Biztonsagi hirek a nagyvilagbol

**Geri** · 2015-10-30, 07:19

Ha valakinek van 000webhost-nal fiokja, es ujrahasznalta az ottani jelszavat, erdemes megvaltoztatni mindenhol:
Troy Hunt: Breaches, traders, plain text passwords, ethical disclosure and 000webhost

**earnnet** · 2015-10-30, 09:56

Már-már mulatságos, hogy milyen ostobán kezelték az ügyet

Mindegy, jó kis olvasmány volt reggelre

**Geri** · 2015-10-30, 11:38

earnnet eredeti hozzászólása

Már-már mulatságos, hogy milyen ostobán kezelték az ügyet

Mindegy, jó kis olvasmány volt reggelre

Nekem inkabb a felhaborito szo jut rola eszembe. Bar az is lehet hogy szandekos az egesz. Lehet ok arultak a sajat adatbazisukat $2000-ert.

**Koala** · 2015-10-30, 12:29

Geri eredeti hozzászólása

Nekem inkabb a felhaborito szo jut rola eszembe. Bar az is lehet hogy szandekos az egesz. Lehet ok arultak a sajat adatbazisukat $2000-ert.

Annyira rosszul csak nem megy nekik

De ha jól tudom már több hónapja kint van az adatbázisuk. Nem olvastam ezt végig, csak fura, hogy most ír róla.

**Geri** · 2015-11-05, 11:21

Egy csapatnak kifizetesre kerul a Zerodium altal felajanlott egy millio dollaros bounty:
Browser-Based iOS 9.1/9.2 Jailbreak Wins $1M Bounty, Will Be Sold for Corporate and Government Use - Mac Rumors
A kiiras:
https://www.zerodium.com/ios9.html

**Geri** · 2015-12-04, 15:12

A Let's Encrypt(ingyen SSL) publikus betaba lepett: https://letsencrypt.org/

**earnnet** · 2015-12-04, 16:16

Ez tök jól hangzik, és két kérdést rögtön fel is vet. Mi adja a CA megbízhatóságát? És mi tántorítja el innentől a cégeket, hogy mindenki leváltsa a többszáz dolláros tanúsítványokat ingyenesre? Na meg hogyha ez teljesen ingyenes, könnyebb vele visszaélni, nem fogja-e két hét után a Chrome áthúzni a lakatot mondván, hogy ez a CA szerinte nem megbízható? Szvsz ha nem lesz teljes körűen elfogadott, az sokkal rosszabb user experience (mármint a nem biztonságos kapcsolat jele), mintha nem is lenne tanúsítvány.

**Geri** · 2015-12-04, 16:37

earnnet eredeti hozzászólása

Mi adja a CA megbízhatóságát?

Ugyanaz mint a tobbiet

Minden bongeszo elfogadja az altaluk hitelesitett certificate-et

earnnet eredeti hozzászólása

És mi tántorítja el innentől a cégeket, hogy mindenki leváltsa a többszáz dolláros tanúsítványokat ingyenesre?

Egy alap cert nem szazdollar, hanem kb 10. Ez ugyebar csak domaint hitelesit, nem irja ki az adott ceg adatait a cert-en. Viszont igy is sokkal jobb mint a sima http, mert nem plaintextben mennek az adatok a halozaton. Igy ha mondjuk ugyanabban a netkavezoban vagyunk, akkor nem latom az esetlegesen erzekeny adataidat amikor bongeszel egy oldalt.

earnnet eredeti hozzászólása

Na meg hogyha ez teljesen ingyenes, könnyebb vele visszaélni

Nem tudom milyen visszaelesre gondolsz?

Nekem ilyen SSL van ezen az oldalamon egy ideje(meg a privat beta idoszakban raktam fel): https://greg.molnar.io/

**earnnet** · 2015-12-04, 20:09

Viszont igy is sokkal jobb mint a sima http, mert nem plaintextben mennek az adatok a halozaton.

eddig is volt a self signed, ami ugyanígy titkosított. egy netkávézóban pedig nem a webgazda feladata résen lenni, hanem a júzer döntése normális proxyt használni

Arra gondoltam, hogy mivel ingyenes, ki lesz hagyva az az ellenőrzési folyamat, amit most egy cégtől kérnek ha tanúsítványt vásárol. És más nevével lehet majd ténykedni. És a kételyeim ott jöttek elő, hogy szabad lett a terep: az összes banki oldal egybetűs elgépelésével lakatokat és biztonságos kapcsolatokat fogunk látni, ami nem éppen jó.

Na de egyébként tényleg jó dolognak hangzik, és semmi okom nem lett volna belekötni

Sőt, én is ki fogom próbálni, mert a https menő

**Geri** · 2015-12-04, 20:16

earnnet eredeti hozzászólása

eddig is volt a self signed, ami ugyanígy titkosított. egy netkávézóban pedig nem a webgazda feladata résen lenni, hanem a júzer döntése normális proxyt használni

A self-signed-al az a baj, hogy a bongeszo nem tartja alapbol hitelesnek, a kliensnek el kell fogadnia. Nameg nem ved semmit a MiTM ellen.
A proxy egyebkent nem ved meg, szerintem a vpn-re gondoltal. De egyebkent nem is kell netkavezo ehhez. Akar itthon ha feltorom a szomszed wifi-jet, az osszes http forgalmat plaintextben tudom bongeszni(na jo ez kicsit tulzas, de mindent vissza tudok plaintext-be fejteni). Ezert szerintem igen is a webgazda feladata, hogy ahol login van, ott hasznaljon SSL-t.

earnnet eredeti hozzászólása

Arra gondoltam, hogy mivel ingyenes, ki lesz hagyva az az ellenőrzési folyamat, amit most egy cégtől kérnek ha tanúsítványt vásárol. És más nevével lehet majd ténykedni. És a kételyeim ott jöttek elő, hogy szabad lett a terep: az összes banki oldal egybetűs elgépelésével lakatokat és biztonságos kapcsolatokat fogunk látni, ami nem éppen jó.

Te vettel mar SSL cert-et?

Az alap validalas annyibol all, hogy a domainhez tartozo emailcimmel igazolod hogy tied a domain. Barki vehet cert-et egy elutott banki domainhez, semmi se akadalyozza meg.

earnnet eredeti hozzászólása

Na de egyébként tényleg jó dolognak hangzik, és semmi okom nem lett volna belekötni

Sőt, én is ki fogom próbálni, mert a https menő

Ne azert probald ki mert meno, hanem mert 1 fokkal biztonsagosabb mint http.

Téma: Biztonsagi hirek a nagyvilagbol

Téma eszközök

Display

re: Biztonsagi hirek a nagyvilagbol

Az alábbi felhasználók hálásak a válaszért:

re: Biztonsagi hirek a nagyvilagbol

re: Biztonsagi hirek a nagyvilagbol

re: Biztonsagi hirek a nagyvilagbol

re: Biztonsagi hirek a nagyvilagbol

The Following 3 Users Say Thank You to Geri For This Useful Post:

re: Biztonsagi hirek a nagyvilagbol

The Following 2 Users Say Thank You to Geri For This Useful Post:

re: Biztonsagi hirek a nagyvilagbol

re: Biztonsagi hirek a nagyvilagbol

re: Biztonsagi hirek a nagyvilagbol

re: Biztonsagi hirek a nagyvilagbol

Könyvjelzők

Könyvjelzők

Hozzászólás szabályai