Marek snipped-for-privacy@fakeemail.com napisał(a):
Ma, potwierdza domenę.
To masz jakąś popsutą, zaprzestań jej używania.
Doczytaj zamiast powtarzać ciągle to samo.
Masz rację, szyfrowanie tutaj nie pomaga. Tylko co z tego? To nie jest żaden argument ani dowód na to, że Mirek się skompromitował. Ataki są bardzo różne i jest oczywiste, że dane zabezpieczenie nie pomoże na wszystkie.
Marek snipped-for-privacy@fakeemail.com napisał(a):
A naprodukowałeś postów jakby SSL został skompromitowany i jeszcze dodajesz bajki o self-signed.
Odgrywa na tyle, na ile może. W jednych przypadkach pomaga, w innych nie. To zależy też od świadomości danego użytkownika. Nie wiem czemu się tak uwziąłeś na ten SSL.
I co z tego, że potwierdza? Domena jest używana przez przestępców, jej nazwa czy jest prosta czy krzywa nie ma znaczenia bo zwykły user nie zwraca na to uwagi, bo mu kiedyś powiedziano że jak jest kłódka to jest OK.
Co to za argument?? Przeczytaj, ze zrozumiem o czym jest dyskusja. To nie poradnik jak działa https tylko współczesna problematyka fraudów. Jeszcze raz: 100% ofiar korzystało z prawidłowo zweryfikowanych stron z SSL. Nie czytali tych książek? No szkoda...
To nie ma żadnego współcześnie znaczenia, bo pyaload można skompromitować *przed* lub *po* albo po prostu namówić do tego bialko przed klawiaturą. Nie powtarzaj w kółko banałów bo nie o tym dyskusja.
Przypominam, że to jest wątek o fraudach a nie o wspaniałościach ssl.
I co to dało? Dzięki temu praktycznie przestano się interesować (jako wektorem ataku) komunikacją. I slusznie ale nie z powodu, że się nie da ale dlatego, że są ciekawsze miejsca jak dostęp do urządzenia użytkownika. Okazało się że łatwo jest skompromitować samo urządzenie i ma się dostęp do wszystkiego. Jakie to ma znaczenie i kogo obchodzi, że kanał do banku jest szyfrowany jak ma się kontrolę nad przeglądarką usera? Błagam. Onanizowanie się "chronionym kanałem komunikacji" było modne 22 lata temu w czasach osiedlowych sieci i wścibskich adminów. Dziś to tylko odprysk technologiczny, niewiele przyczyniający się w skali globalnej do bezpieczeństwa kogokolwiek. Stawiam dolary przeciwko orzechom, że gdyby wyłaczyć teraz wszędzie https to nic by się nie zmieniło i mało kto by się tym zainteresował, a poziom fraudow by się nie zmienił. O wiele ciekawsze rzeczy są na urządzeniach niż zawartość ich komunikacji. Ba nawet teraz jest mniej takich, co mają możliwość podglądania komunikacji niż ich było
wtorek, 16 sierpnia 2022 o 09:40:20 UTC+2 Marek napisał(a):
Śmierdzi to jak diabeł siarką. Przykładowo XC6SLX45-2CSG324I podane są w cenie 22$, podczas gdy w czasach ogólnej dostępności kosztowały ok. 100$. Ponadto do koszyka nie da się wrzucić, trzeba wypełnić RFQ. I na stanie mają ponad 1600 szt. Nie wierzę!! Z ciekawości zapytałem o 10szt. Zobaczymy co odpowiedzą...
Śmierdzi?? No chyba żartujesz, przecież grupowi experci od unikania fraudów rzekomo twierdzą, że wszystko jest w porządku bo strona ma prawidłowy certyfikat (!!!). No przecież ktoś zweryfikował tą domenę i podpisał się pod certyfikatem, legitne że hej.
Też z tymi dzbanami prowadzę dyskusję. Szukałem pewnego starocia. Gdy to było 10 lat temu w sprzedaży warte było ~$20. Na eBayu można teraz okazjonalnie dostać za $6 i $99 u tego samego sprzedawcy w zależności, w którą jego aukcję się trafi (cwaniak ma dwie). Na
formatting link
mają tego 16tys szt, Jerry zaproponował cenę $62/szt. Po mojej sugestii, że złom tyle nie jest wart lub może im się przecinek zgubił albo mieli na myśli 10szt odpowiedzieli, że niestety nic nie da się zrobić, bo ogólnie kryzys, inflacja i wakacji kredytowych u nich nie ma. Na razie na tym stanęło.
Jak się onanizujesz to przynajmniej zamknij drzwi. Dobrze byś się czuł jakby twoja komunikacja z bankiem była widoczna dla nawet legitnego i uczciwego admina? Widział by wszystko, stan konta, komu wysyłasz, ile, nawet hasło mógłby zobaczyć czasem. Tylko zobaczyć no bo przecież jest uczciwy. A teraz uświadom sobie, że wcale nie trzeba być adminem - wystarczy być w tej samej sieci i prosta sztuczka z ARP albo podłożony DHCP i można wszystko. Na całe szczęście jest https i taka zabawa już nie przejdzie.
A żeby było jeszcze ciekawiej, to będąc w większej korporacji często admini rozkodowują https w locie żeby filtrować strony pod względem zawartości (nie ważne w tym momencie po co) - to wymaga zainstalowania certyfikatów na komputerach użytkowników ale efekt jest taki, że łącząc się ze stroną https tak naprawdę kodujesz ją dla firewalla, firewall odkodowuje, sprawdza, zakodowuje ją dla serwera i wysyła. Z powrotem analogicznie. I co? No w sumie nic - będąc w korporacji zgadzasz się na jej zasady. ale spokojnie, strony banków nie są rozkodowywane.
O ile pamiętam to mBank na początku pisał, aby sprawdzać odcisk palca a nie kłódkę. Ja zawsze zerkam na odcisk palca. Zapamiętuję sobie 4 cyferki, które uznam za łatwe do zapamiętania (obecnie dla logowania mBanku to 5545 (sha1)). Prawdopodobieństwo, że na podstawionej stronie będzie odcisk z akurat tymi samymi cyferkami o tej samej wartości (= 1/65536) przyjmuję za dopuszczalny poziom ryzyka. Jak kiedyś zmienili certyfikat a nie zmienili odcisku palca podawanego na ich stronie o bezpieczeństwie to zapytałem, czy mogę się logować, skoro odcisk palca się nie zgadza. Przeprosili i natychmiast poprawili. P.G.
Rozumiem Twoją tezę, ale nie pamiętam kiedy mówiono, że jak jest kłódka to OK. Pierwszy internetowy był mBank i oni wyraźnie mówili aby zaglądać do certyfikatu. P.G.
Firefox przestal malowac kłódki na zielono - zeby nie powodować fałszywego wrazenia bezpieczenstwa ... a to tylko szczyt góry lodowej możliwych oszustw.
ElectronDepot website is not affiliated with any of the manufacturers or service providers discussed here.
All logos and trade names are the property of their respective owners.