Forum po SSL

[andy]

Witam, fajnie by było gdyby całe połączenie z forum (nie tylko logowanie) było by po SSL.
Na pewno będą to dodatkowe koszty(certyfikat), zużycie zasobów wzrośnie gdzieś o 1/3 jednak na bezpieczeństwie nie powinno się oszczędzać.
Niby to tylko forum tematyczne ale jakoś tak pewniej się czuje gdy mam SSL, szczególnie w niepewnych sieciach WiFi.

[M@X]

Ty przewrazliwiony jestes :-P. Berion tez uwaza na mafie ktora sciaga pornografie wlamuje sie do qWiFi chodzac po klatkach schodowych ;-)...

[pali]

andy,
w tym temacie niedouczony jestem, mam pytanie:
czy model, że tylko logowanie jest po SSL (jak np. Allegro) ma jakieś teoretyczne dziury (zakładając chęć ochrony login/pass)? Jeśli tak, to jakie?

Ciąganie całego forum po SSL to chyba byłby niezły koszt zasobów - chociaż nie wiem, nie znam się, policzyć nie potrafię, powtarzam zasłyszane opinie.

Wszystkich zasobów forum i tak chyba nie da się po SSL, bo mamy. np. hotlinki img src do obrazków z innych serwerów.

M@X,
też zauważyłem paranoid mode u Berionu Ciekawe...

[andy]

Cytat:

czy model, że tylko logowanie jest po SSL (jak np. Allegro) ma jakieś teoretyczne dziury (zakładając chęć ochrony login/pass)? Jeśli tak, to jakie?

Można komuś ukraść sesje. W ostatnim czasie stało się to o tyle prostsze bo powstało rozszerzenie FireShip do FF które przechwytuje ciasteczka. Metodę tę pokazywali na FB bo tam SSL było tylko na logowanie.
Co prawda można dodatkowo zabezpieczyć aby przechwycone ciastko na innej maszynie było nie do wykorzystania ale na bank i na to znajdzie się obejście.

Cytat:

Ciąganie całego forum po SSL to chyba byłby niezły koszt zasobów - chociaż nie wiem, nie znam się, policzyć nie potrafię, powtarzam zasłyszane opinie.

No jasne że tak. Więcej obliczeń itd...
Myślisz, że dlaczego większość ważniejszych serwisów ciągnie dalej po HTTP ?

Cytat:

Wszystkich zasobów forum i tak chyba nie da się po SSL, bo mamy. np. hotlinki img src do obrazków z innych serwerów.

Nie rozumiesz. Chodzi o to aby każda interakcja twojego konta szła po tunelu SSL, pisanie przeglądanie itp. itd.

Cytat:

Ty przewrazliwiony jestes :-P. Berion tez uwaza na mafie ktora sciaga pornografie wlamuje sie do qWiFi chodzac po klatkach schodowych ;-)...

Najlepiej zdać się na los...Ciekawe czy używasz tego samego hasła do poczty i forum...

[Patrix]

andy, i co Ci ktoś zrobi na takim forum ? Ukradnie/skasuje konto ?
Założysz wtedy nowe... ew. Bartez z backupa przywróci...
Zacznie trollować na forum w Twoim imieniu ? Moderator wyczai inne IP i zmieni hasło na profil, ew. da bana do wyjaśnienia...
to nie bank, po co tu na forum ssl...

[Bartez]

Zgadzam się z Patrixem. Po pierwsze mamy za słabą maszynę, żeby ją jeszcze dodatkowo obciążać, a włączenie ssl wymaga sporo większych zasobów. Po drugie, nie widzę sensu, żeby to robić. Nie mamy tu nie wiadomo jak cennych danych, w razie kradzieży konta można je przywrócić. W razie skasowania postów można je przywrócić, więc to w żaden sposób nie wpłynie na bezpieczeństwo.

Jeżeli ktoś ma takie same hasła do różnych usług to już niestety jego problem i ssl tu czy tam niewiele pomoże.

[pali]

andy,
no tak, czytałem nawet. Myślałem, że może coś jeszcze.

Z obrazkami chodzi o to; mamy taki obrazek:

Mamy całe forum po SSL, jesteś zalogowany. Ten obrazek nie jest szyfrowany.

Co mogę z tym zrobić? Chyba niewiele. Mogę poznać twoje IP, śledzić aktywność na tej stronie. Być może uda mi się zwabić na moją stronę, a twoją wizytę będę widział po cache browsera i odpalam kod especially for you.
Mało, ale coś już jest

[andy]

Cytat:

Jeżeli ktoś ma takie same hasła do różnych usług to już niestety jego problem i ssl tu czy tam niewiele pomoże.

Z tym hasłem odpisałem w ramach tego, że M@X nazwał mnie paranoikiem - ciekawe co sądzi o mnie teraz wiedząc, że do każdego serwera mam inne hasło

Jednak co jeżeli ktoś nie używa? Jeżeli taka osoba zostanie podsłuchana to ma problem. Wiem, że to wina takiej osoby no ale...

@Bartez skoro już jesteśmy w tym temacie to czy hasła użytkowników są trzymane przynajmniej w MD5+jakiś salt ?

Cytat:

Napisany przez pali

Mamy całe forum po SSL, jesteś zalogowany. Ten obrazek nie jest szyfrowany.

Co mogę z tym zrobić? Chyba niewiele. Mogę poznać twoje IP, śledzić aktywność na tej stronie. Być może uda mi się zwabić na moją stronę, a twoją wizytę będę widział po cache browsera i odpalam kod especially for you.
Mało, ale coś już jest

To SSL jest po to aby ktoś postronny np. będąc w twojej sieci nie przechwycił pakietów które wysyła twoja przeglądarka do serwera CDRinfo
Gdyby jednak obrazek miał np. linka do strony z malware+jakiś eksploit na przeglądarkę, Ty w niego klikasz (ostatnia sprawa Smartka) a twoja przeglądarka by była na niego podatna to jesteś ugotowany. SSL tutaj nic nie pomoże bo to tylko tunel pomiędzy Tobą(przeglądarka) a serwerem www CDRInfo.

[pali]

Obrazek może być zupełnie nieszkodliwy.

1. Zamieszczam temat w "Komputerach" z hotlinkiem do obrazka. Zajrzysz
2. Wysyłam w PW linka do witryny w miarę uznanej, nie raportowanej.
3. Wiem, że to Ty zaglądasz, bo masz w cache obrazek - nie pobierasz go z mojego serwera.
4. Wyświetlam stronę spersonalizowaną. Niekoniecznie z exploitem. Może być np. treść mająca wywołać określone emocje, przygotowana pod Ciebie. Np. pornograficzny fotomontaż z twoim wizerunkiem.
5. Szukasz telefonu do admina tej strony. Owszem jest podany...
6. Spotykamy się. Morduję Ciebie

Przed tym, jak mówisz, SSL nie chroni.
Może stwarzać złudne poczucia bezpieczeństwa.
Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki.

Scenariusz oczywiście nieco dziurawy, ale można go dopracować

btw nie wiem czy byłeś, ale z tego powodu na Onion Forum nie ma hotlinków.

[Berion]

To, że ustawiam WPA2 i myślę nad radiusem, a nie stoję na WEP/WPA to już zaraz jestem paranoikiem? Cenię sobie prywatność i wiem, że jeśli się odpowiednio zabezpieczę to potencjalny script kieddies czy inny pedofil poszuka sobie innej ofiary. ;P

- - -

A co do tematu, ja też nie widzę sensu SSL na forum. Bank rozumiem, ale forum? Eee, najwyżej się przywróci co trzeba. ;]

[pali]

Cytat:

Napisany przez Berion

Eee, najwyżej się przywróci co trzeba. ;]

Wandalizm to najmniejszy problem...
O wiele groźniejsze są takie scenariusze jak przedstawiłem czy np. kret który przejął konto, ale nie robi z tego użytku - do czasu.


Niemniej całe forum po SSL dziwnie by wyglądało...
Może tylko jako opcjonalny formularz logowania i to też dostępny dla stałych userów, na życzenie. Ale wątpię, aby adminowi chciało się

A samo logowanie po SSL, to nie mam zdania. Z jednej strony jakieś zabezpieczenie, ale z drugiej skoro jest obejście, stwarza to złudne poczucie security.

[andy]

Cytat:

Napisany przez pali

Obrazek może być zupełnie nieszkodliwy.

Obrazek w moim przypadku jest nieszkodliwy i zawierał tylko linka do strony z malware.

Cytat:

1. Zamieszczam temat w "Komputerach" z hotlinkiem do obrazka. Zajrzysz
2. Wysyłam w PW linka do witryny w miarę uznanej, nie raportowanej.
3. Wiem, że to Ty zaglądasz, bo masz w cache obrazek - nie pobierasz go z mojego serwera.
4. Wyświetlam stronę spersonalizowaną. Niekoniecznie z exploitem. Może być np. treść mająca wywołać określone emocje, przygotowana pod Ciebie. Np. pornograficzny fotomontaż z twoim wizerunkiem.
5. Szukasz telefonu do admina tej strony. Owszem jest podany...
6. Spotykamy się. Morduję Ciebie

Przed tym, jak mówisz, SSL nie chroni.
Może stwarzać złudne poczucia bezpieczeństwa.
Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki.

Nie do końca widzę łapiesz po co jest i co zapewnia SSL.

SSL jest po to i tylko po to aby zapewnić poufność oraz bezpieczeństwo między dwoma punktami - np. Tobą i serwerem WWW, SSL nie zapewnia tego że strona jest wolna od odnośników szkodliwych, nie zapewnia że to jest bezpieczne miejsce bo niby jak? Od tego są inne warstwy zabezpieczające.

Cytat:

Może stwarzać złudne poczucia bezpieczeństwa.

Bzdura. SSL zapewnia całkowite bezpieczeństwo w transmisji punkt A---B. Tego ruchu nie da się podejrzeć!

Cytat:

Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki.

Znowu bzdurka bo jak pisałem wyżej SSL służy tylko i wyłączenie do zapewnienia bezpieczeństwa i poufności przekazu od punktu A do punktu B.

Cytat:

Scenariusz oczywiście nieco dziurawy, ale można go dopracować

Scenariusz opisany przez Cienie nie jest dziurawy. To jest przykład jak można wyciągnąć od kogoś informacje
Polecam zobaczyć cały wykład.

Cytat:

btw nie wiem czy byłeś, ale z tego powodu na Onion Forum nie ma hotlinków.

Onion forum już nie istnieje o ile się nie mylę. Co do zakazu hotlinkowania to było to robione z powodu prywatności, TOR zapewniał w 99% prywatność o ile się z niego umiejętnie korzystało (zablokowane ciastka, wyłączone skrypty JS itd.)

Cytat:

Napisany przez Berion

To, że ustawiam WPA2 i myślę nad radiusem, a nie stoję na WEP/WPA to już zaraz jestem paranoikiem?

Szczerze? Radius ma sens tylko i tylko wtedy kiedy z sieci korzysta kilka, kilkanaście osób Na dzień dzisiejszy WPA2-PSK jest nie do złamania jeżeli stosujesz niesłownikowe długie hasła, zapewnia Ci 99% bezpieczeństwa.

Cytat:

Cenię sobie prywatność i wiem, że jeśli się odpowiednio zabezpieczę to potencjalny script kieddies czy inny pedofil poszuka sobie innej ofiary. ;P

Prywatność to już całkiem inny temat tak na prawdę. W dzisiejszym świecie żeby zachować swoja prywatność trzeba by się ładnie cofnąć w rozwoju - brak komórki, praktycznie nie używać internetu itp. itd.
Sam osobiście wolę rozwiązanie pomiędzy super prywatnością a super wygodą. Zresztą tak samo mam jeżeli chodzi o bezpieczeństwo.

Cytat:

Niemniej całe forum po SSL dziwnie by wyglądało...
Może tylko jako opcjonalny formularz logowania i to też dostępny dla stałych userów, na życzenie. Ale wątpię, aby adminowi chciało się

Wcale nie dziwnie
Wprowadzenie SSLa tylko dla konkretnych użytkowników było by o wielie trudniejsze niż wprowadzenie tego dla wszystkich. No ale jak Bartez wcześniej napisał skoro nie ma sprzętu do tego to nie ma o czym mówić.
Choć dla testów mógłby postawić SSLa na samo uwierzytelnienie forum(na razie cert self signed) aby zobaczyć jak bardzo będzie to obciążać serwer. Jeżeli obciążenie będzie akceptowalne to można by wykupić płatny certyfikat.

[pali]

andy,
wydaje mi się, że nie rozumiemy się

Ja nie mówię o żadnych odnośnikach. Mówię o contencie z innych domen.
Obrazek w moim scenariuszu nie zawiera żadnego linka (zresztą jak obrazek może linka zawierać?) - jest zwyczajnym JPEG, który chcę zapisać do twojego cache, abym mógł Ciebie zidentyfikować na zupełnie innej witrynie. Jeśli wykryję, że masz w cache ten obrazek, to wyświetlam stronę przygotowaną pod Ciebie. Załóżmy, że było to na serwerze policyjni.pl, do którego uzyskałem dostęp i właśnie wykorzystałem... Nikt inny nie widzi tej strony, każdy kto nie ma w cache tego obrazka widzi oryginalną zawartość. A znowuż Ty na policyjni.pl nie zobaczysz obrazka

Dzięki jednemu obrazkowi wstawionemu na Onion (gdyby można było), widzę wszystkie IP które obejrzały ten wątek.
Jeśli jestem ze służb, to mam też adresy abonentów łącza.
Porównuję uzyskaną listę z listą zboczeńców, wywrotowców itd
I cała prywatność TORa o kant d... przez jeden obrazek.

To samo dotyczy witryny zabezpieczonej przez SSL. Jeśli wyświetla ona content z innych domen, to jest to dziura we wdrożeniu (nie w SSL), bo nie zapewniamy chociażby poufności.
User albo ma złudne poczucie prywatności albo jest świadomy i narażamy go na wyświetlanie treści idącej poza tunelem.
Jeśli przeglądarka wyświetli ostrzeżenie: ZU zaakceptuje bezmyślnie, co jest jeszcze gorsze niż brak zabezpieczeń.

Rozwiązaniem jest wycięcie contentu spoza domeny. Zgadzasz się?

Cytat:

Wprowadzenie SSLa tylko dla konkretnych użytkowników było by o wielie trudniejsze niż wprowadzenie tego dla wszystkich. No ale jak Bartez wcześniej napisał skoro nie ma sprzętu do tego to nie ma o czym mówić.

Pewnie, że tak, bo wymagałoby dorobienia ficzerów do forum.
Ale właśnie chodzi o zasoby.
Jakby się dwóch raz na dobę zalogowało po SSL, to jest to zupełnie co innego niż wszyscy logujący się tak, czy potrzebują czy nie.

[andy]

Cytat:

Napisany przez pali

andy,
wydaje mi się, że nie rozumiemy się

To raczej Ty nie za bardzo łapiesz do czego SSL jest a do czego nie jest

Cytat:

Ja nie mówię o żadnych odnośnikach. Mówię o contencie z innych domen.
Obrazek w moim scenariuszu nie zawiera żadnego linka (zresztą jak obrazek może linka zawierać?) - jest zwyczajnym JPEG, który chcę zapisać do twojego cache, abym mógł Ciebie zidentyfikować na zupełnie innej witrynie. Jeśli wykryję, że masz w cache ten obrazek, to wyświetlam stronę przygotowaną pod Ciebie. Załóżmy, że było to na serwerze policyjni.pl, do którego uzyskałem dostęp i właśnie wykorzystałem... Nikt inny nie widzi tej strony, każdy kto nie ma w cache tego obrazka widzi oryginalną zawartość. A znowuż Ty na policyjni.pl nie zobaczysz obrazka

Miałem na myśli obrazek który ma linka i prowadzi do strony z malware. No ale to nie ważne już.

Cytat:

Dzięki jednemu obrazkowi wstawionemu na Onion (gdyby można było), widzę wszystkie IP które obejrzały ten wątek.
Jeśli jestem ze służb, to mam też adresy abonentów łącza.
Porównuję uzyskaną listę z listą zboczeńców, wywrotowców itd
I cała prywatność TORa o kant d... przez jeden obrazek.

TOR nie zapewnia prywatności! TOR zapewnia anonimowość o ile potrafi się go używać tak jak powinno - wyłączenie cache w przeglądarce, wyłączenie skryptów JS itd.

Cytat:

To samo dotyczy witryny zabezpieczonej przez SSL. Jeśli wyświetla ona content z innych domen, to jest to dziura we wdrożeniu (nie w SSL), bo nie zapewniamy chociażby poufności.

Bzdurka. SSL służy tylko i wyłącznie do szyfrowania/uwierzytelnienia połączenia z serwerem i nic więcej!

Cytat:

Jeśli przeglądarka wyświetli ostrzeżenie: ZU zaakceptuje bezmyślnie, co jest jeszcze gorsze niż brak zabezpieczeń.

Przeglądarki wyświetlają ostrzeżenie jeżeli się przechodzi z trybu HTTPS do HTTP.

Cytat:

Rozwiązaniem jest wycięcie contentu spoza domeny. Zgadzasz się?

Nie. Cały czas myślisz o SSL jako o czymś co ma chronić wszystko, natomiast SS jak już wielokrotnie wspominałem jest do szyfrowania oraz uwierzytelnienia twojego połączenia z serwerem.


Powiedzenie, że obejmuje całe forum SSLem oznacza, że każde połączenie do serwera WWW jest szyfrowane. Dzięki temu napastnik nie przechwyci twoich sesji, nie podejrzy co wysyłasz/odbierasz.

[pali]

Absolutnie nie kwestionuję tego co mówisz, w oczywisty sposób masz rację co do istoty SSL.

Zwracam tylko uwagę na drobny szczegół (nie jest to bardzo istotne), że witryna w całości objęta SSLem nie powinna mieć zawartości nieszyfrowanej. Jeśli hotlinkowane obrazki (img src z obcej domeny) zostałyby przeniesione do domeny objętej SSL (czyli na forum jako załącznik) to wtedy wszystko jest git.
Ewentualnie obrazki na subdomenie cdrinfo (bez SSL).
Albo skrypt przy połączeniu SSL po prostu wycina img src do obcych domen i nic nie jest wyświetlane.

Oczywiście dokładnie ten sam problem występuje przy witrynie bez żadnego SSL.

Zgadzasz się teraz?
Bo na razie to rozmawiamy tak:
Ja mówię: garaż trzeba zamknąć na kłódkę i zasłonić okno, aby nie pokradli i nie podejrzeli co tam robimy.
A Ty na to: Bzdurka. Kłódka służy do tego aby przekręcić w niej kluczyk o 360 stopni i schować do kieszeni.

Przeglądarki plują się przy takiej zawartości, nie tylko przy przejściu z HTTPS do HTTP, jak mówisz (choć oczywiście zależy to od ustawień, ale w defaulcie chyba tak wszystkie mają).

//edit
komunikat fx: "strona zawiera treści nieuwierzytelnione"