Sziasztok!
Hogyan lehet Chromium vagy/és Iceweasel alatt beállítani, hogy csak HTTPS oldalakat lehessen elérni?
Valamint ha rossz a tanúsítvány/gyenge a titkosítás ne is ajánljon fel opciót az elfogadására!
Online bankingos géphez kellene..
Update: Chromium elszáll Segmentation fault üzenettel
Update 2: A megoldás thanx to luisex
Köszönöm.
- 6689 megtekintés
Hozzászólások
tuzfalban letiltod a 80-as kimeno portot
--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!
- A hozzászóláshoz be kell jelentkezni
FF alatt
security.alternate_certificate_error_page értéke legyen "mozilla" vicces tud lenni :)
Lehet hogy iceweasel alatt is működik, ki kell próbálni.
Chrome-ot nem használok :)
--
PtY - www.onlinedemo.hu
- A hozzászóláshoz be kell jelentkezni
Köszi szépen ezt ki fogom próbálni.
- A hozzászóláshoz be kell jelentkezni
A 80-as port tiltása nem megoldás, mert http szervert átrakhatják másik portra is (pl 443-ra).
- A hozzászóláshoz be kell jelentkezni
Jelenleg a következőig jutottam
(ezek alapján:
http://www.chromium.org/administrators/policy-list-3#URLBlacklist
http://www.chromium.org/administrators/linux-quick-start )
sudo mkdir /etc/chromium/policies
sudo mkdir /etc/chromium/policies/managed
sudo nano /etc/chromium/policies/managed/deny_all.json
{
"URLBlacklist" : "*"
}
sudo nano /etc/chromium/policies/managed/allow_banks_hun.json
{
"URLWhitelist" : [
"https://*.mkbnetbankar.hu",
"https://*.otpbank.hu",
"https://*.erstebank.hu",
"https://*.cib.hu"
]
}
Eredmény:
$ chromium
Segmentation fault
Valamit rosszul csinálok?
A rendszer egy naprakész Debian wheezy.
- A hozzászóláshoz be kell jelentkezni
Feltettem a chromiumot, beállítottam ugyanezt, és nincs segfault, ellenben a policy sem működik :)
--
PtY - www.onlinedemo.hu
- A hozzászóláshoz be kell jelentkezni
Ez érdekes. Hányas Chromium, milyen platform?
- A hozzászóláshoz be kell jelentkezni
Verzió: 28.0.1500.71 Ubuntu 12.04 (28.0.1500.71-0ubuntu1.12.04.1)
IMHO a legfrissebb a repóban.
--
PtY - www.onlinedemo.hu
- A hozzászóláshoz be kell jelentkezni
Nálam:
$ chromium --version
Chromium 29.0.1547.57 Built on Debian 7.0, running on Debian 7.1
$ uname -a
Linux debian 3.2.0-4-486 #1 Debian 3.2.46-1 i686 GNU/Linux
- A hozzászóláshoz be kell jelentkezni
Szia,
(Elöljáróban, Chrome-hoz ennyire nem értek, csak vad tipp :) )
Nem lehet, hogy a két policy szöges ellentmondása akasztja meg?
Itt arra gondolok, hogy létrehoztál 2 külön policyt, amik gyakorlatilag kizárják egymást...
Így végig futva az általad adott linkeket, ezeket akár egyetlen policybe is felhúzhatnád ...
A másik, ami feltűnt, hogy ők [ ] közé zárt arrayt adnak mintának URLBlacklisthez, nem lehet, hogy azt is várna a Chrome/Chromium kódja?
Itt gondolok ennek a sornak:
"URLBlacklist" : "*"
a módosítására eképpen:
"URLBlacklist" : [ "*" ]
Persze, ez megint csak egy tipp lenne a minták alapján :)
Üdv,
LuiseX
- A hozzászóláshoz be kell jelentkezni
Köszi szépen, tényleg!
Szinte biztos hogy a [ ] az oka.
De hogy ezt miért nem képes jelezni? :)
Mindjárt kipróbálom.
Direkt szeretnék két külön (később akár sok más policyt). Elvileg a whitelist "erősebb" a blacklistnél.
- A hozzászóláshoz be kell jelentkezni
Király! Köszi szépen, ez volt a hiba!
Még a whitelist problémás (talán a csillagok miatt), de ezt már megoldom.
- A hozzászóláshoz be kell jelentkezni
A helyes megoldás tehát:
sudo mkdir /etc/chromium/policies
sudo mkdir /etc/chromium/policies/managed
sudo nano /etc/chromium/policies/managed/deny_all.json
{
"URLBlacklist" : [ "*" ]
}
sudo nano /etc/chromium/policies/managed/allow_banks_hun.json
{
"URLWhitelist" : [
"https://www.mkbnetbankar.hu",
"https://www.otpbank.hu",
"https://netbank.erstebank.hu",
"https://ibank.cib.hu"
]
}
- A hozzászóláshoz be kell jelentkezni
Nem kell a protokoll és az előtag sem.
Pl. "otpbank.hu"
Így megy www-vel és anélkül is, a http meg úgyis átvált https-re ;)
--
PtY - www.onlinedemo.hu
- A hozzászóláshoz be kell jelentkezni
Direkt csak HTTPS-t engedélyezek, hogy ne lehessen man in the middle támadni.
Ezen kívül még sok más korlátozást is bevezetek..
- A hozzászóláshoz be kell jelentkezni
Ténylegesen ennyi van a listában?
Nem okoz gondot pl. A CRL lekérése?
(gyk: SSL tanúsítvány esetleges visszavonásának ellenőrzése nem okoz-e problémát?)
- A hozzászóláshoz be kell jelentkezni
Természetesen most csinálom csak, nem ennyi lesz a listában :)
Ez nagyon érdekes, utána néztem a visszavonási lista lekérdezésnek:
http://www.chromium.org/administrators/policy-list-3#EnableOnlineRevoca…
In light of the fact that soft-fail, online revocation checks provide no effective security benefit, they are disabled by default in Chromium version 19 and later. By setting this policy to true, the previous behaviour is restored and online OCSP/CRL checks will be performed. If the policy is not set, or is set to false, then Chrome will not perform online revocation checks in Chrome 19 and later.
Még több információ erről:
https://www.imperialviolet.org/2012/02/05/crlsets.html
https://sites.google.com/a/chromium.org/dev/Home/chromium-security/crls…
- A hozzászóláshoz be kell jelentkezni
Hm, ez a nem növeli a biztonságot résszel vegyes érzéseim vannak.
Az igaz, hogy ha már csinálsz egy rendes man-in-the-middle támadást abba olyan CRL / OCSP url-ket teszel amilyet nem szégyellsz.
Az meg viszonylag ritka, hogy egy ssl cert-t fent legyen CRL-en.
De mindenesetre érdekes a megállapítás.
- A hozzászóláshoz be kell jelentkezni
Egyelőre csak addig jutottam, amit idéztél, de... khm...
Érdekes... Biztonsági témában nem merek határozott véleményt nyilvánítani (meg másban sem :D), de ez így azért elég gázosnak tűnik.
- A hozzászóláshoz be kell jelentkezni