Re: SSL - ktoś będzie tak miły i przełoży na chłopski rozum?

eGospodarka.pl › Finanse › Grupy › pl.biznes.banki › SSL - ktoś będzie tak miły i przełoży na chłopski rozum? › Re: SSL - ktoś będzie tak miły i przełoży na chłopski rozum?

Path: news-archive.icm.edu.pl!agh.edu.pl!news.agh.edu.pl!newsfeed2.atman.pl!newsfeed.
atman.pl!goblin1!goblin.stu.neva.ru!eternal-september.org!feeder.eternal-septem
ber.org!mx02.eternal-september.org!.POSTED!not-for-mail
From: witek <w...@g...pl>
Newsgroups: pl.biznes.banki
Subject: Re: SSL - ktoś będzie tak miły i przełoży na chłopski rozum?
Date: Wed, 30 Mar 2016 07:59:56 -0500
Organization: A noiseless patient Spider
Lines: 82
Message-ID: <ndgih1$nv2$1@dont-email.me>
References: <nde816$2kk$1$PiotrGalka@news.chmurka.net>
<X...@a...home>
<56fadb54$0$650$65785112@news.neostrada.pl> <ndepvt$btu$1@dont-email.me>
<56faf2c5$0$662$65785112@news.neostrada.pl>
Mime-Version: 1.0
Content-Type: text/plain; charset=iso-8859-2; format=flowed
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 30 Mar 2016 12:58:09 -0000 (UTC)
Injection-Info: mx02.eternal-september.org;
posting-host="6c334f2572e84478292d0f388a6a37a9";
logging-data="24546";
mail-complaints-to="a...@e...org";
posting-account="U2FsdGVkX1+MzwlVyO0JC2OvWaJl+kdrThmeYpMeWyI="
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:38.0) Gecko/20100101
Thunderbird/38.7.1
In-Reply-To: <56faf2c5$0$662$65785112@news.neostrada.pl>
Cancel-Lock: sha1:DTqWvZy+3ehv6P5/iTprReP1wpE=
Xref: news-archive.icm.edu.pl pl.biznes.banki:621695
[ ukryj nagłówki ]
On 3/29/2016 4:25 PM, J.F. wrote:
> Użytkownik "witek" napisał w wiadomości grup
> dyskusyjnych:ndepvt$btu$...@d...me...
> On 3/29/2016 2:45 PM, J.F. wrote:
>>> A tak swoja droga - zalatwial ktos taki certyfikat ?
>>> Czy czy mnogosci instytucji certyfikujacych bylby jakis problem
>>> zarejestrowac taki np "mBank" czy "PKO" gdzies na swiecie ?
>>> I przegladarka wyswietli "kłódke" ?
>
>> Certyfikat SSL można dostać za parę groszy.
>> Natomiast przejść sprawdzenie dokumentów nie bedzie już takie proste.
>
> Ale co za problem zalozyc firme mBank np w Brazylii ?

Mozna, ale wowczas
1. nie bedziesz mial w certyfikacie mBank ul Senatorska 18, no i nie
bedzie pod adresem mbank.com.pl

>
>> Tylko co ci to da.
>> Musiałbyś jeszcze przekierować ruch na twój serwer zamiast prawdziwy.
>> Z drugiej strony dostać certyfikat na łudząco podobny adres da się bez
>> problemu.
>> Wystarczy tylko czekać aż ktoś niechcący się pomyli przy wpisywaniu
>> adresu www. Np mbnak.pl
>> Albo kliknie w spreparowany link z email.
>
> Otoz to. Albo zarejestrowac mbank.net, mbank.org, mbank.com -

a to juz sie rzuca bardziej w oczy chociaz, kto patrzy na jaką stronę wlazł.

>
>> Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do
>> instytucji, na której stronę chcieliśmy wejść.
>> Każdy wierzy przeglądarce. Skoro ta nie protestuje to znaczy, że jest
>> dobrze.
>
> Nawet nie wiem czy mozna tak sprawdzic - tzn doglebnie.
> Jesli Symantec zarejestrowal mbank SA, to jakie dokumenty sprawdzal - i
> na ile mozna im falszywe wyslac ?

Nie wiem jaką procedurę wewnetrzna ma Symantec.
Ale skoro to działa to znaczy, że jednak skutecznie sprawdzają.

>
> P.S. Ciekawa opcje widze - "zainstaluj certyfikat".

No ale to już byś musiał konkretny komuputer atakować.
Na globalną skalę tego zrobić się nie da.

> Hm - z jednej strony moze uchronic przed podstawieniami falszywych
> domen, z drugiej - chyba wcale nie uchroni, skoro zadziala standardowy
> mechanizm sprawdzania przez internet, z trzeciej - czy nie otwiera sie
> furtka dla hackerow - zainstalowac komus falszywy certyfikat w
> przegladarce ?

Instalacji certyfikatu zdalnie sie nie da zrobic.
Musialbys przekonac uzytkownika do zrobienia tego.

>
> Ale ... chyba moze ochronic przed atakiem na router, gdy przekierowujemy
> ruch i do banku i do wystawczy certyfikatu ...
>
>> Z trzeciej strony certyfikat + domena powoli przestaje nas robić
>> anonimowym.
>
> Ano - gdzies tam slad zostaje ... tylko potem sie okaze, ze dane
> falszywe, slup, albo ukradziona tozsamosc.
> Albo scigaj sobie jakiegos Somalijczyka :-)
>
> J.
>