Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Рост атак, связанных с захватом контроля над DNS, opennews (?), 11-Янв-19, (0) [смотреть все] Ну да - это тот самый случае, где летсенкрипт отсасывает, конечно Платные серти, Онаним (?), 19:36 , 11-Янв-19, (1) –14 // Это уже не проблемы letsencrypt , Эш Уильямс (?), 19:49 , 11-Янв-19, (2) +4 // В самом деле Отсутствие идентификации персоны, получающей доверенный сертификат, Онаним (?), 20:31 , 11-Янв-19, (6) –4 // Вообще же это может стать шагом к тому, что LE вынесут из браузеров , Онаним (?), 20:32 , 11-Янв-19, (7) –4 Тут скорее проблема в DNS, решать проблемы dns dnssec DoH DoT на уровне сертифик, Эш Уильямс (?), 21:19 , 11-Янв-19, (10) +1 Если злоумышленник имеет контроль над доменом, почему центр сертификации не долж, Аноним (19), 22:20 , 11-Янв-19, (19) +5 Более того, при наличии взлома EV наоборот доставляет проблемы по быстрому устра, Аноним (19), 22:30 , 11-Янв-19, (23) Ну, ооо рога и копыта у себя может хоть самоподписный сертификат на платёжке в, Онаним (?), 23:15 , 11-Янв-19, (32) они раньше так и делали Но великие специалисты по безопасности, работающие над, пох (?), 09:43 , 12-Янв-19, (51) +1 А что такого сделали спкциалдистя с хромом, можно узнать А то вот совсем не на, Аноним (85), 23:22 , 12-Янв-19, (85) –1 вам- нельзя научитесь читать и понимать прочитанное, потом приходите , пох (?), 09:23 , 13-Янв-19, (87) –2 Есть такое мнение, мил человек, что ты балабол Вот неполный квест который огреба, Аноним (95), 13:27 , 13-Янв-19, (95) +2 и это тоже хорошо и правильно, потому что если у тебя взломали EV-защищенный сай, пох (?), 09:42 , 12-Янв-19, (50) Потому что злоумышленнику ещё ворованную кредитку засветить придётся, а если т, Онаним (?), 23:11 , 11-Янв-19, (30) дальше можно не читать, Аноним (47), 07:34 , 12-Янв-19, (47) завидовать - грех , пох (?), 18:05 , 12-Янв-19, (59) А если злоумышленник имеет контроль над вашей квартирой Его должны в ней пропис, Анонимный Алкоголик (??), 19:33 , 12-Янв-19, (73) –1 В данном примере случае злоумышленник скорее имеет доступ к Росреестру, и может , demon (??), 14:36 , 14-Янв-19, (100) –1 Неправильная аналогия Путаешь технологии Аналогом сертификата https будет вста, Аноним (-), 10:53 , 15-Янв-19, (103) +1 Во-первых, Let s Encrypt не выдаёт EV-сертификаты, идентификация каких бы то ни , Аноним (25), 22:39 , 11-Янв-19, (25) +2 Если что, оплата услуги - это тоже своего рода идентификация Да, кредитку можно, Онаним (?), 23:12 , 11-Янв-19, (31) Да уж прям возрастает В 15м году Симантек ничтоже сумняшеся выпустил wildcard на, Аноним (33), 00:00 , 12-Янв-19, (33) +1 И правильно, надо было купить у них серт тогда бы они вам помогли А с фига ли о, GentooBoy (ok), 01:18 , 12-Янв-19, (42) –1 Потому что они выпустили сертификат НЕ своего клиента , Аноним (47), 07:39 , 12-Янв-19, (48) как это не своего Он им деньги заплатил Причем они честно-честно провели эту с, их клиент (?), 18:11 , 12-Янв-19, (60) Ну я отзывал для своего тестового домена полгода назад Хотел проверить, как оно, Аноним (33), 18:46 , 12-Янв-19, (69) Я не писал про энтерпрайз Это был небольшой НЕайтишный бизнес Сертификат у ент, Аноним (33), 22:45 , 12-Янв-19, (81) ну же, ну же, разоблачайте так у ж до конца - сколько же составила эта ГРОМАДНАЯ, пох (?), 09:33 , 13-Янв-19, (88) Ещё один любитель выквзывать позицию энтерпрайзов Олоэ, включи логику К тебе о, Аноним (33), 22:30 , 12-Янв-19, (80) паспорт и данные принес За валидацию ручную, потому что это как раз EV - запл, пох (?), 09:39 , 13-Янв-19, (89) +1 Она и так бесполезна, с кучей мало кому известных центров сертификации которым а, Аноним (47), 07:31 , 12-Янв-19, (46) а все известные мы уже позаблокировали, гуглезила (?), 18:12 , 12-Янв-19, (61) Это его обязанность , YetAnotherOnanym (ok), 11:32 , 12-Янв-19, (52) –1 Откуда ж вы такие лезете Нет, нет и ещё раз нет Идентификация личности нужна т, Аноним (33), 19:33 , 12-Янв-19, (74) +2 Теория -- это такая штука Лучший способ её употребления -- сворачивать в труб, Ordu (ok), 22:45 , 12-Янв-19, (82) +4 Че сказать то хотел , Аноним (-), 21:28 , 11-Янв-19, (11) это тот самый случае, где ононим отсасывает, конечноfixed, rshadow (ok), 22:05 , 11-Янв-19, (15) +2 Это тот случай, где он недопилен пока - CT эту проблему вполне решает, но у lets, Crazy Alex (ok), 22:49 , 11-Янв-19, (28) // Гхм, гхм, вообщето не один СА не имеет право на существование если не стучит в С, OpenEcho (?), 00:19 , 12-Янв-19, (35) // Ну вот судя по новости и по источнику на сайте letsencrypt это всё же в планах, Crazy Alex (ok), 00:23 , 12-Янв-19, (36) Стоп, это я туплю Там так We are also planning to introduce a Certificate Trans, Crazy Alex (ok), 00:25 , 12-Янв-19, (38) Тезка, хорош туфту гнать если не в курсе Иди суда https www entrust com ct-se, OpenEcho (?), 00:40 , 12-Янв-19, (41) В планах у них завести СВОЙ ЦТ сервер В чужие публичные СТ они все подписанные , Аноним (85), 13:55 , 12-Янв-19, (57) +1 Как посмотреть На примере опеннетовского сертификата , Аноним (78), 21:11 , 12-Янв-19, (78) openssl s_client -showcerts -connect www opennet ru 443 dev null 2 dev null , Аноним (85), 23:46 , 12-Янв-19, (86) +1 КН Д Р , Аноним (3), 19:52 , 11-Янв-19, (3) +2 Как двухфакторная аутенфикация поможет, если сертификат злоумышленника корректны, Аноним (8), 21:09 , 11-Янв-19, (8) –2 // Это советы не для юзеров, а для админов Взламывают их , Аноним (19), 21:46 , 11-Янв-19, (14) +2 Если ломанули пароль админа без 2FA то админ может и не знать что его поимели е, OpenEcho (?), 00:23 , 12-Янв-19, (37) Certificate Transparency пишет логи всех сертификатов А, например, Certspotter , zomg (?), 21:17 , 11-Янв-19, (9) +1 // Проблема в том, что масса доменов регается маленькими конторками, у которых свои, OpenEcho (?), 00:30 , 12-Янв-19, (40) +2 Там кулхацкеры, сям кулхацкеры Их бы потуги, да в мирное русло пустить, гляди, Витязь (?), 21:30 , 11-Янв-19, (12) +9 // Хакер в столовой Но, справедливости ради, если бы не хакеры, то корпорации пис, Аноним (17), 22:12 , 11-Янв-19, (17) +5 Это заблуждение сродни тому, что в некоторых конторах админы политиками закрываю, Аноним (8), 09:16 , 12-Янв-19, (49) Что полезного для общества делают немамкины кулхацкеры из АНБ, ФСБ, всякие китай, Лень_регацца (?), 17:44 , 13-Янв-19, (97) попытка пропихнуть dns-over-чо-то-там , Аноним (-), 22:05 , 11-Янв-19, (16) +2 // закручивание гаек по типу борьбы с терроризмом, Аноним (22), 22:26 , 11-Янв-19, (22) +3 Нет Враги захватывают учётку на регистраторе, а не мужика посередине сажают , marios (ok), 11:37 , 12-Янв-19, (53) Интересно, как они заставляют провайдера обратиться к подставному DNS Другое , Alexey (??), 22:14 , 11-Янв-19, (18) –3 // Уводят учётку, получают доступ к панели управления доменом, вписывают туда свои , Ordu (ok), 00:27 , 12-Янв-19, (39) +2 // ты отстал от жизни, сейчас немодно свои dns сервера Уводят учетку, прямо в той, пох (?), 18:14 , 12-Янв-19, (62) // Не удивительно, я лет десять не имел дела со скрипткиддисами Да, читать ты умееш, Ordu (ok), 18:17 , 12-Янв-19, (64) причем тут скрипткиддисы Ты десять лет походу домены не регистрировал - там нын, пох (?), 18:26 , 12-Янв-19, (67) При том, что увод паролей -- это деятельность для скрипткиддиса И чё Думаешь ск, Ordu (ok), 19:22 , 12-Янв-19, (72) говорю ж - не надо ему Он прям в том же интуитивно-приятном интефрейсе поменяет, пох (?), 20:01 , 12-Янв-19, (76) Предлагают поменять одну проблему на другую Появится больше кривонастроенных дн, Аноним (20), 22:20 , 11-Янв-19, (20) –1 // Ты знаешь, существует довольно много бизнесов из 2-3 человек, которые заказали с, Аноним (33), 00:10 , 12-Янв-19, (34) +2 Чем второй фактор поможет, при наличии у товарищ майора HTTP HTTPS канала MITM , Эш Уильямс (?), 22:24 , 11-Янв-19, (21) –3 // его отсутствие сильно поможет тебе меньше подпрыгивать на бутылочке Товарищ майо, тов. лейтенант (?), 22:39 , 11-Янв-19, (26) –2 // Ты лично только языком работаешь Любитель бутылок , Лень_регацца (?), 17:52 , 13-Янв-19, (99) Где вы там товарища майора увидели , Crazy Alex (ok), 22:47 , 11-Янв-19, (27) –2 // А чё тебя это зацепило , Лень_регацца (?), 17:47 , 13-Янв-19, (98) SMS это не самый хороший выбор второго фактора Есть например TOTP , Гентушник (ok), 18:52 , 12-Янв-19, (71) коммуникационные компании, isp, dns сервер у регистратора с паролем 123 Паааня, пох (?), 22:37 , 11-Янв-19, (24) +1 IPFS, же, Anon4ik_ (?), 22:56 , 11-Янв-19, (29) Очень похоже на начало информационной атаки на Letsencrypt Не удивлюсь, если в с, Аноним (43), 02:05 , 12-Янв-19, (43) –1 // И будет совершенно не удивительно LE придётся добавить идентификацию клиента та, Онаним (?), 16:28 , 12-Янв-19, (58) –2 // не, они это не для того затевали , пох (?), 18:15 , 12-Янв-19, (63) Не придётся, ибо такая проверка излишня, а значит дорога и вредна Для того, что, Аноним (33), 22:51 , 12-Янв-19, (83) // В противном случае их просто потихоньку - по мере увеличения доли участия их сер, Онаним (?), 10:21 , 13-Янв-19, (90) Ты платиновых спонсоров LE видел, дурачок Там Google и Mozilla Они и организов, Аноним (-), 11:06 , 15-Янв-19, (104) Очередной взлом сервера с помощью пароля на root , Ivan1986 (?), 02:56 , 12-Янв-19, (44) // Вообще мимо Вы домены когда нибудь покупали Что такое гегистрар в курсе Новос, OpenEcho (?), 06:43 , 12-Янв-19, (45) // И в отсутствии у многих регистраторов двухфауторки до недавних пор У большинств, Аноним (33), 22:53 , 12-Янв-19, (84) // 2FA это тоже не панацея, уже было много случаев, когда взломы происходят использ, OpenEcho (?), 17:18 , 14-Янв-19, (101) Ничо вы, на самом деле, не понимаете за цепочку доверия Цепочка доверия долж, YetAnotherOnanym (ok), 11:57 , 12-Янв-19, (54) –1   // кто вы, чтобы сдавать вам компьютерщиков да, при первом использовании карточки , Аноним (55), 12:39 , 12-Янв-19, (55) +2   // это тоже немодно, это только в вашем спёрбанке так У правильных пацанов клиента , пох (?), 18:24 , 12-Янв-19, (66)   Понятно, спасибо Девушка, я хочу аннулировать карточку и расторгнуть договор Н, YetAnotherOnanym (ok), 18:43 , 12-Янв-19, (68)   // Без проблем Нужна ваша подпись вот здесь, и ещё вот здесь Секундочку, вот ваш , Онаним (?), 22:23 , 12-Янв-19, (79)   ну только совершенно необязательно ТАК через задницу - вполне годится прямо на э, пох (?), 18:20 , 12-Янв-19, (65) +1   // К сожалению, нас, параноиков, меньшинство Но это ещё пол-беды - на нас денег сд, YetAnotherOnanym (ok), 18:51 , 12-Янв-19, (70) +1   // ну тыж понимаешь, юзверь будет делать ровно то, что его заставят Сейчас его зас, пох (?), 19:36 , 12-Янв-19, (75) +2   Э Что за подход Особенно если сайт на сервере в соседней стойке жужжит С п, Анонимный Алкоголик (??), 20:15 , 12-Янв-19, (77)   // Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это ф, YetAnotherOnanym (ok), 10:32 , 13-Янв-19, (91)   // it под колпаком, совместимо с честью на уровне занавески для борделя, компромат , Аноним (55), 11:02 , 13-Янв-19, (92)   Это ж насколько надо быть буратиной, чтобы месяцами не замечать одинаковый remot, Аноним (93), 11:05 , 13-Янв-19, (93) // логи скомпрометированы ночной сменой и touch, ээ-то не показатель , Аноним (55), 11:37 , 13-Янв-19, (94) Новость - провокация, имеющая целью вынудить владельцев таких DNS засветить св, Аноним (-), 19:26 , 14-Янв-19, (102) 1,3,8,9,12,16,18,20,21,24,29,43,44,54,93,102

Сообщения

[Сортировка по времени | RSS]

54. "Рост атак, связанных с захватом контроля над DNS"	–1 +/–
Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 11:57
Ничо вы, на самом деле, не понимаете за "цепочку доверия". "Цепочка доверия" должна состоять не в том, что Comodo (Кто такой Студебе^w Comodo? Это ваш родственник Comodo? Папа ваш Comodo?) своим корневым сертификатом заверяет промежуточный сертификат, а этим промежуточным сертификатом - сертификат сайта. Правильная цепочка доверия - это когда вы в том отделении банка, где получали карточку, спрашиваете у операционистки, которая вам её выдала, где  сидят их компьютерщики, идёте к ним и просите распечатать вам на бумажке правильеый сертификат их интернет-банка. И при этом смотрите, как этот сотрудник себя ведёт. Если он, с недоумением пожав плечами, при вас открывает сайт и берёт серт оттуда - вам стОит всерьёз задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности. А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда - с этим банком можно иметь дело.
Ответить | Правка | Наверх | Cообщить модератору

	55. "Рост атак, связанных с захватом контроля над DNS"	+2 +/–
	Сообщение от Аноним (55), 12-Янв-19, 12:39
	кто вы, чтобы сдавать вам компьютерщиков? да, при первом использовании карточки пин не подойдет, наберете захара петровича, скажете пин и вас активируют, мужчина или берите что дают или не задерживайте очередь.
	Ответить | Правка | Наверх | Cообщить модератору

	66. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от пох (?), 12-Янв-19, 18:24
	это тоже немодно, это только в вашем спёрбанке так. У правильных пацанов клиента такой фигней не вынуждают заниматься - наберите хорошо известный номер телефона на карте, пропищите в тоновом режиме номер карты, теперь пропищите ваш пин - поздравляем, карта активирована. Кстати, вы сможете тем же способом этот пин поменять, не зная его. В качестве дополнительной меры безопасТносте - мы можем иногда попросить вас пропищать еще и номер-дату-выдачи паспорта. Васян, записывающий ваш dtmf (если вы из офиса это сделали, ему его даже специально распознавать не надо, он отдельно прямо цифрами пишется), будет за это отдельно вам признателен - еще и кредитец на вас возьмет. Это не шутка, это Ситибанк. Европейский уровень безопастносте как он есть.
	Ответить | Правка | Наверх | Cообщить модератору

	68. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 18:43
	Понятно, спасибо. Девушка, я хочу аннулировать карточку и расторгнуть договор. Нет, остаток средств, пожалуйста, по расходному кассовому ордеру. В том же Сбере можно было без проблем пройти в отдел автоматизации на свежим дистром клиент-банка и   новыми ключами (когда я работал в фирме, имевшей р/с в СБ).
	Ответить | Правка | К родителю #55 | Наверх | Cообщить модератору

	79. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от Онаним (?), 12-Янв-19, 22:23
	Без проблем. Нужна ваша подпись вот здесь, и ещё вот здесь. Секундочку, вот ваш ордер на две тысячи сто одиннадцать рублей 50 копеек, пожалуйста, присаживайтесь, ожидайте вызова вашего номера в кассу, всегодоброгодосвидания.
	Ответить | Правка | Наверх | Cообщить модератору

	65. "Рост атак, связанных с захватом контроля над DNS"	+1 +/–
	Сообщение от пох (?), 12-Янв-19, 18:20
	> Правильная цепочка доверия - это когда вы в том отделении банка ну только совершенно необязательно ТАК через задницу - вполне годится прямо на этой карточке печатать fingerprint сертификата (и для ленивых рядом 3d-код) - но для этого надо чтобы браузер его умел спросить, причем заставляя в ответ просканировать код/набрать все цифры вручную, а не 'ok', не читая. А "цепочки доверия" через комоду можно оставить на _крайний_ случай, когда доступ нужен и ты готов пойти на определенные риски. Но он должен быть таким же сложным, неудобным, заставляющим читать мелкий шрифт, как сейчас оверрайд "неправильного" сертификата сделан. Проблема в том, что у гуглезилы совершенно противоположные задачи.
	Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

	70. "Рост атак, связанных с захватом контроля над DNS"	+1 +/–
	Сообщение от YetAnotherOnanym (ok), 12-Янв-19, 18:51
	К сожалению, нас, параноиков, меньшинство. Но это ещё пол-беды - на нас денег сделать затруднительно, вот в чём основная беда.
	Ответить | Правка | Наверх | Cообщить модератору

	75. "Рост атак, связанных с захватом контроля над DNS"	+2 +/–
	Сообщение от пох (?), 12-Янв-19, 19:36
	ну тыж понимаешь, юзверь будет делать ровно то, что его заставят. Сейчас его заставляют НЕ ходить на сайты с сертификатами, неподконторольными гуглю. > Но это ещё пол-беды - на нас денег сделать затруднительно ну казалось бы LE тоже должен быть изначально убыточным проектом, но, похоже,нас таки сумели кому-то продать, оптом, недорого. а денег можно было и сделать - ну, скажем, продавая сервисы этих самых "траспаренсий", и сотрудничая с тем же startssl, а не топя его. Но, похоже, господин полковник велел иначе.
	Ответить | Правка | Наверх | Cообщить модератору

	77. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от Анонимный Алкоголик (??), 12-Янв-19, 20:15
	> Если он, с недоумением пожав плечами, при > вас открывает сайт и берёт серт оттуда - вам стОит всерьёз > задуматься о банке, в котором it-персонал столь легкомысленно относится к секретности. > А вот если он открывает папочку "сертификаты" и распечатывает сертификат оттуда > - с этим банком можно иметь дело. Э... Что за подход? Особенно если сайт на сервере в соседней стойке жужжит... С папочкой. Ну конечно пожимать плечами ему следует без лишнего недо умения... Но и идти к собственно занятым безопасностью эникеям за сертификатом должно быть незачем. ("операционистки" достаточно; или даже без неё)...
	Ответить | Правка | К родителю #54 | Наверх | Cообщить модератору

	91. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от YetAnotherOnanym (ok), 13-Янв-19, 10:32
	Если через стенку и он на него заходит по адресу из rfc1918, то да, а если это филиал, а сервер в Москве, и у админа настроено заходить не по VPN, а через Интернет, и разрешение DNS через сервера провайдера - специально, чтобы видеть, как у клиентов, и тогда он тоже подвержен спуфингу? А если он вообще не в помещениях самого банка, а где-нибудь в EC2? Я допускаю такое, потому что в своё время знал товарища, который с пеной у рта доказывал, что держать собственное железо и собственных админов чуть ли не неприлично, что ни одна серьёзная организация не захочет иметь дело с такими отсталыми людьми, которые не понимают, что надо всё переносить на хостинг и отдавать на отсосинг. Если же операционистке дадут инструкцию, в какой папочке на внутренней файлопомойке взять сертификат, если вдруг кто-то спросит - ну это ж самое лучшее, что может быть. Только операционистки, когда я их об этом спрашивал, переадресовывали вопрос в службу поддержки онлайн-банкинга, который, внезапно, работает на сайте того же банка в режиме чата (не, ну можно ещё позвонить, узнать, что звонок очень важен и послушать музычку).
	Ответить | Правка | Наверх | Cообщить модератору

	92. "Рост атак, связанных с захватом контроля над DNS"	+/–
	Сообщение от Аноним (55), 13-Янв-19, 11:02
	it под колпаком, совместимо с честью на уровне занавески для борделя, компромат фабрикуется своевременно, но сертификаты и оптимизм это хорошо, да
	Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема