Re: Kegyetlen karácsonyi ajándék a Google-tol
#1
Elküldve: 2014. 09. 08. 12:05
https://www.hwsw.hu/hirek/52825/google-tanusitvany-sha-1-chrome-bongeszo-https-web-biztonsag.html
#2
Elküldve: 2014. 09. 08. 12:05
Igen. időközben már megtudtunk mindent , bizonyos Edward Snowdentől, ezekről a bizonyos KISkapucskákról...
#3
Elküldve: 2014. 09. 08. 12:33
#4
Elküldve: 2014. 09. 08. 12:41
http://www.kiskapu.hu/
#5
Elküldve: 2014. 09. 08. 12:50
#6
Elküldve: 2014. 09. 08. 13:18
Szerkesztette: 'Geri' 2014. 09. 08. 13:19 -kor
#7
Elküldve: 2014. 09. 08. 13:27
Idézet: 'Geri' - Dátum: 2014. 09. 08. 14:18
@'Geri': windows visztától felfelé (7-nél 8-nál pl.) ezt már sikerült 14 karakterre "csökkenteni" úgy , hogy a szivárványtáblákkal a 14 karakteres, az általad felsorolt kritériumokkal rendelkező jelszó IS feltörhető, kb. ugyanennyi idő alatt.
#8
Elküldve: 2014. 09. 08. 13:50
Szerkesztette: 'Geri' 2014. 09. 08. 13:51 -kor
#9
Elküldve: 2014. 09. 08. 13:52
#10
Elküldve: 2014. 09. 08. 13:54
#11
Elküldve: 2014. 09. 08. 13:59
#12
Elküldve: 2014. 09. 08. 14:06
Hadd eméssze fel csak a 128 processzortokozású egyenként 512 magos kvantumgépeiket
#13
Elküldve: 2014. 09. 08. 14:36
#14
Elküldve: 2014. 09. 08. 14:44
#15
Elküldve: 2014. 09. 08. 15:42
Valószínűleg eddig is teljeskörű tájékoztatást kaptak a CA-k ügyfelei, hogy mivel jár a SHA1 használata, ennek ellenére ragaszkodtak hozzá, nem pedig félrekattintottak rendeléskor. Ha az ügyfél így akarja, hát legyen, véleményem szerint kérhessen nyugodtan akár MD5-öt is. A CA keze tiszta, ő (remélhetőleg) elmagyarázta a dolgot, innentől fogva nem az ő felelőssége ez. Nem hinném, hogy ezen a Chrome riasztása sokat fog változtatni, max. eggyel több dologra figyelmeztetik majd a CA-k az ügyfeleiket.
Tehát a CA-knak semmilyen szinten nem érdekük, hogy kivonják a kínálatukból a SHA1-et, amíg ez nem az ő felelősségük. Max. az anyagi biztosítással járó tanúsítványokat már nem ezzel adják ki, vagy csak nagyon kis értékig vállalnak rá kockázatot.
Ami hordozható, az nem megbízható!
#17
Elküldve: 2014. 09. 08. 15:56
NINCS olyan, hogy kiberbiztonság. Sőt egyenesen a vicc kategória, már a hasam fogom a röhögéstől lassan amikor ilyen jellegű cikk jön ki.
Bármilyen vírusírtó, bármillyen figyelmeztetés, bármilyen biztonságosnak nevez... titulált OS vagy bármilyen biztonságosnak hitt szoftver és ezek tetszőleges kombinációja sem ér együttesen sem egy kalap szart sem, a gép előtt ülő szakértelme és mégfontosabb, józan paraszti esze nélkül.
Nos ez az amiből a legjobban híján vannak az emberek széles-e világban...
Ezért vagyunk itt mi , hogy osszunk is belőle ... jusson belőle másoknak is.
#18
Elküldve: 2014. 09. 08. 15:57
#19
Elküldve: 2014. 09. 08. 16:00
#20
Elküldve: 2014. 09. 08. 16:08
Idézet: Root_Kiskacsa - Dátum: 2014. 09. 08. 16:42
Egy cert beszerzése az ügyfél számára gyakran nem triviális feladat. A next-next-finish process közepe táján a hitelkártyás ügyfél egyszercsak felcsattan egy upload mezőn, ahol meg kéne adjon csr-t, és vakargathatja a fejét, keres valakit, aki képes túljuttatni ezen a problémán. Ha a folyamat bármely pontján sha-1 default, akkor simán rászaladhat.
Én eddig ha talán egy ssl CA-t láttam, aki explicit felhívta a figyelmet rá, hogy sha-1(illetve 2048bit kulcsméret alatti érték) erősen not recommended, és csak saját felelőségre válaszd, a többinél valami faq vagy knowledge base mélyéről kellett elővadászni az infót.
Idézet: Root_Kiskacsa - Dátum: 2014. 09. 08. 16:42
Valószínűleg pedig de, mert a fentebb említett "nemértekhozzá" ügyfél a CA supportnál veri majd a hisztit, ha a böngészősávban piroslik az url eleje.