[andy]

Cytat:

Napisany przez pali

Obrazek może być zupełnie nieszkodliwy.

Obrazek w moim przypadku jest nieszkodliwy i zawierał tylko linka do strony z malware.

Cytat:

1. Zamieszczam temat w "Komputerach" z hotlinkiem do obrazka. Zajrzysz
2. Wysyłam w PW linka do witryny w miarę uznanej, nie raportowanej.
3. Wiem, że to Ty zaglądasz, bo masz w cache obrazek - nie pobierasz go z mojego serwera.
4. Wyświetlam stronę spersonalizowaną. Niekoniecznie z exploitem. Może być np. treść mająca wywołać określone emocje, przygotowana pod Ciebie. Np. pornograficzny fotomontaż z twoim wizerunkiem.
5. Szukasz telefonu do admina tej strony. Owszem jest podany...
6. Spotykamy się. Morduję Ciebie

Przed tym, jak mówisz, SSL nie chroni.
Może stwarzać złudne poczucia bezpieczeństwa.
Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki.

Nie do końca widzę łapiesz po co jest i co zapewnia SSL.

SSL jest po to i tylko po to aby zapewnić poufność oraz bezpieczeństwo między dwoma punktami - np. Tobą i serwerem WWW, SSL nie zapewnia tego że strona jest wolna od odnośników szkodliwych, nie zapewnia że to jest bezpieczne miejsce bo niby jak? Od tego są inne warstwy zabezpieczające.

Cytat:

Może stwarzać złudne poczucia bezpieczeństwa.

Bzdura. SSL zapewnia całkowite bezpieczeństwo w transmisji punkt A---B. Tego ruchu nie da się podejrzeć!

Cytat:

Aby całe forum objąć SSL należałoby skryptem usunąć hotlinki.

Znowu bzdurka bo jak pisałem wyżej SSL służy tylko i wyłączenie do zapewnienia bezpieczeństwa i poufności przekazu od punktu A do punktu B.

Cytat:

Scenariusz oczywiście nieco dziurawy, ale można go dopracować

Scenariusz opisany przez Cienie nie jest dziurawy. To jest przykład jak można wyciągnąć od kogoś informacje
Polecam zobaczyć cały wykład.

Cytat:

btw nie wiem czy byłeś, ale z tego powodu na Onion Forum nie ma hotlinków.

Onion forum już nie istnieje o ile się nie mylę. Co do zakazu hotlinkowania to było to robione z powodu prywatności, TOR zapewniał w 99% prywatność o ile się z niego umiejętnie korzystało (zablokowane ciastka, wyłączone skrypty JS itd.)

Cytat:

Napisany przez Berion

To, że ustawiam WPA2 i myślę nad radiusem, a nie stoję na WEP/WPA to już zaraz jestem paranoikiem?

Szczerze? Radius ma sens tylko i tylko wtedy kiedy z sieci korzysta kilka, kilkanaście osób Na dzień dzisiejszy WPA2-PSK jest nie do złamania jeżeli stosujesz niesłownikowe długie hasła, zapewnia Ci 99% bezpieczeństwa.

Cytat:

Cenię sobie prywatność i wiem, że jeśli się odpowiednio zabezpieczę to potencjalny script kieddies czy inny pedofil poszuka sobie innej ofiary. ;P

Prywatność to już całkiem inny temat tak na prawdę. W dzisiejszym świecie żeby zachować swoja prywatność trzeba by się ładnie cofnąć w rozwoju - brak komórki, praktycznie nie używać internetu itp. itd.
Sam osobiście wolę rozwiązanie pomiędzy super prywatnością a super wygodą. Zresztą tak samo mam jeżeli chodzi o bezpieczeństwo.

Cytat:

Niemniej całe forum po SSL dziwnie by wyglądało...
Może tylko jako opcjonalny formularz logowania i to też dostępny dla stałych userów, na życzenie. Ale wątpię, aby adminowi chciało się

Wcale nie dziwnie
Wprowadzenie SSLa tylko dla konkretnych użytkowników było by o wielie trudniejsze niż wprowadzenie tego dla wszystkich. No ale jak Bartez wcześniej napisał skoro nie ma sprzętu do tego to nie ma o czym mówić.
Choć dla testów mógłby postawić SSLa na samo uwierzytelnienie forum(na razie cert self signed) aby zobaczyć jak bardzo będzie to obciążać serwer. Jeżeli obciążenie będzie akceptowalne to można by wykupić płatny certyfikat.