OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Facebook automaticky analyzuje komunikaci mezi uživateli a pokud vyhodnotí podezřelé chování, předá záznam k přezkoumání svým zaměstnancům a následně policii.
Velký tým amerických vědců provedl důkladné zkoumání letokruhů stromů a zjistil, že dlouhodobým trendem je globální ochlazování. Teplota navíc kolísá s dlouhou periodou – ve starověku (okolo začátku letopočtu) a ve středověku (okolo roku 900) byla období oteplení.
Zatímco v jiných zemích umí řešit problémy se zlobivými dětmi v rámci školy nebo pohovorem s rodiči, v Texasu a dalších státech USA se stává čím dál běžnějším, že na školních chodbách hlídkuje policie se zbraněmi a zasahuje proti dětem, které se „nevhodně chovají“. Každý den stanou před soudy v Texasu stovky dětí za „přečiny“ typu klení, zlobení ve školním autobuse nebo dětské bitky na hřišti. Děti jsou zatýkány za držení cigaret, nošení „nevhodného“ oblečení nebo pozdní příchody.
Za situace, kdy bylo v Bundestagu přítomno jen asi dvacet poslanců (z celkem 620), německou sněmovnou hladce prošel zákon, který umožňuje obcím a městům prodávat osobní údaje o těch občanech, kteří jim to výslovně nezakáží. O návrhu ještě bude hlasovat senát.
Úspěšné tažení proti serveru The Pirate Bay v Dánsku zvýšilo datové toky protokolu BitTorrent v této zemi. To nasvědčuje faktu, že významné zablokování TPB nijak nepoškodilo výměnu dat v síti BitTorrent, naopak publicita blokády vedla k vyšší aktivitě ve sdílení a stahování.
V poslanecké sněmovně je novela zákona o zdravotních službách, která usnadní nedobrovolnou hospitalizaci. Návrh připravila skupina senátorů za ČSSD (Alena Gajdůšková, Jan Žaloudík a další).
Australská pošta ztratila DVD s daty o uživatelích služby Stay Smart Online - mimo jiné uživatelská jména, zahešovaná hesla, ale i „bezpečnostní otázky“ používané při zapomenutí hesla. Vládní služba Stay Smart Online poskytuje informace o počítačové bezpečnosti, včetně varování před aktuálními hrozbami.
Facebook připravuje cílení reklamy podle toho, jaké aplikace (a případně ještě jakým způsobem) uživatel používá v mobilu. Reklama se bude zobrazovat v „mobilním Facebooku", a to buď od 16. července nebo až od konce měsíce.
Daniel Dočekal na svém blogu upozornil na „zlepšování služeb“, které připravuje letecká společnost British Airways. Na základě Google Images bude rozpoznávat obličeje svých zákazníků a zpracovávat další informace, které k nim na Internetu najde.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.