Sziasztok,
olvastam a neten a dupla autentikációról SSH esetében is:
https://scottlinux.com/2013/07/28/google-authenticator-two-factor-ssh-a…
Kérdésem, ez mennyire biztonságos, ha mindenki a Google-t használja, van-e ennek a megoldásnak gyengéje?
Kalmi
Sziasztok,
Nem tud valaki olyan megoldásról, amellyel egy adott weboldal adott beviteli részét meg tudom jelölni, és egy előre beállított jelszóval mindig titkosítja szimmetrikus titkosítással?
Ezt lehetne mindenhová használni, pl. google mail, chat stb. és a shared secret is elég kényelmes ahhoz, hogy hosszú távon jó legyen - feltéve ha megjegyeztethető lenne hogy melyik weboldal melyik objektuma milyen jelszóval lenne automatikusan titkosítva.
Köszi-
"..próbáljuk meg kialakítani a „héj-modell”-t, a „NomadOS”-t: a számítógépünk operációs rendszere minden alkalommal tiszta lappal indul: a Tails 1.2 Debian [vagy Whonix] disztribúció segítségével, USB-ről boot-olunk vagy Live CD-t használunk, majd lefuttatunk egy frissítést. A fájlok elérése egy jól strukturált mappaszerkezeten keresztül, - külső merevlemezről vagy titkosított felhőből - szimbolikus link/parancsikon hivatkozási rendszerrel történik meg, ..digitális könyvjelzőt használjuk vagy mappából futtatjuk a Tor böngészőt az internetelérésre használt, akár elszigetelt számítógép architektúrán. Az operációs rendszer és programjai függetlenné válnak a felhasználó fájljaitól és beállításaitól, a gép és ember összekapcsolását akár biometrikus azonosítás, xml leíró vagy kulcsfájl végzi el. A felhasználói programok és beállításaik függetlenítése a számítógéptől és operációs rendszerétől korábban, Windows rendszeren a portable programok elterjedésével kezdődött. Fenti módszer [a feledékeny, kényelmi megoldásokat alkalmazó] ember és adatainak elszeparálását célozza meg a [sérülékeny] operációs rendszertől.."
inspiráció, ötlet, láma vád?
Sziasztok,
Tudja esetleg melyik a hatályos magyar információbiztonsági szabály és az amelyik adatvédelemmel kapcsolatos?
Arra lennék kíváncsi, hogy mi szabályozza a magyar bankok, kereskedelmi oldalak, stb security minimum követelményeit. Adatvédelemmel kapcsolatos minimum szabályokat. RSA kulcs minimum méretét. Minimum lejárati dátumot. Kötelező sebezhetőségi tesztet. Egyáltalán van ebben szabályzás vagy követelmény?
Köszönöm
tl;dr - de lehet, hogy érdekes:
hello
csináltam egy CA.req amit egy Windows 2008 R2 internal root CA-va írtam alá
certreq -submit -attrib "CertificateTemplate:WebServer" -config "CAroot.example.com\root CA" hostname.anotherdomain.com.req hostname.anotherdomain.com.pem
ezután kinyertem a root CA hogy tudjam ellenőrizni
certutil -v -ca.cert -config "CAroot.example.com\root CA" C:\rootCA.crt
de az ellenőrzés nem megy.
az alábbi parancsot futtatom és hibát dob.
openssl verify -purpose sslserver -CAfile rootCA.crt hostname.anotherdomain.com.pem
a hiba az hogy:
error 2 at 1 depth lookup:unable to get issuer certificate
az érdekes h ha a windows serveren átnevezem a pem fájlt crt-re és úgynézem akkor okés. viszont ugyan ez a Linux-on nem megy.
előre is köszönök mindent ötletet.
Sziasztok,
tud valaki olyan magyar cégről, amely komplett biztonsági analizisek lefolytatására szakosodott (referenciákkal, természetesen). Önmagatokat reklámozni persze ér :)
Válaszokat privátba kérem szépen.
Köszi előre is :)
http://linux.slashdot.org/story/14/09/24/1638207/remote-exploit-vulnera…
A flaw was found in the way Bash evaluated certain specially crafted environment variables. An attacker could use this flaw to override or bypass environment restrictions to execute shell commands. Certain services and applications allow remote unauthenticated attackers to provide environment variables, allowing them to exploit this issue.
Teszt:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
Patch elott:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
vulnerable
this is a test
Patch utan:
$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x'
this is a test
Itt pedig disztronkent:
Gondolom mar lassan mindenki olvasta ITT a forumon vagy immaron mashol, hogy a napokban a BTCSec forumara nagy mennyisegu jelszot raktak ki ismeretlen elkovetok, amiket azota mar eltavolitottak az oldalrol.
Internet szerte csak a Gmail-rol lehet hallani am az igazsag az, hogy Yandex es MailRu adatok is kikerultek.
Mint a fentebb linkelt posztban is irtam az incidens utan nemsokkal megszereztem mind a harom eredeti fajlt, melyek a jelszavakat is tartalmazza.
Ezek felhasznalasaval keszitettem egy kis statisztikat:
Pontosan mennyi jelszo szivargott ki:
Osszesen: 10 855 379
Leggyakrabban elofordulo jelszavak:
Google: (2.4%)
MailRu: (7%)
Yandex: (9.1%)
Osszesitve: (4.8%)
Hossz szerinti eloszlasuk:
Jelszavak "erossege":
31.2% csak kisbetut tartalmaz
21.1% csak szamot tartalmaz
0.1% csak nagybetut tartalmaz
A jelszavak kevesebb, mint fele (47.6%) hasznalt kombinalt jelszot (am a leggyakoribb jelszavak listajabol latszodik, hogy ezt sem a leheto legjobb modon).
Remelem valakinek hasznos volt ez a kis statisztika. Esetleg ha valami kerdes felmerulne a dologgal kapcsolatosan akkor szivesen varom es remelhetoleg tudok valaszt is adni ra.
UPDATE 1:
A leggyakrabban elofordulo jelszavak listajat kibovitettem igy mar lathato kulon-kulon a Google, MailRu es Yandex jelszavak, valamint az eredetileg is kinn levo osszesitett lista is lathato.
UPDATE 2:
A Top20-as listaknal lathato % jelenti, hogy az a 20 jelszo osszesen hany %-ot tesz ki.
Sziasztok!
A TrueCrypt-ről pár hónapja volt szó, hogy gázos dolgok vannak körülötte. A honlapja még mindig ezt tükrözi.
http://truecrypt.sourceforge.net/
Szükségem lenne egy TrueCrypt-helyettesítőre, amely
* hasonlóan jól titkosítja a saját maga által létrehozott konténert
* Linux, Windows és lehetőleg MAC plattformokon is fut
* Igazság szerint jó lenne, ha Android és IOS is játszana.
És persze nincs a TC-hez hasonló gázos helyzetben.
