Marek <f...@f...com> napisał(a):
> Prowokacyjnie zapytam: no to jest zaufaną czy nie? Można stronie ufać czy
> nie? Czy raczej już mamy tu różne pojęcia zaufania :)?

Stronie czyli czemu? Twoja przeglądarka ufa wydawcy certyfikatu a ten
poświadcza zgodność domeny, czyli że możesz ufać, że po wpisaniu adresu
strona.com rzeczywiście połączyłeś się ze strona.com a nie inną domeną. W
przypadku certyfiaktu rozszerzonego mozesz ufać, że stronę kontroluje dany
podmiot prawny (np. spółka). Żadne HTTPSy niie informują czy można ufać
sprzedawcy i czy dostarczy Ci on zapłacony towar.

--
Grzegorz Niemirowski
https://www.grzegorz.net/

do góry

On Fri, 19 Aug 2022 10:16:20 +0200, "Grzegorz Niemirowski"
<g...@g...net> wrote:
> Stronie czyli czemu?

Stronie www

> Twoja przeglądarka ufa wydawcy certyfikatu a ten
> poświadcza zgodność domeny, czyli że możesz ufać, że po wpisaniu
> adresu
> strona.com rzeczywiście połączyłeś się ze strona.com a nie inną
> domeną.


To z czym się połączyłem to ja wiem, bo widzę w URL. Nie potrzebuję
certyfikatu do tego, i nie do tego służy certyfikat, jescze bardziej
nie wypaczaj jego roli.

--
Marek

do góry

On 18.08.2022 11:39, Marek wrote:

> Prowokacyjnie zapytam: no to jest zaufaną czy nie? Można stronie ufać
> czy nie? Czy raczej już  mamy tu różne pojęcia zaufania :)?
>
Która przeglądarka mówi ci, że strona jest zaufana?
Mówi co najwyżej, że połączenie jest bezpieczne.
Zaufana to jest jak ją dodasz do zaufanych, czyli ty jej ufasz.

--
Mirek.

do góry

On 19.08.2022 18:38, Marek wrote:

> To z czym się połączyłem to ja wiem, bo widzę w URL. Nie potrzebuję
> certyfikatu do tego,

Aha, i wiesz też że nikt nie podmienił danych ani nie zobaczył co wysyłasz.


i nie do tego służy certyfikat, jescze bardziej nie
> wypaczaj jego roli.
>
A niby do czego?

--
Mirek.

do góry

On Fri, 19 Aug 2022 21:14:20 +0200, Mirek <m...@n...dev> wrote:
> Aha, i wiesz też że nikt nie podmienił danych ani nie zobaczył co
> wysyłasz.

To że nikt nie podmienił danych ani ich nie zobaczył nic z
certyfikatem nie ma wspólnego.


> A niby do czego?

Dobre pytanie, teraz zwykły to właściwie do niczego. EV ewentualnie,
ale jak widać nawet do fraudow EV nie jest potrzebny.

--
Marek

do góry

On 19.08.2022 21:25, Marek wrote:
> On Fri, 19 Aug 2022 21:14:20 +0200, Mirek <m...@n...dev> wrote:
>> Aha, i wiesz też że nikt nie podmienił danych ani nie zobaczył co
>> wysyłasz.
>
> To że nikt nie podmienił danych ani ich nie zobaczył nic z certyfikatem
> nie ma wspólnego.
>

A z czym? Może mnie oświecisz?

Certyfikat jest właśnie po to, żeby przeglądarka wiedziała, że dane
które odszyfrowała pochodzą z TEJ domeny (i są integralne - to wynika z
szyfrowania). No i w drugą stronę - że dane które zaszyfruje tym kluczem
odczyta tylko serwer w TEJ domenie.
Co ci z szyfrowania, jeśli agresor podszyje się pod domenę i wyśle ci
swoje klucze bez sprawdzenia skąd pochodzą?

--
Mirek.

do góry

On Fri, 19 Aug 2022 21:56:35 +0200, Mirek <m...@n...dev> wrote:
> Certyfikat jest właśnie po to, żeby przeglądarka wiedziała, że dane
> które odszyfrowała pochodzą z TEJ domeny (i

Jescze raz: jaka jest wartość tego, skoro zwykły certyfikat dziś nic
nie znaczy? Mozna nawet używać selfsigned. W tym kontekście pisałem,
że certyfikat (jako mechanizm zaufania) nie ma już znanego związku
(wartościowego) z szyfrowaniem.

> Co ci z szyfrowania, jeśli agresor podszyje się pod domenę i wyśle
> ci
> swoje klucze bez sprawdzenia skąd pochodzą?

Jaki agresor? Nie trzeba się pod nic podszywać. Zwykły certyfikat
można wygenerowac od ręki i za darmo. Powtarzasz kryptograficzne mity
(MiM), które realnie NIGDY (w znaczącej skali) nie musiały być
wykorzystane do fraudow. Ludzie są bardziej głupi. Stawiam nawet
tezę, że gdyby w ogóle SSL nie było to poziom fraudów opartych na
"podejrzeniu" zawartości payloadu czy "podstawionych" witryn byłby na
podobnym samym poziomie co mamy teraz. Szyfrowanie to tylko zbędna
komplikacja, wnosząca tylko złudzenie bezpieczeństwa i dobrze
sprzedający się buzzword.

--
Marek

do góry

On 19.08.2022 23:03, Marek wrote:

> Jaki agresor? Nie trzeba się pod nic podszywać. Zwykły certyfikat można
> wygenerowac od ręki i za darmo.

JAK?!
Wygeneruj sefsigned i oszukaj przeglądarkę że jest z mojej domeny.
Z resztą co tam z mojej - z pkobp najlepiej od razu.


Powtarzasz kryptograficzne mity (MiM),
> które realnie NIGDY (w znaczącej skali) nie musiały być wykorzystane do
> fraudow.

Bo się nie da odkąd jest https. I każdy choć trochę ogarnięty wie do
czego służy.


Ludzie są bardziej głupi. Stawiam nawet tezę, że gdyby w ogóle
> SSL nie było to poziom fraudów opartych na "podejrzeniu" zawartości
> payloadu czy "podstawionych" witryn byłby na podobnym samym poziomie co
> mamy teraz. Szyfrowanie to tylko zbędna komplikacja, wnosząca tylko
> złudzenie bezpieczeństwa i dobrze sprzedający się buzzword.
>
Bzdura totalna. Bez szyfrowania dane lecą gołe i tak naprawdę nie
wiadomo skąd, można bez trudu zmienić w locie np. numer konta czy
zamienić 10 dolarów na 10 milionów - rozumiem że bez znaczenia dla ciebie.

--
Mirek.

do góry

On Fri, 19 Aug 2022 23:37:04 +0200, Mirek <m...@n...dev> wrote:
> JAK?!

Szybko. Są za darmo signed akceptowane przez przeglądarki. Certyfikat
nie ma żadnej wartości.

> Wygeneruj sefsigned i oszukaj przeglądarkę że jest z mojej domeny.
> Z resztą co tam z mojej - z pkobp najlepiej od razu.

Moja przeglądarka akceptuje wszystkie. Nie odróżnia selfsigned od
innych.
Nie musi byc selfsigned. Wystarczy zwykły za darmo. Certyfikat nie ma
dla niej żadnej wartości.


> Bzdura totalna. Bez szyfrowania dane lecą gołe i tak naprawdę nie
> wiadomo skąd, można bez trudu zmienić w locie np. numer konta czy
> zamienić 10 dolarów na 10 milionów - rozumiem że bez znaczenia dla
> ciebie.

ROTFL ale żeś palnął, nie kompromituj się.Sam przed szyfrowaniem
mogę sobie zamienić kontent w przeglądarce z 10 dolarów na 10
milionów. Mogę zamienić nr konta. Dokładnie tak działały złośliwe
"pluginy" do przeglądarek. Zamieniały numery kont, podstawialy inne.
I szyfrowanie w niczym ofierze nie pomogło.
Obrona przed tego typu takimi nie leży w szyfrowaniu. Przestań
bredzić.

--
Marek

do góry

On 19.08.2022 23:56, Marek wrote:

> Szybko. Są za darmo signed akceptowane przez przeglądarki. Certyfikat
> nie ma żadnej wartości.

Ja pier...
To że za darmo nie ma znaczenia. Ważne że podpisujący sprawdza czy
domena jest twoja i masz prawo go używać.

> Moja przeglądarka akceptuje wszystkie. Nie odróżnia selfsigned od innych.
> Nie musi byc selfsigned. Wystarczy zwykły za darmo. Certyfikat nie ma
> dla niej żadnej wartości.

Ja nie wiem jaką ty masz przeglądarkę, ale nie ma opcji, żeby
cywilizowana przeglądarka pokazała, że masz bezpieczne połączenie jeśli
strona używa selfsigned. To samo będzie jeśli wpiszesz np. pkobp.pl, a
nie będzie to pko, tylko strona oszusta, bo oszust nie będzie miał
podpisanego certyfikatu dla pkobp.
>

>
> ROTFL ale żeś palnął, nie kompromituj się.Sam  przed szyfrowaniem mogę
> sobie zamienić kontent w przeglądarce z 10 dolarów na 10 milionów. Mogę
> zamienić nr konta. Dokładnie tak działały złośliwe "pluginy" do
> przeglądarek. Zamieniały numery kont, podstawialy inne. I szyfrowanie w
> niczym ofierze nie pomogło. Obrona przed tego typu takimi nie leży w
> szyfrowaniu. Przestań bredzić.
>

Co ty tam sobie zainstalujesz i co zmienisz u siebie to mnie nie obchodzi.
Dla mnie ważne jest żeby moje połączenie było bezpieczne.

--
Mirek.

do góry