On 3/29/2016 4:25 PM, J.F. wrote:
> Użytkownik "witek" napisał w wiadomości grup
> dyskusyjnych:ndepvt$btu$...@d...me...
> On 3/29/2016 2:45 PM, J.F. wrote:
>>> A tak swoja droga - zalatwial ktos taki certyfikat ?
>>> Czy czy mnogosci instytucji certyfikujacych bylby jakis problem
>>> zarejestrowac taki np "mBank" czy "PKO" gdzies na swiecie ?
>>> I przegladarka wyswietli "kłódke" ?
>
>> Certyfikat SSL można dostać za parę groszy.
>> Natomiast przejść sprawdzenie dokumentów nie bedzie już takie proste.
>
> Ale co za problem zalozyc firme mBank np w Brazylii ?


Mozna, ale wowczas
1. nie bedziesz mial w certyfikacie mBank ul Senatorska 18, no i nie
bedzie pod adresem mbank.com.pl

>
>> Tylko co ci to da.
>> Musiałbyś jeszcze przekierować ruch na twój serwer zamiast prawdziwy.
>> Z drugiej strony dostać certyfikat na łudząco podobny adres da się bez
>> problemu.
>> Wystarczy tylko czekać aż ktoś niechcący się pomyli przy wpisywaniu
>> adresu www. Np mbnak.pl
>> Albo kliknie w spreparowany link z email.
>
> Otoz to. Albo zarejestrowac mbank.net, mbank.org, mbank.com -


a to juz sie rzuca bardziej w oczy chociaz, kto patrzy na jaką stronę wlazł.


>
>> Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do
>> instytucji, na której stronę chcieliśmy wejść.
>> Każdy wierzy przeglądarce. Skoro ta nie protestuje to znaczy, że jest
>> dobrze.
>
> Nawet nie wiem czy mozna tak sprawdzic - tzn doglebnie.
> Jesli Symantec zarejestrowal mbank SA, to jakie dokumenty sprawdzal - i
> na ile mozna im falszywe wyslac ?


Nie wiem jaką procedurę wewnetrzna ma Symantec.
Ale skoro to działa to znaczy, że jednak skutecznie sprawdzają.



>
> P.S. Ciekawa opcje widze - "zainstaluj certyfikat".


No ale to już byś musiał konkretny komuputer atakować.
Na globalną skalę tego zrobić się nie da.


> Hm - z jednej strony moze uchronic przed podstawieniami falszywych
> domen, z drugiej - chyba wcale nie uchroni, skoro zadziala standardowy
> mechanizm sprawdzania przez internet, z trzeciej - czy nie otwiera sie
> furtka dla hackerow - zainstalowac komus falszywy certyfikat w
> przegladarce ?

Instalacji certyfikatu zdalnie sie nie da zrobic.
Musialbys przekonac uzytkownika do zrobienia tego.


>
> Ale ... chyba moze ochronic przed atakiem na router, gdy przekierowujemy
> ruch i do banku i do wystawczy certyfikatu ...
>
>> Z trzeciej strony certyfikat + domena powoli przestaje nas robić
>> anonimowym.
>
> Ano - gdzies tam slad zostaje ... tylko potem sie okaze, ze dane
> falszywe, slup, albo ukradziona tozsamosc.
> Albo scigaj sobie jakiegos Somalijczyka :-)
>
> J.
>