OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>
Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Vyhledávač Google cenzuruje výsledky hledání. Nemusíte mít ani německou IP adresu, stačí použít google.de, abyste viděli filtrované výsledky. Setkáte se tak hláškou jako např. „V reakci na právní žádost zaslanou společnosti Google bylo z této stránky odstraněno 36 výsledků.“ nebo „You have selected the least restrictive filter for your results. Images not compliant with German law will still be filtered.“
V Číně chtějí sterilizovat páry, které už měly jedno dítě. Do sterilizace je ovšem mnohdy nutí – například zavřením příbuzných, pokud sterilizaci odmítnou.
Evropská unie/SESR zaplatí mladým, starým a nemajetným třetinu ceny dovolené kdekoli v Evropě. Například chudý Španěl tak může jet za 2/3 do Polska nebo starý Brit do Itálie. „Dovolená už není odměnou za celoroční dřinu, ale odměnou za celoroční dřinu ostatních.“
Krajský soud v Brně zamítl odvolání a potvrdil tak osmiměsíční podmínku za nápis na dveřích veřejných záchodků. Že by škoda přesáhla 5000 Kč, že už nešlo jenom o přestupek? Ne, nápis byl protižidovský. P. t. čtenář si nyní jistě položí otázku, zda by soud rozhodl stejně například v případě nápisů protiruských. Tak pozor na §§ 355 - 356 a 403 - 405 trestního zákoníku (Zvědavec, Novinky).
Brusel by mohl schvalovat státní rozpočty členů eurozóny. Eurokomisař pro hospodářské a měnové záležitosti Olli Rehn navrhuje, aby Evropská komise mohla rozpočet zamítnout ještě předtím, než ho schválí členský stát, píší Lidové noviny.
Britská labouristická vláda narychlo schválila tento zákon, který umožňuje zablokovat internetové servery, které „byly, jsou nebo pravděpodobně jsou užívány ve spojení s porušováním autorského práva“. Tento zákon je dalším krokem k omezení svobody internetu a v širším významu svobody slova ve Spojeném království. Zdroje: blisty.cz, guardian.co.uk, bbc.co.uk, ABC Linuxu.
Náklady na bezpečnostní opatření (která významně zasáhnou velkou část Prahy a bude se na nich podílet až 5000 policistů) související s pobytem amerického a ruského prezidenta zřejmě dosáhnou 50 milionů Kč.
Česká národní banka před rokem převedla Mezinárodnímu měnovému fondu 26 miliard korun se splatností 5 let a nyní MMF z těchto peněz půjčuje Řecku, upozorňuje Petr Mach.
Komentáře
Btw. ten odkaz "rozhodně není
Btw. ten odkaz "rozhodně není poprvé" - to je síla, co?
Jo. Ale je to jen v softwaru.
Jo. Ale je to jen v softwaru.
Certifikát
OT: HTTPS certifikát, který servíruje váš webserver, má platnost do 21.6.2012 11:40:51. Momentálně je 14:30, takže prohlížeče už při přístupu nadávají...
Řešení in progress, CA má
Řešení in progress, CA má nějaký problém s webem.
Stejně bych certifikátům od „důvěryhodných“ autorit nevěřil :)
SSL vs web-of-trust
Ma to reseni. Certifikaty, i self-signed, by sly kombinovat s web-of-trust podpisy pomoci napr. GnuPG. Detached signature certifikatu se pak ulozi na server se standardizovanym jmenem (napr. https://dome.na/sslsign.gpg). Browser extenze pak muze kontrolovat zda je certifikat gpg-podepsan nekym duveryhodnym, a zobrazovat pozici podpisu v web-of-trust jednotlivych klicu. Kontrola pres SSL pak muze byt provedena paralelne s kontrolou pres GnuPG.
Šel bych na to trošku
Šel bych na to trošku jinak.
V případě, kdy URL předáváš elektronicky, není problém s ní prostě předat i otisk veřejného klíče serveru na druhé straně. Takhle by šlo vygenerovat šíleně propletenou a ohromnou web of trust. Stačilo by to jenom nějak implementovat. E.g.:
<a href="https|BASE64encodedFINGERPRINT://kinderporno.cz/d/blah>Dětské porno zdarma ke stažení</a>Vychází to z toho, že ten, kdo odkaz šíří, webu věří, resp. prvotní publikovatel odkazu to stejně musel dát do nějakého zabezpečeného média (jinak by nepomohla ani svěcená voda).
V případě papírového předání je to horší, ale řekněme, že já bych ten 20znakový řetězec klidně zkontroloval. Případně máme QR kódy.
Bylo pochopitelné, co jsem tím chtěl říct? Co si o tom myslíte?
20 znaků je málo, base64 má 6
20 znaků je málo, base64 má 6 bitů na znak a tak by byla síla hashe jen 120 bitů a to je dokonce míň než md5, tedy kolize! Radši aspoň 40 znaků :-D.
Jinak nápad předávat fingerprint v url je zajímavej, akorát by to lehko svádělo uživatele k opomenutí druhého potvrzovacího kanálu a útočníky k MITM útoku a pokusu o falšování všech fingerprintů.
Kolize v MD5 jsou způsobeny
Kolize v MD5 jsou způsobeny kryptografickými útoky, nikoli vyčerpávajícím hledáním. Podle mě 2^120 nespočítáš a ještě hodně dlouho nikdo nespočítá. Kdyby jo, tak můžeme zahodit všechny 128b symetrické šifry.
Jádro myšlenky bylo v tom, že pokud útočník může podvrhnout fingerprint v URL, může podvrhnout i URL samotnou - tj. v takovém případě by ti nepomohlo ani současné schéma s CA.
Jestli použiješ něco jinýho
Jestli použiješ něco jinýho než MD5 tak pak jo.