|
Forum po SSL
Witam, fajnie by było gdyby całe połączenie z forum (nie tylko logowanie) było by po SSL.
Na pewno będą to dodatkowe koszty(certyfikat), zużycie zasobów wzrośnie gdzieś o 1/3 jednak na bezpieczeństwie nie powinno się oszczędzać. Niby to tylko forum tematyczne ale jakoś tak pewniej się czuje gdy mam SSL, szczególnie w niepewnych sieciach WiFi. |
Ty przewrazliwiony jestes :-P. Berion tez uwaza na mafie ktora sciaga pornografie wlamuje sie do qWiFi chodzac po klatkach schodowych ;-)...
|
andy,
w tym temacie niedouczony jestem, mam pytanie: czy model, że tylko logowanie jest po SSL (jak np. Allegro) ma jakieś teoretyczne dziury (zakładając chęć ochrony login/pass)? Jeśli tak, to jakie? Ciąganie całego forum po SSL to chyba byłby niezły koszt zasobów - chociaż nie wiem, nie znam się, policzyć nie potrafię, powtarzam zasłyszane opinie. Wszystkich zasobów forum i tak chyba nie da się po SSL, bo mamy. np. hotlinki img src do obrazków z innych serwerów. M@X, też zauważyłem paranoid mode u Berionu :D Ciekawe... |
Cytat:
Co prawda można dodatkowo zabezpieczyć aby przechwycone ciastko na innej maszynie było nie do wykorzystania ale na bank i na to znajdzie się obejście. Cytat:
Myślisz, że dlaczego większość ważniejszych serwisów ciągnie dalej po HTTP ? :D Cytat:
Cytat:
|
andy, i co Ci ktoś zrobi na takim forum ? Ukradnie/skasuje konto ?
Założysz wtedy nowe... ew. Bartez z backupa przywróci... Zacznie trollować na forum w Twoim imieniu ? Moderator wyczai inne IP i zmieni hasło na profil, ew. da bana do wyjaśnienia... to nie bank, po co tu na forum ssl... |
Zgadzam się z Patrixem. Po pierwsze mamy za słabą maszynę, żeby ją jeszcze dodatkowo obciążać, a włączenie ssl wymaga sporo większych zasobów. Po drugie, nie widzę sensu, żeby to robić. Nie mamy tu nie wiadomo jak cennych danych, w razie kradzieży konta można je przywrócić. W razie skasowania postów można je przywrócić, więc to w żaden sposób nie wpłynie na bezpieczeństwo.
Jeżeli ktoś ma takie same hasła do różnych usług to już niestety jego problem i ssl tu czy tam niewiele pomoże. |
andy,
no tak, czytałem nawet. Myślałem, że może coś jeszcze. Z obrazkami chodzi o to; mamy taki obrazek: http://upload.wikimedia.org/wikipedi...roust_1900.jpg Mamy całe forum po SSL, jesteś zalogowany. Ten obrazek nie jest szyfrowany. Co mogę z tym zrobić? Chyba niewiele. Mogę poznać twoje IP, śledzić aktywność na tej stronie. Być może uda mi się zwabić na moją stronę, a twoją wizytę będę widział po cache browsera i odpalam kod especially for you. Mało, ale coś już jest :) |
Cytat:
Jednak co jeżeli ktoś nie używa? Jeżeli taka osoba zostanie podsłuchana to ma problem. Wiem, że to wina takiej osoby no ale... @Bartez skoro już jesteśmy w tym temacie to czy hasła użytkowników są trzymane przynajmniej w MD5+jakiś salt ? :D Cytat:
Gdyby jednak obrazek miał np. linka do strony z malware+jakiś eksploit na przeglądarkę, Ty w niego klikasz (ostatnia sprawa Smartka) a twoja przeglądarka by była na niego podatna to jesteś ugotowany. SSL tutaj nic nie pomoże bo to tylko tunel pomiędzy Tobą(przeglądarka) a serwerem www CDRInfo. |
Obrazek może być zupełnie nieszkodliwy.
1. Zamieszczam temat w "Komputerach" z hotlinkiem do obrazka. Zajrzysz :) 2. Wysyłam w PW linka do witryny w miarę uznanej, nie raportowanej. 3. Wiem, że to Ty zaglądasz, bo masz w cache obrazek - nie pobierasz go z mojego serwera. 4. Wyświetlam stronę spersonalizowaną. Niekoniecznie z exploitem. Może być np. treść mająca wywołać określone emocje, przygotowana pod Ciebie. Np. pornograficzny fotomontaż z twoim wizerunkiem. 5. Szukasz telefonu do admina tej strony. Owszem jest podany... 6. Spotykamy się. Morduję Ciebie :D Przed tym, jak mówisz, SSL nie chroni. Może stwarzać złudne poczucia bezpieczeństwa. Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki. Scenariusz oczywiście nieco dziurawy, ale można go dopracować :) btw nie wiem czy byłeś, ale z tego powodu na Onion Forum nie ma hotlinków. |
To, że ustawiam WPA2 i myślę nad radiusem, a nie stoję na WEP/WPA to już zaraz jestem paranoikiem? Cenię sobie prywatność i wiem, że jeśli się odpowiednio zabezpieczę to potencjalny script kieddies czy inny pedofil poszuka sobie innej ofiary. ;P
- - - A co do tematu, ja też nie widzę sensu SSL na forum. Bank rozumiem, ale forum? Eee, najwyżej się przywróci co trzeba. ;] |
Cytat:
O wiele groźniejsze są takie scenariusze jak przedstawiłem czy np. kret który przejął konto, ale nie robi z tego użytku - do czasu. Niemniej całe forum po SSL dziwnie by wyglądało... Może tylko jako opcjonalny formularz logowania i to też dostępny dla stałych userów, na życzenie. Ale wątpię, aby adminowi chciało się :) A samo logowanie po SSL, to nie mam zdania. Z jednej strony jakieś zabezpieczenie, ale z drugiej skoro jest obejście, stwarza to złudne poczucie security. |
Cytat:
Cytat:
SSL jest po to i tylko po to aby zapewnić poufność oraz bezpieczeństwo między dwoma punktami - np. Tobą i serwerem WWW, SSL nie zapewnia tego że strona jest wolna od odnośników szkodliwych, nie zapewnia że to jest bezpieczne miejsce bo niby jak? Od tego są inne warstwy zabezpieczające. Cytat:
Cytat:
Cytat:
Polecam zobaczyć cały wykład. :D Cytat:
Cytat:
Cytat:
Sam osobiście wolę rozwiązanie pomiędzy super prywatnością a super wygodą. Zresztą tak samo mam jeżeli chodzi o bezpieczeństwo. Cytat:
Wprowadzenie SSLa tylko dla konkretnych użytkowników było by o wielie trudniejsze niż wprowadzenie tego dla wszystkich. No ale jak Bartez wcześniej napisał skoro nie ma sprzętu do tego to nie ma o czym mówić. Choć dla testów mógłby postawić SSLa na samo uwierzytelnienie forum(na razie cert self signed) aby zobaczyć jak bardzo będzie to obciążać serwer. Jeżeli obciążenie będzie akceptowalne to można by wykupić płatny certyfikat. |
andy,
wydaje mi się, że nie rozumiemy się :) Ja nie mówię o żadnych odnośnikach. Mówię o contencie z innych domen. Obrazek w moim scenariuszu nie zawiera żadnego linka (zresztą jak obrazek może linka zawierać?) - jest zwyczajnym JPEG, który chcę zapisać do twojego cache, abym mógł Ciebie zidentyfikować na zupełnie innej witrynie. Jeśli wykryję, że masz w cache ten obrazek, to wyświetlam stronę przygotowaną pod Ciebie. Załóżmy, że było to na serwerze policyjni.pl, do którego uzyskałem dostęp i właśnie wykorzystałem... Nikt inny nie widzi tej strony, każdy kto nie ma w cache tego obrazka widzi oryginalną zawartość. A znowuż Ty na policyjni.pl nie zobaczysz obrazka :) Dzięki jednemu obrazkowi wstawionemu na Onion (gdyby można było), widzę wszystkie IP które obejrzały ten wątek. Jeśli jestem ze służb, to mam też adresy abonentów łącza. Porównuję uzyskaną listę z listą zboczeńców, wywrotowców itd ;) I cała prywatność TORa o kant d... przez jeden obrazek. To samo dotyczy witryny zabezpieczonej przez SSL. Jeśli wyświetla ona content z innych domen, to jest to dziura we wdrożeniu (nie w SSL), bo nie zapewniamy chociażby poufności. User albo ma złudne poczucie prywatności albo jest świadomy i narażamy go na wyświetlanie treści idącej poza tunelem. Jeśli przeglądarka wyświetli ostrzeżenie: ZU zaakceptuje bezmyślnie, co jest jeszcze gorsze niż brak zabezpieczeń. Rozwiązaniem jest wycięcie contentu spoza domeny. Zgadzasz się? :) Cytat:
Ale właśnie chodzi o zasoby. Jakby się dwóch raz na dobę zalogowało po SSL, to jest to zupełnie co innego niż wszyscy logujący się tak, czy potrzebują czy nie. |
Cytat:
Cytat:
Cytat:
Cytat:
Cytat:
Cytat:
Powiedzenie, że obejmuje całe forum SSLem oznacza, że każde połączenie do serwera WWW jest szyfrowane. Dzięki temu napastnik nie przechwyci twoich sesji, nie podejrzy co wysyłasz/odbierasz. |
Absolutnie nie kwestionuję tego co mówisz, w oczywisty sposób masz rację co do istoty SSL.
Zwracam tylko uwagę na drobny szczegół (nie jest to bardzo istotne), że witryna w całości objęta SSLem nie powinna mieć zawartości nieszyfrowanej. Jeśli hotlinkowane obrazki (img src z obcej domeny) zostałyby przeniesione do domeny objętej SSL (czyli na forum jako załącznik) to wtedy wszystko jest git. Ewentualnie obrazki na subdomenie cdrinfo (bez SSL). Albo skrypt przy połączeniu SSL po prostu wycina img src do obcych domen i nic nie jest wyświetlane. Oczywiście dokładnie ten sam problem występuje przy witrynie bez żadnego SSL. Zgadzasz się teraz? :) Bo na razie to rozmawiamy tak: Ja mówię: garaż trzeba zamknąć na kłódkę i zasłonić okno, aby nie pokradli i nie podejrzeli co tam robimy. A Ty na to: Bzdurka. Kłódka służy do tego aby przekręcić w niej kluczyk o 360 stopni i schować do kieszeni. Przeglądarki plują się przy takiej zawartości, nie tylko przy przejściu z HTTPS do HTTP, jak mówisz (choć oczywiście zależy to od ustawień, ale w defaulcie chyba tak wszystkie mają). //edit komunikat fx: "strona zawiera treści nieuwierzytelnione" |
Cytat:
Niestety nie da się na to nic poradzić, nie jest to błąd wdrożenia SSLa jak pisałeś a tylko to że internet nie jest siecią scentralizowaną i nie da się uniknąć linkowania do serwisów bez HTTPS. Cytat:
|
Cytat:
1. Skrypt tnie z postów linki img src - proste. 2. Skrypt ładuje hotlinkowany obrazek i wyświetla go z własnej domeny - niebezpieczne z wielu powodów (także prawnych) :) i zasobożerne. Jeśli już to ładowanie powinno być do cache + sprawdzanie czy img istnieje (ale to fail, z uwagi na to sprawdzanie) 3. Skrypt ciacha jak w pkt.1, ałe daje ajaxowy box, którym można wyświetlić na żądanie (bez uwierzytelniania). 4. Skrypt ciacha wszelkie obrazki (także avatary, buttony, banery itd), zarówno z domeny jak i spoza - oszczędzamy zasoby, bo SSL to ładnie ssie (zarówno serwer jak i browsera na wolniejszych komputerach). Wszelkie obrazki w postach mogłyby być w ajaxowym boxie (user klika i dopiero widzi - uwierzytelnione, szyfrowane) Nie jest to kosmos do wdrożenia, w miarę prosta sprawa. Pkt 4 jest najlepszy. I upieram się, że nie zrobienie powyższego byłoby failem we wdrożeniu zabezpieczenia :) To tak jakby założyć kłódkę na drzwi, które z zawiasów wylatują od kopniaka. O, masz na niebezpieczniku: http://niebezpiecznik.pl/post/kraty-...ia-w-kartonie/ SSL wdraża się m.in. dla poufności, a co to za poufność gdy ruski serwer widzi, że oglądam cycki w Śmietniku :) //edit inna sprawa to gemiusy, adserwery itd, ale to już osobna sprawa |
Cytat:
|
Dokładnie tak jak mówisz.
Problem polega na tym, że gdy wchodzę na witrynę tak mocno zabezpieczoną (czyli SSL) intuicyjnie zakładam, że jej admin zapewnił mi poufność we wszelkich aspektach (także tych, których SSL z natury rzeczy nie obejmuje). Myślę, że ZU który nie rozumie co to SSL, a widzi te kłódki i pieczęcie - czyni to samo założenie. Stąd jeśli jest solidna kłódka (SSL) to muszą być i kraty ;) --------------------------------------- A co do metody ataku przez te "obrazki", o których tyle rozpisaliśmy się (ale przynajmniej dogadaliśmy się :) ) proponuję ten link: Uwaga: ten link jest całkowicie bezpieczny, o ile nie podasz w okienku, które wyskoczy - prawdziwego loginu z tego forum. Gwarantuję! Niech mnie Bartezu zabije, jeśli jest inaczej. Podaj wymyśloną nazwę, która zupełnie Ciebie nie identyfikuje. Po wypełnieniu prośby o name i uważnym przeczytaniu komunikatów będzie jasne, dlaczego prosiłem o zmianę nicka :) Linka przeklejamy, a nie klikamy, bo to nie mój serwer i wolę nie ryzykować słowem za to co on ew. zbiera (kto nie wie co może zbierać, niech po prostu przekleja :) ) Wypelnić "name" i kliknąć ten guzik z głupimi napisami. ------------------------------------ |
Cytat:
"Good boy, PALI! You didn't watch any porn recently." http://img580.imageshack.us/img580/8/screen005l.png :P Cytat:
|
andy odpalił kartę prywatną :]
|
heh, no nie musiałeś zdradzać :)
A co tam masz włączone, tryb prywatny? ----------------------- Nie tylko niewiedza. Zobacz, otwieram wątek na forum, spodziewam się, że całość idzie po SSL, a tu mi wyskakuje content z innej domeny. I co? Skąd mam wiedzieć zawczasu, że tak nie jest? Of course, browser ostrzeże, o ile jako ZU nie wyłączyłem ostrzeżenia... Bo np. wyskakiwały ciągle przy wielu innych takich witrynach.... Nie powinna tym sterować przeglądarka, moim zdaniem, tylko witryna powinna być odpowiednio zrobiona. |
Cytat:
Cytat:
FF4 nie jest podatny na ten atak więc rozszerzenie jest zbędne ;) Na Operce/IE/Safari/Chrome wyświetla jak się oglądało ? :> Cytat:
|
Lekarstwo na 49% badzewia roznoszącego się przez www to nie instalowanie lub odinstalowanie JAVY.
Wszystkie fake antywirusy, antymalware co to pięknie wyglądają i udają skanowanie pracują właśnie na tym. Ostatnio strona Smartka padła atakiem tego, btw nawet nie wiem czy to naprawił - ale wolę nie sprawdzać. |
Cytat:
Cytat:
|
Ilość załączników: 1
Cytat:
Załącznik 56721 kiszka to ja, sam wszedłem Zauważ, że przy hotlinku jpeg mozna to inaczej wybadać, didyouwatchporn cache nie sprawdza - ale to już faktycznie temat na inną dyskusję, masz rację. Dobranoc :) |
Cytat:
No i nie jestem... nie wiem co tam cenzura wycięła :P Cytat:
nie mam powodów by zmyślać... zassał się fake antywir, który ściągał rootkity. Po tamtym eksperymencie usunąłem Javę, bo i tak z niej teraz nie korzystam. PS Co gorsza Smartek tego nie wyciął chyba - avast mi się pluje cały czas, JS: Downloader po wejściu na jego stronę. |
Cytat:
Co do tematu uwierzytelniania SSL - wszędzie, gdzie mamy do czynienia z treścią generowaną przez użytkownika (User Generated Content) problem będzie istniał. Tylko w przypadku stron, które są zamkniętą całością (np strona banku) i nie ma możliwości dodawania własnej treści SSL zapewnia 100% wiarygodności strony. Oczywiście można zrobić coś z tych punktów, które wymienił pali. Z tego co się orientuję np facebook nie umożliwia bezpośredniego linkowania do obrazków, jeżeli połączenie jest po https. |
Na FB dla Polski SSL włączyli. Jednak nie działa to jeszcze dość dobrze, przy zaznaczonej opcji SSL nie działa czat...
|
|
Dziwna sprawa, u mnie to wygląda tak, że po lewej pokazuje kto jest online,
ale jak chce rozwinac liste czata po prawej to jest pusto :) Tak samo jak klikam na kogoś kto jest online po lewej to zamiast czata otwiera się profil osoby. Po wyłączeniu SSL wszystko wraca do normy. |
@Patrix zobacz na innej przeglądarce.
|
Może później. Mam zainstalowaną tylko Operę. Ale sprawdzę.
|
Andy,
a ten ich czat potrafi już skomunikować się z zewnętrznym jabberem? I jeśli tak, to czy transmisja jest szyfrowana? Jeśli szyfrowana, to jak? |
Cytat:
Cytat:
http://xmpp.org/rfcs/rfc3920.html#tls |
Czyli transmisja jest szyfrowana chociaz... nie dziala? O.o
Wiadomo***347;***263; wys***322;ana z ***63743; iPhone przy u***380;yciu Tapatalk |
Cytat:
|
Co nie zmienia faktu ze ktos pracuje nad rozwojem czegos co nie dziala ("gdyby")...
Wiadomo***347;***263; wys***322;ana z ***63743; iPhone przy u***380;yciu Tapatalk |
Cytat:
Kolejny raz napiszę - NIE UDZIELAJ SIĘ W TEMATACH O KTÓRYCH NIE MASZ PODSTAWOWEGO POJĘCIA BO SIĘ OŚMIESZYSZ. Połączenie s2s między serwerami to część specyfikacji XMPP. To działa i w teorii i praktyce. |
Cytat:
Cytat:
Wiadomo***347;***263; wys***322;ana z ***63743; iPhone przy u***380;yciu Tapatalk |
Cytat:
Cytat:
|
M@X,
czat fb jest oparty o rozwiązania jabberowe (gdzieś tak ktoś pisał), ale fb nigdy nie otworzył swojego komunikatora na resztę jabberowej sieci. Stąd jest to zwykły zamknięty komunikator, ograniczony do grupy użytkowników fb i w zasadzie nieistotne jest czy zrobiony on jest jako XMPP czy nie, bo nie komunikuje się ich podsieć ze światem. Pytałem, bo ktoś kiedyś wyraził przypuszczenie, że fb sieć otworzy. A na moje pytanie o szyfrowanie, Andy słusznie wskazał, że normalny otwarty jabber (komunikujący się z innymi serwerami) musi po prostu spełniać wymogi standardu - bo inaczej to nie jest żaden jabber, tylko kolejny zamknięty komunikator. |
Dzieki za wyjasnienie - teraz to ma sens.
Dla mnie ten caly Jabber powinien wymieniac baze uzytkownikow i serwero pomiedzy maszynami. Gdy jeden serwer padnie przerzuca sie uzytkownikow z jednego na drugi i protokol dalej dziala. Jesli dzialanie komunikatora bedzie uzaleznione od uptime serwera na ktorymmamy konto, to o tylek potluc taki protokol... |
Nie jest uzależnione. W parę minut mogę przenieść swojego jabbera od Googla do zupełnie innego dostawcy - i będę miał ten sam JabberID. Parę razy już przenosiłem się (wracam do googla, bo lubię klienta google talk :) )
Problem masz, jeśli przywiązałeś się do JID, który nie jest twoją własnością, bo dostałeś go od dostawcy, a dostawca jest lewy. Fizycznie pad serwera nie musi być problemem: każdy serwer powinien mieć mirrora, cloudy są teraz. Skype tak działa jak byś chciał, pozornie. Kiedyś skasowałem mnóstwo kontaktów, no i nie było ich. Po paru miesiącach zalogowałem się z innej maszyny i kontakty wyskoczyły. Niby dobrze, ale to pozory: jesteś przywiązany do infrastruktury Skype swoim identyfikatorem. Jeśli Skype padnie, to nigdzie go nie przeniesiesz bez zgody Skype. No i Skype też nie będzie działał bez root serwerów, mimo że jest p2p. Pewnie pomyślisz, że to nie jest proste :) Prostota Skype jest pozorna, robotę odwalili za Ciebie admini Skype. Miej admina Jabbera, to też będzie simple ;) //edit źle to wytłumaczyłem, bo jestem zmęczony jeśli coś niejasne, to pytaj nie ma tu grama ideologii - to czysta technika jabber nie jest przywiązany do żadnej infrastruktury, czego żaden komunikator nie zapewnia nie patrz na "serwer" jak na konkretną fizyczną maszynę to tak jakbyś myślał, że gmail padnie, bo komputer się googlowi popsuje |
Mam ;-). Korzystam z uTalk na iPhone - zakladasz konto w programie i masz predefiniowane transporty do absolutnie kazdego protokolu, wybierasz tylko z czego chcesz korzystac. Nie musze wiedziec co to Jabber, nie musze wiedziec jak dziala transport. Wlaczam, zakladam konto, wybieram GG i korzystam. Koniec.
|
No i właśnie o to chodzi.
Jedyny problem jaki możesz mieć w przyszłości, to taki że dostałeś swojego JIDa od dostawcy w użytkowanie i jesteś od dostawcy uzależniony, Protokół XMPP pozwala, co jest unikalne na rynku komunikatorów, abyś był właścicielem swojego JIDa i robił z nim co chcesz*, podczepiał go do infrastruktury dowolnego dostawcy albo sam dla siebie stał się dostawcą; abyś mógł dowolnie określać zasięg swojego komunikatora (możesz gadać ze wszystkimi albo np. tylko z Bułgarami czy userami wybranych domen). * W pewnych granicach, bo np. żadnej domeny nie kupujesz na własność, a jedynie abonujesz. Ale domenami zarządza kto inny i to jest ogólny problem Internetu. |
Cytat:
FB używa serwera ejabberd2.x. Obecnie można się podłączyć pod ichniejszy chat dowolnym klientem Jabbera - c2s jest otwarte, teraz czekamy na s2s. Cytat:
Cytat:
Cytat:
Cytat:
Cytat:
Po drugie, to jak wygląda komunikator w oparciu o XMPP zależy od jego autora, on implementuje to wszystko. |
| Wszystkie czasy w strefie CET. Aktualna godzina: 08:53. |
Powered by vBulletin® Version 3.8.11
Copyright ©2000 - 2025, vBulletin Solutions Inc.