Van egy nyomuló cég (meg nem nevezem), amely úgy ajda el magát mint ami informatikai- és hálózatbiztonsággal, beléptető rendszerekkel foglalkoznak (kiépíés, üzemeltetés). Azonban semmilyen feltételnek nem felel meg: pl. már a weboldaluk is csak http (semmi SSL/TLS), semmi minőségbiztosítási megfelelőség, nmap esetén minden alap port elérhető, ftp szerverükre anonímousként be lehet lépni és még a jelszó fájlok is ott vannak. Először arra gondoltam, hogy honeypot, de aztán kiderült, hogy nem (nem részletezem).
Egy olyan cégnél nyomul nagyon ahol egy kedves öreg ismerősöm melózik mint rendszergazda, aki megemlítette ezt a csapatot, és hogy nagyon nem tiszta valami körülöttük.
Mi a teendő ebben az esetben, hogy a megkörnyékezett cég vezetése észbe kapjon? Hogy lehet egy ilyen "hamis zászló" alatt tevékenykedő csapatnak bevinni egy nagy ütést? (Sajnos egyre több az ilyen informatikai cég, amik/akik valódi érdem és minőség nélkül kínálnak biztonságot.)
Hozzászólások
Úgy, hogy kiírod a nevét és más nem rendel tőlük.
Aláírás _Franko_ miatt törölve.
neut @
Aztán majd gugliban megtalálják ezt az oldalt, és mennek trey-hez levetetni a topikot, meg rágalmazásért feljelentik OP-ot. Ez tipikusan az a szitu, amikor nem érdemes megnevezni a céget úgy, h. azok bármi fogást is találjanak ezen a topikon egy ügyvéd segítségével.
Ha nagyon diplomatikusan megírod a cég nevét, meg cégjegyzékszám, vezető képviselő neve, székhelye (mind publikus adatok az e-cégjegyzék alapján), meg azt h. SZERINTED mi vele a gond (csakis tényszerű dolgok), akkor azért nem fognak tudni effektív tenni ellene.
A tapasztalatok megosztása nem rágalmazás.
Aláírás _Franko_ miatt törölve.
neut @
Valójában egy szintig ez nézőpont kérdése, s ha az érintett cég azt mondja rágalmazás, akkor “kevés” időt bizony el fog venni az életedből a jogi okoskodás.
Én leszarnám jó híggal az egészet: ha tényleg annyira szar valami, az úgy is összedől magától. Vennék pár doboz sört, és végignézném két szisszentés közt.
Vortex Rikers NC114-85EKLS
Ez max. addig járható, amíg nem neked van vele dolgod, pl. nem téged picsáznak ki emiatt, nem te szívsz az ő szarjuk miatt, vagy nem neked kell rendbehozni azt a mocskot amit csináltak vagy maguk után hagytak.
"Sose a gép a hülye."
Pont itt a gond: a rendszergazdával együtt raktuk össze és finomítottuk a rendszert. Nem vagyok egy ász, egyéni vállalkozásban nyomom, nincs security témájú cégem sem, nem is agyaltam rajta (pont a hiaányosságaim ismerete miatt). De ha ilyen hibákat én kiszűrök, amaz meg flegmán nyomul, akkor kicsit aggódom, hogy az én munkámba belepiszkít majd egy ilyen cirkuszi mutatványos. És igen, én és a rensszergazda fogunk szívni.
Frész Ferenc egy interjúja azzal végződött, hogy ebben az országban nem az a lényeg, hoyg milyen módon és milyen minőségben működnek a dolgok, hanem csak üzemeljenek. Ez tipikus példaeset.
Ezért írtam h. sok múlik a megosztás módján.
Ha az ügyvezető anyját szidod személy szerint, h. mekkora fasz és milyen szar munkát csinál a cége, akkor a személye elleni támadás alapján rágalmazásért feljelent. És talán meg is nyerheti.
Ha viszont azt írod az XY Kft ilyen olyan kontár dolgokat művel, mert ez meg az -technikai részletek- és h. "SENKINEK NEM AJÁNLOM h. szerződjenek velük", az egyértelműség kedvéért bekopizod az e-cégyjegyzékből a cég azonosításához szükséges adatokat (a képviselő/ügyvezető neve is az), akkor az viszont egy teljesen védhető dolog lesz a bíróságon is. Már ha nincs annyi eszük h. belássák ezt felesleges megtámadniuk a bíróságon. Illetve ha perre kerül a sor úgyis elvesztik és 1 csomó pénzt buknak a perköltségen meg ügyvédi munkadíjon.
Ja, csak közben egy csomó elvesztegetett idő és idegeskedés. Az ügyvéd meg tömi a zsebét. Jobb kerülni a jogi hercehurcát, mert mifelénk nem az számít, kinek van igaza, hanem hogy ki tudja sikerrel átvinni az ügyét az igazságszolgáltatásnak nevezett útvesztőn.
Persze, csak kozben generalnak neked nem keves elfoglaltsagot.
Megítélt kártérítést fizetik az ítélet részeként. Gondolom. De nyilván senkinek nem hiányzik bírósági tárgyalásra járnia. Kivéve ha ügyvéd.
Fizetgetik, de az idodet nem kapod vissza. Plusz a karterites/kartalanitas ilyen esetekben csak ritkan akkora osszegu, hogy azon sokat lehessen keresni.
Ha nem te vagy az egyik fel, eleg erdekes tud lenni. Nem tudom pontosan, kb. 15-20 targyalason lehettem eddig osszesen a hallgatosag tagjakent (kb. nezo), ennek egy reszeben volt ismeros az egyik fel, a tobbin csak jegyzetelnem kellett (exemnek volt hasonlo ugye, kivancsi volt, hogy mi tortenik rajta). Covid ota nem voltam viszont.
Persze ha teged perelnek, ugy elhiszem, hogy nem jo buli.
A strange game. The only winning move is not to play. How about a nice game of chess?
tanukent megjelenni allampolgari kotelesseg, ha szabadsagot kell kivenni, az egyeni problema.
A tanukbol lesznek a gyanusitottak, igy celszeru ugyveddel menni.
Egy ilyen ugyed van, barmi. Akkor az 5 evig tart, meg ha neked nincs is semmi kozod hozza.
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....
ha szabadsagot kell kivenni, az egyeni problema.
Ha tanúként beidéznek bírósági tárgyalásra, arra a napra a munkahelyednek fel kell mentenie a munkavégzés alól. Mtk. A megjelenésről ad igazolást a bíróság (nem tudom mindem esetben automatikusan adnak-e, ha nem akkor szólni/kérni kell), ezt kell leadni a munkahelyeden.
De persze ha nem tudod, és a főnököd sem, a semmirekellő HR nem elárulja el, akkor nyilván vehetsz ki rá fizetett szabadságot is.
A jog nagyon rohadványos. Ha van egy jó ügyvédje, garantáltan te szopod meg, tök mindegy mekkora szar van ott.
Úgyhogy inkább javaslom a leszedni az adatokat ügyesen, és valahova közzétenni, mint ahogy általában szokták.
"Sose a gép a hülye."
Na ja, van is fent a YouTube-on egy ügyvéd, akinek volt közlekedési balesetes sorozata. Ott mesélte, hogy egy baleset esetén, amiben azért az áldozat szerepe se volt elhanyagolható a helyzet alakulásában, ő képviselte az áldozat családját és elsőre meg x.-re is felmentették a másik felet, de addig tudtak menni, míg csak rá tudták húzni a vizes lepedőt. Mondta ezt úgy, mintha ez lenne a legtermészetesebb..
Dr. Herpy, egyik legjobb kozlekedesi szakjogasz. Ilyenkor amugy nem arra megy ki a jatek, hogy a masik felre rahuzzak a vizes lepedot, hanem arra, hogy az aldozatnak - meg ha reszben hibas is volt - valami karteritest megszerezzenek a masik biztositojatol. (polgari, nem BTK-s)
A strange game. The only winning move is not to play. How about a nice game of chess?
Azért ott a hozzászólásokból is az jött le, hogy másnak se nagyon jött be ez az ügymenet, pláne adott esetben...
Így van, jelen esetben a tényeken alapul, az nem rágalmazás. Ha az lenne, hogy lopnak, meg ilyenek, amit nem lehet bizonyítani, az rágalmazás lenne vagy szubjektív vélemény.
Ki kell írni az ilyenek nevét, hogy más ne fusson bele.
Szerk.: még a végén kiderül, hogy kikepzo indított saját céget :D
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Az informatika duguláselhárítói! ;)
Nem inkább ők a dugulás?
A nagy kérdés: Miért nyomulnak annyira? Azt hiszik, hogy "zsíros a hal"?
Amúgy meg 5 szakmai kérdést kell nekik küldeni. Egyszerűen ellenőrizhetőt - pl: miért jobb a https a http-nél. Majd a válaszokat megkapva lehet értékelni őket.
A konkrét esetben azt érdemes kérdezni, hogy fejtsék ki a http és a https közti különbségeket információbiztonsági szempontból. Ha a kérdésben már benne van a válasz, annak nincs különösebb sportértéke.
Sajnos ezt is ki lehet játszani, mert valakinek adnak egy deákot, hogy segítsen megválaszolni, aztán nem tudhatod, hogy tényleg értenek-e hozzá. Inkább érdemes a cég vezető "szakembereit" behívni egy interjúra, és ott megkérdezni tőlük egyet s mást.
Te komolyan vizsgáztatnál egy olyan kókler céget, amelyik arra építi az üzleti modelljét, h. átverjen laikus kuncsaftokat? Ez olyan, mint h. hülyékkel nem szabad vitatkozni. Mert ha lesüllyedsz a szintjükre, eltipornak a rutinjukkal.
Szerintem te még nem vitatkoztál soha sötéthülye emberekkel olyan témában, amiben tudtad h. orbitális baromságokat mondanak. De a rámenőségükkel, arroganciájukkal, visszatámadási rutinjukkal sokakat innen lesöpörnének az asztalról. Ezért nem érdemes beleállni egy ilyen vizsgáztatásba, mert ha 1 igazi dörzsölt csalóval van dolgod, simán beledöngöl a földbe. Csak mondom.
Pl. vallásos apple hívőkkel se fogsz tudni vitatkozni apple hibálról, mert személyét ért támadásnak fogja majd fel, és ha igazi vadbarom, te meg nem vagy gyakorlott feketeöves vitapartner, simán legyaláz, akármilyen hülyeségeket is mond. Akinek meg a megélhetése van benne ilyen átverésekben, méginkább gyakorlott mint te.
Ha épp nincs jobb dolgom, akkor én sportból is szoktam velük vitázni. És élvezni is szoktam. ;)
Sajnos minden nap vitatkozom ilyenekkel :-(
Azért írtam, hogy a "szakikat" kell interjúztatni, és nem a cégvezetőt meg a marketingest. Lehet, hogy kiderül, nincs is náluk senki szakember, csak egy bullshit az egész, és ha valahol megnyernek egy melót, tanulókkal rakatják össze a rendszert. Ismertem olyan tanárt, aki másodállásban szoftverfejlesztő céget vezetett, de nem voltak alkalmazottai, hanem a diákokkal lapátoltatta össze házi feladatban vagy szakdolgozatban a melót.
Az ilyen interjú úgy jó, ha személyes. Nem Teams / Webex és társai. Személyesen jobban átjön, ha bullshitelnek.
Meg referenciát is lehet tőlük kérni.
Ez nem jó szűrő, a kókler céges matyi simán kikeresőzi valami netes tananyagból, vagy tudásbázisból a https-http felállás előnyeit, és bevágja azt, nem fog kiderülni, hogy köze sincs a témához.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Mondjuk arról nem volt szó (vagy elsiklottam fölötte) van e bejelentkezési lehetőség az adott oldalon.
Írd ki a nevét. Máskülönben kamuzol.
hup.hu##article[data-comment-user-id="16401"]
hup.hu##article[data-comment-user-id="4199"]
Fel kell tölteni olyan tartalmat (persze okosan) ami bokamegütős kategória, utána feljelented őket mondván rátaláltál erre az általuk üzemeltetett FTPre, ahol XY csúnyaság van.
Aláírás _Franko_ miatt törölve.
neut @
Volt már pár hír ezen az oldalon olyanokról aki hasonló "zseniális" manővereket ejtettek meg, előtte tessék utánaolvasni ;)
Érdekes kérdés, de szerintem ha ilyenek vannak ott akkor lehet, hogy már a hatóságokra tartozik. Ha nevek vannak elérhetően a neten meg hasonlók az minimum gdpr sértés, de szerintem még több is. Ha van időd akkor nézz körbe, talán valamelyik hatóságnak van jogköre és akarata.
Nem kell velük szerződést kötni.
Remélhetőleg a cég vezetésével meg lehet beszélni a fenntartásokat.
Keserű tapasztalatom, hogy ha a nyomuló cég elég jól el tudja adni magát, vagy pláne érdekeltté teszik a vezetőket, hogy rájuk essen a választás, akkor jó sok milliót el lehet égetni, mire kiderül, hogy valójában alkalmatlanok.
Jött hozzánk is marketinges garázscég, akik valamelyikük szakdolgozatában lefejlesztett megoldását akarták ránk melegíteni. Hónapokig tartó kínlódás után derült ki, hogy nem értenek hozzá, és az egyetem tíz évvel azelőtti verziójú szoftverére tákolták össze a programjukat, amihez képest öt főverzió váltás volt, és rég kivezették azt a protokollt is, amivel ők próbálkoztak. Csak hát addigra kiszámláztak egy csomó pénzt, amit valaki jóváhagyott, és valaki bizonyára így is jól járt, hogy egyébként a projekt bebukott.
Rendszerint az ilyen cégek kapcsolatban állnak valamelyik felsővezetővel és puszira megy a meló. Ez persze multinál működik ahol a fővezér nem tulaj, tehát nem a saját pénzével játszik.
Ilyen esetben nincs értelme küzdenie a szakinak, úgyis megnyerik a melót. A pénzeső után jellemzően eltűnnek és a dolgozó megnyeri a szarpucolást pár évre.
+0,8
Nem csak multinál megy ez sajnos, hanem magyar KKV-knél is. Amikor XY vezető azért hozza be a Z céget, hogy azon keresztül kiszivattyúzza a pénzt. Korrupció, csak nem az államot lopják meg ilyenkor.
De, az államot, az elcsalt adó formájában. A könyvelésben költség, aminek egy részét majd zsebbe kapja valaki.
Szerintem éppenhogy nem multira jellemző, legalábbis az nem, amit a topicnyitó leírt.
A multiknál ritka, hogy ne kelljen legalább 1-2 ISO meg hasonló auditált megfelelőséget villantani. Ez a lehetséges beszállítók és alvállalkozók körét erősen megszűri. Természetesen valamennyire lehet az auditot "irányítani", de ez inkább a "majdnem megfelelünk, csak 1-2 dologra ne kérdezzen rá az auditor" esetben működik, ha a cég totálisan kutyaütő, akkor nem fog tudni átcsúszni.
Ettől még persze lehet, hogy a cég és a szolgáltatása/terméke szar, de professzionális látszattal kell szarnak lenniük, hogy egy multinál esélye legyen. A topcinyitó példája pont nem ez.
Régóta vágyok én, az androidok mezonkincsére már!
Tudtad, hogy a portscan már btk?
Rengeteg dolog van ami akar BTK. vagy mast sert, itt az a kerdes, hogy erdeke e valakinek betartatni a manoval, vagy sem.
Every single person is a fool, insane, a failure, or a bad person to at least ten people.
Akkor már csak teljesen automatizálni kell ezt a láncot: detektálni a portscant, elhárítani (saddr drop) és automatikusan küldeni erről a jelentést az SZTFH-nak. Egyék. :-D
Link?
Honnantól portscan? Nem nyitott port megszólítása? Egynél több kérés egységnyi idő alatt különböző portra? Vagy szumma? A rendőrség tényleg foglalkozna mind a napi sok esettel minden egyes internetre kötött gép esetében? Vagy csak a szerverként funkcionálóak esetén?
Lássuk be, ez elég ingoványos mindkét oldalról
Honnantól betörés? Ha csak egyszer lenyomod a kilincset, hogy ellenőrizd, nyitva van-e az ajtó, az már betörés, vagy még csak beköszönési szándék? Ha nincs ott keresnivalója, akkor ne szólogassa a portokat. Szvsz ha egységnyi idő alatt több porton is végigszalad, látszik a logban, hogy próbálkozik, az már egyértelműsíti a szándékot.
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
"Ha nincs ott keresnivalója, akkor ne szólogassa a portokat." - ha van egy rendszer, ahol van portknocking, de elírom az IP-t vagy a DNS még nem frissült, akkor mi van? Mindenképp tudni kéne az egységnyi idő és a több port definícióját. Szóval nem ennyire fekete vagy fehér ez a dolog.
Ha hazafelé részegen véletlenül rossz ajtón nyitok be és valaki pofánvág, akkor ezért ki a felelős?. Megannyi kínzó kérdés..
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség
Az ajtó, ami kinyílt. :D
Reszegen rossz ajton benyitni nem bcs., az illetot pofanvagni viszont akar az is lehet.
Ha én odamegyek egy házhoz és mgnézem magamnak, az nem bűncselekmény. Ha megnézem, hogy vannak rajta ablakok és ajtó, az sem bűncselekmény. Sőt, ha azt is megnézem és meg is jegyzem, hogy az egyik ablak résnyire nyitva van, az sem bűncselekmény.
Az nmap sem csinál mást: megmutatja a felépítmény (host) nyílásainak (portjainak) állapotát.
Cizelláljunk, ha már ezt a teljesen értelmetlen vitát ilyen hosszúra nyújtjuk:
ha az nmap-al stealth scan-t csinálsz, akkor az nem büntetendő, mert nem mentél be az ajtón, csak látod h. nyitva az ajtó.
Ha meg syn scan-t csinálsz, akkor konkrétan benyitottál az ajtón, és ezért már lelőhet a ház tulaja.
Szerintem.
Lehet, hogy én emlékszek rosszul, de a stealth scan és a syn scan ugyanaz.
Valóban, rosszul írtam, a TCP-connect scan-re gondoltam.
Így már jogos. Viszont tegyük hozzá, hogy a syn scan-hez (-sS) nem elég a normál user a raw packet machináció miatt. Ellenben a TCP connect scan (-sT) normál userrel is használható.
Mas tenyallas, jogi szempontbol az ilyen analogia altalaban zsakutcaba visz.
Mert konkrétan melyik bűncselekményi tényállásba illik? Nem kizárt, hogy igazad van, csak én nem tudok róla, azért kérdezem.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Tőbbek közt:
XLIII. FEJEZET TILTOTT ADATSZERZÉS ÉS AZ INFORMÁCIÓS RENDSZER ELLENI BŰNCSELEKMÉNYEK Tiltott adatszerzés 422. §
Megnéztem a törvényben, de szerintem ez nem fér bele, így első értelmezésre sem. Egyrészt a nyitott portok nem titok kategória, pont azért, mert nyitva van hagyva, se üzleti, se magántitkos, se semmilyen kategóriába nem férne bele. Ha meg a szken azt hozza, hogy zárt, az sem kifürkészés, meg nem behatolás, nem rögzítés. Ha az lenne, akkor az IP cím rögzítése/naplózása, geoip használata, pingelés, reverse DNS lookup, traceroute, böngésző user-agent lekérdezés/feldolgozás is illegális lenne. Egy nmap portszken is ugyanez a kategória. Csak azzal, hogy megnézed melyik port van nyitva, de ha nyitva is van, akkor nem kezdesz vele semmit, akkor nem kéne ebből jogi problémának lenni.
Botok millió szkennelik a netet, hostok, portok után kutatva, tartalmat SEO-zva, cache-elve, webcrawl-t végrehajtva, ilyen alapon mindenki bűnöző lenne mostanra.
“The world runs on Excel spreadsheets.” (Dylan Beattie)
Egyszervolt téma valahol, akkor nem ez, hanemmás jogszabályokat sértett. Este csak kerestem valamit amiben benne volt a kifürkészés, mert arra emlékszem.
Szerintem onmagaban egy port scan itt nem all meg, persze ettol meg egy tobb honapos-eves buntetoeljaras lefolytatasa elmarasztalo itelet nelkul is eleg buntetes.
Ennyi erővel beírok egy ip címet a böngészőmbe, akkor az is jogot sért mert megnéztem, hogy nyitva van e a 80-as 443-as port.
Meg ne próbáld!!!!44!
Az általad idézet törvényi rész így kezdődik:
422. § (1) Aki személyes adat, magántitok, gazdasági titok vagy üzleti titok jogosulatlan megismerése céljából
Egy port nyitottsága ebbe marhára nem fér bele.
Biztos az oldalukat elrettentő példának használják, hogy "mit, hogyan, biztosan ne".
Tele van a világ ezzel a trenddel... Vagy nem?
De, sajnos igen! Meg a Marketing/SEO guruk, meg Wordpress fejlesztők... hjajjj, pocsolya lett ez, telibe... :/
A telével meg a trenddel virágnyelven próbáltam utalni egy cégre :-P
Ha NER közeli cég, vagy egy olyannak n-edik alvállalkozója, aķkor nem sok esélyt adok a harcra. A tipikus felállás az, hogy megszerzik a zsíros üzletet kapcsolati tőke révén, de kb. annyi a szaktudás, mint a bevezetőben le van írva, magyarán az egész cég project managerekből áll. Az érdemi munkát pedig kiadják "négereknek", azaz hozzáértő alvállalkozóknak, aprópénzért. Végső soron a munka sokkal többe kerül, mintha közvetlenül az alvállalkozó lenne vele megbízva. A többlet a megfelelő helyre megy.
Érdekes, hogy senki sem foglalkzik a reakciójában az eredeti "megrendelővel", hogyan alakult ki ez a helyzet.
Én azt mondom, hogy el kell engedni ezt az ügyfelet. Neked lesz könnyebb az életed, mert ha maradsz, akkor lehúzzák a melód, szorulsz. Ha elküld miatta az ügyfél (lecserél), akkor azt rosszul éled meg. Ha összekavarnak mindent és helyre kell tenned, megszívtad (plusz pénz nem lesz érte, mert elvitte a nyomuló). Ha helyre kell tenni, de nem sikerül (mert nagy a baj vagy a tudásodon kívül esik), akkor megint Te szorulsz. Szóval ha maradsz, abból csak rosszul jössz ki minden variációban.
Ha befürdik a nyomakodóval, akkor majd vagy visszajön, vagy nem. És akkor eldöntheted, hogy vállalod újra, vagy sem (nem kellene, és nem sértődésből, hanem racionális alapon - újra megtörténik majd ez később).
Az indokaim:
Jól írtad.
A nyomuló cég még nincs megbízva a feladattal, egyelőre lóg a dolog. Azonban nagy haverságban van a leendő megbízóval. Ez magáért beszél.
Nagy haverság? Akkor csak ezt tanácsolom: TUVORUvDnExKIQ==
Régebben én is menteni próbáltam volna, sőt lehet most is egy darabig a helyzetet. De rájössz, hogy nem a te céged. Nem látod át, hogy ők mit akarnak. Ezek az ő részükről döntések, amikhez te tudsz alkalmazkodni. Meg lehet kérdezni finoman, hogy az új banda minden feladatokat fog ellátni és milyen határai lesznek. Ha még a kérdést sem értik is lehet még elmagyarázni óvodás szinten akár, hogy kb. hogyan működnek a dolgok most. Jóslásba ne menj bele, hogy mi lesz akkor, ha ők lesznek és hasonlók. A miérteket is érdemes megkérdezni a megrendelőtől.
Ha úgy érzed rossz irányba megy a helyzet, te is begyújthatod a rakétádat. Előkészülsz arra, hogy ott hagyd őket. Ha valaki belekavar a munkádba, az mint külsős vállalkozóként, akár belsős dolgozóként (itt talán jobban) zavaró tud lenni. Esetleg rád hárulnak a hibák kijavítása mert a másik nem csak bele..art a ventillátorba, hanem be is kapcsolta azt. Neked meg nem kötelességed azt szagolni. Helyzettől függően még fordíthatsz rajta egy kicsit hogy az irányukba menjen, de ez nem biztos, hogy jó fényt vet rád. A szag oda fog érni, csak idő kell neki.
n.balazs javaslatát is meggondolnám a helyedben / helyetekben, ha eddig nem jutott eszedbe.
Ez mind igaz, nem kell vele foglalkozni. Ha elszigetelt eset lenne, akkor nem.
Az én problémám inkább az, hogy egyre több az ilyen: felszínes (iskolai tankönyv szintű) ismeretekkel rendelkező ál-informatikusok, ál-szakemberek lepik el a piacot, és a klasszikus mondást idézve: lukat beszélnek az ügyfelek hasába. Aztán azon kapom majd magam, hogy nincs hova hátrálni. De nem csak az én problémám lesz ez, hanem nagyon sokaké.
Csak hogy levezessem kicsit mérgemet, írok néhány példát:
1)
Önmagát hálózati rendszermérnöknek kiadó fazon megjelenik az egyik kis cégnél, ahol "B" osztályú IP kiosztás van (172.16.0.0/16). Ment lecserélni a meghibásodott bérelt központi printert/másolót. Mivel a munkaállomások egy fix IP-vel rendelkező printerre küldik a nyomtatást, így ezen is be kellett állítani a címet. A lecserélt printer befoglalt címet kapott DHCP-n, de nem voltam ott, hogy átírjam a MAC-címet a routerben. Szóval a fazon csak nézett, hogy ez milyen cím (172.16.10.1)? Fel is hívott és sipítozott, mert hogy ilyen címzést nem lehet használni, csak 192.168.x.0/24 címkiosztások létez(het)nek privát belső hálózatokon. Annyira felbőszült, hogy szerinte a rossz printer emiatt halt meg -- amúgy nem, a merevlemeze adta be a kulcsot. Aztán fenyegetőzött, hogy kártérítést kell majd fizetnem, és ne magyarázzak, mert őneki három egyetemi diplomája van, ő egy hálózati guru.
2)
könyvelő iroda:
Megjelenik az egyik ügyfél akinek könyvelnek: hát persze, hogy informatikai cége van, nagyon komoly szinten nyomja a csapatával, elmondása szerint nagy cégek partnerei, nemzetközi kapcsolatokkal, már csak a vodka-martini (felrázva, nem keverve) hiányzott a kezéből. Nézett, hogy ez már milyen szar, miért nem win11 van minden gépen mert a linukszar, miért nem űrhajó kategóriás erőmű gépek és egyéb dolgok. Az iroda vezetője mondta neki: Oké, adj árajánlatot. Az meg is küldte, a tulaj pedig közölte vele, hogy a jelenlegi rendszer amióta be lett üzemelve (bő 4 éve megy már) és semmi gond nem volt, ment/megy az adatok bezúdítása és feldolgozása folyamatosan. Az árajánlatban egy gép (+win11+office liensz) került 370ezerbe, a szerver milla felett. A tulaj pedig mondta: a gépek monitorostól kerültek 5x20e forintba, a szerver 85eFt-ba, depóból, és köszöni, de marad a jelenlegi felállás.
Az informatikus fazon pedig akárhányszor megjelent ott, nyomta a sódert, hogy linuxot/BSD-t csak a kretének használnak, olyanok, akik nem értenek semmihez.
Az én félelmem az, hogy a NIS2 auditorok jelentős része is ilyen kókler lesz. :-(
Elképzelhető. Nem NIS2 ugyan, de magyar auditorcégtől kaptam olyan komoly audit kéréseket, hogy a tűzfal típusát, verzióját adjam meg, valamint mutassam meg, hogy a tűzfal szabályrendszerének elején mindent tiltunk, és később csak azt a forgalmat engedélyezzük, ami ténylegesen jöhet.
Megírtam, hogy a tűzfal sorban dolgozza fel a szabályokat, tehát a globális tiltás a szabályrendszer végén van. Arról küldtem nekik screenshotot, hogy nyugodjanak meg. A következő szokásos éves auditon megint ugyanazt kérdezték, tehát még az is lehet, hogy a választ el se olvasták, vagy ha mégis, arra nem vették a fáradságot, hogy a teljesen rutin kérdéssorukat aktualizálják legalább.
Ha nem az ügyfélhez (ügyfélszámhoz, bevételhez) ragaszkodsz, hanem a saját céljaidhoz, és emiatt el tudsz engedni ügyfelet könnyebben, akkor kialakul az az ügyfélkör, aki benned bízik, és lepattan róla minden ilyen megkeresés, hiszen neki meg van oldva ez a terület megbízható emberrel/céggel.
Tapasztalatból mondom, nem emlélet.
Az a lényeg, hogy ne olcsó melókat/megbízásokat keress, ha valahová ajánlatot adsz, akkor ne az ár legyen ami melletted szól. Ezzel (az árazással) ki tudod az összes olyan ügyfelet szűrni, akinél csak a fizetendő összeg számít a szakmai tartalom helyett. Az ilyen cégeknél fordul elő legnagyobb arányban az, hogy ilyen megkeresésre nyitottak (hátha olcsóbb, tartalom ugye mindegy).
Ahol nem a pénz az elsődleges (és sokszor egyetlen) szempont, ott tényleg szarul kell dolgozni (az ügyfél által érezhetően szarul), hogy le akarjanak cserélni. Ugyanis a csere macera, amit senki sem akar, ha nem muszáj.
A második példa (könyvelő) esetében csak azért engedte, hogy árajánlatot adjon az ügyfél, mert mint könyvelő érdekelte mit mennyiért kínálnak. Frászt akart váltani :)
A hülye ügyfeleket lepattintom, mert többet ártanak mint hasznot hoznak. Az olcsóságot sem viszem szélsőséges irányba, van egy határ. Azonban pont ezzel találtam sok (és jó) ügyfelet, mert elegük lett abból, hogy mindig (3 évente) ment az új gépek cseréje, a windows időnként öszerottyantotta magát és ezért is fizetni a karbantartást, stb... Ha látnak egy stabil, kedvező árban lévő konfigurációt, az nekik öröm. Ahogy az egyik cég tulaja mondta: nem az új eszközök ára zavarja, mert akár a dupláját is kifizetné, ha azt látná, hogy nem kell azon aggódni, mikor fullad be a rendszer (momentán a windowsra gondolt).
A linuxszal egyre inkább kezdenek megbarátkozni az emberek. Érdekesség, hogy nem otthoni magáncélú használattal válik elfogadottá, hanem a linuxszal dolgozó irodisták révén. Nem panaszkodnak, hanem kifejezetten örülnek, hogy stabilan megy minden.
Szerény véleményem szerint az IVSZ egyik feladata lenne az ilyen kóklerek, kókler vállalkozások kiszűrése - az önfényezés mellett. Csak hát nem fáj még eléggé a kóklerizmus.
Hidd el jobb elenegedni aki menni akar. Ne akard minden áron megtartani az ilyen ügyfelet.
Aki ilyen irányba okosabbnak gondolja magát, esetleg alád akar ásni, azokat általában a megrendelő bevonásával kezelem, mivel a döntést ő hozza meg.
Ha pedig nem jön be amit okoskodott, akkor ott lesz a nyoma, hogy miért kell a következő utalást csinálni.
Nekem voltak ügyfeleim akikel nem tartom már a kapcsolatot semmilyen szinten. Néha aranyhal memóriájuk van és megkeresnek valami nagyon jó munkával. Csak akkor fagy le a mosoly a képükről amikor mondom hogy eléggé tele vagyunk, olyan több hónap a sorbanállás. ... és amúgy sem fogunk nekik dolgozni többet.
A hálózati dolgok nagyon kacifántosak tudnak lenni. Sokmindent lehet sokféle képen megoldani, szóval hamar aknára tud lépni, aki csak úgy módosítani akar valamit.
Vannak megrendelők akiknél pedig úgy gondolják nem is végzel munkát, mert évek óta semmi gond nincsen és minden működik.
Ezek is felejtősek idővel. Majd jönnek amikor gond van és általában a legjobban ők vannak felháborodva, hogy hát 3 éve csináltad és most nem megy és mi az, hogy nem tudsz jönni szombaton megcsinálni azonnal, persze garanciában.
Te megcsinálsz valamit. Azzal a munkával legyél elégedett, olyat adj ki a kezedből. A megrendelő örüljön, elégedett legyen, olyat adj ki a kezedből. Ha pedig a megrendelő holnaptól nem akar veled dolgozni, akkor engedd el a kezét.
@Tron lehet hogy tudom, kik ők.
Ha cég neve második része (utolsó 4 karakter) beírod a wikipédiába. Az Embereknél a középső egy fehér hajú, fehér szakállas bácsi képe jön be ?
kieg:
@Tron nem áruled el így rejtve, hogy jó-e a tippem ? Olvastad ezt ?
Van érdekes tapasztalatom velük, ha ők azok akikre gondolok.
For Whites Only meeting room!
Nalunk erre van egy mondás: "Az ügyfélnek jogában áll hülyének lenni!"
vagy ahogy régi kedves Partnerem szokta mondani: tanácsod tudunk adni az Ügyfélnek - észt nem...
Nálunk meg ez a mondás: "A Vevő nem hülye!"
Szoktam mondani: mindenki a saját pénzén lehet a hülye
...ilyen az, amikor Ifj. Veér Pistike megöregszik és Id. Veér István lesz és céget alapít... :D
https://iotguru.cloud
Közvetlenül a “kókler cég” ellen jó eséllyel nem tudsz semmit tenni.
A menedzsmentet szándéka ellenére nem fogod tudni megjavítani, meg se próbáld.
A menedzsmentnek (konkrét számok mentén) tudhatsz alternatívákat adni, amiből ők választanak.
Ha “nem jól” választanak akkor utólag esetleg tudhatsz “reportálni” arról hogy ez a kis kaland plusz mennyibe is fájt (majd, a végén)
A saját szempontjaidat kell nézd: a rendszereket, a felelősségeket pontosan határold le. Ha hibát kell javítanod utánuk azt fizettesd ki rendesen, sőt. Dokumentálj mindent, az erre fordított időt is fizettesd ki. Gondolkozz el azon hogy az egész megéri-e neked és ha nem akkor keress mást.
Ha valamit nagyon megtanultam az életben: soha senkit nem szabad segíteni az akarata ellenére.
Gábriel Ákos
Esetleg annyival egészíteném ki: Már közben. Ne tarts magandál infót, folyamatosan legyél transzparens. Tudjanak róla, hogy mi történik, és miért. Ha valami kóklerség van, akkor "új email" + összefoglaló írása... szerintem. Sőt, ha jól értem, már van egy adag, amit így meg lehet írni, hogy nyoma legyen. - Fontos a döntések meghozásához egy menedzsernek kell az infó, és a szakemberek véleménye (akiknek felelősége átadni).
(már, ha jól értem a kérdést, és a szereped itt)
A transzparencia is akkor érték csak, ha értékelik. Láttam már olyan helyet ahol ezt sem értékelték. Ha ezt így realizálod ezzel sincs probléma, a megfelelő helyen és időben alkalmazva lehet ebből is jól kijönni, kritikus persze az, hogy a dokumentáció meglegyen.
Én alapvetően szeretek transzparens lenni, tőlem nagy önfegyelmet és odafigyelést igényel ha nem ennek kell lennie a default működésmódnak.
Gábriel Ákos
+1 Tőlem is. A dokumentáció tényleg kritikus, és legyen elérhető bármikor, ezért napra késznek is kell lennie. De érthető, ha nem akarja pl egy nagyfőnök, hogy minden adhoc dologgal megkeressék, az nem biztos, hogy hatékony, kell a rend.
+1
Ha kétségeid vannak, különösen fontos, hogy mindennek legyen nyoma, ne próbálkozhassanak olyanokkal, hogy 'Hát most épp megakadtunk, mert nem találtuk az OpenSSL-t a gépen, megkérdeztük a rendszergazdát, de még nem válaszolt', hanem legyen meg a nyoma, hogy 'tíz perccel később válaszoltam, hogy a titkos hely, amit keresnek, a /usr/bin/'
Na ilyen segítség biztosan nincsen, mert előbb-utóbb ott találod magad hogy "a kurva anyádért nem csináltad már meg..."
Olyan segítség van, hogy: a csomagot a standard módon tettem fel ekkor és ekkor, ilyen és ilyen verzióban, ennek megfelelően kell keresni bármit.
Gábriel Ákos
(Hát igen, a 'szabotálás' és a 'helyettük dolgozás' közötti szűk sávot kell megtalálni.)
Az ilyen típusú mondatok felszínre hozzák a szakértelem tényleges szintjét mindkét oldalon.
Azt a kommunikációs helyzetet kell megteremteni hogy a nem-hozzáértő kívülálló is tudjon dönteni.
Eszembe jut még hogy a “kérdés alapú kommunikáció” is tud működni.
Ebben a szituban felteheted például ezt a kérdést:
- kerested már a standard helyén?
Nem jelentettél ki senkiről semmit, irányba állítottad a kérdezőt. Ez az a típusú kérdés amire nehéz úgy visszakérdezni hogy ne legyen ciki.
Gábriel Ákos
Megtörtént velem is több ehhez hasonló. Mondjuk többnyire konfigokat kerestek, amik meglepő módon az /etc-ben voltak. :)
De tudod van az a szint is, amikor ha csak ránézel arra hogy mit és hogyan csinál.... Vagy csak visszanézed a bash historyját... Már abból látod, hogy halvány lila fingja nincs az egészhez.
Legjobb a legutóbb eset volt ~1 éve. Nyilván (vagy hát, nekem nyilván, másnak nem..) mivel ténylegesen üzemtettem a rendszert, sok pont volt integrálva és be volt kapcsolva hozzánk. Userek, belépés, monitoring, management tool, értesítő emailek és emailcímek, stb, stb... Küldtek mailt vagy 3 héttel a szerződés vége előtt, hogy kér az új üzemeltető usert minden szerverre, hogy körbe tudjanak nézni a gépeken. (Előzetesen tájékoztattam az ügyfelet, hogy ha kiadok teljes jogú usert, onnantől nem tudom vállalni a felelősséget a szerverekért). Aznap nem csináltam meg valamiért... Másnap már jött az ügyféltől a telefon, hogy mikor csinálom meg, mert nem tudnak haladni, így nem tudja az új üzemeltető átvenni a rendszert. Megcsináltam gyorsan (management-tel kb. 2 perc alatt az összes gépen), írtam hogy kész. Ezt követően napokig semmi. Baromi sürgős volt.
Aztán beléptek 2-3 gépre körbenézni. Majd utána megint semmi.
Pár nappal a szerződés vége előtt kérték, hogy akkor takarítsak le a gépekről mindent, ami bármilyen módon hozzánk vagy a mi szolgáltatásunkhoz köthető. Írtam, hogy egyrészt innentől én sem fogok tudni belépni a gépekre (se user, se management), másrészt több olyan gépet látok, ahova még be sem léptek a kapott userrel, harmadrészt alapvető dolgok fognak hiányozni a gépekről (pl. repók nem lesznek, email küldés nem fog menni, mert az smtp ki lett pucolva, stb). Mellesleg azt is odaszúrtam, hogy ezt nekik kéne megcsinálni, "meggyőződni" arról, hogy mi van a gépeken, amit átvesznek.
Csak erősködtek, hogy márpedig takarítsak le mindent, ők addig nem csinálnak semmit. Hát jó... Management-tel lepucoltam mindent, kitöröltem a usereinket, kitöröltem a konfigokat, leszedtem a szolgáltatásokhoz kapcsolódó csomagokat, majd utolsó lépésként a management leszedte saját magát. Írtam hogy kész.
Másnap jött az email, hogy nem tudnak belépni erre meg arra a gépre, meg nem megy ez meg az, azonnal csináljam vissza. :DDDD
Én meg jól az orruk alá toltam, hogy pontosan ezért írtam, hogy legalább a belépést meg a sudot nézzék már meg. Kivágtam magam alatt a fát, mint írtam én se tudok visszamenni, szóval ha ők sem, akkor jöhet valami rescue system meg password recovery. Good luck, ez már nem az én bajom!
"Sose a gép a hülye."
Ez a kemény nem a kád széle ...
Gábriel Ákos
A legszarosabb történetek mindig a lelépések környékén születnek.
A munkáltatómnak dolgozik be 2 alvállalkozó, én ezzel a 2 alvállalkozóval vagyok kénytelen sok-sok melón együtt dolgozni. (A 2 alvállalkozó valójában egy nemzetközi, közepesen nagy méretű szolgáltató multicég, meg egy kisebb méretű de szintén nemzetközi társaság). Az én mulkáltatómnak az ügyfeleit tutulgatja ez a 2 cég, mert inkább hagyja ezeknek a munkaadóm kitalicskázni a mi ügyfeleink pénzét, mintsem h. én és a kollégáim ugyanazt a munkát sokkal kevesebb költségen, és legalább ugyanolyan jól ha nem jobban házon belül megcsinálhatnánk.
Na az egyik ügyfelünket a munkáltatóm át akarta a házon belülre venni az egyik fentebbi bedolgozós cégtől. Routerek, voice gateway-ek voltak az éles rendszerben. De valószínűleg olyan faszán írták meg a szerződést egymás között, h. az alvállalkozónk nem volt hajlandó átadni a logineket a munkáltatómnak, mert a routerek és voice gateway-ek konfigja az ő intellectual property-je. Ezért az eszközöket csak teljes konfiggyalulás után használhatjuk mi. Amit meg is csináltak demonstráció gyanánt a mi ügyfelünket kiszolgáló éles rendszer egyik telephelyén. Utána gyorsan (pár hét pszchilógiai hadviselés, zsarolás és zárt ajtók mögött a 2 cég nagyembereinek egymás kurvaanyázása után) megszületett a megállapodás, h. valami horror pénzért adták át eszközönként a logineket a mi mérnökeinknek.
Ugye nekem és az összes kollégámnak ez a tetves cég (a sajátomról beszélek, nem az alvállalkozóról) a belemet kitapossa, h. évente x millió EUR-t hozzak be bárhogyan az ügyfelektől, pedig a munkaköröm nagyon távol áll a sales-től. A másik oldalon meg aki elbaszta ezt a szerződést ill. aki aláírta ezeket a feltételeket, az ezzel nagyobb kárt okozott, mint amit mondjuk az egész budapesti bagázs behozott euroban az elmúlt üzleti évben. De azoknak nem vágták le a faszát a felsővezetés, minket meg alsószintű rabszolgákat meg minden évben egyre magasabbra rakott léccel stresszelnek, amit meg kell ugrani.
Az gondolom közben neked is leesett, hogy az a szerződés nem véletlenül volt úgy megírva, ahogy. Egyik oldalról nézve ügyes megoldás, másik oldalról teljes dilettantizmus.
a megszokott történet: egyre több melót raknak rád, a haszon pedig ott csapódik le, akik a plusz terheket generálják. Szerintem Te is az a naív és lelkiismeretes szaki vagy aki inkább büszkeségből és megszállottságból csinálod (mert tikkelési rohamot kapsz ha valami szarul méködik) mintsem pénzért és karrierért.
Én nem lepődnék meg, ha valakinek a ti cégetektől komoly pénz ütötte volna a markát okosba ezen meállapodás nyélbe ütése után...
Alapból nem értem, hogy ha van egy ügyfél, és van neki egy eszköze, azt az eszközt valaki pénzért beállítja (konfigurálja), az milyen törvénnyel védhető módon lesz intellectual property külső (a konfiguráló) félnél? Egy egyedi szoftvernél értem. De egy eszköz konfigurációjánál... Az meg pláne nem világos, hogy hogyan lehet olyan szerződést megkötni, amibe ezt lefektetik, és ez a tétel az aláírás előtt senkinek nem szúr szemet.
Valamint az is érdekes kérdés innentől, hogy az adott ügyfelet miért kellett ilyen költség árán is visszahozni házon belülre, miért nem visszakoztak, hogy maradjon az alvállalkozónál, mert túl drága.
Valts sportagat. Limbo...
<off>Rosszul vagyok, mikor túltolják ezt a HTTPS témát, nyomorék böngészőkkel együtt: mikor egy statikus és/vagy semmi adatot be nem kérő weboldal is nem biztonságos... gáz</off>
Onnantól kezdve, hogy nem https, csak azt tudod, hogy mi érkezett meg a gépedre, de azt, hogy honnan, melyik cég weboldaláról - na az nem.
Es ezt 2024-ben, 2perc alatt barki nevere beregisztralhato domain nevek, illetve siman csak domain validalt, "hianyos tartalmu" certek koraban mennyire gondolod komolyan?
ha ugy erted, hogy elegendo eroforras rendelkezesre allas eseten, ip szinten mindket tipusu protokolon elerheto weboldal elteritheto, abban igazad van.
a kerdes csak az, hogy mekkora ez az eroforras igeny http es mekkora https eseten, es hogy a bongeszoben levo CA-k melyikenel mennyibe kerul megkenni valakit, hogy a tanusitvanyt kiallitsa.
neked aztan fura humorod van...
Ezzel az a baj, hogy ha kiderül, akkor a teljes céget az összes tanúsítványával együtt kizárják, a céget meg kb. beszántják. Nem véletlenül nem akar mindenki bizalmi szolgáltatót csinálni, iszonyat szívás mindennek megfelelni, cserébe korántsem akkor nagy üzlet.
van az a penz, aminel mar megeri beszantani, ha kiderul.
neked aztan fura humorod van...
Egy DV-certet "csak úgy" nem fogsz megkapni a kispiricsbetepontakarmi domainre, hacsak nem tudod a DNS-t és/vagy a webszervert írni, és ott a CA által a validáláshoz kért adatokat elhelyezni. A domain validated cert pont az, aminek nevezik: azt bizonyítja, hogy aki azt igényelte, az az adott domain-t kiszolgáló DNS-hez vagy magához a certben szereplő webszerverhez írási joggal rendelkezik, azaz ezeket kontrollálja.
Példa:
mi a megbízhatóbb információ, miután írtál egy kérdést XYZ-nek:
-kapsz egy képeslapot "XYZ" feladóval, és rajta azzal a szöveggel, hogy "XYZ köszöni a megkeresést, és válaszolnak hamarosan. XYZ-től nyertél egy nyaralást",
-kapsz egy ajánlott/tértivevényes levelet XYZ feladóval, amibe megköszönik a megkerersést, és jelzik, hogy hamarosan részletes választ kapsz."
Az első esetben az a biztos, hogy kaptál egy üzenetet, és ennyit tudunk biztosan (megviccelhet a postás, akár a teljes képeslappal, akár azzal az nyaralásos megjegyzéssel, a második esetben meg könyvelt, zárt küldemény érkezett,a tértivevény alapján lehet tudni, hogy hova megy vissza a kézbesítési értesítés (azaz kvázi biztosra vehető a feladó), illetve az üzenet tartalma is az, amit a küldő útnak indított.
Az, hogy 2 perc alatt megtévesztő domain-t regisztrálsz, valid DV certtel, meg az, hogy egy létező domain felett a kontrollt megszerzed (hogy a tartalmat átírd, a certet ellopd, vagy neked állítsa kia certet valaki a te webszerveredre), az nem teljesen ugyan az...
Míg http forgalom esetén könnyebb közbeékelődni és kicserélni a tartalmat, addig https esetén nem igazán tudod megoldani a domain-re szóló cert megszerzése (és a DNS "átirányítása"), vagy a domain/webszerver feletti irányítás megszerzése nélkül.
A DV cert semennyivel sem véd kevésbé műszakilag egy weboldalt, mint egy EV cert. Az EV cert a felhasználó felé mutat több információt, amitől a felhasználó az adott oldalban jobban megbízik, hogy az, akinek mondja magát. De műszkilag a DV cert is ugyan úgy megakadályozza a legtöbb visszaélést.
Így nézve, még a lejárt vagy ön-aláírt tanúsítvány is ellátja a funkcióját. Valószínűleg elbeszélünk egymás mellett.
Az admin felült és mindenféle input nélküli, HTML-ből és JPG-ből álló weboldalra ott a baxott nagy figyelmeztető jel, hogy nem biztonságos, miközben a 10perccel ezelőtt beregisztrált otpbankportal.com mostanra szó nélkül megkapta a Let'sencryptes certet, httrack-el lemásoltam a bank weblapját és biztonságos keretek között, névtelenül adathalászok. Tök jó... de bocs most mennem kell, hív az anyósom, biztos neki is kiírta az AcdSee-ből exportált unokásképes galériára a böngésző, hogy meg ne nyissa, mert világvége lesz...
Igen, gyakorlatilag bármilyen tanúsítvány esetén megvalósul a titkosított adatcsere, ergo az adatokhoz út közben nehéz hozzáférni/meghamisítani.
Az ilyen scam ellen nem az EV cert véd, hanem a felhasználók (úgy általában: emberek) biztonságtudatos képzése. Mert ha ez hiányos, akkor hiába az EV cert, ha sem tudja, hogy azt meg kellene nézni... Vagy felületes, és a profi scammer is EV certet használ a kamu oldalán és a user csak azt nézi, hogy EV cert van-e, mert ha EV, akkor már tök megbízható ugye az oldal (bármi is legyen rajta).
De nem vitázni akarok, csak azt szemléltetni, hogy az ilyen problémákat egyáltalán nem műszaki oldalról lehet és kell megoldani, meg (talán/szerintem) nem is lehet.
Abszolút így gondolom, hogy a felhasználók oktatásával lehetne ma a legnagyobb eredményeket elérni. Az egyszeri user nem fogja tudni (minek is érdekelné, meg honnan is tudná?), hogy mit tud az a tanúsítvány? És nekem azzal van bajom, hogy a böngészők simán biztonságosnak jelzik azt, ami ordas nagy átverés/adathalászat, miközben a nullához konvergáló kockázatot rejtő oldalra meg kiírják, hogy nem biztonságos. Mert az egyszeri user azt sem tudja, hogy az oldal használata biztonságos, vagy az adatkommunikáció a végpontok között. Ő csak azt látja, hogy biztonságos és bátran ad meg mindenféle adatot. Akkor inkább ne írjon semmit a böngésző, nekem ez a bajom az egésszel...
NEM a _tartalom_ valódiságát, hanem a domain/webszerver feletti kontroll-t bizonyítja a DV-cert. Vannak magasabb szinten validált igénylések, amikor a domain hazsnálati jogot, illetve az adott névhez kapcsolódó felügyeleti jogot vizsgálják. (De a kirakott tartalom valódiságát _nem_. )
" a 10perccel ezelőtt beregisztrált otpbankportal.com mostanra szó nélkül megkapta a Let'sencryptes certet,"
No akkor repetitio est master studiorum: A domain validated cert azt jelenti - ahogy a neve is mutatja - hogy az igénylője a cert kibocsátásakor képes volt kontrollálni az adott domain DNS-ét és/vagy a certben szereplő webszerveren lévő tartalmakat. Ennyit állít, semmi többet. Az, hogy te a fekewebsitepontvalami domaint be tudod regisztrálni, és oda le tudsz másolni tartalmat, az _nem_ a certen múlik, _nem_ a titkosított csatorna létén vagy nemlétén múlik. A cert, illetve a titkosítás arra szolgál, hogy a két végpont között közlekedő tartalmat harmadik fél (gyakorlatilag) ne tudja módosítani, illetve megismerni. (Igen, ha sikerül egy CA-certet valahogy a klienssel megetetni hiteles ca-ként, vagy ha sikerül egy CA-t kompromittálni, és kiadatni vele egy certet adott CN+SAN kombóval, és azzal közbeékelődni a kliens és az eredeti szerver közé, akkor az ezt elkövető harmadik fél át tudja csomagolni a TLS-t, és viheti/módosíthatja az adatfolyamot mindkét irányban...)
Szerintem a kollégának az a problémája, hogy ma nem nagyon látszódik a címsorban, hogy milyen típusú a cert. Régebben még pörgött a zöld vagy a kék szín, de ma erőlködni kell, ha meg akarod nézni a cert típusát: tipikusan nem is nézi meg senki. Nincs már az, hogy az OTP zöld és akkor minden jó (nagyimnak pl. átment).
https://naszta.hu
Legyszi ne ird mar le meg tobbszor, hogy mi mire valo... :D Tovabbra sem errol van szo...
A cert _nem_ a tartalom valóságtartalmát, hanem a szerver oldalon a certet igénylőnek a szerveren lévő tartalom fölötti kontrollját bizonyítja, erről van szó, illetve arról, hogy a titkosítást azt biztosítja, hogy a szerverrlől elindított tartalomfog megérkezni a kliensedre és viszont, valamint hogy ahhoz harmadik fél nem fér hozzá.
Ez egészen addig csak technikai fingreszelgetés ameddig a böngészők valid cert esetén azt írják ki nagy zöld betűkkel, hogy az oldal biztonságos :(
Melyik böngésző írja ezt ki? Mert nálam három is van (Chrome, Edge, Firefox), és egyik sem mond ilyet, csak azt, hogy a kapcsolat biztonságos. Nagyon-nagyon-nagyon nem mindegy...
Megnéztem, valóban connection-t ír, neked van igazad. Sajnos ettől még a legtöbb felhasználó azt gondolja, hogy ott a lakat -> minden fasza. Bár nem, ez nem igaz. A legtöbb felhasználónak a lakat se tűnik fel.
Ez sem feltétlen igaz, mióta pl. a cloudflare és hasonló szarság létezik, ami egyrészt röptében állít ki certet bármire, másrészt simán megy úgy, hogy te mint kliens a cloudflare-ig HTTPS-en mész, onnan meg sima HTTP a kapcsolat a valódi kiszolgáló felé.
Baromi sok oldalt láttam így működni már.
"Sose a gép a hülye."
A "bármire" nem igaz - mivel a CF a külvilág felé teljes(!) kontrollal rendelkezi a mögé rakott tartalmak fölött, így arra jogosan kér/kap/állít(tat) ki certet. Az, hogy a CF - "backend" között a backend-es webszerver fillér...ó, vagy épp trehány gazdája miatt nincs TLS, az más kérdés, az a CF - "backend" kapcsolat biztonságáról szól(na), nem pedig a CF és a böngésző (kliens) kapcsolatról.
tl;dr semmi ellen nem ved a CF flexible cert, raadasul userkent arrol sem tudsz megbizonyosodni, hogy e2e titkositott a forgalom
De amugy nagyon hasznosnak tunik! :)
Ha a ficemfacomcegpontTLD -re mész TLS-sel, ott sem tudod, hogy end2end tls van-e, vagy csak egy TLS-es frontenddel beszélgetsz, ami mögött x darab http-n elérhető tényleges webszerver van.
A "semmi ellen nem véd" baromságra meg sokadszor: a kliensed és a TLS-csatorna másik vége közötti forgalommódosítása és harmadik fél általi megismerése ellen véd. Példa: x cég küld neked egy postai levelet. Ez ugye elkészül valamilyen formában, kinyomtatja valaki, odaadja a postázást intéző kollégának, aki fog egy borítékot, belerakja (eddig belül, http, mert aki hozzáfér, megismerheti, sőt át is firkálhatja), leragasztja, majd portára adja (postás már nem lát bele - https a postaládádig), kiveszed, kibontod, örülsz. vagy sem.
A leragasztott boríték mitől is védett ennek a folyamatnak a során? A benne lévő levél tartalmának valótlanságától, vagy attól, hogy a postás (meg aki út közben hozzáfér...) megismerje vagy épp átfirkálja a leveledet?
Igy van, kezdunk kozeledni a valodi problemahoz.
De ugye a flexible certnel nem ez tortnik, igaz? Hanem valami olyasmi, hogy megirom a levelet, bedobom a postaladaba, valaki onnan kigyujti, elviszi az eloszotba, es ott valaki beboritekolja helyettem, hogy a last mile kezbesito mar ne tudja elolvasni. Hogy elotte mi tortenik, azt meg nem tudja senki.
--'