OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Německé spotřebitelské organizace žalují Facebook kvůli tomu, že sdílí osobní údaje uživatelů bez jejich výslovného souhlasu. Dříve se FB při spouštění aplikací třetích stran dotazoval uživatelů na to, zda chtějí s aplikací sdílet své údaje, to však bylo nedávno změněno.
Facebook kritizuje povinnost, kterou připravuje EU, spočívající v právu uživatelů na odstranění informací, které se jich týkají. Bude to podle něj znamenat mnohem podrobnější sledování aktivit těchto uživatelů (i na jiných webech, než je v tomto případě samotný Facebook), aby mohla být data odstraněna.
Julian Assange v rozhovoru pro RT řekl, že přichází „on-line totalitarismus“, kde jsou sledovány celé národy. Například přirovnává Facebook k východoněmecké Stasi, která však měla v obyvatelstvu jen 10 % agentů – kdežto když např. na Islandu 80 % obyvatel používá Facebook, každý uživatel se stává agentem.
Ruský soud rozhodl, že videa z akcí Pussy Riot jsou extremistická a weby je musí stáhnout. Pokud tak neučiní, „mohou být uzavřeny“. Shodou okolností zrovna nedávno vstoupil v Rusku v platnost zákon o cenzuře Internetu.
Sýrie se dnes dopoledne odpojila od Internetu. Celý adresní prostor využívaný v rámci tohoto státu je nyní nedostupný. Důvodem je zřejmě snaha režimu zastavit šíření informací o průběhu vojenských operací.
Člověk, který je stíhán pro hackování webových stránek, byl v Británii též obviněn za to, že odmítl vydat heslo k šifrovanému disku. Povinnost rozšifrovat data v Británii platí už od října 2007 a občanovi, který odmítne, hrozí až 2 roky vězení (5 v případě podezření z terorizmu).
Zabavování domén se již netýká jen TLD, které jsou v působnosti USA. Na základě transatlantické spolupráce a za účasti Europolu byly již zabaveny i domény v Evropě, konkrétně v národních TLD několika evropských států a v TLD .eu.
V roce 2010 přikázalo americké Ministerstvo pro vnitřní bezpečnost, aby server Megaupload zachoval (neodstraňoval) 39 souborů, které byly předmětem vyšetřování firmy NinjaVideo. O dva roky později se při zákroku proti Megauploadu ve zdůvodnění objevilo, že server nemaže pirátský obsah – a bylo konkrétně zmíněno 36 souborů z oněch 39, které nebyly smazány.
Sedm amerických poslanců volá po tom, aby FBI vynutila u Twitteru zrušení účtů skupinám, které USA považují za teroristické: jmenovitě by se nyní mělo jednat o Hamás, Hizballáh a Aš-Šabáb.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.