Súgó
Már webes felületen is lehet a weboldalak valódiságát garantáló SSL-tanúsítványt igényelni a NetLocktól, amelyek árát elektronikusan is ki lehet egyenlíteni,így az ügyfelek néhány perc alatt hozzájuthatnak a tanúsítványhoz.
http://www.hwsw.hu/h...-biztonsag.html' target='_blank'>http://www.hwsw.hu/h...-biztonsag.html
Oldal 1 / 1
Re: Online igényelhető SSL-tanúsítvány a NetLocktól
Értékeld a témát:
#1
- HWSW
-
- Csoport: Stábtag
- Hozzászólások: 4.651
- Csatlakozott: 2009. márc. 17.
Elküldve: 2009. 07. 01. 15:25
#2
- Senior tag
-
- Csoport: Fórumtag
- Hozzászólások: 3.254
- Csatlakozott: 2003. márc. 21.
Elküldve: 2009. 07. 01. 15:25
"...és közel 30 millió forintos bevételnövekedést vár."
Kicsit szúrósan megjegyzem, hogy ebben ezen cikk publikálása is jelentősen segít.
Véleményem szerint a NetLock weblapja még mindig egy gyökeres átalakításra szorul, eléggé nehezen átlátható. Ebben azért a konkurens szolgáltatók előnyben vannak. Viszont kétségtelenül a legnagyobb előnye a NetLocknak a többi magyar szolgáltatóval szemben, hogy a CA tanúsítványai alapból benne vannak a Windowsban (és így az IE-ben is), valamint a Firefoxban, így azok automatikusan elfogadják a NetLock által hitelesített weblapokat/e-maileket, nem riogatják a felhasználót, hogy érvénytelen a tanúsítvány.
Kicsit szúrósan megjegyzem, hogy ebben ezen cikk publikálása is jelentősen segít.
Véleményem szerint a NetLock weblapja még mindig egy gyökeres átalakításra szorul, eléggé nehezen átlátható. Ebben azért a konkurens szolgáltatók előnyben vannak. Viszont kétségtelenül a legnagyobb előnye a NetLocknak a többi magyar szolgáltatóval szemben, hogy a CA tanúsítványai alapból benne vannak a Windowsban (és így az IE-ben is), valamint a Firefoxban, így azok automatikusan elfogadják a NetLock által hitelesített weblapokat/e-maileket, nem riogatják a felhasználót, hogy érvénytelen a tanúsítvány.
Pen-drive-on, notebookon, PDA-n kizárólag máshonnan reprodukálható/visszamásolható adat legyen!
Ami hordozható, az nem megbízható!
Ami hordozható, az nem megbízható!
#3
- Tag
-
- Csoport: Fórumtag
- Hozzászólások: 235
- Csatlakozott: 2006. márc. 30.
Elküldve: 2009. 07. 02. 09:59
Ha nem reklámértékű a cikk, nem lehetett volna esetleg konkrét vagy legalább hozzávetőleges pénzügyi adatokat közölni, netán összehasonlítást tenni más szolgáltatók hasonló adataival? Mer' ugyan azt nyomtam, hogy "érdekes" és "hasznos", de a fentieket azér' hiányolom.
#4
- Senior tag
-
- Csoport: Stábtag
- Hozzászólások: 4.999
- Csatlakozott: 2000. okt. 26.
Elküldve: 2009. 07. 02. 11:40
A HWSW-n minden fizetett anyagot külön jelzünk, ez nem tartozik közéjük.
Valamiért azt gondoltam, érdekes lehet hogy már nem kell személyesen megjelenni és egy rakat papírt kitölteni egy tanúsítvány igényléséhez, online is el lehet intézni, kártyával fizetni, etc. Érdekes hogy rögtön mindenkinek az ugrik be, hogy egy ilyen megjelenésért fizetni kell.
Valamiért azt gondoltam, érdekes lehet hogy már nem kell személyesen megjelenni és egy rakat papírt kitölteni egy tanúsítvány igényléséhez, online is el lehet intézni, kártyával fizetni, etc. Érdekes hogy rögtön mindenkinek az ugrik be, hogy egy ilyen megjelenésért fizetni kell.
#5
- Újonc
-
- Csoport: Ellenőrzés alatt
- Hozzászólások: 1
- Csatlakozott: 2009. júl. 03.
Elküldve: 2009. 07. 03. 20:27
"Ebben azért a konkurens szolgáltatók előnyben vannak. Viszont kétségtelenül a legnagyobb előnye a NetLocknak a többi magyar szolgáltatóval szemben, hogy a CA tanúsítványai alapból benne vannak a Windowsban (és így az IE-ben is), valamint a Firefoxban, így azok automatikusan elfogadják a NetLock által hitelesített weblapokat/e-maileket, nem riogatják a felhasználót, hogy érvénytelen a tanúsítvány."
Ha jól tudom a Microsec már 2007 óta benne van a Microsoft tanúsítványtárában, és a legújabb 3.5-ös Firefox-ban is szerepel az elfogadott hitelesítés szolgáltatók között.
Ki lehet próbálni Mozilla Firefox 3.5-ben a https://www.magyarorszag.hu oldalt, azt a Microsec hitelesíti.
Az biztos, hogy a Microsec olcsóbban adja a webszerver tanúsítványokat, illetve nem teszt különbséget az ssl tanúsítványok között. A Netlock 3 fajta árkategóriába sorolja a webszerver tanúsítványokat, a legolcsóbb is drágább, mint a Microsecé. Számomra érthetetlen, hogy miért van 3 fajta ssl szerver díjszabás, ha még a legdrágább ssl tanúsítvány esetén személyes megjelenés, meg közjegyzői regisztráció is kötelező, mindezt egy böngésző nem tudja ellenőrízni.
Azaz egy böngésző nem teszt különbséget a drágább és olcsóbb webszerver tanúsítványok között, az a lényeg, hogy elfogadja-e azt, vagy sem. Szóval a legolcsóbbat kell megvenni, felesleges a drágábbat.
Más: a cikkben szerepel, hogy miket ellenőríz a Netlock a webszerver tanúsítványok kibocsátásakor (domain, e-mail,). Na akkor valaki holnap álnéven beregisztrálhatja valamelyik bankhoz hasonló domain-t (pl.: myotpbank.com) egy külföldi domain regisztráló oldalon (nem kérnek személyes adatokat, utalni kell (az is lehet névtelen)), felállíthat egy ilyen szervert, lekopizva az otp oldalát, aztán elmehet a Netlock híres 5 percen belüli ssl tanúsítvány kibocsátó oldalára. A whois ellenőrzés, az e-mail, és a domain birtoklási teszt jó lesz, kap is egy ssl tanúsítványt, majd mehetnek is az e-mail üzenetek a nagyvilágba sok-sok hiszékeny felhasználónak, hogy jelentkezzen be a bankjának a weboldalára (ami nagyon hasonlít az eredetire), adja meg a bejelentkezési adatait, az ügyfelek egy része hisz a weboldalnak, hiszen ssl, meg a böngésző is elfogadja, és már le is vannak lopva az adatai. A támadó meg mehet az éles adatokkal az igazi bank oldalára (persze az sms-s megerősítés már a bankok többségénél nehezíti a támadó dolgát), de lehetne más példát hozni, mint a bankok.
A lényeg, hogy a Netlock nagy hibát követ le, ha csakúgy égbe világba webszerver tanúsítványokat szor ki, és a webszerverek tulajdonosíit nem azonosítja, és nincsen tőlük egy aláírt papír, hogy a webszerverért felelőséget vállalnak, és birtokolják azt. Ha visszaélnek a webszerverrel, hogyan azonosítják be a webszerver tualjdonosát, nem lehet megfogni?
Ha jól tudom a Microsec már 2007 óta benne van a Microsoft tanúsítványtárában, és a legújabb 3.5-ös Firefox-ban is szerepel az elfogadott hitelesítés szolgáltatók között.
Ki lehet próbálni Mozilla Firefox 3.5-ben a https://www.magyarorszag.hu oldalt, azt a Microsec hitelesíti.
Az biztos, hogy a Microsec olcsóbban adja a webszerver tanúsítványokat, illetve nem teszt különbséget az ssl tanúsítványok között. A Netlock 3 fajta árkategóriába sorolja a webszerver tanúsítványokat, a legolcsóbb is drágább, mint a Microsecé. Számomra érthetetlen, hogy miért van 3 fajta ssl szerver díjszabás, ha még a legdrágább ssl tanúsítvány esetén személyes megjelenés, meg közjegyzői regisztráció is kötelező, mindezt egy böngésző nem tudja ellenőrízni.
Azaz egy böngésző nem teszt különbséget a drágább és olcsóbb webszerver tanúsítványok között, az a lényeg, hogy elfogadja-e azt, vagy sem. Szóval a legolcsóbbat kell megvenni, felesleges a drágábbat.
Más: a cikkben szerepel, hogy miket ellenőríz a Netlock a webszerver tanúsítványok kibocsátásakor (domain, e-mail,). Na akkor valaki holnap álnéven beregisztrálhatja valamelyik bankhoz hasonló domain-t (pl.: myotpbank.com) egy külföldi domain regisztráló oldalon (nem kérnek személyes adatokat, utalni kell (az is lehet névtelen)), felállíthat egy ilyen szervert, lekopizva az otp oldalát, aztán elmehet a Netlock híres 5 percen belüli ssl tanúsítvány kibocsátó oldalára. A whois ellenőrzés, az e-mail, és a domain birtoklási teszt jó lesz, kap is egy ssl tanúsítványt, majd mehetnek is az e-mail üzenetek a nagyvilágba sok-sok hiszékeny felhasználónak, hogy jelentkezzen be a bankjának a weboldalára (ami nagyon hasonlít az eredetire), adja meg a bejelentkezési adatait, az ügyfelek egy része hisz a weboldalnak, hiszen ssl, meg a böngésző is elfogadja, és már le is vannak lopva az adatai. A támadó meg mehet az éles adatokkal az igazi bank oldalára (persze az sms-s megerősítés már a bankok többségénél nehezíti a támadó dolgát), de lehetne más példát hozni, mint a bankok.
A lényeg, hogy a Netlock nagy hibát követ le, ha csakúgy égbe világba webszerver tanúsítványokat szor ki, és a webszerverek tulajdonosíit nem azonosítja, és nincsen tőlük egy aláírt papír, hogy a webszerverért felelőséget vállalnak, és birtokolják azt. Ha visszaélnek a webszerverrel, hogyan azonosítják be a webszerver tualjdonosát, nem lehet megfogni?
Téma megosztása:
Oldal 1 / 1