OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
A je to tady, je hotové nařízení ohledně omezení prodeje a držení prekurzorů výbušnin „široké veřejnosti“. Samotné držení bude zakázáno od března 2016. Z Přílohy 1 vybíráme například „mezní koncentrace“: 3% kyselinu dusičnou nebo 12% peroxid vodíku.
Projekt KamEmigrovat.cz představuje některé země, které ještě zůstaly „svobodné“. Zatím se jedná zejména o malé státy - po Švýcarsku například o Singapur nebo Hong Kong.
Novozélandský odvolací soud zrušil rozsudek nižší instance a rozhodl, že Kim Dotcom a jeho tři kolegové mají být vydáni k trestnímu stíhání do USA. Právníci obviněných jsou odhodláni podat ještě dovolání k nejvyššímu soudu.
Australský daňový úřad (ATO) ukládá hesla v otevřené, nezašifrované podobě. Týká se to přinejmenším jedné služby poskytované úřadem (objednávání publikací), kde jsou tato hesla přímo posílána uživatelům, kteří heslo zapomněli. I pokud by se to ostatních služeb ATO netýkalo, mnozí uživatelé pravděpodobně používají pro všechny služby stejná hesla a únik by byl proto snadno zneužitelný.
Na ÚOOÚ bude zítra odeslána žádost o poskytnutí informací o platech a odměnách jeho předsedy a dalších vysokých úředníků. Cílem není přímo zjistit výši platů a odměn, nýbrž dosáhnout buď uznání samotného úřadu, že je poskytování těchto informací v pořádku, nebo soudní rozsudek mířící přímo proti tomuto úřadu, kterému se nelíbí, že některé složky státu platy zveřejnily.
Úřad pro ochranu osobních údajů zahájil správní řízení s Vrchním státním zastupitelstvím v Praze kvůli zveřejnění platů na VSZ. Platy zveřejnilo i Nejvyšší státní zastupitelství. Na informace o platech vysokých činitelů státu mají podle Nejvyššího správní soudu občané právo.
Islandská vláda navrhuje blokovat veškeré porno na Internetu. Cenzura obsahu se má zajistit národním firewallem po vzoru Číny. Současně by bylo zakázáno platit za porno islandskými kartami.
Zatímco dříve jste při cestě do Severní Koreje museli odložit svůj mobilní telefon (zpátky jste ho dostali až při odjezdu), nyní si ho můžete nechat a dokonce z něj lze i telefonovat. Příjemně překvapena byla skupina čínských cestovatelů z Young Pioneer Tours, píše BBC. Podle čínské tiskové agentury Xinhua platí nová politika od 7. ledna. Brzy by mělo být dostupné i internetové připojení. Změny se (zatím) týkají jen zahraničních návštěvníků.
Ústavní soud ČR svým nálezem rozhodl, že mají občané právo upozorňovat na porušení zákona i v případech, že jim v tom brání soukromoprávní smlouva (např. pracovní). Zrušil tak rozsudky proti zaměstnancům čističky odpadních vod, kteří upozornili kontrolní orgány na porušení předpisů a byli za to okamžitě propuštěni.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.