ra.

Oldschool Computer - http://oscomp.hu

Neked is szólok, hogy a rágalmazást bünteti a törvény. > es? mondj valami ujat!
Nem törvénytelenségeket csinálok > ezt nem is en mondtam, olvasd el mit irtam le, hol latod ebben, hogy irnam, hogy barmit is csinalsz/nem csinalsz? "az mar mas kerdes, hogy egyes helyeken ha torvenytelensegeket csinalsz ki is raknak" Megint ott tartunk, hogy a fejedben a hangok nem a valosagot mondjak? :D
És egyébként a zaklatást is bünteti a törvény. > es? mondj valami ujat!
Szóval, ha az oscomp.hu vendégkönyvében te írtál "mindegy" néven > fogalmam sincs mirol van szo es nem is akarom tudni mi van vagy nincs a weboldaladon ha nem ide van szarul belinkelve :D
azzal nem tudok mást csinálni > meg szerencse :D
ha feljössz az én oldalamra is hazudozni (pl., belinkeled kubi posztját, amiben állításod szerint én hordtam össze marhaságokat), az már más tészta. > meg mindig nem tudom mirol beszelsz es nem is erdekel mi van a weboldaladon, de javaslom ha nem szeretned, hogy emberek random barmit irkaljanak ra, ne engedd nekik! Mar csak azert sem, mert alapvetoen Te felelsz azert mi jelenik meg ott, csak szolok, es szivesen!
Ezt csak a miheztartás végett írtam le. És most mentél vissza a permignore-ra. > azert irtad le, mert le akartad irni, nem fogok konnycseppeket elmorzsolni ha keptelen vagy szakmailag beszelgetni velem :) Az viszont elgondolkozasra kesztethetne, ha mar random emberek az urbol is latjak a hupon kivulrol is jelzik, hogy fullba nyomod a kretent

ha keptelen vagy szakmailag beszelgetni velem

Veled képtelenség szakmailag beszélgetni, mert a szakmához nem értesz, olvasni nem tudsz, viszont terelsz, maszatolsz, ollózol, csúsztatsz, azaz hazudsz. Fentebb már kroozo és _Franko_ is azt állítja, hogy nemcsak hogy gőzöd nincs az egész témáról, de még azt sem tudod elolvasni és értelmezni, amit belinkelsz, viszont ezt be nem látnád, hanem megpróbálod elleplezni: terelsz, maszatolsz, ollózol, csúsztatsz... (Velem is ezt csináltad, csak nálam még egy adag rágalmazást és mocskolódást is hozzákevertél.)

És akkor még ott volt gelei is, akinek az érveire szintén csak bullshit volt a válasz és még majd féltucat ember (Sulc, gazsiazasz, kleinie, Zsugabubus), aki csak egy-egy kommentet írt, hogy mekkora rosszindulatú, dilettáns lamerek vagytok zellerrel és akkor még nem is számoltuk azokat a kollégákat (locsemege, benz, arpi_esp, kikadff, belsodaniel, Hiena, meskobalazs), akik csak +1-ezték azokat a kommenteket, amiket _Franko_, gelei, kroozo, meg a többiek és én írtunk...
Tehát itt már nagyon nem arról van szó, hogy a hülye trécéhá nem ért hozzá, itt most már nagyon sokan mondják, hogy te nem értesz hozzá. (És még olvasni se tudsz.)

Az viszont elgondolkozasra kesztethetne, ha mar random emberek az urbol is latjak a hupon kivulrol is jelzik, hogy fullba nyomod a kretent

Ha nem te voltál az a gödöllői fazon, akkor se túlságosan érdekel, mert nemcsak hogy saját bevallása szerint sem ért a security-hez és a network-höz (tehát biztosan nagyon kompetens abban, hogy megállapítsa, hogy marhaságokat írkálok), de ráadásul képes volt kubi posztját belinkelni, amiben szerinte én írkálok marhaságokat. Azaz ő se ért az egészhez és ő is analfabéta. Csak egy újabb HTTPS-falangista.

Ezek után azt hiszem neked kéne elgondolkodnod azon, hogy ki nyomja itt fullba a kretént, ki az; mert hiába próbáltad azt a látszatod kelteni, de valójában nem én vagyok az.

Írd és mondd, akkorát égtél, mint nem egy, de tíz napkohó. Köszönöm, hogy elmondhattam, hazudj erre is valamit.

Oldschool Computer - http://oscomp.hu

Jó, pontosítsunk: te azt írtad, hogy

Te azt írtad fentebb, hogy ez nem DV, és ne keverje Franko a szezont a fazonnal, majd belinkelted ezt a definíciót alátámasztandó, hogy ez nem DV.

Köszi, hogy beláttad a tévedésed :)

meg azt, hogy

Most akkor DV, vagy nem DV, döntsd már el.

Már hétszer minden irányból beláttuk, hogy egyenrangúak, ha az egyik DV, akkor a másik is DV, beláttuk, hogy a vagylagos lista nem subset, tényleg ilyen nehéz beismerni, hogy benézted?

ill. azt, hogy

Jézus, ehhez komolyan színes kréta kell:

Finoman és árnyaltan fogalmaztál, de az volt a lényege, hogy nem csak azt nem érti, hogy hogy működik, de azt sem, amit olvas, mert saját magát cáfolja a linkjeivel.

Szó szerint _Franko_ se mondott ilyet, csak azt, hogy

Mondtál egy ordas nagy faszágot és most próbálod valahogy elkenni.

meg azt, hogy

Figyelj, most már kiderült, hogy neked halvány fogalmad nincs arról, hogy miről beszélsz és mi a DV cert... tudod még fokozni? :D

Nem szó szerint idéztelek titeket. :P

Oldschool Computer - http://oscomp.hu

Nem, az összes tőlem vett idézet pusztán azt az állítást vitatta, hogy az állítása igaz, és hogy az állítása kapcsán téved. Egyetlen szóval sehol nem állítottam, hogy gőze ne lenne a témáról. Ezt az egy konkrét állítását vitattam érvekkel, az abban húzódó ellentmondásokra hívtam fel a figyelmét. Szerintem egyébként jól láthatóan tudja miről van szó, csak belekavarodott egy definícióba, és nem képes beismerni, hogy benézte. De még az is lehet, hogy teljesen más hangsúlyokkal olvassa, amit írunk, és nem esik le neki, hogy valójában mi a definícióról vitatkozunk, mert ő meg azt akarja erőltetni, hogy de hát az nem vonatkozik az egész domainre, és nem érti, hogy mi csak annyit mondunk, hogy persze, hogy nem, de ettől még ezt mind DVnek hívják, rosszul használtad a szót.

Nem, az összes tőlem vett idézet pusztán azt az állítást vitatta, hogy az állítása igaz, és hogy az állítása kapcsán téved. Egyetlen szóval sehol nem állítottam, hogy gőze ne lenne a témáról. Ezt az egy konkrét állítását vitattam érvekkel, az abban húzódó ellentmondásokra hívtam fel a figyelmét.

Tehát a téma a DV volt és ő meg nem tudja, hogy mi a DV. Akkor gőze sincs az egészről.

Szerintem egyébként jól láthatóan tudja miről van szó, csak belekavarodott egy definícióba, és nem képes beismerni, hogy benézte.

Nem is fogja. Akkor be kéne ismernie azt is, hogy _Franko_-nak igaza van, hogy faszság a HTTP-t tűzzel-vassal írtani és akkor vagy igazam volt, hogy hülyeséget beszélt, vagy igazam volt, hogy direkt jött be hazudozni a topicomba.

De még az is lehet, hogy teljesen más hangsúlyokkal olvassa, amit írunk, és nem esik le neki, hogy valójában mi a definícióról vitatkozunk, mert ő meg azt akarja erőltetni, hogy de hát az nem vonatkozik az egész domainre, és nem érti, hogy mi csak annyit mondunk, hogy persze, hogy nem, de ettől még ezt mind DVnek hívják, rosszul használtad a szót.

Tehát nem tudja értelmezni, amit olvas.

Oldschool Computer - http://oscomp.hu

Tehát a téma a DV volt és ő meg nem tudja, hogy mi a DV. Akkor gőze sincs az egészről.

Nem, ezek a te kivetítésed, hogy ha valamit rosszul értelmez, akkor szerintem gőze sincs az egészről. Tisztán láthatólag van, csak valami nevezték megkavarodott a fejében, és én ezt akartam javítani. 

Nem is fogja. Akkor be kéne ismernie azt is, hogy _Franko_-nak igaza van, hogy faszság a HTTP-t tűzzel-vassal írtani és akkor vagy igazam volt, hogy hülyeséget beszélt, vagy igazam volt, hogy direkt jött be hazudozni a topicomba.

Aboszolút nem érdekel a hitvitátok, nem is vettem részt benne, most se szeretnék. 

Tehát nem tudja értelmezni, amit olvas.

Valójában úgy tűnik, és vele is azért írom még a köröket, mert nehéz ezt elhinni, és ilyenkor gyanús, hogy valami más koncepcióval olvassa, elbeszélünk egymás mellett. 

pontosan.
szerintem itt ment ez felre: franko ezt mondta:

H'ja, csak egesz eddig DV-rol volt szo, az meg egesz pontosan annyit validal, hogy aki a certbotot futtatja, az a DNS zonat is tudja irni. 

Még csak annyit se, elég egy írható webtartalom.

   erre en ezt:
nem, ahhoz pont nem eleg :) dns validacio kell, hiszen benne van a neveben :D "Domain Validation (DV)"

   o erre ezt:
De, elég. Nem kell a DNS-hez nyúlni, ugyanazt a cert-et kapod, ha http protokollon adod meg a token-t, lásd például: https://medium.com/@tsui.gordon.9/generate-let-encrypt-ssl-certificate-….

Annyi a korlátozás, hogy ilyenkor nem adnak wildcard cert-et, csak konkrét domain-re szólót. Van több ilyen cert-em is.

    en meg ezt:
az meg nem DV. kevered a szezont a fazonnal...

    aztan ...

az egyik http challenge a masik domain validalas.
https://en.wikipedia.org/wiki/Domain-validated_certificate
ne keverd a szezont a fazonnal...
 

szerintem ez igy korrekt, lehet neked nem jott at mirol beszelek, miert nem eleg egy webtarhely, annal tobb kell oda es miert nem csak a http challengebol all a domain validalas, annal picit tobb minden van ott.

vagy valamit belelattok/ertelmeztek amit nem irtam. elofordul az ilyen.

Hát, én itt továbbra is azt mondom, hogy itt te keverted, ahhoz, hogy legyen egy DV certed, ahhoz bizony elég a http challange. Franko még korrekten le is írta, hogy ilyenkor nem kapsz csillagosat, de pedig jöttél azzal, hogy az nem DV. Azóta már beláttuk, hogy de az DV. Most vagy az van, hogy te azt gondoltad, hogy a dns challanges hívjuk DVnek, vagy az, hogy úgy értetted, Frankot, hogy bármilyenhez is elég. Személy szerint ez utóbbit szerintem elég nehéz kiolvasni a szavaiból. Igazából elég egyértelmű az egyes: "az egyik http challenge a masik domain validalas." :)

Nem para ez, tech szemmel tök érthető, hogy erre asszociáltál.

Nem, ezek a te kivetítésed, hogy ha valamit rosszul értelmez, akkor szerintem gőze sincs az egészről. Tisztán láthatólag van, csak valami nevezték megkavarodott a fejében, és én ezt akartam javítani.

Oké, akkor te nem mondtad.

Aboszolút nem érdekel a hitvitátok, nem is vettem részt benne, most se szeretnék.

Nem is mondtam, hogy részt vettél benne. Csak adtam egy hintet, hogy miért nem hajlandó beismerni.
Egyébként a részemről nem hitvita volt; én nem vitattam el a HTTPS bizonyos körülmények között manifesztálódó előnyeit, csak azt mondtam, hogy amennyiben valaki rendelkezik a HTTP forgalom töréséhez szükséges feltételekkel, az jó eséllyel a HTTPS-t is tudni fogja törni, csak a certjét kell elfogadtatnia a targettel, ami a szolgáltató esetében nem valószínű, hogy túl nehéz lenne, állami megfigyelés esetén akár kötelezően is a gépekre kerülhet (ld. fentebb a linkelt idézetet), vagy globális megfigyelés esetén akár a browserek is szállíthatják és az átlagjóskák észre se fogják venni, sőt akár driverek is felpakolhatják a gépre és erre is volt példa. Ergo, az oscomp attól nem lesz kevésbé biztonságosabb, hogy HTTP-n nézi meg valaki, vagy invalid certes HTTPS-en. Azóta is várom, hogy meg MITM-eljenek HTTP-n...
In short: _Franko_-val értettem egyet: a HTTPS biztonsága hamis biztonság, a HTTP irtása ostobaság és egy natúr autentikáció nélküli weblap nem a Fort Knox.

Valójában úgy tűnik, és vele is azért írom még a köröket, mert nehéz ezt elhinni, és ilyenkor gyanús, hogy valami más koncepcióval olvassa, elbeszélünk egymás mellett.

Kár a gőzért. Azt se tudta értelmezni, amit _Franko_-nak belinkelt, mint bizonyítékot, hogy le van tiltva a HTTP a browserekben, aztán közbe' pont az volt leírva, hogy nincs. A DV definícióját se tudta elolvasni, azzal is saját magát cáfolta. Én már csak a kezem tudom széttenni.

Oldschool Computer - http://oscomp.hu

Neked? Minek? Úgyse értenéd. Akkor se értetted, amikor még mondtam neked szakmai dolgokat. Azt se értetted, amit gelei, kroozo és _Franko_ mondtak/mondanak.
Meg amúgy se tudsz olvasni. Az általad belinkelt tartalmakat se voltál képes értelmezni.

Oldschool Computer - http://oscomp.hu

Hát, ha már így többesszámban kérdezed, akkor többek között pl. ezeket köszönhetitek:

https://hup.hu/node/153661
https://hup.hu/node/157361
https://hup.hu/node/164636
https://hup.hu/node/165344
https://hup.hu/node/166302
https://hup.hu/node/166365
https://hup.hu/node/169154
https://hup.hu/node/171273
https://hup.hu/node/172199
https://hup.hu/node/172804
https://hup.hu/node/174508
https://hup.hu/node/174684
https://hup.hu/node/175674
https://hup.hu/node/175686
https://hup.hu/node/178268

Meg itt tallózhatsz még: http://oscomp.hu/?games/s//cd/1/g//au/TCH/rld0/1978/rld1/2023/c/0/p/0/sh/-

De én alapvetően nem erre gondoltam: a kitétel csak rád vonatkozott, hogy neked van mit köszönni, meg tanulni. Pl. megköszönheted, hogy megtanulhattad, hogy akkora nulla vagy, hogy nem osztasz, nem szorzol. (Tudom, épp azt köszönted meg az előbb. Mondom: van mit.)

Oldschool Computer - http://oscomp.hu

( Hiena v | 2023. 06. 14., sze – 21:54 )

Cryptsetup, crypttab van a rendszeren?

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Ha elindul a gép, az eggyel korábbi logokban van valami?
Ha kiszeded a tunerkártyát akkor is előjön?
Valószínűleg az initramfs környékén van valami elreszelve. Régen a tunerkártyák csináltak ilyen véletlenszerű boot megállásokat.

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( bounty v | 2023. 06. 14., sze – 22:11 )

Ilyen idióta semmitmondó címmel nem szabadna topiknak futnia. Nem előírás a lényegre törő cím?

( trey | 2023. 06. 15., cs – 09:53 )

Ez volt már?

trey @ gépház

( gazsiazasz | 2023. 06. 15., cs – 13:44 )

világ security kreténjei, egyesüljetek!! HAHAHAHAHA :D

Az lehet, hogy nem kernelbug, de a hardware hiba kizárt. Amikor a posztot nyitottam, a primer SSD-ről felállt az OS, a backupról meg nem. Ma pont fordítva volt. Na meg, túl ritkán jön elő.

Az biztos! Itt is van Amiga (1 A500, 1 A500+, 3 A1200), C128, NES (helyett a brazil Dendy klón SuperCom 72), Sega MegaDrive, Atari 130XE és Atari VCS (helyett a kínai VCS klón VCC), azok is neutronok. :) (Van egyébként C64 is, de nincs táp hozzá, így sose volt még bekapcsolva, de amúgy az is neutron lenne.)

Oldschool Computer - http://oscomp.hu

Hát innen is elment jópár gép...de visszaszedtük őket!
Az említett C64 az első gépe volt a famíliának, öcsém kb. 20 év után valahonnan Szeged környékéről hajtotta fel. A C128-at volt a legegyszerűbb visszaszerezni; megtudtuk kinél van (Apa kollégája), egy webshopért visszavettük, dettó kb. 20 év után. Az A500, a család első Amigája volt talán a legnehezebb, de azt is sikerült 30 év után visszaszerezni. Az Atari klónt igazából nem is kerestük, abban a tudatban voltunk, hogy tönkremenve lett visszavíve a boltba és biztos kidobták, de tévedtünk és 30 év után az ölünkbe pottyant. Öcsém Amiga 1200-asa is el lett adva, de szerencsére az itt a szomszédságban volt; max 2-5 évig. Viszont elsőre a fickó tévedésből egy másik Amigát adott el nekünk, azon túladtam utána, de már megbántam. Majd megpróbálom felhajtani, hátha sikerül. Meg nagybátyám A1200-asa is idekerült, azt eladtam kemi haveromnak, azt is már bánom kicsit, de az legalább jó helyen van nála.

Oldschool Computer - http://oscomp.hu

Ahogy mondod: a gyűjteményem egy része. Költöztünk és éppen csomagoltam össze őket. Az Amiga 500+ itt már be volt dobozolva, ill. egy "fél" Commodore PC 10 II is.

Szerk.: ja és az "árulót" majdnem kihagytam, van egy Schneider Joyce is (Amstrad PCW 8256 klón).

Szerk2.: ezek ott fent, meg hagy reszeljék a fingot tovább!

Tyíj, micsoda gyűjtemény! A C128D az igazi ritkaság. Ha jól látom a nálunk honos 8-bites Commodore gépekből szinte mindből van neked, csak C116-od nincs. (Na, meg, ha nagyon kötekedni akar az ember, akkor sima C128 se.)

A PCW mitől áruló? Ez valami nickname? Vagy egyszer cserbenhagyott?

Már csak dorsy reszeli. Hárman is magyarázzák neki, hogy mennyire nincs képben, de csak köti az ebet a karóhoz. (Illetve már csak ketten, mert ahogy nézem _Franko_ már feladta és már csak röhög...)

Oldschool Computer - http://oscomp.hu

Egy VIC-20 nézne még ki jól mellettük. Vadászom már egy ideje, de lassan aranyáron mérik.

A C128D kicsit kehes, a floppy meghajtó nem akar működni, "DEVICE NOT PRESENT" hibát jelez. Ahogy néztem az alaplapot, ugyanaz mint ami az "ajtótámasz" 128-asban van.

A PCW-t a Z80 proci miatt hívom csak árulónak. A sok 6502 Commodore mellett kilóg a sorból. Mondjuk, ha innen nézzük a C128 meg kétszínű, mert mindegyik van benne.

Bakker, tényleg, a VIC-20, arról meg is feledkeztem. Mondjuk abból olyan sok nem lehetett idehaza, de azért volt. PET-eket szerintem a hazaiak nem is láttak.

Ja, hogy van sima C128-ad is? Ajtótámasz alatt azt érted, hogy megmurdelt? Tuti a gépnek van baja, nem a tápban szállt el egy biztosíték? Nekem egyszer ledöglött a gép, de aztán kimértem a tápot és kiderült, hogy a 9V-os váltóáramú rész lehalt benne. De csak a biztosíték. Csere után életre kelt.
A C128D-ben a DEVICE NOT PRESENT, az elég nagy valószínűleg a belső soros kábel hibája (kontakt, szakadás); ki kéne mérni, hogy minden vezetéke vezet-e.

És akkor a Commodore PC 10-II az x86-tal micsoda? :D

Oldschool Computer - http://oscomp.hu