- arpi_esp blogja
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Véletlenül sem a régebbi - non-TLS1.2-capable - böngészőknek a netről történő kizárása a cél...
- A hozzászóláshoz be kell jelentkezni
biztos az a celjuk, de amig nem cserel MINDENKI 2-3 evente okostelefont/tabletet es okostv-t es okosmindent addig tamogatni kell az elavultabb bongeszoket/os-eket is, ha azt akarod hogy az userek elerjek az oldalt.
most amugy epp abba sikerult belefutni, hogy az idopont foglalast megerosito emailben levo linket ha megnyitja a juzer outlookbol az valami beepitett msie-szeru bongeszovel nyitja meg, ami nem annyira friss. foleg az outlook is regi verzio.
- A hozzászóláshoz be kell jelentkezni
"nem annyira friss"
Windows 7 és Outlook 2010 remekül megy TLS 1.2-vel, igaz, az előbbiben a TLS 1.2 támogatást a júzernek kell bekapcsolnia. Ezek ~12 éves szoftverek.
- A hozzászóláshoz be kell jelentkezni
Az átlagjúzer nem fogja bekapcsolni a TLS 1.2 támogatást, mert azt sem tudja mi az.
- A hozzászóláshoz be kell jelentkezni
Az átlagjúzer megkeres egy informatikust / felhívja a szolgáltató ügyfélszolgálatát, aki már reflexból mondja, hogy mit kell csinálni. Nekünk többtízezer átlagjúzerünk van, 2020. januárjában minden rendszerünkön kikapcsoltuk a régi TLS verziókat, az első egy-két héten jöttek az átlagjúzerek, mondtuk nekik, hogy erre a .reg fájlra kattintsanak kettőt, majd indítsák újra a gépeiket. Azóta egy történelmi emlék, hogy a TLS 1.0 és 1.1 valaha is létezett.
- A hozzászóláshoz be kell jelentkezni
És mit mond az informatikusnak, meg az ügyfélszolgálatnak? Nem megy az az izé? Ha egy szakember is megszívja ezzel elsőkézből, akkor szerinted mennyit fog akkor szívni, ha a júzer útmutatása alapján kell rájönnie? BTW, van bármi ismert komoly sérülékenység akár a TLS 1.0-ában, akár az 1.1-ben? Ha nincs, akkor miért is kell felszámolni?
- A hozzászóláshoz be kell jelentkezni
És mit mond az informatikusnak, meg az ügyfélszolgálatnak? Nem megy az az izé?
Mivel a régebbi TLS verziók kivezetése a vízcsapból is folyik legalább 5 éve, ezért a supportos kollégák első gyanúja a TLS inkompatibilitás szokott lenni, amennyiben bármi olyan tünet van, amely valamilyen kapcsolat felépítésekor, távoli szolgáltatás elérésekor jelentkezik. Az első kérdés a felhasználóhoz pedig arról szokott szólni, hogy mindezt milyen Windows / MacOS / Android verzióval tapasztalja.
Ha egy szakember is megszívja ezzel elsőkézből...
Jah, kurvára hígul a szakma.
BTW, van bármi ismert komoly sérülékenység akár a TLS 1.0-ában, akár az 1.1-ben?
Az ismerős, hogy "poor security is worse than no security"?
- A hozzászóláshoz be kell jelentkezni
a supportos kollégák
És aki nem supportos? A másik lehetőség az volt, hogy megkeres egy informatikust; mi van, ha akit ismer/talál, annak köze nincs a supporthoz?
Jah, kurvára hígul a szakma.
Ja, hogy te akkora ász vagy, hogy neked A'rpi is "hígulás"?
Az ismerős, hogy "poor security is worse than no security"?
Aha, ha nincs energiapajzsom, akkor nem veszek fel golyóálló mellényt sem, hiába van Mr. Rablovics úrnak csak Berettája...logikus, mint a windóz.
BTW, mit takar nálad a poor security? Mitől olyan rossz az TLS 1.0 vagy az 1.1, fejtsd már ki légy szíves.
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy ha ertenel hozza, akkor nem kerdezned, miert nem szereti a security vilag a TLS1.2 elotti protokollokat (sot, az 1.2-t se igazan, az is csak kompromisszum, amig nem lehet 1.3-ra valtani mindeutt).
- A hozzászóláshoz be kell jelentkezni
Az a baj, hogy ha vennétek a fáradságot és végre kifejtenétek, hogy mi a baj velük, nem csak fölényeskednétek, meg rejtélyeskednétek sokadjára is, akkor kiderülne, hogy igazából semmi baj nincs velük. A security világ azért "nem szereti" ezeket a protokollokat, mert a kugli és a többi mammut "biztonsági" "szakértői" gőzerővel mossák az agyát az embereknek, hogy mindenből csak az újabb a jobbabb, mert az a biztonságosabb. Hát ehhez képest csak évről-évre több a mammutok újabb szoftvereiben a sebezhetőség. Nesze biztonság. De az újabb akkor is jobbabb. Forced upgrade. Miért? Mert ahogy megyünk előre a szoftverek úgy tagadnak meg tőled egyre több mindent a "saját" "biztonságod" érdekében. El fogunk oda jutni, hogy nem a szoftver fogja azt csinálni, amit mondasz neki, hanem te fogod azt csinálni, amit a szoftver megenged.
- A hozzászóláshoz be kell jelentkezni
A régi browsereket pont azért kell kizárni, mert az még megnyitott mindent (amit ismert), az újak meg mindenféle marhaságra hivatkozva fügét mutatnak a júzernek. Így a multik eldönthetik, hogy az ember mit nézhet meg a neten, kvázi, hogy ki lehet fent a neten. Ha a self-signed után a Let's Encrypt is "naonveszéjes" lesz és nem adnak valakinek certet a "hatóságok", mert sérti a mammutok érdekeit, akkor az új browserekkel senki nem tudja megnézni a weboldalát, a régieket meg már senki nem fogja használni, ha a website-ok 99.999%-a nem nézhető velük. Max. akik eltették őket, azok elővehetik és kinyithatják az ilyen site-okat. Biztos sokan lesznek.
- A hozzászóláshoz be kell jelentkezni
Mennyi ido alatt jutottal el ide: /usr/share/doc/openssl/changelog.Debian.gz ? Az teny, hogy nagyon nem sikerult kommunikalnia a t. karbantartonak, hogy milyen "apro, lenyegtelen" modositast tett... A Debian karbantarto legalabb egy NEWS bejegyzest szant ennek.
- A hozzászóláshoz be kell jelentkezni
en idaig jutottam (python ssl-nel jott elo a problema, onnan indultam), innen linkelnek ubuntus bug reportokat is:
https://bugs.launchpad.net/ubuntu/+source/openssl/+bug/1899878
a fo gond az, hogy a tobbi distroval ellentetben az ubuntusok nem az openvpn config fileban korlatoztak le a verziot, hanem megpatcheltek a forrast amibol buildelnek, hogy eselyed se legyen ezt felulbiralni... (illetve ugy lehet ha a SECLEVEL-t leveszed, de annak meg mas kovetkezmenyei is lesznek)
My understanding of things is that Ubuntu does this:
- Set the default security level to 2 (at compile time)
- Disable TLS 1.0 and 1.1 at security level 2, only keeping TLS 1.2 by default
This is what Debian does:
- Set the default security level to 2 (using a config file)
- Set the minimum version to TLS 1.2 (using a config file)
- A hozzászóláshoz be kell jelentkezni
Megneztem az ominozus patchet (tls1.2-min-seclevel2.patch). Hat, nem vennek ra merget, hogy a fejlesztok rajonganak azert, ha egy platform ilyen modositast szallit - inkabb otthagyjak, hogy komolytalan...
- A hozzászóláshoz be kell jelentkezni
(Én úgy véltem látni OpenSSL3 esetén, hogy TLS1.0/1.1-hez mindenképp SECLEVEL=0 kell.)
- A hozzászóláshoz be kell jelentkezni
Indirekten, nem a protokollokat nem fogadja el. Viszont amiota lerontottak a 3.0-ban az SHA erosseget, azota a TLS1.2-nel regebbi protokollokban nem maradt legalabb 80 bit erossegu hash algoritmus.
- A hozzászóláshoz be kell jelentkezni
Off+flame
> megpatcheltek a forrast amibol buildelnek
Legyen Fényes Sikerük!
- A hozzászóláshoz be kell jelentkezni
"Aki nem tud TLS 1.2-t, az nem is ember."
- A hozzászóláshoz be kell jelentkezni
megneztem 2 honapnyi logot:
3066 TLS/1.2
247176 TLS/1.1
2668282 HTTP
33498934 TLS/1.3
ami meglepo hogy TLS 1.0 egy darab se volt, sem SSL v2/v3, viszont 1.1-et meg sokkal tobben hasznalnak mint 1.2-t
- A hozzászóláshoz be kell jelentkezni
update: ubuntu 22-n mar a SECLEVEL=1 is keves, csak SECLEVEL=0 mellett engedi a TLS 1.0/1.1 hasznalatat
- A hozzászóláshoz be kell jelentkezni