Nagrywarki |
Pliki |
Dyski twarde |
Recenzje |
Księgarnia |
Biosy |
Artykuły |
Nagrywanie od A do Z |
Słownik |
FAQ
|
||
|
Propozycje, sugestie, błędy forum Zauważyłeś błąd na forum lub serwisie a może masz jakąś sugestię? Podziel się tym z nami. |
|
Opcje związane z dyskusją | Tryby wyświetlania |
12.02.2011, 11:20 | #1 |
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Forum po SSL
Witam, fajnie by było gdyby całe połączenie z forum (nie tylko logowanie) było by po SSL.
Na pewno będą to dodatkowe koszty(certyfikat), zużycie zasobów wzrośnie gdzieś o 1/3 jednak na bezpieczeństwie nie powinno się oszczędzać. Niby to tylko forum tematyczne ale jakoś tak pewniej się czuje gdy mam SSL, szczególnie w niepewnych sieciach WiFi.
__________________
XMPP: andrzej(at)czerniak.info.pl |
#ads | |
CDRinfo.pl
Reklamowiec
Data rejestracji: 29.12.2008
Lokalizacja: Sieć globalna
Wiek: 31
Posty: 1227
|
|
12.02.2011, 11:53 | #2 |
Get a Mac!
Data rejestracji: 18.04.2003
Posty: 10,547
|
Ty przewrazliwiony jestes :-P. Berion tez uwaza na mafie ktora sciaga pornografie wlamuje sie do qWiFi chodzac po klatkach schodowych ;-)...
|
12.02.2011, 15:43 | #3 |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
andy,
w tym temacie niedouczony jestem, mam pytanie: czy model, że tylko logowanie jest po SSL (jak np. Allegro) ma jakieś teoretyczne dziury (zakładając chęć ochrony login/pass)? Jeśli tak, to jakie? Ciąganie całego forum po SSL to chyba byłby niezły koszt zasobów - chociaż nie wiem, nie znam się, policzyć nie potrafię, powtarzam zasłyszane opinie. Wszystkich zasobów forum i tak chyba nie da się po SSL, bo mamy. np. hotlinki img src do obrazków z innych serwerów. M@X, też zauważyłem paranoid mode u Berionu Ciekawe... |
12.02.2011, 16:21 | #4 | ||||
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
Co prawda można dodatkowo zabezpieczyć aby przechwycone ciastko na innej maszynie było nie do wykorzystania ale na bank i na to znajdzie się obejście. Cytat:
Myślisz, że dlaczego większość ważniejszych serwisów ciągnie dalej po HTTP ? Cytat:
Cytat:
__________________
XMPP: andrzej(at)czerniak.info.pl |
||||
12.02.2011, 16:25 | #5 |
Pingwin specjalista.
Data rejestracji: 22.06.2002
Lokalizacja: Central Park
Posty: 15,084
|
andy, i co Ci ktoś zrobi na takim forum ? Ukradnie/skasuje konto ?
Założysz wtedy nowe... ew. Bartez z backupa przywróci... Zacznie trollować na forum w Twoim imieniu ? Moderator wyczai inne IP i zmieni hasło na profil, ew. da bana do wyjaśnienia... to nie bank, po co tu na forum ssl...
__________________
amiga500site |
12.02.2011, 19:42 | #6 |
Team Member
Zlotowicz
Data rejestracji: 18.10.2002
Lokalizacja: malopolska
Posty: 4,175
|
Zgadzam się z Patrixem. Po pierwsze mamy za słabą maszynę, żeby ją jeszcze dodatkowo obciążać, a włączenie ssl wymaga sporo większych zasobów. Po drugie, nie widzę sensu, żeby to robić. Nie mamy tu nie wiadomo jak cennych danych, w razie kradzieży konta można je przywrócić. W razie skasowania postów można je przywrócić, więc to w żaden sposób nie wpłynie na bezpieczeństwo.
Jeżeli ktoś ma takie same hasła do różnych usług to już niestety jego problem i ssl tu czy tam niewiele pomoże. |
12.02.2011, 19:44 | #7 |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
andy,
no tak, czytałem nawet. Myślałem, że może coś jeszcze. Z obrazkami chodzi o to; mamy taki obrazek: Mamy całe forum po SSL, jesteś zalogowany. Ten obrazek nie jest szyfrowany. Co mogę z tym zrobić? Chyba niewiele. Mogę poznać twoje IP, śledzić aktywność na tej stronie. Być może uda mi się zwabić na moją stronę, a twoją wizytę będę widział po cache browsera i odpalam kod especially for you. Mało, ale coś już jest |
12.02.2011, 20:09 | #8 | ||
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
Jednak co jeżeli ktoś nie używa? Jeżeli taka osoba zostanie podsłuchana to ma problem. Wiem, że to wina takiej osoby no ale... @Bartez skoro już jesteśmy w tym temacie to czy hasła użytkowników są trzymane przynajmniej w MD5+jakiś salt ? Cytat:
Gdyby jednak obrazek miał np. linka do strony z malware+jakiś eksploit na przeglądarkę, Ty w niego klikasz (ostatnia sprawa Smartka) a twoja przeglądarka by była na niego podatna to jesteś ugotowany. SSL tutaj nic nie pomoże bo to tylko tunel pomiędzy Tobą(przeglądarka) a serwerem www CDRInfo.
__________________
XMPP: andrzej(at)czerniak.info.pl Ostatnio zmieniany przez andy : 12.02.2011 o godz. 20:12 |
||
12.02.2011, 21:03 | #9 |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
Obrazek może być zupełnie nieszkodliwy.
1. Zamieszczam temat w "Komputerach" z hotlinkiem do obrazka. Zajrzysz 2. Wysyłam w PW linka do witryny w miarę uznanej, nie raportowanej. 3. Wiem, że to Ty zaglądasz, bo masz w cache obrazek - nie pobierasz go z mojego serwera. 4. Wyświetlam stronę spersonalizowaną. Niekoniecznie z exploitem. Może być np. treść mająca wywołać określone emocje, przygotowana pod Ciebie. Np. pornograficzny fotomontaż z twoim wizerunkiem. 5. Szukasz telefonu do admina tej strony. Owszem jest podany... 6. Spotykamy się. Morduję Ciebie Przed tym, jak mówisz, SSL nie chroni. Może stwarzać złudne poczucia bezpieczeństwa. Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki. Scenariusz oczywiście nieco dziurawy, ale można go dopracować btw nie wiem czy byłeś, ale z tego powodu na Onion Forum nie ma hotlinków. Ostatnio zmieniany przez pali : 12.02.2011 o godz. 21:06 |
12.02.2011, 22:39 | #10 |
Hibernant
CDRinfo VIP
Data rejestracji: 24.06.2004
Posty: 17,115
|
To, że ustawiam WPA2 i myślę nad radiusem, a nie stoję na WEP/WPA to już zaraz jestem paranoikiem? Cenię sobie prywatność i wiem, że jeśli się odpowiednio zabezpieczę to potencjalny script kieddies czy inny pedofil poszuka sobie innej ofiary. ;P
- - - A co do tematu, ja też nie widzę sensu SSL na forum. Bank rozumiem, ale forum? Eee, najwyżej się przywróci co trzeba. ;]
__________________
Wszystko co chciałbyś wiedzieć o: | PSX | PS2 | PS3 | Xbox | FF000000000003010101010003010000000003010000030000 00000003010000000003010100000003010101010003010000 00000300010101010300000000000301010000000300000001 01030101010100030101000000030000000000030100000000 03000001010103000000000003010100000003000000000103 01000000000301010000000301010000000300000000000301 01010100030000000000030101000000030000000001030003 01000000000301000000030100000000030000000101030100 00000003010000030100000000030100010003010100000003 00000000000300000000000300010301000000000301000003 00000001010301010100000301010000000300000000000301 00000000030000000101030000000001030101000000030101 000000030101000000FF |
12.02.2011, 22:59 | #11 |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
Wandalizm to najmniejszy problem...
O wiele groźniejsze są takie scenariusze jak przedstawiłem czy np. kret który przejął konto, ale nie robi z tego użytku - do czasu. Niemniej całe forum po SSL dziwnie by wyglądało... Może tylko jako opcjonalny formularz logowania i to też dostępny dla stałych userów, na życzenie. Ale wątpię, aby adminowi chciało się A samo logowanie po SSL, to nie mam zdania. Z jednej strony jakieś zabezpieczenie, ale z drugiej skoro jest obejście, stwarza to złudne poczucie security. |
12.02.2011, 23:34 | #12 | |||||||||
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
Cytat:
SSL jest po to i tylko po to aby zapewnić poufność oraz bezpieczeństwo między dwoma punktami - np. Tobą i serwerem WWW, SSL nie zapewnia tego że strona jest wolna od odnośników szkodliwych, nie zapewnia że to jest bezpieczne miejsce bo niby jak? Od tego są inne warstwy zabezpieczające. Cytat:
Cytat:
Cytat:
Polecam zobaczyć cały wykład. Cytat:
Cytat:
Cytat:
Sam osobiście wolę rozwiązanie pomiędzy super prywatnością a super wygodą. Zresztą tak samo mam jeżeli chodzi o bezpieczeństwo. Cytat:
Wprowadzenie SSLa tylko dla konkretnych użytkowników było by o wielie trudniejsze niż wprowadzenie tego dla wszystkich. No ale jak Bartez wcześniej napisał skoro nie ma sprzętu do tego to nie ma o czym mówić. Choć dla testów mógłby postawić SSLa na samo uwierzytelnienie forum(na razie cert self signed) aby zobaczyć jak bardzo będzie to obciążać serwer. Jeżeli obciążenie będzie akceptowalne to można by wykupić płatny certyfikat.
__________________
XMPP: andrzej(at)czerniak.info.pl Ostatnio zmieniany przez andy : 12.02.2011 o godz. 23:39 |
|||||||||
13.02.2011, 00:57 | #13 | |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
andy,
wydaje mi się, że nie rozumiemy się Ja nie mówię o żadnych odnośnikach. Mówię o contencie z innych domen. Obrazek w moim scenariuszu nie zawiera żadnego linka (zresztą jak obrazek może linka zawierać?) - jest zwyczajnym JPEG, który chcę zapisać do twojego cache, abym mógł Ciebie zidentyfikować na zupełnie innej witrynie. Jeśli wykryję, że masz w cache ten obrazek, to wyświetlam stronę przygotowaną pod Ciebie. Załóżmy, że było to na serwerze policyjni.pl, do którego uzyskałem dostęp i właśnie wykorzystałem... Nikt inny nie widzi tej strony, każdy kto nie ma w cache tego obrazka widzi oryginalną zawartość. A znowuż Ty na policyjni.pl nie zobaczysz obrazka Dzięki jednemu obrazkowi wstawionemu na Onion (gdyby można było), widzę wszystkie IP które obejrzały ten wątek. Jeśli jestem ze służb, to mam też adresy abonentów łącza. Porównuję uzyskaną listę z listą zboczeńców, wywrotowców itd I cała prywatność TORa o kant d... przez jeden obrazek. To samo dotyczy witryny zabezpieczonej przez SSL. Jeśli wyświetla ona content z innych domen, to jest to dziura we wdrożeniu (nie w SSL), bo nie zapewniamy chociażby poufności. User albo ma złudne poczucie prywatności albo jest świadomy i narażamy go na wyświetlanie treści idącej poza tunelem. Jeśli przeglądarka wyświetli ostrzeżenie: ZU zaakceptuje bezmyślnie, co jest jeszcze gorsze niż brak zabezpieczeń. Rozwiązaniem jest wycięcie contentu spoza domeny. Zgadzasz się? Cytat:
Ale właśnie chodzi o zasoby. Jakby się dwóch raz na dobę zalogowało po SSL, to jest to zupełnie co innego niż wszyscy logujący się tak, czy potrzebują czy nie. Ostatnio zmieniany przez pali : 13.02.2011 o godz. 01:36 |
|
13.02.2011, 11:26 | #14 | ||||||
logged out
CDRinfo VIP
Data rejestracji: 12.07.2003
Lokalizacja: /home
Posty: 12,518
|
Cytat:
Cytat:
Cytat:
Cytat:
Cytat:
Cytat:
Powiedzenie, że obejmuje całe forum SSLem oznacza, że każde połączenie do serwera WWW jest szyfrowane. Dzięki temu napastnik nie przechwyci twoich sesji, nie podejrzy co wysyłasz/odbierasz.
__________________
XMPP: andrzej(at)czerniak.info.pl |
||||||
13.02.2011, 12:49 | #15 |
Թ
Data rejestracji: 13.02.2003
Posty: 3,066
|
Absolutnie nie kwestionuję tego co mówisz, w oczywisty sposób masz rację co do istoty SSL.
Zwracam tylko uwagę na drobny szczegół (nie jest to bardzo istotne), że witryna w całości objęta SSLem nie powinna mieć zawartości nieszyfrowanej. Jeśli hotlinkowane obrazki (img src z obcej domeny) zostałyby przeniesione do domeny objętej SSL (czyli na forum jako załącznik) to wtedy wszystko jest git. Ewentualnie obrazki na subdomenie cdrinfo (bez SSL). Albo skrypt przy połączeniu SSL po prostu wycina img src do obcych domen i nic nie jest wyświetlane. Oczywiście dokładnie ten sam problem występuje przy witrynie bez żadnego SSL. Zgadzasz się teraz? Bo na razie to rozmawiamy tak: Ja mówię: garaż trzeba zamknąć na kłódkę i zasłonić okno, aby nie pokradli i nie podejrzeli co tam robimy. A Ty na to: Bzdurka. Kłódka służy do tego aby przekręcić w niej kluczyk o 360 stopni i schować do kieszeni. Przeglądarki plują się przy takiej zawartości, nie tylko przy przejściu z HTTPS do HTTP, jak mówisz (choć oczywiście zależy to od ustawień, ale w defaulcie chyba tak wszystkie mają). //edit komunikat fx: "strona zawiera treści nieuwierzytelnione" Ostatnio zmieniany przez pali : 13.02.2011 o godz. 13:03 |
|
|
Podobne dyskusje | ||||
Dyskusja | Autor | Forum | Odpow. | Ostatni Post |
Pranie #@$%*& ! | mr_spock | Off topic | 55 | 06.09.2004 12:01 |
Duze ilości postów typu @@ Klucz do Clon-a @@ - Antidotum | Sniper | Off topic | 19 | 16.02.2003 11:09 |
Regulamin Forum CDRinfo.pl | Monter | Ogłoszenia i komunikaty | 0 | 21.10.2002 13:28 |