https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:08 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#c20636 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1240 nospam@example.com (Paweł Goleń) Szczerze mówiąc ta mikstura HTTP i HTTPS jest w pewnym momencie po prostu nie do ogarnięcia. Dlatego w HTTPv2 szyfrowanie ma być (niby) wymagane. Pewnie w praktyce okaże się, że będą wyjątki od tej reguły i zrobi się jeszcze weselej. Ale wracając do głównego tematu - moim zdaniem warto się zastanowić nad tym, czego oczekujemy od użytkowników. Mówimy im - "nigdy nie klikaj na linki, wpisuj adres prosto w pasku adresu". Jeśli tak, to po co banki mają na swoich stronach prezentacyjnych (serwowanych po HTTP) linki do serwisu transakcyjnego? To w końcu mają klikać na te linki, czy wpisywać je ręcznie? A może tam jest mała gwiazdeczka, która wspomina o linkach w "zaufanych" źródłach. OK, mail może i nie jest zaufany (phishing), ale czy strona serwowana po HTTP jest? Ktoś może powiedzieć, że do udanego ataku intruz musi być w dobrym miejscu w sieci. Jak pokazały ostatnie doświadczenia - może być na Twoim routerze. Więc może tak naprawdę chodzi nam przede wszystkim nie o to, czy na link klikniemy, czy go wpiszemy ręcznie, ale jaki link jest widoczny w pasku przeglądarki, gdy już jesteśmy na stronie? Załóżmy, że tak jest - czy mogę ufać temu co widzę? Nie, nie mogę. I nie chodzi mi tutaj o jakieś możliwości spoofingu paska adresu, tylko atak na DNS. I nie, nie na sam protokół DNS (poisoning), tylko na "skłonienie" użytkownika do skorzystania z "naszych" serwerów DNS. Znów - wszystko zależy od tego gdzie jest intruz, ale podstawienie swojego serwera wcale nie musi być takie trudne. By się nie rozpisywać - nie, nie można wierzyć w to, co widzimy w pasku. Więc jedyne co pozostaje to sprawdzenie certyfikatu. A ilu użytkowników jest w stanie to zrobić poprawnie? ...a nawet nie wszedłem jeszcze na temat malware na stacji. Mówi się, że generałowie przygotowują się do wojen, które już były. A co powiedzieć o wpajaniu zasad "bezpiecznego postępowania", które są umiarkowanie skuteczne? Tue, 27 May 2014 21:56:05 +0200 https://archive.mroczna-zaloga.org/archives/1240-guid.html#c20636 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#c20629 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1240 nospam@example.com (mq) Ja w ogóle nie ogarniam, nie widziałem jeszcze banku który wymuszałby SSL wszędzie. Zawsze sweetaśna strona główna musi być po HTTP, niektórzy jeszcze nawet celowo stripują SSLa :| Mon, 26 May 2014 17:17:59 +0200 https://archive.mroczna-zaloga.org/archives/1240-guid.html#c20629 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#c20623 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1240 nospam@example.com (Paweł Goleń) Dokładnie tak. Jakoś mam dziwne wrażenie, że użytkownik będzie bardziej ufał takiej stronie. Przecież wszyscy mu mówią, by wpisywał adres banku sam, a nie klikał na linki. Wpisał i ufa, że jest już dobrze. A przejścia z HTTPS na HTTP i potem na HTTPS może nie zauważyć. Mon, 26 May 2014 17:09:50 +0200 https://archive.mroczna-zaloga.org/archives/1240-guid.html#c20623 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#c20621 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1240 nospam@example.com (Jakub) Odpowiedź: Podmiana na dowolną treść tego co przyszło po HTTP. W tym przekierowanie na własny serwer :), w końcu użytkownik przyjdzie z zaufanej strony, więc nie powinien mieć podejrzeń. Mon, 26 May 2014 13:35:49 +0200 https://archive.mroczna-zaloga.org/archives/1240-guid.html#c20621 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#c20417 https://archive.mroczna-zaloga.org/archives/1240-kapcie-mi-spadly-naprawde.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=1240 nospam@example.com (rc) Przyłączam się do spadniętych kapci z moją opadniętą koparą. Moje poczucie estetyki także zostało brutalnie zgwałcone, co zgłosiłem na infolini. Niestety Pan z różową chusteczką w kieszeni (kurwa - jedyne co mi się nasuwa na myśl po takim widoku to podobne zachowania w meksykańskich więzieniach - faceci co biorą w d**ę obnoszą się z podobnymi chusteczkami) oznajmił że dla nich niezadowolenie klientów z beznadziejnego wyglądu to nie problem bo dziennie mają ponad 1000 nowych... Mon, 26 May 2014 11:02:18 +0200 https://archive.mroczna-zaloga.org/archives/1240-guid.html#c20417