OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Evropský prezident Herman Van Rompuy měl v Německu zajímavý projev, který mnohým připomněl jednoho pána s knírkem, který měl v Německu kdysi také projevy. Projev si můžete stáhnout v angličtině nebo němčině.
Na ČVUT v Praze vyvíjejí bezpilotní letoun s umělou inteligencí, jehož účelem je „boj proti teroristům“. Oproti dosavadní praxi, kdy jsou jednotlivé letouny dálkově řízeny lidskými piloty, mají nové stroje fungovat automaticky, a to i z hlediska taktiky v rámci skupiny. Člověk jim pouze zadá úkol, který mají splnit.
McDonald's dává k HappyMealu hračku. To se dětem líbí, rádi pak toto jídlo jedí a tloustnou. Nově se mohou hračky dávat pouze k jídlům do 600 kcal obsahujícím ovoce a zeleninu, píše iDNES.
Výsledky šestého ročníku soutěže pro narušitele soukromí Ceny Velkého bratra byly vyhlášeny a ze 140 nominací byla největším slídilem jmenována Policie České republiky za závažné a dlouhodobé zasahování do soukromí občanů, zejména za archivaci fotografií aut i řidičů i další prohřešky proti svobodě. Píše Root.cz.
Pobočka amerického ministerstva vnitřní bezpečnosti ve státě Pennsylvania monitorovala aktivitu občanů na síti Twitter. Konkrétně šlo o sledování komunikace skupiny odpůrců „válečných sklonů“ USA. Shromažďování informací z Twitteru je „součástí každodenního zpravodajského úsilí ... vedeného v zájmu pennsylvanské pobočky ministerstva pro vnitřní bezpečnost“.
Dnes proběhlo přelíčení v případu Vladimíra Stwory, o kterém jsme tu již psali. Stwora byl opět osvobozen a státní zástupce se opět odvolal. Můžete si stáhnout záznam jednání o úctyhodné délce 2 hodiny a 8 minut. Obsah naleznete tamtéž, většinu lze přeskočit. Ale doporučuji alespoň prvních 45 sekund, které jsou asi nejvýživnější částí záznamu.
Licence záznamu je CC-BY, takže jej můžete šířit zplna hrdla.
Britský ministr kultury Ed Vaizeynavrhl, aby poskytovatelé internetového připojení zavedli „mediační službu“ ohledně obsahu, k němuž mají připojení uživatelé přístup, přičemž by tito ISP mohli bez účasti soudu obsah cenzurovat.
„Internetový troll“ Colm Coss byl odsouzen na 18 měsíců do vězení za to, že psal na dvě stránky na Facebooku „škodlivé příspěvky“ (což je ve Velké Británii trestné podle zákona Communications Act 2003). Byl odhalen a zatčen poté, co rozeslal svým sousedům své fotografie.
Tak nám soudí neonacisty. Hrozí jim až 8 let. Dopustili se takových ohavných zločinů jako provozování webu odpor.org či organizování pochodu k uctění německých vojáků padlých za 2. světové; měli doma také tiskoviny s nacistickou tematikou a zpívali rasistické písně.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.