Użytkownik "Marek" napisał w wiadomości
On Tue, 29 Mar 2016 15:55:03 -0500, witek <w...@g...pl> wrote:
>> Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do
>> instytucji, na której stronę chcieliśmy wejść.

>Mało prawdopodobne by dostać "zielony" cerryfikat na literówkę znanej
>instutucji lub bezczelnie podszywając się pod nią.

A skad niby jakis pracownik w USA czy Chinach ma wiedziec, ze oprocz
mbnak istnieje w Polce popularny mbank ?
Albo, ze w ogole trzeba szukac w Polsce, a nie w com ...

J.

do góry

Użytkownik "Marek" napisał w wiadomości grup
dyskusyjnych:a...@n...neos
trada.pl...
On Tue, 29 Mar 2016 21:45:22 +0200, "J.F."
<j...@p...onet.pl> wrote:
>> Czy czy mnogosci instytucji certyfikujacych bylby jakis problem
>> zarejestrowac taki np "mBank" czy "PKO" gdzies na swiecie ?
>> I przegladarka wyswietli "kłódke" ?
>Standardowy (nie exteneded - zielony) bez problemu będzie kłódka.

99% ludzi nie zauwazy. Moze nawet 99.99% :-)

>Extebded już tak łatwo nie pójdzie, jest weryfikacja białkowa.
>Co ciekawe 10 lat temu i dawniej przy zwykłych certyfikatach np.
>thawte weryfikowali telefoniczne. Dzwonili, pytali o pogodę w miejscu

Po polsku ? :-)

>siedziby firmy,

No, ciekawe czy sprawdzali. A jak sprawdzali to jak ...

>prosilii o kopie dokumentów rejestrowych i takie tam.

Ale czy to jakis problem te kopie im wyslac ?
Oczywiscie przygotowane na wlasnym komputerze ...

J.

do góry

On Wed, 30 Mar 2016 01:09:23 +0200, "J.F."
<j...@p...onet.pl> wrote:
> A skad niby jakis pracownik w USA czy Chinach ma wiedziec, ze
oprocz
> mbnak istnieje w Polce popularny mbank ?
> Albo, ze w ogole trzeba szukac w Polsce, a nie w com ...

Rotfl, widać nie masz pojęcia jak wygląda procedura uzyskania cert.
extended :)

--
Marek

do góry

On Wed, 30 Mar 2016 01:14:34 +0200, "J.F."
<j...@p...onet.pl> wrote:
> Po polsku ? :-)

Oczywiście.

--
Marek

do góry

Użytkownik "Marek" napisał w wiadomości grup
dyskusyjnych:a...@n...neos
trada.pl...
On Wed, 30 Mar 2016 01:14:34 +0200, "J.F."
<j...@p...onet.pl> wrote:
>> Po polsku ? :-)
>Oczywiście.

Takie oczywiste to wcale nie jest.
Ciekawe - maja oddzial w Polsce, imigranta w Irlandii, czy zatrudnili
jakas polska firme do weryfikacji.

J.

do góry

Użytkownik "janek z pola" <a...@e...pl> napisał w wiadomości
news:ndeoob$fsh$1@gioia.aioe.org...

>> Wiadomo, że generator jest wystarczająco dobry?
>
> Nie wiadomo :D
>
:(

> Wysłane z pola.

Dzięki.
Druknąłem sobie i wrzuciłem w miejsce, co mi się (obecnie) wydaje, że jak
bym kiedyś szukał to znajdę :).
P.G.

do góry

Użytkownik "J.F." <j...@p...onet.pl> napisał w wiadomości
news:56fb0c5c$0$642$65785112@news.neostrada.pl...
>
> 99% ludzi nie zauwazy. Moze nawet 99.99% :-)
>
Dawno, dawno temu mBank opisywał jak należy się bezpiecznie logować i w
ramach procedury było rzucenie okiem na "Odcisk".
Się przyzwyczaiłem i zawsze zerkam (choć przeglądarki chowają to za coraz
większą liczbę kliknięć).

Zdarzyło mi się pytać mBank dlaczego Odcisk jest inny niż podany na ich
stronie o bezpieczeństwie. Przeprosili i zaraz poprawili.
P.G.

do góry

On Wed, 30 Mar 2016 10:32:55 +0200, "J.F."
<j...@p...onet.pl> wrote:
> Takie oczywiste to wcale nie jest.
> Ciekawe - maja oddzial w Polsce, imigranta w Irlandii, czy
zatrudnili
> jakas polska firme do weryfikacji.

Z tego co pamiętam osoba mowiła poprawnie choć z lekką naleciałoşcią
jakiegoś obcego języka. Dzwoniła z Austrii albo Szwajcari już nie
pamiętam dokładnie.
Do celów weryfikacji użyte są renomowane firmy/kancelarie
audytorskie, to nie jest tak, że pracownik thawte czy verisign
dzwoni, to jest outsource'owane.

Roznowa po polsku już wtedy to nie był jakiś odosobniony przypadek.
Również 10 lat temu weszła możliwość rejestracji domen eu, najpierw
dla organuzacji/firm tzw. okres sunrise. Zgłosiliśmy wniosek jako
pierwsi z naszą nazwą ale domenę przyznano innej firmie z Włoch. Spór
roztrzygał Ernst & Young, po polsku była komunikacja z nimi.
Stwierdzili, że pojedyńcza nazwa spółki cywilnej (to miała być domena
dla takiej spółki) np. "simplex" nie jest pełną nazwą
przedsiębiorstwa bo wg nich powinny być jeszcze w nazwie nazwiska
wspólników. Druga firma z Włoch o tej samej nazwie była sp z o.o. i
tutaj nie mieli wątpliwości do nazwy więc im domenę przyznali.
W każdym razie odpuściliśmy, nie było raczej sensu dyskutować z E&Y:)

--
Marek

do góry

On 3/29/2016 4:25 PM, J.F. wrote:
> Użytkownik "witek" napisał w wiadomości grup
> dyskusyjnych:ndepvt$btu$...@d...me...
> On 3/29/2016 2:45 PM, J.F. wrote:
>>> A tak swoja droga - zalatwial ktos taki certyfikat ?
>>> Czy czy mnogosci instytucji certyfikujacych bylby jakis problem
>>> zarejestrowac taki np "mBank" czy "PKO" gdzies na swiecie ?
>>> I przegladarka wyswietli "kłódke" ?
>
>> Certyfikat SSL można dostać za parę groszy.
>> Natomiast przejść sprawdzenie dokumentów nie bedzie już takie proste.
>
> Ale co za problem zalozyc firme mBank np w Brazylii ?


Mozna, ale wowczas
1. nie bedziesz mial w certyfikacie mBank ul Senatorska 18, no i nie
bedzie pod adresem mbank.com.pl

>
>> Tylko co ci to da.
>> Musiałbyś jeszcze przekierować ruch na twój serwer zamiast prawdziwy.
>> Z drugiej strony dostać certyfikat na łudząco podobny adres da się bez
>> problemu.
>> Wystarczy tylko czekać aż ktoś niechcący się pomyli przy wpisywaniu
>> adresu www. Np mbnak.pl
>> Albo kliknie w spreparowany link z email.
>
> Otoz to. Albo zarejestrowac mbank.net, mbank.org, mbank.com -


a to juz sie rzuca bardziej w oczy chociaz, kto patrzy na jaką stronę wlazł.


>
>> Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do
>> instytucji, na której stronę chcieliśmy wejść.
>> Każdy wierzy przeglądarce. Skoro ta nie protestuje to znaczy, że jest
>> dobrze.
>
> Nawet nie wiem czy mozna tak sprawdzic - tzn doglebnie.
> Jesli Symantec zarejestrowal mbank SA, to jakie dokumenty sprawdzal - i
> na ile mozna im falszywe wyslac ?


Nie wiem jaką procedurę wewnetrzna ma Symantec.
Ale skoro to działa to znaczy, że jednak skutecznie sprawdzają.



>
> P.S. Ciekawa opcje widze - "zainstaluj certyfikat".


No ale to już byś musiał konkretny komuputer atakować.
Na globalną skalę tego zrobić się nie da.


> Hm - z jednej strony moze uchronic przed podstawieniami falszywych
> domen, z drugiej - chyba wcale nie uchroni, skoro zadziala standardowy
> mechanizm sprawdzania przez internet, z trzeciej - czy nie otwiera sie
> furtka dla hackerow - zainstalowac komus falszywy certyfikat w
> przegladarce ?

Instalacji certyfikatu zdalnie sie nie da zrobic.
Musialbys przekonac uzytkownika do zrobienia tego.


>
> Ale ... chyba moze ochronic przed atakiem na router, gdy przekierowujemy
> ruch i do banku i do wystawczy certyfikatu ...
>
>> Z trzeciej strony certyfikat + domena powoli przestaje nas robić
>> anonimowym.
>
> Ano - gdzies tam slad zostaje ... tylko potem sie okaze, ze dane
> falszywe, slup, albo ukradziona tozsamosc.
> Albo scigaj sobie jakiegos Somalijczyka :-)
>
> J.
>

do góry

On 3/29/2016 5:23 PM, Marek wrote:
> On Tue, 29 Mar 2016 15:55:03 -0500, witek <w...@g...pl> wrote:
>> Przecież nikt nie sprawdza czy zielona kłodka na pewno należy do
>> instytucji, na której stronę chcieliśmy wejść.
>
> Mało prawdopodobne by dostać "zielony" cerryfikat na literówkę znanej
> instutucji lub bezczelnie podszywając się pod nią.
>

mozna oficjalnie zarejestrowac firme mbnak ltd i oficjalnie dostac
certyfikat na mbnak.pl

i w 99% przypadków nikt nie zwroci uwagi na to ze na "zielonej kłódce"
jest napisane mbnak ltd [UK] a nie mbank S.A. [PL]

pozostaje tylko liczyc na to, ze iles ludzi sie pomyli wpisujac adres w
przegladarce.

do góry