Nem biztonságos webhelyek

Fórumok

Van itt ez a cikk. Benne sok más mellett az alábbi:

[...] az adott webhely pontos címe. Ha ez nem https-sel kezdődik, csak http-vel, s nélkül, akkor az adott oldal nem biztonságos. Annyira nem, hogy azon keresztül – kis rutinnal – bárki bármit elolvashat a gépünkön, akár nézheti, ahogy írunk, például bankszámla-számot adunk meg éppen.

A lábjegyzet szerint a szerző a KPMG kiberbiztonsági laborjának vezetője, ezért sem szeretnék elhamarkodott kijelentéseket tenni, de nekem valahogy ez megalapozatlannak tűnik.

Van ugye a http, ami egy plain text titkosítatlan protokoll. Meg van a https, ami ezzel szemben végpontok közötti titkosítással rendelkezik, de értelemszerűen a szerveren és a kliensen már nincs titkosítva, csak az átviteli csatornán. Azt el tudom képzelni, hogy a böngészők olyan certeket fogadnak csak el, amelyek közbizalomnak örvendenek, tehát olyan aláírással működnek https oldalak, amely cégek részéről pofavizittel meg aláírási címpéldánnyal, ismert székhellyel rendelkeznek. Eddig jó. Két bajom azért van ezzel.

1) Hogy nézhetne bárki bármit a gépemen, ha http a protokoll? Maximum láthatja a kommunikációt, tehát ha akkora ökör vagyok, hogy plain textben küldök jelszót http-n, akkor kapok egy Darwin-díjat.

2) Ha meg feltörték a gépemet, a keylogger működését hidegen hagyja majd a https, meg nagyjából az is, egyáltalán fut-e a gépemen bármilyen böngésző.

Mivel a szerző kiberbiztonsági labor vezetőjének vallja magát, nem merem azt írni, hogy ez így ebben a formában szerintem nem igaz, de jelen tudásom alapján mégis ezt gondolom. Ráadásul nekem van a netszolgáltatómnál tárhely biztosítva, amely http-n, titkosítás nélkül érhető el. Értelemszerűen senkire semmilyen veszélyt nem jelent, legfeljebb egy-két text állományt osztok meg ott, nem kell megadni senkinek semmiféle login adatokat, de azt gondolom, az efféle dezinformáció miatt nehéz lesz valakit meggyőznöm arról, hogy önmagában egy titkosítatlanul letöltött file még nem hordoz veszélyt. Értem, kicserélhetik, de erre meg azt mondom, https-en keresztül én is lehetek akkora gyökér, hogy olyan preparált képet vagy pdf-et tálalok fel, amelyik mérgezett.

Hozzászólások

Hát, lehet ennek egy olyan alapja, hogy nem teljesen korrekt kommentárral próbálják az embereket rávenni, hogy https-t használjanak...

De ha ez igaz, akkor is problémás a szöveg, csak más miatt :)

“Any book worth banning is a book worth reading.”

Nem tudom, mire gondolt, de azt írja, hogy a cégnév és a linkben szereplő név betűről betűre egyezzen - ez alapvetően hülyeség, de feltételezhetően az elírásra szeretett volna utalni (beregisztrálnak domaineket elütésre vagy figyelmetlenségre alapozva).

Ezen felül "afféle számítógépes biztonsági öv"-ként hivatkozik a VPN-re, a szövegkörnyezet alapján a biztonságos böngészés kapcsán...

Még mindig nem olvastam el az egészet, de pl. a "Nyilvános Wi-Fi-csalás" témakör is kissé... szakmaiatlan.
Értem, hogy mire gondol, de...

...akár ki is fejthetné, mi a gond a nyílt hálózattal, és, ha már emlegeti a https, VPN és társait, akár bele is mehetne kicsit, mert ez ilyen nesze semmi és még annál is rosszabb... :)

Elég rég kivezették a böngélszők az EV cert megjelenítésének hatalmas előnyét, hogy nagyban virított a cég neve az url mellett. Szerintem hülyeség volt megszüntetni ezt a feature-t. Nagyban segített abban, hogy az embert ne térítsék el kamu oldalak egy let's encrypt cert-el.

Nem olvastam el a linkelt cikket, de nekem a fenti olyan szövegnek tűnik, amit egy hozzáértő kijelent, az újságíró megpróbálja megérteni, és hozzákölt valamit, amit nem kellene...
(Mivel http titkosítatlan, kis rutinnal a teljes forgalom premier plán olvasható, de ennek semmi köze ahhoz, hogy a gépünkön mi történik, mit írunk, akármilyen példát is csinálunk éppen. :) )

Na, ez az, mintha vaskosan össze lenne mosva egy böngésző és a szerver közötti adatforgalom monitorozása azzal, ami az ember számítógépén történik. Van még egy lehetőség szerintem, például az, hogy a KPMG kiberbiztonsági laborjának vezetője nem szakember, hanem például egy mihaszna közgazdász vagy jogász, s hallott valamit az alkalmazottaitól, s ennyit sikerült abból megértenie.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Szerkesztve: 2021. 12. 18., szo – 17:38

Azt hiszem, megtaláltam a választ:

A vállalat indítása óta Magyarország egyik vezető könyvvizsgáló, adó- és üzleti tanácsadó társasága [...]

Szóval kutyaütők.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Azért az Index is vitathatóan korrekt, mert akárhogyan is, ez inkább reklám, mint valódi segítség. Ha az utóbbi lenne, a szakmai hitelesség fontosabb lenne, mint az, hogy ki a szerző. Vagy ez ilyen tekintélyelv formájában ébresztett bizalom, mondván, igyátok ennek a marhaságnak minden szavát, mert valami hiteles helyről jön, aztán, hát... minimum véleményes az írás.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Fenntartásokkal kell kezelni, de az valahol ijesztő, ha a korrekt tájékoztatás helyett elég vad csúsztatások, dezinformáció kerül a közlendőbe. Hagyjuk a fenébe az álhírek elleni küzdelmet, szabad a gazda, írjon minden hírportál bátran meséket, s mi meg olvassuk is akképpen. Láttam én olyan rövid hírt, amely szerint a villamos vontatás tápfeszültsége 25000 kV, csak hát az a nyamvadt három nagyságrend ne lett volna ott... Nem lesz az egy cseppet sok?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Abban az a rossz, hogy jó eséllyel fel sem ismerem a hibát éppen azért, mert nem a szakmám. Szóval simán bekajálom adott esetben. Arra aligha van az embernek ideje, energiája, hogy minden hírt ellenőrizzen, ráadásul az újságok egymástól is átvehetik a hülyeséget azt a látszatot keltve, hogy az megerősített igazság.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Igen, ráadásul az "egymástól átvett hülyeségek" a szándékos dezinformáció alapjai, hasonlóképpen a féligazságokra épített szándékos félretájékoztatáshoz - ezeket nem olyan egyszerű felismerni, különösen akkor, ha tájékozatlan az ember az adott területen belül.

az egesz cikk nagyon konyhanyelven van, es tele van szakmai hibakkal...

- https onmagaban meg nem jelent semmit. egy idoben volt a "zold lakat" ami az organization validated certet jelentette, de mar se ff se chrome nem mutat ilyet mostanaban.  egy letsencryptes vagy barmilyen certet varazsolni meg nem nagy cucc, valami hasonlo nevu domainre pl otpbank.com vagy mvm-szolgaltato.hu stb  ehhez meg unicode hasonlosag trukkozes vagy eliras sem kell, eleg egy extra kotojel vagy ilyesmi.  raadasul mar a 2 hetes jovahagyas sincs .hu domain reg-nel, egybol letrehozzak.

- wifi:  attol hogy nem open hanem mondjuk wpa2 meg nem biztos, hogy jo. pl megnezi a "hacker" a kavezoban a wifi jelszot, es csinal egy ugyanolyan nevu es jelszavu wpa2 ssid-t erosebb TX-el a szomszed asztalnal, es maris az o gepen atmegy minden adatforgalom. az mas kerdes, hogy mire megy vele, mivel mar szinte minden https vagy TLS...

- en jobban kihangsulyoztam volna hogy mennyire szamit, hova gepeli be valaki a bankkartya adatait fizeteskor, nagyon sok a fake kartyas fizetesi oldal, meg az otp-set is masoljak sokan. es EU-ban hiaba van multifactor ellenorzes netes vasarlasoknal, EU-n kivul pl. amazonon vagy aliexpressen attol meg siman fel tudjak hasznalni az ott begyujtott adatokat, az nem ker sms/token ellenorzest.

Szerkesztve: 2021. 12. 18., szo – 19:50

Propaganda. Méghozzá a hazug, alattomos fajtájú.

Nem, nem olvashat el kis rutinnal bárki bármit a gépünkön, ha HTTP-n keresztül nézünk meg egy oldalt; mégis hogy fért volna hozzá?! Ugyanez vonatkozik a forgalomra is, nem láthatja bárki a forgalmadat, még nagy rutinnal sem, ez egy baromság. A forgalmadat az láthatja, akin az keresztülfolyik, senki más. Olyan van, hogy a forgalom útjába beáll valaki (MITM), de azért ez nem olyan egyszerűen kivitelezhető, ugyanis számos módon lehet ellene védekezni, pl. VPN-nel. Érzékeny adatokat persze már csak óvatosságból is célszerű titkosított csatornán (ez nem feltétlen HTTPS-t jelent, ld. megint: VPN) küldeni és fogadni, de ami nem érzékeny, azt teljesen felesleges; senkit nem fognak feltörni azért, mert titkosítatlanul nyitotta ki az indexet, vagy az origót, hiszen évekig nézték úgy az emberek és mégsem lettek feltörve... Tehát nettó FUD az egész. Ez a hazugság első fele, hogy a HTTP en-bloc nem biztonságos és aki használja azt szétkúrják a hekkerek.

A hazugság második fele pedig az, hogy a HTTPS viszont en-bloc biztonságos és aki használja, azt nem tudják szétkúrni a hekkerek. A HTTPS biztonságossága egy mítosz:

És hogy miért van szükség a propagandára? A cél a net leszabályozása, a netsemlegesség kinyírása, hogy a nagyok dönthessék el, hogy mit nézhetnek meg az emberek a browsereikben.
A HTTPS certificate alapokon működik. A self-signed certificate-ekre már így is anyáznak a browserek, alapból nem is fogadják el (krómon pl. ennyit kell vele szopni, ha még egyáltalán működik ez a módszer); mi lesz, ha a következő a Let's Encrypt lesz, ami majd hirtelen naonveszéjjessch lesz? Az a kisebbik baj, hogy utána akkor fizetned kell azért, hogy certet kapjál és egyáltalán elérhető legyen a weboldalad; na de mi lesz, ha felkerülsz valami cert-feketelistára és egyetlen provider sem fog adni neked certet még pénzért sem, mert olyat mertél leírni, ami sérti az amcsi milliárdosok és multicégek érdekeit? Akkor így jártál, tkp. kitiltottak az internetről, mert a weblapodat egyetlen browser sem fogja kinyitni. HTTPS-en legalábbis biztos nem. Ez pedig - ahogy mondtam - a netsemlegesség kinyírása: discrimination by protocol és discrimination by certificate, csak ez még nem szerepel a fogalmak között.

Az illető tehát tök mindegy mekkora szájberszekuricsi tótumfaktum, jelen pillanatban egy koszos bértrollnok, aki hazug propagandát tol.

Egyetértek. Ugyan nem szakmám a hálózati infrastruktúrák, az IT üzemeltetés, de villamosmérnökként azért fogalmaztam ennyire visszafogottan, mert úgy voltam vele, talán eljárt felettem az idő, nem tudok valamit, s ha habzó szájjal üvöltöm, hogy ez komplett hülyeség, esetleg belenavigálom magam valami roppant kínos helyzetbe. Ezt szerettem volna elkerülni, de én is azt látom, ez egy hazug félretájékoztatás, amelyik összemossa a számítógépen történteket a böngésző és a szerver közötti adatforgalommal. Minimum nagyon meg bírnék lepődni, ha írom valamilyen fejlesztői környezetben a C kódot, aztán azt láthatná valaki pusztán azért, mert a böngészőm http-n kommunikál plain text formátumban. Mégis hogyan? Tehát ez nyilván nettó hazugság.

Amit a második felében írsz, az nyomasztó, bár böngésző fork segíthet rajta, csak nem sokat ér, ha a köztudatban az lesz, hogy titkosítatlan kommunikáció == a rosszfiúk hacker eszköze, ami veszélyes. Szóval hiába lesz http-t is használó böngésző és http weblap, senki nem fogja használni. Sajnos a tömegek azon sem gondolkodnak majd el, hogy ami mindenki által nyílt, publikus, megnézhető, abban sokkal nehezebb elrejteni valami disznóságot, különösképp, ha erre szándék sincs.

Egyre elkeserítőbb számomra, milyen óriási tempóban számolják fel a szabadságunkat lényegében ellenállás nélkül. :(

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Hát igen, a browserfork nem megoldás, hacsak nem a geekeket célzod meg a websiteoddal. A jónép krómo(ka)t használ, meg faszarit, meg bugrókát, azok meg már kvázi eldöntik, hogy mit nézhet meg a júzer. Konkrétan a BGAFC is fent van egy raklap tiltólistán, hogy veszélyes oldal, de nem a HTTP miatt, hanem a programok UPack-kal vannak rajta tömörítve, a víruskergetők meg besírtak rajta, hogy dehát azt vírusok használják, akkor ez is biztos egy vírus...ez meg "jelentve lett" pár helyen, így aztán a browserek blokkolnak, a júzerek meg reklamálnak. Ez persze csak balfaszság - a víruskergetőké, a jelentgetőké, a listákra felpakolóké, meg a browserek fejlesztőié - de a hangsúly azon van, hogy a browser döntött a júzer helyett.

A szabadságunkat meg azért tudják felszámolni, mert hagyjuk. Illetve a tömegek hagyják. Mert nem is értik.