HWSW Informatikai Kerekasztal: Re: Súlyos hibát vétett a kínai tanúsítvány-kibocsátó - HWSW Informatikai Kerekasztal

Ugrás a tartalomhoz

Mellékleteink: HUP | Gamekapocs

Oldal 1 / 1
  • Nem indíthatsz témát.
  • A téma zárva.

Re: Súlyos hibát vétett a kínai tanúsítvány-kibocsátó

#1 Felhasználó inaktív   HWSW 

  • HWSW
  • PipaPipaPipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 9.283
  • Csatlakozott: 2009. márc. 17.

Elküldve: 2015. 03. 25. 16:02

Elképesztően súlyos hibát vétett a CNNIC, a kínai tanúsítvány-kibocsátó szervezet. A Google figyelmeztetése szerint egy egyiptomi vállalat a tanúsítványt minden szabályt megszegve tudta felhasználni, ezzel megszemélyesítve a Google szervereit.
https://www.hwsw.hu/hirek/53752/google-tanusitvany-cnnic-titkositott-forgalom.html

#2 Felhasználó inaktív   xclusiv 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 11.057
  • Csatlakozott: --

Elküldve: 2015. 03. 25. 16:02

cnnic root cert ment a levesbe, és ha már arra jártam akkor a cinic, chungwa, wosign cert-ek is.

#3 Felhasználó inaktív   Asker 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.563
  • Csatlakozott: --

Elküldve: 2015. 03. 25. 20:40

mar megint ez a too big to fail XD
pedig husdaralot kene rendezni egy ilyen utan, aztan a tobbiek is megvalogatnak hogy kinet mit hogyan.
"I was a Marine in the invasion of Iraq. It was 2 years before I could watch any type of violent movie. War truly is hell. Killing, bleeding, dying and crying are terrible, and great. If you fight for glory and power you are evil and will die in vain. I and every other warrior fought for each other. For family, for friends, for the US, for Sparta."

#4 Felhasználó inaktív   dkekesi 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 280
  • Csatlakozott: --

Elküldve: 2015. 03. 25. 20:54

Bár itt kemény emberi mulasztás történt és nem a technológiát támadták, de az ilyen esetek is jelentősen gyengítik a hitelesítés szolgáltatókba vetett hitet. Arról nem is beszélve, hogy egy mezei felhasználónak ez az egész PKI világ átláthatatlanul bonyolult.
Mi sem győzzük elmondani az ügyfeleinknek, hogy attól, hogy egy dokumentumon aláírás van, még nem fogjuk automatikusan megbízhatónak minősíteni és a tartalmat hitelesnek beállítani. Amit rendszeresen megkérdeznek, hogy az Adobe Reader miért nem jelez zöld pipát, ha a dokumentum alá van írva (mindezt olyan környezetben, ahol a joghatás releváns)? Sokszor azért nem, mert egy "self-signed certificate CN=Gipsz Jakab" nem igazán áll meg egy kicsit is szakértő bíróságon (egy igazságügyi szakértő előtt meg pláne nem).

#5 Felhasználó inaktív   dkekesi 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 280
  • Csatlakozott: --

Elküldve: 2015. 03. 25. 21:05

@Asker: ahogy a cikk is írta: "Az üzleti és biztonsági folyamatok bevizsgálása és elfogadása mindig a "megbízható" minősítést kiállító felelőssége" valamint "a szervezet gyökértanúsítványától rengeteg, amúgy jól viselkedő oldal függ". Ez azt jelenti, hogy:
1. bedöntik a CNNIC-t és egy csomó vállalkozás - aki csak a CNNIC-cel volt partner - lehúzhatja a rolót;
2. felülvizsgálják a CNNIC működését, ami alatt a "jól viselkedő" közbenső szolgáltatók átmennek más root CA-khoz. Ezen root CA-knak viszont szintén be kell vizsgálnia az újonnan belépőket, hogy a "megbízható" plecsnit megkaphassák.
Ez utóbbi kíméletesebb megoldás a tisztességes cégekkel. Aki a CNNIC-től jön, azt ezután valószínűleg minden root CA nagyítóval fogja átnézni, hogy minden stimmeljen (senki nem fog vakon bízni a CNNIC "megbízható" minősítésében).
Én is a második megoldás mellett döntenék és az intermediate CA-k helyében gyorsan elkezdenék egy vagy több másik root CA után nézni.

#6 Felhasználó inaktív   kisrobert 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.564
  • Csatlakozott: --

Elküldve: 2015. 03. 25. 21:16

@dkekesi: "Sokszor azért nem, mert egy "self-signed certificate CN=Gipsz Jakab" nem igazán áll meg egy kicsit is szakértő bíróságon (egy igazságügyi szakértő előtt meg pláne nem)."
Hááát... ...én azért ennyire határozottan nem fogalmaznék - amilyen igazságügyi szakértői szakvéleményekbe lehet időnként belefutni.
(Amúgy igazad van a hitelességet tekintve, csak a hazai bíróság és a hozzá tartozó szakértői brigád szakmai hozzáértése meglehetősen megkérdőjelezhető.)

#7 Felhasználó inaktív   kisrobert 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 1.564
  • Csatlakozott: --

Elküldve: 2015. 03. 25. 21:16

.

Szerkesztette: kisrobert 2015. 03. 25. 21:17 -kor


#8 Felhasználó inaktív   galffy 

  • Törzsvendég
  • PipaPipaPipa
  • Csoport: Stábtag
  • Hozzászólások: 821
  • Csatlakozott: 2011. jan. 24.

Elküldve: 2015. 03. 25. 21:47

@dkekesi: Remélhetőleg a Google figyelmeztetését a CNNIC minden nyájas ügyfele így értelmezte és veszi a cókmókját :)

#9 Felhasználó inaktív   dragon1993 

  • Tag
  • PipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 114
  • Csatlakozott: --

Elküldve: 2015. 03. 25. 23:02

@xclusiv: Én a wosign certet hagynám, páran elkezdték használni, 2 éves ingyen certet ad.

#10 Felhasználó inaktív   'Geri' 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 5.056
  • Csatlakozott: --

Elküldve: 2015. 03. 26. 04:35

nagy naivitás kell ahhoz, hogy a szép zöld https feliratra ráállva a biztonságos webcím sallangot elhigyje valaki.

#11 Felhasználó inaktív   Leni 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 4.173
  • Csatlakozott: --

Elküldve: 2015. 03. 26. 11:29

@"Geri": "nagy naivitás kell ahhoz, hogy a szép zöld https feliratra ráállva a biztonságos webcím sallangot elhigyje valaki."

Pedig az esetek 99,999+ (sokkilences) százalékában biztonságos. És majdnem 100%-ban biztonságosabb, mint a sima http. És ha a befektetett energia több, mint a várható nyereség, akkor nem igazán kell tartani a rosszindulatú töréstől, megfigyeléstől. Ez az esetek sokkilences százalékára igaz.

Ma már ez elvárt minimum, és nem naiivitás kérdése, hanem a realitásé.

#12 Felhasználó inaktív   xclusiv 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 11.057
  • Csatlakozott: --

Elküldve: 2015. 03. 26. 23:49

Üzenet megtekintéseIdézet: Asker - Dátum: 2015. 03. 25. 20:40

mar megint ez a too big to fail XD
pedig husdaralot kene rendezni egy ilyen utan, aztan a tobbiek is megvalogatnak hogy kinet mit hogyan.

Így van, "mar megint ez a too big to fail", lassan értelmezhetnéd is jelentését, ha már a hangzása annyira tetszik neked :D

Amúgy meg igen, megválogatom hogy kiben bízok. Kínai site-okkal - jó közelítéssel - szándékosan nem kerülök kapcsolatba, max ebay-en keresztül, de az ugye más bábszínház.
Ezt figyelembe véve nyugodt szívvel tiltom ezeket, max. ha valamit _tényleg_ el akarok érni és _az_ nem megy, akkor majd felülvizsgálom a korábbi szabályaimat. Evvan. A bizalom olyan dolog, amit könnyű elveszíteni.

Szerkesztette: xclusiv 2015. 03. 27. 00:05 -kor


#13 Felhasználó inaktív   xclusiv 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 11.057
  • Csatlakozott: --

Elküldve: 2015. 03. 26. 23:57

Üzenet megtekintéseIdézet: dragon1993 - Dátum: 2015. 03. 25. 23:02

@xclusiv: Én a wosign certet hagynám, páran elkezdték használni, 2 éves ingyen certet ad.

Én nem hagytam, akármit is ad. Annyira nem bízok benne.
A startcom is ad ingyen cert-et, igaz csak egy évre. Bár amikor a játszós szerveremre akartam cert-et okozni akkor épp köhögtek, szóval inkább kiadtam kemény 8 dollárt egy comodo-s cert-re egy évre. Ez még a mai, elborult dollár árakon is 2200 Ft.

Na ha valaki ennyit nem tud kiadni egy cert-ért, és tényleg meg is akarom nézni az oldalát, akkor egyedileg engedélyezem...

#14 Felhasználó inaktív   xclusiv 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 11.057
  • Csatlakozott: --

Elküldve: 2015. 03. 27. 00:04

Üzenet megtekintéseIdézet: Leni - Dátum: 2015. 03. 26. 11:29

@"Geri": "nagy naivitás kell ahhoz, hogy a szép zöld https feliratra ráállva a biztonságos webcím sallangot elhigyje valaki."

Pedig az esetek 99,999+ (sokkilences) százalékában biztonságos. És majdnem 100%-ban biztonságosabb, mint a sima http. És ha a befektetett energia több, mint a várható nyereség, akkor nem igazán kell tartani a rosszindulatú töréstől, megfigyeléstől. Ez az esetek sokkilences százalékára igaz.

Ma már ez elvárt minimum, és nem naiivitás kérdése, hanem a realitásé.

És ez egészen addig igaz, amíg nem jön egy - a böngésződ vagy egyéb sw-ed által - megbízhatónak tartott CA, ami kiad valakinek tanúsítványt pl. a gmail.com, facebook.com, outlook.com, és stb. oldalakra. Vagy akár ad jogot arra bárkinek, hogy ilyen cert-et állítson ki magának.

#15 Felhasználó inaktív   Leni 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 4.173
  • Csatlakozott: --

Elküldve: 2015. 03. 27. 00:09

@xclusiv: Akkor értelmezd még egyszer azt, amit írtam.

#16 Felhasználó inaktív   xclusiv 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 11.057
  • Csatlakozott: --

Elküldve: 2015. 03. 28. 02:21

Üzenet megtekintéseIdézet: Leni - Dátum: 2015. 03. 27. 00:09

@xclusiv: Akkor értelmezd még egyszer azt, amit írtam.

Értelmezem, és továbbra is úgy gondolom ahogy.

Persze, a http-nél jobb a https, még self signed cert-tel is. Ez nem is kérdés.

Az igazi probléma ott van, amikor megbízol egy zöld címsorban, ahol a cert nem is az, aminek kellene lenni, de a böngésződ megbízik a root CA-ban. Ennek persze kicsi az esélye, nyilván. De a cikk szerint is valós a lehetőség.

Mert honnan tudhatod, hogy az egyiptomi XY holding csak saját magának adott ki cert-et, és nem adott ki pl. az egyiptomi elhárításnak?
Vagy épp a magyar "hárombetűs"cégeknek, amivel persze nyugodtan használod a gmail-t, outlook-ot, facebook-ot, akármit, akár otthonról is. Aztán másnap bent az állami cégnél egy elbocsátó szép üzenet vár, hogy köszönik szépen az eddigi munkádat de a továbbiakban nem kívánnak alkalmazni. Magyarázat persze nincs...
Valószínű? Nem.
Elképzelhető? Igen.

Persze megoldható a certificate pinning és egyebek, de ezt egy r=1 usernek nem fogod elmagyarázni...

#17 Felhasználó inaktív   Leni 

  • Senior tag
  • PipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 4.173
  • Csatlakozott: --

Elküldve: 2015. 03. 28. 20:30

@xclusiv: "Persze, a http-nél jobb a https, még self signed cert-tel is. Ez nem is kérdés."

És én kb ennyit állítottam.

továbbá:

"És ha a befektetett energia több, mint a várható nyereség, akkor nem igazán kell tartani a rosszindulatú töréstől, megfigyeléstől. "

#18 Felhasználó inaktív   xclusiv 

  • Őstag
  • PipaPipaPipaPipaPipa
  • Csoport: Fórumtag
  • Hozzászólások: 11.057
  • Csatlakozott: --

Elküldve: 2015. 03. 30. 23:46

Üzenet megtekintéseIdézet: Leni - Dátum: 2015. 03. 28. 20:30

@xclusiv: "Persze, a http-nél jobb a https, még self signed cert-tel is. Ez nem is kérdés."

És én kb ennyit állítottam.

Igen, csak gerike azon állítására, hogy "nagy naivitás kell ahhoz, hogy a szép zöld https feliratra ráállva a biztonságos webcím sallangot elhigyje valaki"

Ami a cikk alapján amúgy igaz. Bármennyire is furcsa nekem, hogy egyetértek gerivel. Mert hamis biztonságérzetet ad az a zöld sáv...

Idézet

továbbá:

"És ha a befektetett energia több, mint a várható nyereség, akkor nem igazán kell tartani a rosszindulatú töréstől, megfigyeléstől. "

Ez mind igaz, de ugye egy olyan országról beszélünk, ahol simán elvették a nyugdíjpénzeket, simán bezártak vasárnap szinte mindent, meg éjjel is amúgy, amiről szinte szó se esik. Belepofáznak erőszakkal az életedbe, ha nekik úgy tetszik...

Kommandósokat küldtek civil szervezetekre, amik közpénzt ugyan nem kaptak, de a közpénzek ellenőrzésére hivatott kehi-vel basztatták őket, mert a pártnak nem tetszett az irány...

A netadóval is bepróbálkoztak (azóta is megy ennek a szánalmas utánrengése tompikával vezetve), csak ott az ncore népébe beletört ugye a bicskájuk.

Szóval nem mondom én azt, hogy komoly kockázata van, hogy r=1 emberek ellen ilyet használjanak ezek. Én is tolom publikusan bátran, nagy pofával "s" nélküli http-n, mert leszarom.
De azért egy halk "éberség, elvtársak" azért erősen indokolt szerintem, már ha érted mire gondolok...

Téma megosztása:


Oldal 1 / 1
  • Nem indíthatsz témát.
  • A téma zárva.

1 felhasználó olvassa ezt a témát.
0 felhasználó, 1 vendég, 0 anonim felhasználó