OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Společnost Google se rozhodla data, která získala zachytávání z WiFi sítí, poskytnout vládám Německa, Francie a Španělska k dalšímu zkoumání. Dojde k tomu na základě odůvodnění žádosti uvedených států, kterým je zjištění, jaká data firma zaznamenávala.
Konference SmartCard Forum se věnovala mimo jiné biometrickým údajům, novým občanským průkazům a pasům či čipovým kartám. Můžete si stáhnout sestříhané videozáznamy přednášek.
V holandském Rotterdamu se budou testovat „biometrické kamery“ umístěné v autobusech MHD. Kamery budou snímat různé obličejové rysy cestujících a porovnávat je s údaji v databázi. Nizozemský ministr vnitra projekt podpořil a v případě úspěchu by se toto řešení asi pokusil zavést v celé zemi.
Po Ústí nad Labem se pohybuje dodávkový automobil za 7 mil. Kč vybavený sadou kamer a trojčlennou posádkou. Podle Vladimíra Junka, představitele ústecké policie, vozidlo slouží k „preventivní ochraně a monitorování projevů extremismu“.
Telefónica změnila taktiku a zapírá. „Nevhodným“ doménám (např. indexlolita.net, kisslola.com, offlolita.org, thaimisc.com, za příklady děkujeme uživateli podepsanému Jirka P) vrací A záznam 194.228.41.66 (server je dostupný i mimo síť O2). Na tomto serveru běží Red Hat Linux a Apache 2.0.55, který na veškeré HTTP požadavky vrací 200 OK a následuje HTML, ve kterém je napsáno 403 Access denied, což je jistě velmi kreativní řešení. Nezasvěcený uživatel si tak myslí, že chyba je na straně provozovatele serveru.
Na skladech v ČR zbývá asi 600 000 vakcín proti prasečí chřipce, které už nikdo nepotřebuje a časem se vyhodí. Nakoupit je ale prý bylo potřeba. Na jakou chřipku se budeme připravovat příště? Opičí? Psí? Tipovat můžete v komentářích.
Poslanci Evropského parlamentu mohou nyní podepisovat písemné prohlášení č. 29 (pdf), které pod záminkou boje proti dětské pornografii požaduje rozšíření povinnosti uchovávat provozní a lokalizační údaje (data retention) i na internetové vyhledávače, informuje Christian Engström. Iniciátory prohlášení jsou Ital Tiziano Motti a Slovenka Anna Záborská, oba za Evropskou lidovou stranu. Pokud se pod dokument do 9.9. podepíše alespoň 369 z 736 poslanců, bude dokument přijat a předán jako doporučení Evropské komisi. Do 20.5. prohlášení podepsalo 324 poslanců. Pokud by byl dokument schválen, spadal by pravděpodobně do kompentence švédské komisařky pro vnitřní záležitosti Cecilie Malmström, která je známa svým kladným postojem k cenzuře Internetu - viz rozhovor s ní. K propagaci prohlášení slouží web na adrese smile29.eu.
Britské ID karty kritizované pro narušování soukromí budou pravděpodobně zrušeny. Příslušný zákon čeká druhé čtení 9. června 2010. Konservativně-liberální vláda zároveň slíbila ukončení velkobratrského národního registru, odebírání otisků prstů dětí ve školách a bezdůvodného uchovávání internetových a e-mailových záznamů. „Je to dobrý začátek“ poznamenává iniciativa NO2ID.
Výsledky největšího průzkumu konaného v ČR za poslední čtyři roky ukázaly, že většina občanů a občanek je spokojena s politickou situací, vyrovnaností státního rozpočtu a dalšími aspekty politického a ekonomického života. Naši politici si mohou k tak skvělému výsledku jistě gratulovat.
Evropská unie plánuje kvóty na minimální počet žen v managementu velkých firem. Podrobnosti ještě nejsou známy, ale pravděpodobně bude muset žen být kolem 40 %. Takové kvóty mají v Norsku už od roku 2006. "Podle studií vykazují firmy, v nichž jsou ženy zastoupeny odpovídajícím způsobem, výborné finanční výsledky," tvrdí vicekomisařka Evropské unie pro spravedlnost Viviane Redingová.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.