forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Рост атак, связанных с захватом контроля над DNS, opennews (?), 11-Янв-19, (0) [смотреть все]

Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно Платные серти, Онаним (?), 19:36 , 11-Янв-19, (1) –14 //

Это уже не проблемы letsencrypt , Эш Уильямс (?), 19:49 , 11-Янв-19, (2) +4 //

В самом деле Отсутствие идентификации персоны, получающей доверенный сертификат, Онаним (?), 20:31 , 11-Янв-19, (6) –4 //

Вообще же это может стать шагом к тому, что LE вынесут из браузеров , Онаним (?), 20:32 , 11-Янв-19, (7) –4
Тут скорее проблема в DNS, решать проблемы dns dnssec DoH DoT на уровне сертифик, Эш Уильямс (?), 21:19 , 11-Янв-19, (10) +1
Если злоумышленник имеет контроль над доменом, почему центр сертификации не долж, Аноним (19), 22:20 , 11-Янв-19, (19) +5

Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устра, Аноним (19), 22:30 , 11-Янв-19, (23)

Ну, ооо рога и копыта у себя может хоть самоподписный сертификат на платёжке в, Онаним (?), 23:15 , 11-Янв-19, (32)

они раньше так и делали Но великие специалисты по безопасности, работающие над, пох (?), 09:43 , 12-Янв-19, (51) +1

А что такого сделали спкциалдистя с хромом, можно узнать А то вот совсем не на, Аноним (85), 23:22 , 12-Янв-19, (85) –1

вам- нельзя научитесь читать и понимать прочитанное, потом приходите , пох (?), 09:23 , 13-Янв-19, (87) –2
Есть такое мнение, мил человек, что ты балабол Вот неполный квест который огреба, Аноним (95), 13:27 , 13-Янв-19, (95) +2

и это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сай, пох (?), 09:42 , 12-Янв-19, (50)

Потому что злоумышленнику ещё ворованную кредитку засветить придётся, а если т, Онаним (?), 23:11 , 11-Янв-19, (30)
дальше можно не читать, Аноним (47), 07:34 , 12-Янв-19, (47)

завидовать - грех , пох (?), 18:05 , 12-Янв-19, (59)

А если злоумышленник имеет контроль над вашей квартирой Его должны в ней пропис, Анонимный Алкоголик (??), 19:33 , 12-Янв-19, (73) –1

В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может , demon (??), 14:36 , 14-Янв-19, (100) –1
Неправильная аналогия Путаешь технологии Аналогом сертификата https будет вста, Аноним (-), 10:53 , 15-Янв-19, (103) +1

Во-первых, Let s Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни , Аноним (25), 22:39 , 11-Янв-19, (25) +2

Если что, оплата услуги - это тоже своего рода идентификация Да, кредитку можно, Онаним (?), 23:12 , 11-Янв-19, (31)

Да уж прям возрастает В 15м году Симантек ничтоже сумняшеся выпустил wildcard на, Аноним (33), 00:00 , 12-Янв-19, (33) +1

И правильно, надо было купить у них серт тогда бы они вам помогли А с фига ли о, GentooBoy (ok), 01:18 , 12-Янв-19, (42) –1

Потому что они выпустили сертификат НЕ своего клиента , Аноним (47), 07:39 , 12-Янв-19, (48)

как это не своего Он им деньги заплатил Причем они честно-честно провели эту с, их клиент (?), 18:11 , 12-Янв-19, (60)

Ну я отзывал для своего тестового домена полгода назад Хотел проверить, как оно, Аноним (33), 18:46 , 12-Янв-19, (69)
Я не писал про энтерпрайз Это был небольшой НЕайтишный бизнес Сертификат у ент, Аноним (33), 22:45 , 12-Янв-19, (81)

ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ, пох (?), 09:33 , 13-Янв-19, (88)

Ещё один любитель выквзывать позицию энтерпрайзов Олоэ, включи логику К тебе о, Аноним (33), 22:30 , 12-Янв-19, (80)

паспорт и данные принес За валидацию ручную, потому что это как раз EV - запл, пох (?), 09:39 , 13-Янв-19, (89) +1

Она и так бесполезна, с кучей мало кому известных центров сертификации которым а, Аноним (47), 07:31 , 12-Янв-19, (46)

а все известные мы уже позаблокировали, гуглезила (?), 18:12 , 12-Янв-19, (61)

Это его обязанность , YetAnotherOnanym (ok), 11:32 , 12-Янв-19, (52) –1

Откуда ж вы такие лезете Нет, нет и ещё раз нет Идентификация личности нужна т, Аноним (33), 19:33 , 12-Янв-19, (74) +2

Теория -- это такая штука Лучший способ её употребления -- сворачивать в труб, Ordu (ok), 22:45 , 12-Янв-19, (82) +4

Че сказать то хотел , Аноним (-), 21:28 , 11-Янв-19, (11)
это тот самый случае, где ононим отсасывает, конечноfixed, rshadow (ok), 22:05 , 11-Янв-19, (15) +2
Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у lets, Crazy Alex (ok), 22:49 , 11-Янв-19, (28) //

Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в С, OpenEcho (?), 00:19 , 12-Янв-19, (35) //

Ну вот судя по новости и по источнику на сайте letsencrypt это всё же в планах, Crazy Alex (ok), 00:23 , 12-Янв-19, (36)

Стоп, это я туплю Там так We are also planning to introduce a Certificate Trans, Crazy Alex (ok), 00:25 , 12-Янв-19, (38)
Тезка, хорош туфту гнать если не в курсе Иди суда https www entrust com ct-se, OpenEcho (?), 00:40 , 12-Янв-19, (41)
В планах у них завести СВОЙ ЦТ сервер В чужие публичные СТ они все подписанные , Аноним (85), 13:55 , 12-Янв-19, (57) +1

Как посмотреть На примере опеннетовского сертификата , Аноним (78), 21:11 , 12-Янв-19, (78)

openssl s_client -showcerts -connect www opennet ru 443 dev null 2 dev null , Аноним (85), 23:46 , 12-Янв-19, (86) +1

КН Д Р , Аноним (3), 19:52 , 11-Янв-19, (3) +2
Как двухфакторная аутенфикация поможет, если сертификат злоумышленника корректны, Аноним (8), 21:09 , 11-Янв-19, (8) –2 //

Это советы не для юзеров, а для админов Взламывают их , Аноним (19), 21:46 , 11-Янв-19, (14) +2
Если ломанули пароль админа без 2FA то админ может и не знать что его поимели е, OpenEcho (?), 00:23 , 12-Янв-19, (37)

Certificate Transparency пишет логи всех сертификатов А, например, Certspotter , zomg (?), 21:17 , 11-Янв-19, (9) +1 //

Проблема в том, что масса доменов регается маленькими конторками, у которых свои, OpenEcho (?), 00:30 , 12-Янв-19, (40) +2

Там кулхацкеры, сям кулхацкеры Их бы потуги, да в мирное русло пустить, гляди, Витязь (?), 21:30 , 11-Янв-19, (12) +9 //

Хакер в столовой Но, справедливости ради, если бы не хакеры, то корпорации пис, Аноним (17), 22:12 , 11-Янв-19, (17) +5
Это заблуждение сродни тому, что в некоторых конторах админы политиками закрываю, Аноним (8), 09:16 , 12-Янв-19, (49)
Что полезного для общества делают немамкины кулхацкеры из АНБ, ФСБ, всякие китай, Лень_регацца (?), 17:44 , 13-Янв-19, (97)

попытка пропихнуть dns-over-чо-то-там , Аноним (-), 22:05 , 11-Янв-19, (16) +2 //

закручивание гаек по типу борьбы с терроризмом, Аноним (22), 22:26 , 11-Янв-19, (22) +3
Нет Враги захватывают учётку на регистраторе, а не мужика посередине сажают , marios (ok), 11:37 , 12-Янв-19, (53)

Интересно, как они заставляют провайдера обратиться к подставному DNS Другое , Alexey (??), 22:14 , 11-Янв-19, (18) –3 //

Уводят учётку, получают доступ к панели управления доменом, вписывают туда свои , Ordu (ok), 00:27 , 12-Янв-19, (39) +2 //

ты отстал от жизни, сейчас немодно свои dns сервера Уводят учетку, прямо в той, пох (?), 18:14 , 12-Янв-19, (62) //

Не удивительно, я лет десять не имел дела со скрипткиддисами Да, читать ты умееш, Ordu (ok), 18:17 , 12-Янв-19, (64)

причем тут скрипткиддисы Ты десять лет походу домены не регистрировал - там нын, пох (?), 18:26 , 12-Янв-19, (67)

При том, что увод паролей -- это деятельность для скрипткиддиса И чё Думаешь ск, Ordu (ok), 19:22 , 12-Янв-19, (72)

говорю ж - не надо ему Он прям в том же интуитивно-приятном интефрейсе поменяет, пох (?), 20:01 , 12-Янв-19, (76)

Предлагают поменять одну проблему на другую Появится больше кривонастроенных дн, Аноним (20), 22:20 , 11-Янв-19, (20) –1 //

Ты знаешь, существует довольно много бизнесов из 2-3 человек, которые заказали с, Аноним (33), 00:10 , 12-Янв-19, (34) +2

Чем второй фактор поможет, при наличии у товарищ майора HTTP HTTPS канала MITM , Эш Уильямс (?), 22:24 , 11-Янв-19, (21) –3 //

его отсутствие сильно поможет тебе меньше подпрыгивать на бутылочке Товарищ майо, тов. лейтенант (?), 22:39 , 11-Янв-19, (26) –2 //

Ты лично только языком работаешь Любитель бутылок , Лень_регацца (?), 17:52 , 13-Янв-19, (99)

Где вы там товарища майора увидели , Crazy Alex (ok), 22:47 , 11-Янв-19, (27) –2 //

А чё тебя это зацепило , Лень_регацца (?), 17:47 , 13-Янв-19, (98)

SMS это не самый хороший выбор второго фактора Есть например TOTP , Гентушник (ok), 18:52 , 12-Янв-19, (71)

коммуникационные компании, isp, dns сервер у регистратора с паролем 123 Паааня, пох (?), 22:37 , 11-Янв-19, (24) +1
IPFS, же, Anon4ik_ (?), 22:56 , 11-Янв-19, (29)
Очень похоже на начало информационной атаки на Letsencrypt Не удивлюсь, если в с, Аноним (43), 02:05 , 12-Янв-19, (43) –1 //

И будет совершенно не удивительно LE придётся добавить идентификацию клиента та, Онаним (?), 16:28 , 12-Янв-19, (58) –2 //

не, они это не для того затевали , пох (?), 18:15 , 12-Янв-19, (63)
Не придётся, ибо такая проверка излишня, а значит дорога и вредна Для того, что, Аноним (33), 22:51 , 12-Янв-19, (83) //

В противном случае их просто потихоньку - по мере увеличения доли участия их сер, Онаним (?), 10:21 , 13-Янв-19, (90)

Ты платиновых спонсоров LE видел, дурачок Там Google и Mozilla Они и организов, Аноним (-), 11:06 , 15-Янв-19, (104)

Очередной взлом сервера с помощью пароля на root , Ivan1986 (?), 02:56 , 12-Янв-19, (44) //

Вообще мимо Вы домены когда нибудь покупали Что такое гегистрар в курсе Новос, OpenEcho (?), 06:43 , 12-Янв-19, (45) //

И в отсутствии у многих регистраторов двухфауторки до недавних пор У большинств, Аноним (33), 22:53 , 12-Янв-19, (84) //

2FA это тоже не панацея, уже было много случаев, когда взломы происходят использ, OpenEcho (?), 17:18 , 14-Янв-19, (101)

Ничо вы, на самом деле, не понимаете за цепочку доверия Цепочка доверия долж, YetAnotherOnanym (ok), 11:57 , 12-Янв-19, (54) –1 //

кто вы, чтобы сдавать вам компьютерщиков да, при первом использовании карточки , Аноним (55), 12:39 , 12-Янв-19, (55) +2 //

это тоже немодно, это только в вашем спёрбанке так У правильных пацанов клиента , пох (?), 18:24 , 12-Янв-19, (66)
Понятно, спасибо Девушка, я хочу аннулировать карточку и расторгнуть договор Н, YetAnotherOnanym (ok), 18:43 , 12-Янв-19, (68) //

Без проблем Нужна ваша подпись вот здесь, и ещё вот здесь Секундочку, вот ваш , Онаним (?), 22:23 , 12-Янв-19, (79)

ну только совершенно необязательно ТАК через задницу - вполне годится прямо на э, пох (?), 18:20 , 12-Янв-19, (65) +1 //

К сожалению, нас, параноиков, меньшинство Но это ещё пол-беды - на нас денег сд, YetAnotherOnanym (ok), 18:51 , 12-Янв-19, (70) +1 //

ну тыж понимаешь, юзверь будет делать ровно то, что его заставят Сейчас его зас, пох (?), 19:36 , 12-Янв-19, (75) +2

Э Что за подход Особенно если сайт на сервере в соседней стойке жужжит С п, Анонимный Алкоголик (??), 20:15 , 12-Янв-19, (77) //

Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это ф, YetAnotherOnanym (ok), 10:32 , 13-Янв-19, (91) //

it под колпаком, совместимо с честью на уровне занавески для борделя, компромат , Аноним (55), 11:02 , 13-Янв-19, (92)

Это ж насколько надо быть буратиной, чтобы месяцами не замечать одинаковый remot, Аноним (93), 11:05 , 13-Янв-19, (93) //

логи скомпрометированы ночной сменой и touch, ээ-то не показатель , Аноним (55), 11:37 , 13-Янв-19, (94)

Новость - провокация, имеющая целью вынудить владельцев таких DNS засветить св, Аноним (-), 19:26 , 14-Янв-19, (102)

Сообщения [Сортировка по времени | RSS]

65. "Рост атак, связанных с захватом контроля над DNS" +1 +/–

Сообщение от пох (?), 12-Янв-19, 18:20

> Правильная цепочка доверия - это когда вы в том отделении банка
ну только совершенно необязательно ТАК через задницу - вполне годится прямо на этой карточке печатать fingerprint сертификата (и для ленивых рядом 3d-код) - но для этого надо чтобы браузер его умел спросить, причем заставляя в ответ просканировать код/набрать все цифры вручную, а не 'ok', не читая.
А "цепочки доверия" через комоду можно оставить на _крайний_ случай, когда доступ нужен и ты готов пойти на определенные риски. Но он должен быть таким же сложным, неудобным, заставляющим читать мелкий шрифт, как сейчас оверрайд "неправильного" сертификата сделан.
Проблема в том, что у гуглезилы совершенно противоположные задачи.

Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

70. "Рост атак, связанных с захватом контроля над DNS" +1 +/–

Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 18:51

К сожалению, нас, параноиков, меньшинство. Но это ещё пол-беды - на нас денег сделать затруднительно, вот в чём основная беда.

Ответить | Правка | Наверх | Cообщить модератору

75. "Рост атак, связанных с захватом контроля над DNS" +2 +/–

Сообщение от пох (?), 12-Янв-19, 19:36

ну тыж понимаешь, юзверь будет делать ровно то, что его заставят. Сейчас его заставляют НЕ ходить на сайты с сертификатами, неподконторольными гуглю.
> Но это ещё пол-беды - на нас денег сделать затруднительно
ну казалось бы LE тоже должен быть изначально убыточным проектом, но, похоже,нас таки сумели кому-то продать, оптом, недорого.
а денег можно было и сделать - ну, скажем, продавая сервисы этих самых "траспаренсий", и сотрудничая с тем же startssl, а не топя его. Но, похоже, господин полковник велел иначе.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	65. "Рост атак, связанных с захватом контроля над DNS"	+1 +/–
	Сообщение от пох (?), 12-Янв-19, 18:20
	> Правильная цепочка доверия - это когда вы в том отделении банка ну только совершенно необязательно ТАК через задницу - вполне годится прямо на этой карточке печатать fingerprint сертификата (и для ленивых рядом 3d-код) - но для этого надо чтобы браузер его умел спросить, причем заставляя в ответ просканировать код/набрать все цифры вручную, а не 'ok', не читая. А "цепочки доверия" через комоду можно оставить на _крайний_ случай, когда доступ нужен и ты готов пойти на определенные риски. Но он должен быть таким же сложным, неудобным, заставляющим читать мелкий шрифт, как сейчас оверрайд "неправильного" сертификата сделан. Проблема в том, что у гуглезилы совершенно противоположные задачи.
	Ответить \| Правка \| К родителю #54 \| Наверх \| Cообщить модератору


	70. "Рост атак, связанных с захватом контроля над DNS"	+1 +/–
	Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 18:51
	К сожалению, нас, параноиков, меньшинство. Но это ещё пол-беды - на нас денег сделать затруднительно, вот в чём основная беда.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	75. "Рост атак, связанных с захватом контроля над DNS"	+2 +/–
	Сообщение от пох (?), 12-Янв-19, 19:36
	ну тыж понимаешь, юзверь будет делать ровно то, что его заставят. Сейчас его заставляют НЕ ходить на сайты с сертификатами, неподконторольными гуглю. > Но это ещё пол-беды - на нас денег сделать затруднительно ну казалось бы LE тоже должен быть изначально убыточным проектом, но, похоже,нас таки сумели кому-то продать, оптом, недорого. а денег можно было и сделать - ну, скажем, продавая сервисы этих самых "траспаренсий", и сотрудничая с тем же startssl, а не топя его. Но, похоже, господин полковник велел иначе.
	Ответить \| Правка \| Наверх \| Cообщить модератору