most kaptam emailbe. headerek alapjan validnak tunik, bar nincs benne DKIM, ami egy security cegtol eleg meglepo.
ha ez igaz az eleg gaz, ha nem, akkor meg mi a celja? lejaratas?
Tisztelt Ügyfelünk!
Ezúton szeretnénk tájékoztatni, hogy számítástechnikai rendszerünket külső támadás érte az elmúlt napokban, és a támadók hozzáférhettek az Ön által az onlinessl rendszernek megadott adataihoz.
A fentiekre tekintettel Ügyfeleink biztonsága érdekében a Netlock úgy döntött, hogy az esetleges visszaélések megelőzése céljából az onlinessl felhasználói esetében jelszócserét kényszerít ki. A további kockázatok csökkentése érdekében a feltárt sérülékenység javítása megtörtént, illetve egyéb biztonsági intézkedések is bevezetésre kerültek.
Kérjük, hogy a legközelebbi látogatásakor az elfelejtett jelszó funkció segítségével állítson be magának új jelszót! Kérjük, hogy az alábbi szempontokat vegye figyelembe az új, erős jelszó megadásakor:
- egyedi jelszót hozzon létre,
- kis- és nagybetűk, számok és szimbólumokból álljon
- hosszú, de megjegyezhető jelszót válasszon,
- ne használjon személyes adatokat vagy gyakori szavakat.
Amennyiben korábbi onlinessl jelszava megegyezhet más szolgáltatásoknál megadott jelszavával, javasoljuk annak lecserélését is, illetve figyeljen az email fiókjába érkező gyanús tartalmakra.
A Netlock változatlanul mindent megtesz a felhasználói és rendszerei biztonsága érdekében, amelynek keretében egyebek mellett rendszeres időközönként külső szakértők bevonásával rendszereit sérülékenységi vizsgálatoknak veti alá, folyamatosan monitorozza a hálózati forgalmát, a hálózati minták alapján folyamatosan felülvizsgálja a riasztásait és automatikusan tiltja a gyanús forgalmat.
Amennyiben segítségre lenne szüksége az új jelszó beállításához, esetleg az adatkezeléssel kapcsolatban igényelne további információt, kérjük az alábbi elérhetőségünkön vegye fel velünk a kapcsolatot melyekre emailben állunk az Önök rendelkezésére:
Netlock vevőszolgálata: info@netlock.hu
illetve adatvédelmi kérdésekben: Széplaki Andrea dpo@netlock.hu
Üdvözlettel,
Netlock Kft.
- 3440 megtekintés
Hozzászólások
Én is kaptam...
- A hozzászóláshoz be kell jelentkezni
#metoo
- A hozzászóláshoz be kell jelentkezni
viccnek rosszul hangzik..
- A hozzászóláshoz be kell jelentkezni
En is kaptam
- A hozzászóláshoz be kell jelentkezni
Úgy néz ki, tőlük jött. Received: from kuldonc.netlock.hu (kuldonc.netlock.hu [185.33.53.7]) (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) (No client certificate requested) Subject: =?UTF-8?B?TkVUTE9DSyAtIEZvbnRvcyB0w6Fqw6lrb3p0YXTDsy9JbXBvcnRhbnQgTm90aWZpY2F0aW9u=?=
$ base64 -d <<< TkVUTE9DSyAtIEZvbnRvcyB0w6Fqw6lrb3p0YXTDsy9JbXBvcnRhbnQgTm90aWZpY2F0aW9u
NETLOCK - Fontos tájékoztató/Important Notification
- A hozzászóláshoz be kell jelentkezni
es revdns-t vagy helo-t meddig tart hamisitani? az ip meg lehet barmi:
inetnum: 185.33.53.0 - 185.33.53.255
netname: DOTROLL
descr: DotRoll
descr: Shared Server Hosting
bar valoszinu tenyleg toluk:
#host kuldonc.netlock.hu
kuldonc.netlock.hu has address 185.33.53.7
#host -t TXT netlock.hu
netlock.hu descriptive text "v=spf1 include:spf.protection.outlook.com a:kuldonc.netlock.hu ... a:ds-sex01.doclersolutions.com ...
mondjuk ez az SPF is vicces, foleg a docleres hostnevvel
- A hozzászóláshoz be kell jelentkezni
Miért vicces? A Netlock a Docler tulajdona.
- A hozzászóláshoz be kell jelentkezni
hesteglegnagyobbvallalkozas
Amugy az mennyire ize mar, hogy a tulaj is Let's Encrypt tanusitvanyt hasznal a kampanyoldalan...
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
Jól teszi - a cége és a magán politikai dolga az két teljesen külön dolog, nem szabad keverni, ez így a jó. Az lenne a nagyon rossz, hogy "na, nézd már, van egy ilyen cégem (ami csak részben az enyám), adjon már egy totál másik projektemre ingyen nekem certet".
- A hozzászóláshoz be kell jelentkezni
Nem tudom, szerintem ez nem utkozik, illetve nem osszeferhetetlen.
Gattyannal pont azert szimpatizalok, mert nem kell lopnia ahhoz, hogy politikus legyen - epp, hogy nem baj, ha latszik, honnet van penze.
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
Nem etikatlan vagy osszeferhetetlen, amennyiben az ingyen cert rendelkezesre all a piac mas, hasonlo szereploi reszere is.
Abban a pillanatban, hogy masnak ez nem allna rendelkezesere, rogton felmerulhet az osszeferhetetlenseg vagy etikatlan hozzaallas minimum a tastulajdonosok fele.
Egy cert valoszinuleg nem tetel. De hol huzzuk meg a hatart? Ingyenes web hosting, ot mazsa szen, ingyen auto, 10 foallasu profi marketinges ideje fel evig, esetleg egy hajorakomany krumpli osztogatni a valasztas napjan? Innentol mar csak arrol beszelunk, hogy mennyit er a tisztesseg...
- A hozzászóláshoz be kell jelentkezni
de miért triviális, hogy nem fizeti ki a saját cégének azt a certet?
- A hozzászóláshoz be kell jelentkezni
Politikuséknál ez az alap.
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
ilyen kommentek esetén sajnálom, hogy nem lehet mínuszolni hupon
4 és fél éve csak vim-et használok. elsősorban azért, mert még nem jöttem rá, hogy kell kilépni belőle.
- A hozzászóláshoz be kell jelentkezni
Cafold meg nyugodtan. Addig is en azt gondolok a becsuletessegukrol, amit akarok. Meg utana is.
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
A cége egy üzleti vállalkozás, lehet hónapok óta nem járt ott. "Csak" részvényes. A kampány oldalt egy marketing cég csinálta, lehet hogy nem is saját webesüket használták fel.
- A hozzászóláshoz be kell jelentkezni
értem, csak ez hogy jön a felvetésemhez?
- A hozzászóláshoz be kell jelentkezni
Nem trivialis. Nem is irtam. Nem az en majmom, nem az en cirkuszom.
Eltekinthetsz a szemelytol, akar meg az adott esettol is.
Etikatlansag, osszeferhetetlenseg nem csak ingyen, okosba atadott javak eseten lehetseges. Sot...
Ha valaki, mint egy ceg fo tulajdonosa, vagy operativ vezetoje olyan helyrol szerez be barmit, ahol erdekeltsege van, eleg konnyen belefuthat etikai kerdesekbe.
Ha van egy cegunk, ahol en birtoklok 51%-ot (en vagyok a CEO is, hogy teljes operativ kontrollom legyen, mert megtehetem), te 49%-ot. Egy masik cegemtol joval a piaci aron felul vasarolok 10 kilo krumplit, az mi? Tamogatom a sajat cegemet a te karodra... Etikus veled szemben? Nem. Sot, akar hutlen kezeles, vagy komolyabb is lehet belole, mert szimplan kiloptam magamnak a kozos cegunk nyereseget.
- A hozzászóláshoz be kell jelentkezni
a:ds-sex01.doclersolutions.com
- A hozzászóláshoz be kell jelentkezni
A weboldalukon néma csend van, kivéve, hogy a telefonos ügyfélszolgálathoz időpontot kell kérni, szóval szerintem valid és nagyon-nagyon rosszul hangzik.
- A hozzászóláshoz be kell jelentkezni
Most már kint van a honlapon is, igaz a levél: https://imgur.com/a/KLiNkgL
Nagy Péter
- A hozzászóláshoz be kell jelentkezni
Három nappal ezelőtt nem volt kinn, el volt dugva az aldomain hírei közé, nem volt említve se a netlock.hu, se a netlock.com oldalakon.
- A hozzászóláshoz be kell jelentkezni
- De Mr. Dent, a tervek az elmúlt kilenc hónapban rendelkezésére álltak a helyi tervezõirodában!
- Ó, hogyne! Én is egyenesen odamentem, hogy megnézzem õket, mihelyst hallottam a dologról, tehát tegnap délután. Maguk aztán nem erõlködtek valami nagyon, hogy felhívják rájuk a figyelmet, ugye? Úgy értem, hogy például szóltak volna valakinek, vagy ilyesmi.
- De hiszen a tervek ki voltak állítva.
- Ki voltak állítva? Éppenséggel a pincébe kellett lemennem, hogy megtaláljam õket.
- Ott van a kiállítási részleg.
- Zseblámpával.
- Talán leszakadt a villanyvezeték.
- Meg a lépcsõ.
- Nézze, végül is megtalálta a feljegyzést, nem?
- Ó, hogyne - felelte Arthur -, megtaláltam. Egy használaton kívüli vécében elsuvasztott, bezárt iratszekrény fenekén volt kiállítva, az ajtón a következõ felirattal: Vigyázz! A leopárd harap!
- A hozzászóláshoz be kell jelentkezni
Nehéz vitatni, hogy kinn volt az interneten. Aki Online SSL szolgáltatást vesz a Netlock-tól, az nem a netlock.hu-t használja elsődleges oldalnak, hanem az Online SSL oldalukat. Ugyanis, ott kell bejelentkezni az ügyintézéshez.
Ott kinn volt a tájékoztató. Többieket nem érintette az incidens. Akit érintett, az olvashatta a neten, illetve levélben értesítést kapott.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A levél, ami jött, abban egészen pontosan 0 alkalommal szerepelt az link, hogy https://onlinessl.netlock.hu/
Ott kinn volt a tájékoztató. Többieket nem érintette az incidens. Akit érintett, az olvashatta a neten, illetve levélben értesítést kapott.
Azért néhány nap alatt csak eljutottak oda, hogy esetleg erről kellene írni valamit a főoldalukon is...
- A hozzászóláshoz be kell jelentkezni
És? Akit érintett, tudott róla? A szál pedig onnan indult, hogy napokkal azután, hogy már kinn volt online, valaki itt megjegyezte, már kinn van. Lehet úgy beállítani, hogy elégtelen volt a tájékoztatás, de ez nem igaz.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A szál pedig onnan indult, hogy napokkal azután, hogy már kinn volt online, valaki itt megjegyezte, már kinn van.
És? Mégiscsak kirakták oda, ahol a nép keresi: a főoldalukra.
Lehet úgy beállítani, hogy elégtelen volt a tájékoztatás, de ez nem igaz.
Volt tájékoztatás, csak elégtelen. Ezt javították pár nap alatt. Rághatod még a gittet, ha az segít.
- A hozzászóláshoz be kell jelentkezni
És? Mégiscsak kirakták oda, ahol a nép keresi: a főoldalukra.
Igen, ez volt a csúsztatás. Az Online SSL nép nem ott, hanem az Online SSL különálló szolgáltatás honlapján keresi. Magyarázd már meg nekem, akinek évek óta tucat ilyen tanúsítványa van és éves szinten tucatszor jelentkezek be ott, hogy hol keresem az infót ... a netlock.hu oldalon évek óta nem jártam, semmi dolgom nincs ott. Ellenben az onlinessl.netlock.hu-val ...
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Igen, ez volt a csúsztatás. Az Online SSL nép nem ott, hanem az Online SSL különálló szolgáltatás honlapján keresi.
Akkor miért került ki a netlock.hu főoldalra, ráadásul popup formájában?
Magyarázd már meg nekem, [...]
Felesleges.
- A hozzászóláshoz be kell jelentkezni
Akkor miért került ki a netlock.hu főoldalra, ráadásul popup formájában?
Szokásos. Aspergereseknek.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szokásos. Aspergereseknek.
Szerintem a sztoriban te vagy kb. az aspergeres és vannak a normális átlagemberek. :D
- A hozzászóláshoz be kell jelentkezni
Ehhez képest, nektek kell mindent a szátokba rágni. Én feltalálom magam. Ebben az esetben is, írtam a Netlock-nak a hivatalos állásfoglalásért, ahelyett, hogy itt baszom a rezet. Megtaláltam a bejelentést a megfelelő oldalon. Én be tudom fizetni a gépjárműadómat, tudom használni az elektronikus (ön)kormányzati rendszereket, a NAV oldalait, be tudtam regisztrálni magam a COVID-oltásokra és úgy általában életrevalóbb vagyok, mint az ország lakosságának 95%-a.
De, valóban. Én vagyok az!
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ehhez képest, nektek kell mindent a szátokba rágni. Én feltalálom magam.
Képzeld, "mi" is feltaláljuk magunkat, csak közben felismerjük, hogy szarul van megoldva és van empátia bennünk, hogy ez nem mindenkinek jó. Te meg úgy viselkedsz, mint egy közepesen súlyos Asperger szindrómás, akiben nincs empátia és szociális érzék, amíg worksforme, addig minden oké, amikor nem worksforme, akkor meg ugyanazt teszed: baszod a rezet a fórumon.
- A hozzászóláshoz be kell jelentkezni
Ebben az aszpergeres dologban lehet valami, mert trey nagyon gyakran szó szerint vesz egyszerű szófordulatokat (eddig az hittem, hogy direkt, de ha nem, akkor nem kellene ezzel baszogatni)
“Any book worth banning is a book worth reading.”
- A hozzászóláshoz be kell jelentkezni
Képzeld, "mi" is feltaláljuk magunkat,
Azt látom! :D Vicces, amikor rámutatok olyan dolgokra, amik rég léteznek (EBEV, EFER, EESZT, stb.) , majd amikor kiderül, hogy tényleg, akkor nem a köszönöm jön, hanem tereléses mellébeszélés. Nem csodálkozom már ezen, régi motoros vagyok a neten ...
A műempátia, a karosszék-együttérzés valóban nem az én műfajom. Ezeket meghagyom nektek.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Vicces, amikor rámutatok olyan dolgokra, amik rég léteznek (EBEV, EFER, EESZT, stb.) , majd amikor kiderül, hogy tényleg, akkor nem a köszönöm jön, hanem tereléses mellébeszélés.
Mondom én, hogy van nálad némi közepes Asperger szindróma, mert azt se érted, hogy mi a bajunk és a teljesen normális emberi reakciókat terelésnek és mellébeszélésnek gondolod.
A műempátia, a karosszék-együttérzés valóban nem az én műfajom. Ezeket meghagyom nektek.
Na, tipikus Asperger szindrómás reakciók, igen, ami nálad hiányzik, azt nem tudod megérteni.
- A hozzászóláshoz be kell jelentkezni
Hogyne értem: neked mindig igazad van, nekem soha. Te mindig mindent jobban tudsz, én hülye vagyok. Nekem semmi empátiám, te 110%-os empátiával rendelkezel. Ez lenne a nagy üzenet.
Mondjuk, ha ez így lenne, akkor elég sikeretlen életet élnék, de hát éppen az ellenkezője van. Szóval az elméleted valahol sántít.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Hogyne értem: neked mindig igazad van, nekem soha. Te mindig mindent jobban tudsz, én hülye vagyok. Nekem semmi empátiám, te 110%-os empátiával rendelkezel. Ez lenne a nagy üzenet.
Ez egyrészt szalmabáb, másrészt te kezdted ismét, hogy rajtad kívül mindenki hülye.
Mondjuk, ha ez így lenne, akkor elég sikeretlen életet élnék, de hát éppen az ellenkezője van.
Miért kellene sikertelen életet élj? Van ismerősöm, aki cégvezető, magánéletben és a szakmában is sikeres, satöbbi-satöbbi és negyvenéves kora után derült ki számára is, hogy Asperger szindrómás...
- A hozzászóláshoz be kell jelentkezni
Nehogy kiderüljön, hogy ez te vagy, csak a skizo miatt nem vetted észre ... ;D
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nehogy kiderüljön, hogy ez te vagy, csak a skizo miatt nem vetted észre ... ;D
Egyrészt ez is szalmabáb, másrészt nem vagyok az, voltam olyan cégnél, ahol kellett komplett pszichológiai vizsgálat.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
mármint a kamuzáson kívül ,ami a főoldalon van:
Értesítés!
Az elmúlt időszakban megnövekedett számítástechnikai támadások száma miatt a Netlock úgy döntött, hogy az onlinessl felhasználói esetében jelszócserét kényszerít ki.
bennem azért felmerült a gondolat, hogy ha egy user interface-re sem tudnak vigyázni, akkor egy Root CA-ra hogyan? :P
Nem beszélve arról, hogy végül mennyit árulnak el az egészből...
mert ugye jelszót viszonyleg fájdalommentesen lehet cserélni, De rootCA-t (vagy bármelyik aláíró CA-t, ami a böngészőkbe/ OS repókba is bele van drótozna ) nem nagyon.
- A hozzászóláshoz be kell jelentkezni
mármint a kamuzáson kívül ,ami a főoldalon van:
Ezt hol írják? Mert se a netlock.hu, se a netlock.com oldalon semmi ilyesmi nincs.
- A hozzászóláshoz be kell jelentkezni
Mivel csak az Domain Validated (filléres) SSL tanúsítványokat érinti és annak külön oldala van.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
szerintem tökmindegy, hogy 'filléres' meg hogy külön oldala van, hiszen a filléres aláíró tanúsítványuk ugyan úgy a saját nevülön van, és nem utolsó sorban bele van drótozva ~minden OS, és böngésző default truststore-jába...
- A hozzászóláshoz be kell jelentkezni
Akkor olvasd el az Online SSL (évi 3600 Ft) vs. komolyabb tanúsítványok felelősségvállalási passzusait :D
Hint:
A minősített aláíró, bélyegző és weboldal-hitelesítő tanúsítványokhoz meghatározott felelősségvállalási érték tartozik.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ezt értem...
Én arra gondolok, hogy egy támadónak bőven elég a legolcsóbb - de világszerte elfogadott - aláíró tanúsítványt megszerezni, azzal ugyan úgy meg tudja b*szni az egész világot.
(mert a usereknek biztosan nem fog feltűni, hogy tegnap még EV cert volt a netbankomnál, ma meg csak sima lakatos)
persze itt (egyelőre) nem volt szó aláíró tanusítvány kompromittálódásról, csak én gondoltam tovább...
szerintem.
- A hozzászóláshoz be kell jelentkezni
persze itt (egyelőre) nem volt szó aláíró tanusítvány kompromittálódásról, csak én gondoltam tovább...
Rákérdeztem, még várom a választ.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Miről másról lehet szó?
- A hozzászóláshoz be kell jelentkezni
Nem szeretnék találgatni, ezért kértem hivatalos választ a kérdéseimre.
BTW: Ügyféladatok, jelszavak, fizetési adatok stb. is lehettek.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
„Az esetlegesen érintett személyes adatok között hash titkosítással tárolt, az onlinessl felületünkön megadott jelszavak is voltak. Így az onlinessl felületen valamennyi jelszót »reseteltük«. A felület csak limitált adminisztricáós funkciókkal bír, így vizsgálatunk jelen állása szerint az onlinessl tanúsítványok nem kompromittálódtak”
Ezt nyilatkozták. Miért érzem, hogy nem ez a vége?
- A hozzászóláshoz be kell jelentkezni
Ezt nyilatkozták. Miért érzem, hogy nem ez a vége?
Tapasztalataim szerint (más cégek hasonló eseteiben), kizárólag azt mondják el a sajtónak, ami már amúgy is publikus információ.
- A hozzászóláshoz be kell jelentkezni
Kiderül. Nekem még nem válaszoltak. Ha a tanúsítványok kompromittálódtak, akkor revoke fog jönni. Arról pedig nyilván tájékoztatnak majd.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Most jött a válasz:
Tisztelt Uram!
Köszönjük, hogy felvette velünk a kapcsolatot az esettel kapcsolatosan.
Szeretnénk a mellékelt tájékoztatót figyelmébe ajánlani.
Szeretném tájékoztatni, hogy a hatályos adatvédelmi szabályok szerint a tisztességes és átlátható adatkezelés elve megköveteli, hogy az érintett tájékoztatást kapjon az adatkezelés tényéről és céljairól, illetve probléma esetén az alábbiakról.
Az adatvédelmi tisztviselő:
.... , akit a dpo@ e-mail címen érhető el közvetlenül.
Az adatvédelmi incidensből eredő valószínűsíthető következményként tudjuk megjelölni, hogy a támadásban érintett rendszerünk, a vizsgálataink alapján, kizárólag az onlinessl.netlock.hu webes felülete. A felülethez kapcsolódó esetlegesen érintett adatok felhasználó nevek, a kapcsolódó e-mail cím, jelszavak lenyomatai, és a számlázási adatok amennyiben a felhasználó adott meg ilyet.
Egyéb rendszerünk jelenlegi tudomásunk szerint nem sérült, így az onlinessl tanúsítványok nem kompromittálódtak, nem találtunk rendellenességeket a tanúsítványkiadással kapcsolatban!
Cégünk az onlinessl.netlock.hu honlapon belépő jelszavak újra generálását kényszerítette ki.
Az esetettel kapcsolatosan feljelentést tettünk a rendőrség felé, bejelentést az NMHH, a NAIH és a Nemzeti Kibervédelmi Intézet felé is jeleztük.
A fentiekre tekintettel nem indokolt, de tájékoztatjuk, hogy az esetről való hivatalos tájékoztatást követően ( 2022.02.21.) 30 napon belül jogosultak új tanúsítvány kiadását igényelni díjmentesen a dpo@ keresztül.
További jogorvoslatért kérem forduljanak hozzánk bizalommal az adatvédelmi tisztviselőn keresztül, vagy közvetlenül az ismert elérhetőségeink egyikén. További jogorvoslati lehetőség kérhető a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordulás útján ( Budapest, Falk Miksa u. 9-11, 1055), illetve az illetékes bíróság útján is.
A melléklethez a jelszót külön e-mailben küldjük részükre.
Üdvözlettel:
....
NETLOCK Kft.
web: https://netlock.hu
e-mail: .....
cím: 1143 Budapest, Hungária krt. 17.
cégjegyzékszám: 01-09-563961
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Hát, maradjunk annyiban, hogy a feltételes fogalmazás nem szerencsés, illetve a full disclosure fogalmának ismerete és alkalmazása egy _bizalmi_ tanúsítást végző cégnél alapnak kellene lenni. Nem?
- A hozzászóláshoz be kell jelentkezni
Nem minősítettem az esetet, csak tájékoztattalak, hogy én milyen tájékoztatást kaptam.
illetve a full disclosure fogalmának ismerete és alkalmazása egy _bizalmi_ tanúsítást végző cégnél alapnak kellene lenni. Nem?
De.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ha nincs a certhez SCT, akkor a chrome és safari szerint nem valid a cert, így nem az egész világot :)
- A hozzászóláshoz be kell jelentkezni
(mert a usereknek biztosan nem fog feltűni, hogy tegnap még EV cert volt a netbankomnál, ma meg csak sima lakatos)
Főleg mert már elég rég nincs másmilyen lakat, annyi a különbség, hogy ha rákattintasz, akkor az EV alatt ott van, hogy kinek, a nem EV alatt meg nincs.
- A hozzászóláshoz be kell jelentkezni
Meglepődnél a bankokon :) Pl. Erste nem is EV-s, de még tls 1.3-at se beszél... akkor hogy legyen éber a user?
- A hozzászóláshoz be kell jelentkezni
Az, hogy TLS 1.3 nincs, az szerintem a kisebbik gond - a nagyobbik az, hogy TLS 1.1 és 1.0 is van még az Erste netbankjánál, "kellően" ratyi beállításokkal... (Qualys: "This server supports weak Diffie-Hellman (DH) key exchange parameters. Grade capped to B." illetve "This server supports TLS 1.0 and TLS 1.1. Grade capped to B.").
- A hozzászóláshoz be kell jelentkezni
Tudatlanság? Nemtörődömség? Túl sok XP-s vagy régi androidos kliens? Legacy rendszerek? Jogkör hiánya? Vagy csak a kommunikációhoz jobban értenek, mint a biztonsághoz? (https://24.hu/tech/2022/02/24/erste-bank-netes-csalok-figyelmeztetes/) Vagy ez egy feature, hogy MITM-ezni lehessen valakiknek?
- A hozzászóláshoz be kell jelentkezni
Passz, Azért ha jól rémlik, Android 4.4 környékétől már elég a TLS1.2, de 5-től szinte biztosan... (XP, meg legacy desktop OS-ek/böngészők az más tészta, de azoknak a támogatása is nyugodtan kivezethető lenne - máshol megcsinálták...) Mivel 1.2-t "beszélnek", így "csak" beállítás (illetve szakmai javaslat _és_ azt követő üzleti döntés) kérdése, hogy dobják az ennél régebbi TLS-verziókat.
- A hozzászóláshoz be kell jelentkezni
Szerintem a netbankot kiszolgalo dolgokat be kell vonni pci scope ala, az meg nem engedi a gyenge tls-t.
- A hozzászóláshoz be kell jelentkezni
FYI: A TLS1.1 miatt is minimum "szoktak szólni" auditon, mostanság már az is felmerül mint elvárás, hogy legyen TLS1.3 - én egyelőre a szigorúra konfigolt TLS1.2-t egy _elfogadható_ kompromisszumnak tartom, úgyhogy ödönbankéknak ez egy extra fekete pont :-/ mert megnéztem, és bizony a login.erstebank.hu is sz@r, nemcsak a "publikus" weboldaluk - és finoman fogalmazva nem hinném, hogy a netbank/mobilbank tényleges kiszolgálását végző végpotokon ennél jobbak a beállítások.
Ha pci scope alá kerülne, mondjuk úgy, konténerszámra kéne behurcolni a rollercsapágyakat úgy a fejlesztők, mint az üzemeltetők számára :-D
- A hozzászóláshoz be kell jelentkezni
nem hinnem, hogy nekik root ca-juk lenne, az csak intermediate, es vissza lehetne vonni ha nagyon indokolt
ahogy pont a netlock tavaly szeptemberben lecserelte az osszes certet.
- A hozzászóláshoz be kell jelentkezni
kicsit off, de valaki mondja már meg, hogy mi értelme van 'keveset' fizetni a netlock-nak, egy gagyi tanúsítványért, ha máshol ugyan ilyen szintűt ingyen adnak? :)
- A hozzászóláshoz be kell jelentkezni
Mert pl. a Let's Encrypt használata Exchange-dzsel orbitális szopás. Másik rész a számlázás.
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A Suxchange anélkül is orbitális szopás...
- A hozzászóláshoz be kell jelentkezni
DV tanúsítvány esetén a 3 hónap vs. 1 év lejárati idő. Nem mindenki támogatja még a let's encrypt-es automata tanúsítvány megújítást és így "spórolhatsz" az üzemeltetési időn.
"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."
- A hozzászóláshoz be kell jelentkezni
Igen.
A NETLOCK mint minősített bizalmi szolgáltató minősített és nem minősített szinten is nyújt bizalmi szolgáltatásokat:
- aláíró, bélyegző és weboldal-hitelesítő tanúsítványszolgáltatásunkat minősített és nem minősített szinten is nyújtjuk
- időbélyeg- és archiválsszolgáltatásunk csak minősített szinten érhető el
- titkosító, autentikációs és online (DV) SSL tanúsítványszolgáltatásunk nem tartozik az eIDAS és az Eüt. hatálya alá
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ez engem egyáltalán nem győzött meg, hogy teljesen külön entitás csinálná, és például nem ugyanaz a balfasz üzemelteti mind a kettőt.
- A hozzászóláshoz be kell jelentkezni
a postmortemre szerintem sokan kiváncsiak lennénk :)
- A hozzászóláshoz be kell jelentkezni
Azért erős ilyet mondani látatlanban róluk... nem? Egyrészt ők is emberek, másrészt behatolások mindenhol történnek - csak nem mindenki detektálja. Aki mást mond, az magának, és/vagy másoknak hazudik.
Illetve ha mi is így állunk a cégekhez, az nem fogja segíteni, hogy transzparensebbek legyenek a problémáikkal kapcsolatban.
"If I had six hours to chop down a tree, I'd spend the first four hours sharpening the axe."
- A hozzászóláshoz be kell jelentkezni
Azert ez nem a Pistike'93 Bt. Itt elvarhato az, hogy ezek a rendszerek sokkal kevesbe legyenek serulekenyek. Nagyjabol ugy nez ki a felulet, mint a regi Netlock feluletek, magyarul akar az is elofordulhat, hogy a jelszotarolas plaintextben megy ~2000 óta.
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
Illetve ha mi is így állunk a cégekhez, az nem fogja segíteni, hogy transzparensebbek legyenek a problémáikkal kapcsolatban.
Figyelj, ez egy biztonságtechnikai cég. Elvileg.
És most kaptam tőlük egy levelet, hogy változtassak jelszót, mert a jelszó kiszivároghatott. Kurvára szeretnék látni magyarázatot, hogy a jelszó hogy tud kiszivárogni (plain text?!) és a többi rendszerükben mi garantálja, hogy nem sebezhető.
- A hozzászóláshoz be kell jelentkezni
Én nem látom a levélben hogy a "jelszó kiszivároghatott". Azt pláne nem látom hogy leírnák hogy a jelszó plaintextben volt tárolva.
Elvileg a hash kiszivárgása is bajos lehet, van valamekkora pici esély a visszafejtésre.
Úgy vannak vele (szerintem) hogy műszaki szempontok szerint biztos nem árt ha új jelszót állítasz be.
Kommunikációs szempontból - ahogy látjuk - nincs jó hatással a userekre.
Borzasztó nehéz döntések ezek.
Gábriel Ákos
- A hozzászóláshoz be kell jelentkezni
Amennyiben korábbi onlinessl jelszava megegyezhet más szolgáltatásoknál megadott jelszavával, javasoljuk annak lecserélését is, illetve figyeljen az email fiókjába érkező gyanús tartalmakra.
Ez nekem azt implikálja, hogy plain text szivárgás történt és/vagy hozzáférhettek a login folyamatban a plain text jelszóhoz.
- A hozzászóláshoz be kell jelentkezni
Hm, jogos. Most így belegondolva nem lehet h log4j -vel szívatták meg őket?
Gábriel Ákos
- A hozzászóláshoz be kell jelentkezni
Nem biztos, hogy kell a plaintext jelszó - ha gyenge hash-t használtak, már akkor is fennáll a látható nagyságú val.sége - főleg a gyengébb jelszavak esetén - a jelszónak a hash-ból belátható időn belüli történő visszakeresésére.
Bónuszként talán joggal lehet azt is feltételezni, hogy a gyenge jelszót használó user biztonságtudatossága nem túl erős, és emiatt jellemzőbb rá az, hogy ugyanazt a jelszót több helyen is használja.
- A hozzászóláshoz be kell jelentkezni
Borzasztó nehéz döntések ezek.
Dehogyis. Pontos, világos helyzet kiértékelés, cselekvés, tervezett lépések bemutatása és máris nincsenek rémképek az ügyfelek fejében.
- A hozzászóláshoz be kell jelentkezni
> Amennyiben korábbi onlinessl jelszava megegyezhet más szolgáltatásoknál megadott jelszavával, javasoljuk annak lecserélését is
csak nem azt akarjak mondani, hogy plaintextbe taroltak (es loptak el) a jelszavakat?
- A hozzászóláshoz be kell jelentkezni
Hát, van még az az elméleti lehetőség, hogy a weboldal lett feltörve és küldte el a jelszót valahová meg mielőtt az az adatbázissal bármit is csinált volna... bár szerintem tényleg csak nagyon elméleti
“Any book worth banning is a book worth reading.”
- A hozzászóláshoz be kell jelentkezni
Elég sok helyről kikerültek már plaintext jelszavak. Én már nem lepődöm meg azon se, ha a Netlocknál is így volt letárolva.
disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.
- A hozzászóláshoz be kell jelentkezni
elég ha pl md5/descrypt :)
- A hozzászóláshoz be kell jelentkezni
azt vissza kene fejteni, es ha >8 hosszu es/vagy random a jelszo, akkor a rainbow tablak is felejtosek
- A hozzászóláshoz be kell jelentkezni
Persze, de aki több helyen ugyanazt használja, az jó eséllyel nem fog pwgen-nel (-s -y 12...) jelszót generálni...
- A hozzászóláshoz be kell jelentkezni
Most azert kirazott a hideg...
Error: nmcli terminated by signal Félbeszakítás (2)
- A hozzászóláshoz be kell jelentkezni
Szted akkor megkaphatják az akármilyen tanúsítványt? Nem hiszem...
Gábriel Ákos
- A hozzászóláshoz be kell jelentkezni
Jelentheti ezt is, meg azt is, hogy ugyanazt a hash algoritmust használják több helyen, salt nélkül. Ergo ha ugyanaz a jelszo, akkor a hash is ugyanaz. Már ha saját szolgáltatásokra utalnak...
- A hozzászóláshoz be kell jelentkezni
szakemberhiány itt is. hónapok óta keresnek mindenféle pozíciókra.
Gábriel Ákos
- A hozzászóláshoz be kell jelentkezni
A politikai vonalat (ellenzék vagy nem) még ki sem nyitottuk. Mondjuk ez egy szakmai fórum.
- A hozzászóláshoz be kell jelentkezni
hiányzik? :)
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
:)
Hát, az NKI-t továbbra sem tudom hová tenni, de úgy tűnik, a humorérzékük rendben van ;)
- A hozzászóláshoz be kell jelentkezni
Megnéztem az NKI YT csatornáján pár darab (ha tippelni kellene) nevelési célzattal készült videójukat #oszdazészt
Megint csak nem értem, kik a videósorozat célközönsége? Az általános iskolás/középiskolás gyerekek fiatalok? A középkorúak? Az idősek?
Tipikusan ugyanazok a problémák, mint hasonló más haszontalan videóknál: megoldást SOHA nem adnak az általuk felvetett problémákra.
Az idelátogató hupperek is simán rákattintanak a trükkösebb szofisztikáltabb adathalász leveles linkekre (egy laikus hogy a faszba ismeri fel a "gyanus URL"-t? Eleve mi az az URL?)
- A hozzászóláshoz be kell jelentkezni
Eleve mi az az URL?
A google megszüntetné.
- A hozzászóláshoz be kell jelentkezni
Nincsenek KONKRÉT VALÓ ÉLETBŐL hozott példák:
igenis havonta - 2havonta lehetne mutatni az OTP, Telekom, Eon, MVM, bankok nevében küldött hamis leveleket, kivetítve rámutatni nagy piros nyíllal hogy nézd b+ itt van a trükk, emiatt átverés ez a levél.
Mondom mégegyszer: konkrét elkapott üzeneteket mindenféle módosítás nélkül megmutatni, hogy otthon a laikusok is lássák hova a faszba kell menni a windows beállításaiban h. a kurva fájlkiterjesztést ne rejtse el a barom mikroszoft. Eppöl ájfónod van? Akkor így néz ki a felület, itt látszik hogy a link nem az otpbank.hu-ra mutat, hanem az otpbaMk.hu-ra. Android telefonod van? Akkor a krómban itt látod a lakatot, a tulajdonosa a tanúsítványnak nem az OTP magyarország zrt hanem "xykisfaszom ltd. Kajmánszigetek".
Kb ez lenne hasznos, nem az h. Szirmai meg Mogács mesél vmi őszi fás kocogásos háttér előtt a személyes kalandjairól. Konkrét kézzelfogható akciók kellenek, nem a haszontalan laikus által fel sem fogott IT szakmai hülyeségek.
- A hozzászóláshoz be kell jelentkezni
Egy középiskolában tartottam előadást, a 'legyél te is informatikus' témában, ami után természetes módon felmerült a kérdés, hogy nade mennyit lehet keresni... és ez egyben válasz is arra, hogy miért nincsen értelmes (szakmai) oktatás:
A legtöbben sajnos nem engedhetik meg maguknak, hogy tanárként dolgozzanak... Inkább elmennek (egy multihoz) pénzt keresni.
de persze van az a mondás is, hogy:
aki ért hozzá csinálja, aki nem az meg tanítja. :D
- A hozzászóláshoz be kell jelentkezni
Jó, de ez hogy jön ahhoz h. az NKI (gondolom állami pénzből, de talán nem iskolai rendszergazdás bérsávos fizetésből foglalkoztatott szakemberekkel) miért nem tud a célzott közönséget megszólító tematikus videókkal nevelni? Már ha ez (is) a létezésúk célja. A promó videóban direkt kiemeli az ügyvezetőjük h. nem csak Paks és a hazai kritikus infrastruktúra szolgáltatóinak a védelme a feladatuk, hanem a laikus hazai internethasználóké is.
Vagy ez az egész NKI is kifújt annyival h. van 1 szóvivőjük (nekem nem volt szimpatikus a videó alapjan), meg 1-2 etikus hekker a backoffiszban, plusz egy youtube videósuk?
- A hozzászóláshoz be kell jelentkezni
szerintem tökmindegy mi a nevük, ha 'állami' akkor sajnos ugyan úgy 'működik' mint a többi hasonló szervezet.
De röviden és polkorrekten fogalmazva:
nem túl csábító egy piaci szegmensben is életképes és tapasztalt mérnöknek.
Szerintem.
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"
- A hozzászóláshoz be kell jelentkezni
Nem emlékeztem rá, köszönöm.
Fergeteges, szinte azonnal felejtet minden problémát. :-)
- A hozzászóláshoz be kell jelentkezni