Forum po SSL

[andy]

Cytat:

Zwracam tylko uwagę na drobny szczegół (nie jest to bardzo istotne), że witryna w całości objęta SSLem nie powinna mieć zawartości nieszyfrowanej. Jeśli hotlinkowane obrazki (img src z obcej domeny) zostałyby przeniesione do domeny objętej SSL (czyli na forum jako załącznik) to wtedy wszystko jest git.

Teraz rozumiem o co Ci chodzi. Cóż masz trochę masz racji.
Niestety nie da się na to nic poradzić, nie jest to błąd wdrożenia SSLa jak pisałeś a tylko to że internet nie jest siecią scentralizowaną i nie da się uniknąć linkowania do serwisów bez HTTPS.

Cytat:

Bo na razie to rozmawiamy tak:
Ja mówię: garaż trzeba zamknąć na kłódkę i zasłonić okno, aby nie pokradli i nie podejrzeli co tam robimy.
A Ty na to: Bzdurka. Kłódka służy do tego aby przekręcić w niej kluczyk o 360 stopni i schować do kieszeni.

Porównanie nijak ma się do tego co pisałem

[pali]

Cytat:

nie da się uniknąć linkowania do serwisów bez HTTPS

Jeśli za przykład weźmiemy nasze forum, to nie widzę problemu. Chyba jedyną treścią z innych domen, którą userzy mogą wstawiać - to właśnie te obrazki (nie w załączniku, a poprzez "Wstaw obrazek"). I teraz kilka możliwości, przy połączeniu SSL:

1. Skrypt tnie z postów linki img src - proste.
2. Skrypt ładuje hotlinkowany obrazek i wyświetla go z własnej domeny - niebezpieczne z wielu powodów (także prawnych) i zasobożerne. Jeśli już to ładowanie powinno być do cache + sprawdzanie czy img istnieje (ale to fail, z uwagi na to sprawdzanie)
3. Skrypt ciacha jak w pkt.1, ałe daje ajaxowy box, którym można wyświetlić na żądanie (bez uwierzytelniania).
4. Skrypt ciacha wszelkie obrazki (także avatary, buttony, banery itd), zarówno z domeny jak i spoza - oszczędzamy zasoby, bo SSL to ładnie ssie (zarówno serwer jak i browsera na wolniejszych komputerach). Wszelkie obrazki w postach mogłyby być w ajaxowym boxie (user klika i dopiero widzi - uwierzytelnione, szyfrowane)

Nie jest to kosmos do wdrożenia, w miarę prosta sprawa. Pkt 4 jest najlepszy.

I upieram się, że nie zrobienie powyższego byłoby failem we wdrożeniu zabezpieczenia To tak jakby założyć kłódkę na drzwi, które z zawiasów wylatują od kopniaka.
O, masz na niebezpieczniku: http://niebezpiecznik.pl/post/kraty-...ia-w-kartonie/
SSL wdraża się m.in. dla poufności, a co to za poufność gdy ruski serwer widzi, że oglądam cycki w Śmietniku

//edit
inna sprawa to gemiusy, adserwery itd, ale to już osobna sprawa

[andy]

Cytat:

SSL wdraża się m.in. dla poufności, a co to za poufność gdy ruski serwer widzi, że oglądam cycki w Śmietniku

Ale całe cdrinfo leci wtedy po SSL, treści ładowane z poza serwera idą ewentualnie po HTTP. Twoja sesja jest zabezpieczona i nikt jej nie przechwyci ani nie podsłucha, co najwyżej zobaczy że przeglądasz jakieś obrazki z domen całkiem innych niż cdrinfo Jedynie serwer na którym są te obrazki będzie wiedział z jakiego adresu zostały ładowane.

[pali]

Dokładnie tak jak mówisz.

Problem polega na tym, że gdy wchodzę na witrynę tak mocno zabezpieczoną (czyli SSL) intuicyjnie zakładam, że jej admin zapewnił mi poufność we wszelkich aspektach (także tych, których SSL z natury rzeczy nie obejmuje).
Myślę, że ZU który nie rozumie co to SSL, a widzi te kłódki i pieczęcie - czyni to samo założenie.
Stąd jeśli jest solidna kłódka (SSL) to muszą być i kraty


---------------------------------------
A co do metody ataku przez te "obrazki", o których tyle rozpisaliśmy się (ale przynajmniej dogadaliśmy się ) proponuję ten link:

Kod:

http://www.omglolwtf.org/?aDU4MjI

Uwaga: ten link jest całkowicie bezpieczny, o ile nie podasz w okienku, które wyskoczy - prawdziwego loginu z tego forum. Gwarantuję! Niech mnie Bartezu zabije, jeśli jest inaczej. Podaj wymyśloną nazwę, która zupełnie Ciebie nie identyfikuje.

Po wypełnieniu prośby o name i uważnym przeczytaniu komunikatów będzie jasne, dlaczego prosiłem o zmianę nicka

Linka przeklejamy, a nie klikamy, bo to nie mój serwer i wolę nie ryzykować słowem za to co on ew. zbiera (kto nie wie co może zbierać, niech po prostu przekleja )
Wypelnić "name" i kliknąć ten guzik z głupimi napisami.
------------------------------------

[andy]

Cytat:

Po wypełnieniu prośby o name i uważnym przeczytaniu komunikatów będzie jasne, dlaczego prosiłem o zmianę nicka

Stare Na szczęści jestem przed takimi rzeczami zabezpieczony
"Good boy, PALI! You didn't watch any porn recently."
http://img580.imageshack.us/img580/8/screen005l.png

Cytat:

Problem polega na tym, że gdy wchodzę na witrynę tak mocno zabezpieczoną (czyli SSL) intuicyjnie zakładam, że jej admin zapewnił mi poufność we wszelkich aspektach (także tych, których SSL z natury rzeczy nie obejmuje).
Myślę, że ZU który nie rozumie co to SSL, a widzi te kłódki i pieczęcie - czyni to samo założenie.
Stąd jeśli jest solidna kłódka (SSL) to muszą być i kraty

Problemem nie jest SSL a NIEWIEDZA zwykłych osób.

[Patrix]

andy odpalił kartę prywatną

[pali]

heh, no nie musiałeś zdradzać

A co tam masz włączone, tryb prywatny?


-----------------------

Nie tylko niewiedza.
Zobacz, otwieram wątek na forum, spodziewam się, że całość idzie po SSL, a tu mi wyskakuje content z innej domeny. I co? Skąd mam wiedzieć zawczasu, że tak nie jest?

Of course, browser ostrzeże, o ile jako ZU nie wyłączyłem ostrzeżenia... Bo np. wyskakiwały ciągle przy wielu innych takich witrynach....

Nie powinna tym sterować przeglądarka, moim zdaniem, tylko witryna powinna być odpowiednio zrobiona.

[andy]

Cytat:

andy odpalił kartę prywatną

Cytat:

heh, no nie musiałeś zdradzać

A co tam masz włączone, tryb prywatny?

Nic z tych rzeczy. Historię mam aktywną, trybu prywatnego nie włączałem W FF miałem zainstalowane rozszerzenie link status, które min. blokowało ten atak.
FF4 nie jest podatny na ten atak więc rozszerzenie jest zbędne

Na Operce/IE/Safari/Chrome wyświetla jak się oglądało ?

Cytat:

Nie tylko niewiedza.
Zobacz, otwieram wątek na forum, spodziewam się, że całość idzie po SSL, a tu mi wyskakuje content z innej domeny. I co? Skąd mam wiedzieć zawczasu, że tak nie jest?

Of course, browser ostrzeże, o ile jako ZU nie wyłączyłem ostrzeżenia... Bo np. wyskakiwały ciągle przy wielu innych takich witrynach....

Temat na dłuższą polemikę No ale to nie miejsce tutaj. Bartez już wyjasnił, że nici z tego więc temat można zostawić.

[Patrix]

Lekarstwo na 49% badzewia roznoszącego się przez www to nie instalowanie lub odinstalowanie JAVY.
Wszystkie fake antywirusy, antymalware co to pięknie wyglądają i udają skanowanie pracują właśnie na tym.
Ostatnio strona Smartka padła atakiem tego,
btw nawet nie wiem czy to naprawił - ale wolę nie sprawdzać.

[andy]

Cytat:

Lekarstwo na 49% badzewia roznoszącego się przez www to nie instalowanie lub odinstalowanie JAVY.
Wszystkie fake antywirusy, antymalware co to pięknie wyglądają i udają skanowanie pracują właśnie na tym.

Te fałszywe antywirusy potrzebują interakcji ze strony użytkownika - same sięnie ładują (no chyba, że jesteś *****em i nie aktualizujesz maszyny regularnie to wtedy zaaplikują ci jakiegoś exploita..)

Cytat:

Ostatnio strona Smartka padła atakiem tego,
btw nawet nie wiem czy to naprawił - ale wolę nie sprawdzać.

Na stronę Smarka ktoś się włamał i umieścił linka do skryptu JS, który ładował exploita. Na szczęście tamta domena od jakiegoś czasu jest "offline" i nie miało co Ci się odpalić - wiem bo manualnie próbowałem odpalić ten skrypt

[pali]

Cytat:

Napisany przez andy

N

Na Operce/IE/Safari/Chrome wyświetla jak się oglądało ?

A jakże, wyświetla (fx 3.6, opera też):


kiszka to ja, sam wszedłem

Zauważ, że przy hotlinku jpeg mozna to inaczej wybadać, didyouwatchporn cache nie sprawdza - ale to już faktycznie temat na inną dyskusję, masz rację.
Dobranoc

[Patrix]

Cytat:

Napisany przez andy

Te fałszywe antywirusy potrzebują interakcji ze strony użytkownika - same sięnie ładują (no chyba, że jesteś *****em i nie aktualizujesz maszyny regularnie to wtedy zaaplikują ci jakiegoś exploita..)

Dokładnie JS'y w linkach na stronach... popularna sprawa.
No i nie jestem... nie wiem co tam cenzura wycięła

Cytat:

Napisany przez andy

Na stronę Smarka ktoś się włamał i umieścił linka do skryptu JS, który ładował exploita. Na szczęście tamta domena od jakiegoś czasu jest "offline" i nie miało co Ci się odpalić - wiem bo manualnie próbowałem odpalić ten skrypt

Nie wiem od jakiego czasu ale totalnie rozwaliło to system na VPC, szkoda, że screenów nie porobiłem,
nie mam powodów by zmyślać... zassał się fake antywir, który ściągał rootkity.
Po tamtym eksperymencie usunąłem Javę, bo i tak z niej teraz nie korzystam.

PS
Co gorsza Smartek tego nie wyciął chyba - avast mi się pluje cały czas, JS: Downloader po wejściu na jego stronę.

[Bartez]

Cytat:

Napisany przez andy

@Bartez skoro już jesteśmy w tym temacie to czy hasła użytkowników są trzymane przynajmniej w MD5+jakiś salt ?

md5 + salt indywidualny dla każdego usera + id aplikacji i to wszystko ładnie wymieszane

Co do tematu uwierzytelniania SSL - wszędzie, gdzie mamy do czynienia z treścią generowaną przez użytkownika (User Generated Content) problem będzie istniał. Tylko w przypadku stron, które są zamkniętą całością (np strona banku) i nie ma możliwości dodawania własnej treści SSL zapewnia 100% wiarygodności strony. Oczywiście można zrobić coś z tych punktów, które wymienił pali. Z tego co się orientuję np facebook nie umożliwia bezpośredniego linkowania do obrazków, jeżeli połączenie jest po https.

[Patrix]

Na FB dla Polski SSL włączyli. Jednak nie działa to jeszcze dość dobrze, przy zaznaczonej opcji SSL nie działa czat...

[andy]

SOA#1
http://img267.imageshack.us/img267/2593/screen002p.png