Frissult a HTTPS Everywhere

 ( bozsikarmand | 2016. december 20., kedd - 21:42 )

Mar default HTTPS-en jon a HUP \o/

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ennek van valami tudományos oka, hogy mindenféle böngésző kiegészítő kell ehhez? Azért kérdem, mert a LEDE-t futtató router-em uhttpd szerverének konfigjában van egy ilyen:

        # Redirect HTTP requests to HTTPS if possible
        option redirect_https   1

Szóval ez szerver oldalon le van rendezve. És egyébként valóban működik is.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ennek nem ez a lényege. Meg lett beszélve hogy a HUP-on meg lesz tartva a http és a https is, mert sokan nem tudnák nézni a https verziót céges tűzfal miatt ami tiltja azt és ezért nem default.

Akkor mitől lesz az életem szebb, ha https nézem a hup-ot? Jól titokban megy a szerverre a hozzászólásom, ami aztán nyilvánosan titkosítatlanul bárki számára elérhető?


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Miért, ha most HTTPS-en nézném az oldalt, nem látnám a hozzászólásodat?

A kérdésem épp ez volt: ebben az esetben mi a fenét nyerek a https-sel?


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

A saját adataidat, pl. amit belépésnél adsz meg nem tudják MITM támadással ellopni, nem tudnak a session ellopásával a nevedben írni hozzászólást, plusz csak domain szintig látják hogy mit nézel, URL-t nem.

Ez eddig sajnos egyik se igaz

Kérlek fejtsd ki.

"Ezután már csak a saját CA-nkat kell beleilleszteni a trusted CA-k közé."
Aki be tudja rakni a saját CA-ját a gépemre az vendégem egy rekesz sörre. Nem, nem adok fizikai és távoli hozzáférést sem.

Akkor már rendelhetsz is többszáz rekesz sört, aztán amíg kihozza a posta, tekintsd meg a cert store-odban lévő "megbízható" CA-k végeláthatatlan listáját

--
lehet nem csak az utolsó mondatot kellett volna elolvasni :o(

És melyikhez rendelkezel a privát kulccsal?

Egyébként nem akarok belemenni ilyenbe, nyilvánvalóan az a problémád, hogy nem bízol meg a "megbízható" tanúsítvány kibocsátókban (vagy nem mindegyikben, teljesen logikus lépés lenne az NSA részéről, ha lenne(van) egy CA-ja). Ettől függetlenül egy tetszőleges ingyenwifin tetszőleges személy / munkahelyi rendszergazda nem lát bele a forgalmadba.

Ha rendszergazda vagy, akkor tessék HPKP-t használni. Ha paranoiás kliens, akkor meg Certificate Patrollal némileg segíthetsz magadon.

>És melyikhez rendelkezel a privát kulccsal?

Beláthatod, hogy nincs annyi pénzed hogy erre a kérdésre választ kapj

>függetlenül egy tetszőleges ingyenwifin tetszőleges személy / munkahelyi rendszergazda nem lát bele a forgalmadba.

A tetszőleges ingyenwifim tetszőleges rendszergazdája rendelkezik általad elfogadott CA-val, és már fut is az sslsplit

Szóval szerinted jobb, ha bárki bármikor MITM támadást végezhet, mint hogyha ezt csak nagyon drágán, komoly háttérrel rendelkező személyek tehetik meg? Chemtrail témában tudsz esetleg tanácsokat adni?

Ugye az volt a kijelentés hogy "nem tudják MITM támadással ellopni, nem tudnak a session ellopásával a nevedben írni hozzászólást, plusz csak domain szintig látják hogy mit nézel, URL-t nem"

Az mi, hogy "nagyon drágán" meg milyen a "komoly háttér"? Szó szerint csak egy pár kilobyte-os file, és egy opensource program felinstallálása.

Bár a kemtrélezés már jelzi hogy végzetesen megsértődtél

--
kár

Nem sértődtem meg, csak hasonlóan elvakultnak látom azt feltételezni hogy konkrétan a te ellenséged rendelkezni fog azzal a pár kilobyteos fileal. A ca-s rendszer nem elsősorban műszaki, hanem "bizalmi" (értsd pénzkérdés) akadályt állít a lehallgatás ellen. Azt kell mérlegelned hogy ér-e annyit az adatod, amennyi pénzért kompromittálható egy CA. Ha igen, akkor a HTTPS nem biztonságos erre a célra. Ha nem - ahogy 99%-ban - akkor pedig minden rendben.

Biztonsági megközelítésben a http és a https között a lehallgatás fajlagos költsége a lényegi különbség. Ez httpnél pár forint, https-nél legalább 100 millió Ft-os "beugró" pénz az hogy legyen egy CA-d.

(De amúgy akkor se lesz olyan egyszerű az életed ha van egy CA-d, mert a közhiedelemmel ellentétben a simán SSL közbenállás nem elég, ott van még a CRL, HPKP, cert transparency report. Persze nem lehetetlen, de egy apt-get install squid vagy mitmproxy nagyon kevés lesz.)

>kijencvenkijenc százallék!!

Wow ez nagyon pontos meghatározás, milyen számítások alapján jutottál erre az eredményre?

Egyébként úgy tűnik tulajdonképp egyetértesz velem abban, hogy a "saját adataidat, pl. amit belépésnél adsz meg nem tudják MITM támadással ellopni, nem tudnak a session ellopásával a nevedben írni hozzászólást, plusz csak domain szintig látják hogy mit nézel, URL-t nem." komment nem volt valós, /thread

>közhiedelemmel ellentétben a simán SSL közbenállás nem elég

Aha, akkor csak behaluzom ezt a login credential gyűjteményt itt :) (csak teszt, legális, stb) Ööö, mit is szerettél volna jólmegmondani?..

> Aha, akkor csak behaluzom ezt a login credential gyűjteményt itt :) (csak teszt, legális, stb) Ööö, mit is szerettél volna jólmegmondani?..

Ha Te telepítesz fel a browserbe egy extra CA-t, - akár mint rendszergazda - akkor azzal lehet gond nélkül közben állást játszani, ez szándékosan megengedett. A böngészőkben gyárilag megtalálható CA-kkal szemben viszont - és ezt kevesen tudják - ennél szigorúbb elvárások vannak.

1) Érvényes CRL-nek kell léteznie amin a kliens cert nem szerepelhet vagy érvényes OCSP választ kell adni a certre.
2) Ha a böngésző tartalmaz, vagy a korábban meglátogatott oldal állított be HPKP-t, akkor a bizalmi láncnak tartalmaznia kell a pinelt certet. (Lásd még HPKP preload, HSTS preload)
3) Ha a felhasználó nem tiltotta le, a böngésző a beépített CA-k alá tartozó certek adatait elküld(het)i a böngészőgyártónak. Ha olyan certet állítottál ki amit nem szabadna, az ilyenkor kibukik. (Lásd még: StartSSL teszt cert botrány)

Természetesen sem ezeket az extra védelmeket, sem a CA bizalmi modellt nem lehetetlen megtörni, mint ahogy a világon minden feltörhető.

Te ellenben azt is állítod, hogy ennek a feltörésnek az egy főre eső fajlagos költsége olcsóbb, mint amit egy ember privát adatai megérnek. Ez egy nagyon súlyos, - és az ismert adatoknak ellentmondó - állítás, ha ezt nem tudod alátámasztani, akkor tényleg chemtrail színvonalon beszélgetünk.

Csak a tisztán látás kedvéért, csak azokról az esetekről beszélünk amikor a kliens gép a felhasználó tulajdona, és nem pedig céges legitim MITM célra utólag telepített külső certtel szállítják.

^SSL cargo cult in action

De hogy tovább tudj hasonlóan szórakoztató módon fogalom nélkül értetlenkedni:

>Érvényes CRL-nek kell léteznie

nem

>érvényes OCSP választ kell adni

nem. Látszik hogy 5 perc netes keresés után próbálsz eszet osztani. Érdemes kipróbálni mi történik az OCSP ellenőrzés tényleges bekapcsolása után a webböngészési élményindexszel, én pl. jókat röhögtem az eredmény láttán

>HSTS

Érdekes elképzelés ahogy egy rosszindulatú trójait propagálsz, nem szégyelled magad? Ez egyébként sincs és nem is lesz a hupon, mellesleg joggal

>Ha a felhasználó nem tiltotta le

Elég sok "ha" nőtt ide a nagy default szekuricsiben

>böngésző a beépített CA-k alá tartozó certek adatait elküld(het)i a böngészőgyártónak

Hogy mit csinál, meg kinek?! Illumináltságod fokának drasztikus növekedését betudom az ünnepi hangulatnak

>nem lehetetlen megtörni

loop

>azt is állítod

Ejnye Zsolt, hazudozni nem szép dolog - bár a hupon megengedett, sőt szociálisan preferált

>chemtrail

Már megint a.te.ervelesi.hibad.hu/szalmabab

>Csak a tisztán látás kedvéért

Csakis

Figyelj, ha az a kérdés, hogy műszakilag feltörhető-e az SSL, vagy hogy vacak-e a CA trust model, akkor persze, hogyne lenne az.

Ettől függetlenül az eredeti állítás akkor is igaz:
> A kérdésem épp ez volt: ebben az esetben mi a fenét nyerek a https-sel?
> nem tudják MITM támadással ellopni, nem tudnak a session ellopásával a nevedben írni hozzászólást, plusz csak domain szintig látják hogy mit nézel, URL-t nem
Pontosan ez a bizalmi modell célja, és - a hibáival együtt - el is látja ez a feladatot. Erre azt mondani hogy nem igaz, ... provokáció?

Hozok neked egy kiváló, HUP-os autós hasonlatot:
> Mi az előnye a lámpás kereszteződésnek egy sima elsőbbségadáshoz képest?
> Hogy zöld jelzés esetén szabad utad van, a többi autós el fog engedni.
Vagy éppen nem fog, hajtottak már át piroson. Esetleg egy megkülönböztettet jelzésű autó jön keresztbe, akkor még szabályos is. Ettől még a fenti mondat nem lesz "nem igaz".

>feltörhető-e az SSL ... persze, hogyne lenne az.

Elég hosszan írod le hogy "mea culpa, igazad volt", de O.K.

Ez igen, kimaxoltad a trollkodást :-D

Azért érdekelne hogy milyen feltörhetetlen alternatívát tudsz a HTTPS-re, meg hogy a lakásod ajtaját is nyitva hagyod-e, mert a zár úgyis feltörhető.

>kimaxoltad a trollkodást :-D

xDDD

>lakásod ajtaja

you can't make this shit up

De.

az alapoktol kene kezdened, hogy megis mi a francra jo a pki...

Olvasd el erről kérlek az egész vonatkozó thread-et. 40-50 érvet legalább kapsz mindkét oldalra ;)

Elolvastam. Ha jól értem, az benne a jó, hogy hamis biztonságérzetem lesz tőle. Épp úgy, mint nagyfeszültségű laborban a szigetelt vezetéktől, ami persze át fog ütni, ha épp megfognám. Ezen a placebo hatáson túl van valami jó benne?


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Szeretnél ide még egy olyan szálat?? :)

Még csend van, nem gyűlnek a keselyűk. :)


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

:)

Mondjuk azt megnézném hogy "sokan" nem tudnak nézni https-t. "Nálunk" a rendőrség kérte, hogy ne "extra porton" legyen elérhető XY szolgáltatás. hanem sima 443-on.
Elég beteg hely lehet ahol a sima https-t nem engedik _ki_.

> Elég beteg hely lehet ahol a sima https-t nem engedik _ki_.

Pedig kishazánkban is van ilyen :-( .

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Szerintem nem default https.
Ha beírom a böngészőbe: hup.hu, akkor http-vel nyitja meg, nem https-el.
Így viszont nem túl kézre álló, ha mindig oda kell biggyeszteni a https-t

Nem használsz könyvjelzőt?

De, csak ha mondjuk idegen gépen nyitom meg, akkor be kell írni a címet, és ha még https-t is akarok akkor https://hup.hu mér elég hosszú...
Sokszor használom net kapcsolat ellenőrzésre is, ezt a legrövidebb beírni: hup.hu ENTER

Mennyi az arány különbsége annak, hogy saját gépet használsz könyvjelzővel kontra egy teljesen idegen gép elé kell ülnöd és elvégezni a "https://" beírásának munkáját? Szerintem kezd nemreális lenni a kényelmi szintünk, erre szeretnék magamon is figyelni a jövőben.

Nem az a baj, hanem hogy a blog postban az szerepel, hogy defaultban jön https-en, holott nem is :)

"Frissult a HTTPS Everywhere"

Egy kis szovegertelmezes akkor: Frissult a HTTPS Everywhere (amely egy nepszeru kiegeszito) [igy] Mar default HTTPS-en jon a HUP (magyaran nem kell kulon ruleset) \o/

Sehol nem irtam, hogy kiegeszito nelkuli defaultrol beszelek, de ezt a cim pontositja.

Udv.