W dniu dzisiejszym uruchomiliśmy obsługę szyfrowanego protokołu HTTPS na naszym portalu. Dane szyfrowane są za pomocą protokołu TLS v1.2. Bezpieczniejsze przeglądanie możliwe jest pod adresem:
https://zawszeczujni.blogspot.com
Algorytm klucza publicznego bazuje na krzywych eliptycznych (ECDSA) zgodnych z ANSI X9.62 prime256v1 (secp256r1, NIST P-256).
Zachęcamy i zalecamy przeglądanie naszej strony z użyciem powyższego adresu.
11 komentarze:
Wow, to zwiazane z filmem powrot do przyszlosci?
Marty McFly podesłał algorytmy ;)
Szyfrowanie zwykłych, ogólnie dostępnych stron to zuo. Kto zgadnie dlaczego?
Zużywa więcej mocy na dekodowanie i szyfrowanie.... Bardziej obciąża sprzęt tak użytkownika jak i serwer.
Jednak na wielu tych zwykłych stronach są mechanizmy logowani i w razie wpadki dane uwierzytelniające będą zaszyfrowane. Wielu ludzi uzywa tych samych danych w wielu serwisach i jeden udany atak mógłby eskalować też na inne miejsca. Może nas nie interesować głupota ludzi, ktorzy dają te same dane logowania gdzie indziej, ale nie zmienia to faktu minimalizowania atakow hakerskich. Bo przecież taki nierozsądny może siać potem wirusami gdzie sie tylko będzie dało. Oczywiście całkowicie nieświadomie. Poza tym można kraść tożsamość i wiele innych możliwości dają hakerom nieszyfrowane strony. A zasoby nie są aż takie duże pobierane przy szyfrowaniu. Zwłaszcza, że mamy obecnie dostęp naprawdę do potężnych instancji za stosunkowo niewielkie pieniądze.
Jako zadawca pytania odpowiem co miałem na myśli.
Przykład:
* firma "Kogutek sp z o.o." utrzymuje swoją stronę na szacownym hostingu Dom.pl czy coś w ten deseń.
* strona firmy Kogutek działa na protokole HTTPS, administrator ma powody do dumy.
* któregoś dnia, w całkowicie niepojęty sposób, strona firmy Kogutek zaczyna serwować pliki o nazwie "Faktura-2015-xxx.PDF.scr". Oczywiście transmisja jest szyfrowana. Spokojnie.
* w tym samym czasie "panie Krysie z księgowości", z różnych firm w Polsce, z uporem godnym lepszej sprawy, zaczynają pobierać tę fakturę. Przecież dostały maila, w którym jak byk było napisane: "Twoja faktura....kliknij aby....". Wprawdzie nadawca nie wydawał się być znany, ale sprawdzić zawsze trzeba, żeby nie było kwasu w płatnościach. Trudno przecież o dobrą pracę.
* firma, w której pracuje "pani Krysia", posiada oczywiście super-duper firewall z amerykańskim antywirusem i heurystyką, ale przecież próby skanowania transmisji szyfrowanych godzą w poufność informacji (pani Krysia obsługuje firmowe konto w banku) i powodują cały ten galimatias z certyfikatami (jak odróżnić "legalne" skanowanie w firmie od ataku MITM?). Ostatecznie plik "Faktura-2015-xxx.PDF.scr", bez przeszkód trafia do PC-ta pani Krysi.
* pech chciał, że amerykański antywirus, zainstalowany lokalnie u pani Krysi, nie posiadał jeszcze definicji, która rozpoznawałaby rzekomą fakturę jako złośliwe oprogramowanie. Być może twórcy tego wirusa podpisujący się jako Cinquecento Team, zapomnieli wysłać próbkę swojego dzieła na VirusTotal. A może byli tak przebiegli i wyrachowani, że z premedytacją nie wysłali. A może jednak byli nierozgarnięci i wysłali, tylko deweloperzy amerykańskiego antywirusa sobie tylko znanych powodów nie uwzględnili tego przypadku w aktualnych sygnaturach. Dziwne. Zazwyczaj sygnatury wykrywają nowe wirusy już w tydzień po pojawieniu się w sieci. No góra miesiąc.
* nareszcie pani Krysia może zobaczyć o co chodzi z tą fakturą i groźnie brzmiącym "ostatecznym wezwaniem". Klik... Hmmm. Jeszcze raz klik... Co jest grane? Pani Zosiu! Nic tu nie ma. Chyba jakaś pomyłka. Eeee tam... Robota czeka.
* uruchomiony w ten sposób plik .scr, zgodnie ze zwyczajem takich fikuśnych programików zaciągnął z sieci kolejny plik. Adres "https://kamienikupa.info/wp-content/asdf.exe". Tym razem z rozszerzeniem .exe (pani Krysia nie patrzy, ha ha).
* nowy plik zainstalował w komputerze pani Krysi usługę o poważnie brzmiącej nazwie i pliku wykonywalnym, dajmy na to lsasss.exe. Usługa ta w pewnych okolicznościach zestawia tunel VPN z adresem 66.66.66.66:443. Dzięki niemu ludzie z Cinquecento Team, mają wgląd w sieć lokalną firmy. Mogą do woli testować zabezpieczenia wewnętrznych serwerów. Testowanie to oni lubią najbardziej.
Przykład ten daje do zastanowienia, czy aby na pewno szyfrowanie zwykłych treści jest zasadne i czy powinniśmy zezwalać komputerom na nieograniczony dostęp do szyfrowanych serwisów, podmiotów, których reputacja jest nam nieznana. O ile szyfrowany dostęp do Google, Bing, Wikipedii itp, ma uzasadnienie, to już taki sam szyfrowany dostęp do strony firmy Kogutek czy do "strony" serwowanej przez smartfona w kieszeni jakiegoś Wasilija Iwanowicza, raczej nie.
Nie zadawca pytania, ale pytający :)
Nie mówmy o patologiach. Równajmy do lepszego. A lepszym jest szyfrowanie zawsze i wszędzie.
To ja poproszę internet bez patologii. Najlepiej na zawsze.
Szyfrowanie strony kogucik to może nie, ale wystarczy zobaczyć na właściwości połączenia i certyfikatu na zawszeczujni, zapewnia je Google poprzez bloggera więc ma ono uzasadnienie :)
No właśnie Internet bez szyfrowani jest patologią :) A to co jest powyżej (długi koment) dowodzi niefrasobliwości ludzi, ale którym można zapobiec. Atakom hakerskim na infrastrukturę pojedynczy człowiek nie zapobiegnie. Dlatego tak ważne jest wyrobienie nawyku u adminów stron, żeby zawsze dawali szyfrowanie.
Bardzo ciekawie napisane. Jestem pod wielkim wrażaniem.
Prześlij komentarz