becoming_I Δημοσ. 10 Απριλίου 2018 Share Δημοσ. 10 Απριλίου 2018 (επεξεργασμένο) 2 ώρες πριν, jimex είπε Και πάλι όμως αναφέρεσαι στην αποτροπή MITM επιθέσεων, που για να έχουν νόημα πρέπει να υπάρχουν δεδομένα που να θες προστατέψεις ΑΜΕΣΑ Και ποια είναι αυτά τα δεδομένα; 2 ώρες πριν, jimex είπε Δηλαδή duplicate scam sites, scam e-shops κλπ. στα μάτια πολλών θα θεωρούνται νορμάλ μόνο και μόνο επειδή "έχει πράσινο κλειδάκι, άρα καλό θα είναι". Σου απάντησα πιο πάνω ότι όταν εγώ έχω site που πουλάει φύκια για μεταξωτές κορδέλες, δε φταίει το SSL που κάποιοι θα το πιστέψουν. Τι δεν καταλαβαίνεις; 2 ώρες πριν, jimex είπε Πλέον δεν πρέπει καν να εμφανίζεται το λουκετάκι μόνο και μόνο επειδή χρησιμοποιείται https, από τη στιγμή που η απόκτηση ενός certificate είναι υπόθεση λεπτών (εδώ και μερικά χρόνια για την ακρίβεια). Άρα έχεις δεν έχεις SSL δε θα βλέπουμε τίποτα. Θα φωνάζουμε και κανένα μέντιουμ για να μας προειδοποιεί για scam. 2 ώρες πριν, jimex είπε Ούτε ως site administrator εργάζομαι, ούτε καν ως web developer οπότε πίστεψέ με δε θα χάσω ούτε μια γουλιά του καφέ μου Αναφερόμουν στον @mindreader που επειδή δεν μπορεί να κάνει χωρίο με τη forthnet και να περάσει ένα απλό SSL από την Cloudflare, καλεί σε μποϋκοτάζ του SSL από τους χρήστες. Μου θυμίζει αυτό Επεξ/σία 10 Απριλίου 2018 από becoming_I Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
mindreader Δημοσ. 10 Απριλίου 2018 Μέλος Share Δημοσ. 10 Απριλίου 2018 Που να σας ελεγα και τα νεοτερα... εριξαν το site μου 5 μερες μετα την 'αποτυχημενη' μεταβαση σε cloudflare... Ενω το θεμα -υποτιθεται- ηταν ληξαν εδω και μερα, σημερα πρωι το site ηταν πεσμενο. Αφου εφαγα ωρα στα τηλεφωνα, εμμεσως πλην σαφως καταλαβα οτι καποιο 'ξεχασμενο' αιτημα για μεταβαση στους cloudflare ενεργοποιηθηκε σημερα απο forthnet, ενω εγω ειχα ζητησει να επιστρεψω πισω στους δικους τους dns!!!! Τα εκαναν μπαχαλο. Μετα απο αυτο, ειναι σιγουρο οτι το 'καψονι' θα το θυμαμαι χρόνια...θα ακουω ssl και θα τρεχω... Ωστοσο, και για tophost που ψαχτηκα για αλλαγη server, διαβασα -ισως και εδω στο insomnia- αρνητικα... ενω καποιοι φιλοι μου την εκθειαζουν... Οπως καταλαβα, ολοι εχουν τα θεματα τους...μπορει να υπερτερουν σε εναν τομεα, αλλα σε ριχνουν σε καποιον αλλον... Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
jimex Δημοσ. 10 Απριλίου 2018 Share Δημοσ. 10 Απριλίου 2018 (επεξεργασμένο) 4 ώρες πριν, Predatorkill είπε Δηλαδη να μην γνωριζει καν αν ενα site εχει ssl, αλλα θα πρεπει να γνωριζει εαν ειναι spoof ή scam με μια ματια. Whatever μαν Μα αφού δε θα μείνει site εκεί έξω δίχως https με την αναγκαστική ώθηση όλων σε αυτό. Σε οτιδήποτε δίχως TLS προφανώς και θα πετάει warning o κάθε browser, όπως το ίδιο κάνει σήμερα και όταν το certificate είναι untrusted/invalid. Δεν μπορώ να καταλάβω με τι άτομα μιλάω. Αφού δεν ήταν ξεκάθαρο το ξαναγράφω πάλι. Από τη στιγμή που αποδεκτό πλέον είναι και θα είναι μόνο οτιδήποτε χρησιμοποιεί TLS, δε θα πρέπει οι browsers να εμφανίζουν κανένα απολύτως σημάδι που παραπέμπει σε αυξημένη ασφάλεια (με τον τρόπο που την κατανοεί καθένας) και η κλειδαριά είναι ένα τέτοιο. Αν η επικοινωνία δε γίνεται με https οι browsers απλά θα εμφανίζουν warning για μη ασφαλές site. Το να εμφανίζεις για το σύνηθες στο χρήστη ένα σημάδι που στο μυαλό του το έχει συνδέσει με κάτι περισσότερο "από αυτό που προσφέρουν όλοι" είναι επικίνδυνο. Επεξ/σία 10 Απριλίου 2018 από jimex Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Predatorkill Δημοσ. 10 Απριλίου 2018 Share Δημοσ. 10 Απριλίου 2018 (επεξεργασμένο) 40 λεπτά πριν, jimex είπε Μα αφού δε θα μείνει site εκεί έξω δίχως https με την αναγκαστική ώθηση όλων σε αυτό. Σε οτιδήποτε δίχως TLS προφανώς και θα πετάει warning o κάθε browser, όπως το ίδιο κάνει σήμερα και όταν το certificate είναι untrusted/invalid. Δεν μπορώ να καταλάβω με τι άτομα μιλάω. Αφού δεν ήταν ξεκάθαρο το ξαναγράφω πάλι. Από τη στιγμή που αποδεκτό πλέον είναι και θα είναι μόνο οτιδήποτε χρησιμοποιεί TLS, δε θα πρέπει οι browsers να εμφανίζουν κανένα απολύτως σημάδι που παραπέμπει σε αυξημένη ασφάλεια (με τον τρόπο που την κατανοεί καθένας) και η κλειδαριά είναι ένα τέτοιο. Αν η επικοινωνία δε γίνεται με https οι browsers απλά θα εμφανίζουν warning για μη ασφαλές site. Το να εμφανίζεις για το σύνηθες στο χρήστη ένα σημάδι που στο μυαλό του το έχει συνδέσει με κάτι περισσότερο "από αυτό που προσφέρουν όλοι" είναι επικίνδυνο. Μας τρολλαρεις, ε; Ρε τι μαλακες ειναι εκει στη google που εμφανιζουν το λουκετο στη μπαρα στον chrome! Επεξ/σία 10 Απριλίου 2018 από Predatorkill Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
CyberCr33p Δημοσ. 10 Απριλίου 2018 Share Δημοσ. 10 Απριλίου 2018 1 ώρα πριν, mindreader είπε Που να σας ελεγα και τα νεοτερα... εριξαν το site μου 5 μερες μετα την 'αποτυχημενη' μεταβαση σε cloudflare... Ενω το θεμα -υποτιθεται- ηταν ληξαν εδω και μερα, σημερα πρωι το site ηταν πεσμενο. Αφου εφαγα ωρα στα τηλεφωνα, εμμεσως πλην σαφως καταλαβα οτι καποιο 'ξεχασμενο' αιτημα για μεταβαση στους cloudflare ενεργοποιηθηκε σημερα απο forthnet, ενω εγω ειχα ζητησει να επιστρεψω πισω στους δικους τους dns!!!! Τα εκαναν μπαχαλο. Μετα απο αυτο, ειναι σιγουρο οτι το 'καψονι' θα το θυμαμαι χρόνια...θα ακουω ssl και θα τρεχω... Ωστοσο, και για tophost που ψαχτηκα για αλλαγη server, διαβασα -ισως και εδω στο insomnia- αρνητικα... ενω καποιοι φιλοι μου την εκθειαζουν... Οπως καταλαβα, ολοι εχουν τα θεματα τους...μπορει να υπερτερουν σε εναν τομεα, αλλα σε ριχνουν σε καποιον αλλον... Μήπως άρχισες να συμφωνείς μαζί μου ότι οι ISP δεν παρέχουν καλές υπηρεσίες hosting; Κάθεσαι και ταλαιπωρήσε τόσες ημέρες με το ίδιο ζήτημα. Bρες έναν καλό webhost, φτιάξε ένα πακέτο hosting, στείλε τους κωδικούς από το τωρινό σου hosting, άστους να στο μεταφέρουν (οι περισσότεροι κάνουν τη μεταφορά δωρεάν), ζήτησε τους να σου εγκαταστήσουν δωρεάν SSL και να ρυθμίσουν το site να παίζει σωστά με το SSL (π.χ. αλλαγή URL στη βάση). Με την ευκαιρία να αναφέρω ότι τα CDN χρειάζεται να αποκρυπτογραφήσουν και στη συνέχεια να κρυπτογραφήσουν ξανά τα δεδομένα αλλιώς δεν μπορούν να κρατηθούν σε cache. Επίσης το CloudFlare δεν είναι ένα τυπικό CDN αλλά reverse proxy. Αυτό σημαίνει ότι όλη η κίνηση είτε πρόκειται για στατικά αρχεία είτε για δυναμικά να περνάει από το δίκτυο τους. Στα κλασσικά CDN περνάνε από το δίκτυο τους μόνο στατικά αρχεία, π.χ. εικόνες, javascript, css, κλπ που δεν επηρεάζουν την ασφάλεια. Οπότε το ερώτημα είναι πόσο εμπιστευόμαστε την ίδια την εταιρία για το ότι δεν θα βλέπει τα δεδομένα (π.χ. κωδικούς, κάρτες, κλπ) ή δεν θα δώσει πρόσβαση σε τρίτους. 2 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
mindreader Δημοσ. 11 Απριλίου 2018 Μέλος Share Δημοσ. 11 Απριλίου 2018 CyberCr33p ειμαι υπο σκέψιν. Εδω σε αυτο το θεμα μιλαμε μεν για το ssl, αλλα απο τον τροπο χειρισμου, τις παροχες τους, και τις ....τιμες τους, καταλαβαινω κι αλλα πραγματα για το θεμα hosting, και πλεον τιθεται σε διερευνηση, εξ'αφορμης του ssl, και το θεμα hosting provider, ως αυτονομη αποφαση πλεον. Ολα στο τραπεζι. Ως γνωστον, ολα ειναι δυναμικα στον κοσμο που ζουμε, ειδικα σε οτι εχει σχεση με τεχνολογια. Απλα, χωρις να λεω οτι δεν κανω λαθη, ζυγιζω πολυ καθε βημα που κανω, και δεν ειμαι ευκολος στις αλλαγες. Αλλα αυτο δε σημαινει οτι θα ειμαι καπου που θα ειναι ο βιος αβιωτος, και θα μενω εκει. Απλα ξερω οτι και γενικως στη ζωη 'δεν υπαρχουν ιδανικες καταστασεις'. Βεβαια στο νετ, συνηθως αρνητικα θα διαβασεις για μια εταιρια, και συνηθως ο ευχαριστημενος πελατης μπαινει πιο δυσκολα στο φορουμ να σχολιασει. Οπως ειπα, ενω εχω φιλο web designer και εμπιστο πολυ, και μου συστηνει tophost, απο την αλλη διαβαζω εδω για αλλου ειδους προβληματα, load σε servers, προβληματα εξυπηρετησης κλπ Τι ειναι αληθεια; Τι ψεμματα; Καμια πας καπου για καλυτερα και μπλεκεις με αλλα... Αυτες ειναι μερικες απο τις σκεψεις μου. Εσυ, ποιον web hosting provider θα προτεινες - απροβληματιστο (οσο το δυνατον) - εν Ελλαδι (οχι αμιγως ξενη εταιρια) - με οικονομικο πακετο (<100e) - καλη υποστηριξη (οντως, οχι στα δυσκολα να παλευεις να πιασεις γραμμη...) - με καλες παροχες σε βασικα πακετα (ssl - to the point! - και οχι μονο) - κι οχι περιορισμους της πλακας (traffic limits χαζα χαμηλα...) και επιπλεον (μιας και δεν το ηξερα) - να αναλαμβανει εξολοκληρου τη μεταφορα στους servers τους, χωρις αλλη δικη μου παρεμβαση, και να το κανει σωστα (οχι...σ@@@α!) Ειδικα δε γι'αυτο το τελευταιο, αν επαιρνα την αποφαση, θα ηθελα να μην εχω εμπλοκη πλεον με την forthnet, καθως οι ανθρωποι δημιουργουν τετοια προβληματα και κωλυσιεργιες και θεματα απο το πουθενα, που κινδυνευω με...νευρικο κλονισμο! Αν γινεται πχ με αιτηση στον νεο host provider, να κανουν αυτοι τα παντα ολα (αλα φορητοτητα στην τηλεφωνια), ισως οντως η μεταβαση να ειναι smooth. Αλλιως στο παρακάλι με forthnet, δεν ξερω πως θα εβγαζα ποτε ακρη... Εχω ακομη αρκετο χρονο hosting αγορασμενο στην forthnet, οποτε εχω ανεση χρονου, αλλα καποια στιγμη θα κληθω να παρω αποφαση περι ανανεωσης hosting. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
defacer Δημοσ. 11 Απριλίου 2018 Share Δημοσ. 11 Απριλίου 2018 (επεξεργασμένο) On 07/04/2018 at 4:04 PM, jimex said: Από τη μέχρι τώρα εμπειρία μου, μπορώ να πω πως περισσότερο κακό έχει κάνει η χρήση https παντού, παρά καλό. Αυτό για να αντιμετωπιστεί είμαι τρομερά πεπεισμένος ότι θα οδηγήσει σε certificates δύο ή και παραπάνω ταχυτήτων από διαφορετικά CAs, τα οποία οι browsers θα εμφανίζουν εντελώς διαφορετικά. Στα πρώτα μπορεί να μην εμφανίζεται ούτε καν το χαρακτηριστικό "κλειδάκι"... Αυτό συμβαίνει εδώ και πολλά χρόνια (EV certificates) και είναι θα έλεγα όχι κακό αλλά προφανές. Όταν θέλουμε να ελέγξουμε τη φερεγγυότητα ενός ατόμου (π.χ. για να αποκτήσει πρόσβαση σε κάποια μυστικά) προφανώς και δεν έχουμε μόνο μία συνταγή. Άλλο background check θα κάνουμε στον ταμία της τράπεζας και άλλο στο γραμματέα του υπουργού άμυνας. Δεν είναι προφανές; On 07/04/2018 at 6:10 PM, mindreader said: Δεν ξερω πως εκτιματε εσεις την κατασταση. Εξαρταται σε μεγαλο βαθμο και απο τη σταση που θα κρατησουν οι χρηστες, την κοινοποιηση της δυσφοριας για την αθλια αποφαση κλπ. Εξαλλου browser δεν ειναι μονο ο chrome, και αδυνατω να πιστεψω οτι θα ερθει μερα που δεν μπορεις να εχεις προσβαση σε απλο http. Πειτε κι εσεις τις εκτιμησεις σας, αν εχετε λιγο εντρυφησει παραπανω στο θεμα. "Κοινοποίηση δυσφορίας για την άθλια απόφαση" Το είπα ήδη μια φορά ότι εκφράζεις άποψη για πράγματα που δεν καταλαβαίνεις επειδή δεν έχεις ασχοληθεί και δε σε απασχολεί πέρα από τη "μανούρα που σου δημιουργούν" αλλά μάλλον πέρασε και δεν ακούμπησε. Κανείς δε μπορεί να σου πάρει το HTTP. Αυτό που μπορεί να κάνει είναι να αποφασίσει να μη σου παρέχει δωρεάν browser που μιλάει σκέτο HTTP, και να αποφασίσει να μη παρέχει web servers που μιλάνε σκέτο HTTP. Ναι, θα έρθει μια μέρα που δε θα υπάρχει τίποτα mainstream χωρίς SSL, όπως θα έρθει και μια μέρα που δε θα μπορείς πουθενά στον κόσμο να πληρώσεις με μαγνητική πιστωτική και υπογραφή. Δεν ξέρω γιατί σου φαίνεται περίεργο. 21 hours ago, jimex said: Και πάλι όμως αναφέρεσαι στην αποτροπή MITM επιθέσεων, που για να έχουν νόημα πρέπει να υπάρχουν δεδομένα που να θες προστατέψεις ΑΜΕΣΑ. Τα περισσότερα sites εκεί έξω έχουν να προστατέψουν κάτι από τα παρακάτω: User Passwords: Αν εφαρμορστούν σύγχρονες πρακτικές στο login system δε γίνεται καμιά μεταφορά του ίδιου του password. User Sessions: Το ίδιο με το πρώτο. Payment data: To 3rd party σύστημα πληρωμών που χρησιμοποιείται έχει TLS από μόνο του. User Comments: Το 3rd party σύστημα για comments που χρησιμοποιείται έχει TLS από μόνο του. Είμαι επαγγελματίας developer 15+ χρόνια, έχω εργαστεί στο χώρο της ασφάλειας και αυτή τη στιγμή εργάζομαι με αντικείμενο μεταξύ άλλων συστήματα αποτροπής online fraud. Εξήγησέ μου αν θέλεις πώς μπορείς να προστατέψεις το session σου πάνω από σκέτο HTTP και χωρίς τη χρήση εξειδικευμένων application level protocols γιατί είναι κάτι που δεν έχω μάθει μέχρι τώρα. Επεξ/σία 11 Απριλίου 2018 από defacer Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
georgeadams Δημοσ. 11 Απριλίου 2018 Share Δημοσ. 11 Απριλίου 2018 17 ώρες πριν, mindreader είπε Μετα απο αυτο, ειναι σιγουρο οτι το 'καψονι' θα το θυμαμαι χρόνια...θα ακουω ssl και θα τρεχω... Το SSL δε σου φταίει. Κανονικά έπρεπε να ακούς forthnet και να τρέχεις. 1 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
παπι Δημοσ. 11 Απριλίου 2018 Share Δημοσ. 11 Απριλίου 2018 17 ώρες πριν, jimex είπε Μα αφού δε θα μείνει site εκεί έξω δίχως https με την αναγκαστική ώθηση όλων σε αυτό. Σε οτιδήποτε δίχως TLS προφανώς και θα πετάει warning o κάθε browser, όπως το ίδιο κάνει σήμερα και όταν το certificate είναι untrusted/invalid. Δεν μπορώ να καταλάβω με τι άτομα μιλάω. Αφού δεν ήταν ξεκάθαρο το ξαναγράφω πάλι. Από τη στιγμή που αποδεκτό πλέον είναι και θα είναι μόνο οτιδήποτε χρησιμοποιεί TLS, δε θα πρέπει οι browsers να εμφανίζουν κανένα απολύτως σημάδι που παραπέμπει σε αυξημένη ασφάλεια (με τον τρόπο που την κατανοεί καθένας) και η κλειδαριά είναι ένα τέτοιο. Αν η επικοινωνία δε γίνεται με https οι browsers απλά θα εμφανίζουν warning για μη ασφαλές site. Το να εμφανίζεις για το σύνηθες στο χρήστη ένα σημάδι που στο μυαλό του το έχει συνδέσει με κάτι περισσότερο "από αυτό που προσφέρουν όλοι" είναι επικίνδυνο. Όσο καλά να το γράψεις, το νόημα το έχουμε πιάσει. Πουλάς ssl ως trusted site, και τώρα που βάζει και η κουτση Μαρία, χαλιεσαι που θα καταρρεύσει ο μύθος ssl = trusted site. 1 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
CyberCr33p Δημοσ. 11 Απριλίου 2018 Share Δημοσ. 11 Απριλίου 2018 5 ώρες πριν, mindreader είπε Εσυ, ποιον web hosting provider θα προτεινες - απροβληματιστο (οσο το δυνατον) - εν Ελλαδι (οχι αμιγως ξενη εταιρια) - με οικονομικο πακετο (<100e) - καλη υποστηριξη (οντως, οχι στα δυσκολα να παλευεις να πιασεις γραμμη...) - με καλες παροχες σε βασικα πακετα (ssl - to the point! - και οχι μονο) - κι οχι περιορισμους της πλακας (traffic limits χαζα χαμηλα...) και επιπλεον (μιας και δεν το ηξερα) - να αναλαμβανει εξολοκληρου τη μεταφορα στους servers τους, χωρις αλλη δικη μου παρεμβαση, και να το κανει σωστα (οχι...σ@@@α!) Eπειδή έχω ο ίδιος webhost δεν θα ήθελα να προτείνω τον εαυτό μου και να θεωρηθεί η απάντηση ως μη αντικειμενική, ούτε νομίζω επιτρέπεται από τους κανόνες του forum η διαφήμιση δικών μας επιχειρήσεων. Πάντως όπου και να πας σε σχέση με τον τωρινό σου πάροχο πιστεύω ότι θα είναι καλύτερα (αρκεί να μην επιλέξεις άλλον ISP). Αυτό που μπορώ να σου δώσω ως συμβουλή είναι να ψάξεις κριτικές από υπάρχοντες πελάτες που υπάρχουν συνήθως στις ιστοσελίδες του κάθε webhost. Φυσικά να μην είναι ανώνυμες, ούτε απλά να γράφει ένα ονοματεπώνυμο που μπορεί και να μην υπάρχει, αλλά να περιέχουν το domain που φιλοξενείται ώστε να είναι αξιόπιστες. Επίσης κριτικές όπως και σχόλια πελατών (κάτω από τις δημοσιεύσεις που αναρτά ο webhost) θα βρεις και στα αντίστοιχα sites των παρόχων που έχουν στο facebook. Όποιος έχει κλειστή την επιλογή για κριτικές φαντάζομαι θα θέλει να αποφύγει τις κακές κριτικές. 1 Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
jimex Δημοσ. 11 Απριλίου 2018 Share Δημοσ. 11 Απριλίου 2018 (επεξεργασμένο) 4 ώρες πριν, defacer είπε Εξήγησέ μου αν θέλεις πώς μπορείς να προστατέψεις το session σου πάνω από σκέτο HTTP και χωρίς τη χρήση εξειδικευμένων application level protocols γιατί είναι κάτι που δεν έχω μάθει μέχρι τώρα. Αν θες μια απάντηση που να περιλαμβάνει το σύνολο των περιπτώσεων θα σου δώσω απλά τη σύντομη απάντηση ότι δεν μπορείς. Η χρήση TLS δεν μπορεί να αντικατασταθεί. Ούτε από κάτι ηλίθια papers τύπου "Secure Cookies Protocol" ούτε από custom πράγματα (ακόμη πιο ηλίθια επιλογή). Ειδικά τα χρόνια του free wifi που ο attacker πολύ πιθανόν να έχει την ίδια public IP με το θύμα. Από εκεί και πέρα αν εξαιρέσεις τις περιπτώσεις που ανέφερα στο πρηγούμενο ποστ (που μπορείς να εμπλουτίσεις), που πραγματικά δεν υπάρχει κάποιο session να προστατέψεις, είτε γιατί οτιδήποτε απαιτεί ταυτοποίηση γίνεται με 3rd party συστήματα ήδη προστατευμένα, είτε απλά η stateless φύση του http είναι αρκετή για να κάνει τη δουλειά έχουμε τα παρακάτω: Υπάρχουν πολλά sites που το να κάνεις hijack το session πραγματικά δε σου δίνει καμία επιπλέον δυνατότητα ή/και πληροφορία για το χρήστη πέρα από αυτές που θα μπορούσες ήδη να έχεις κάνοντας ένα δικό σου account. Το μέγιστο πρόβλημα ανάγεται στο επίπεδο φάρσας ή/και δυσλειτουργίας που θα μπορούσες να πετύχεις και με μια DoS επίθεση και μάλλον πιο αποδοτικό και εύκολα. Σε πολλά επίσης sites κάνοντας hijack ένα session το πολύ πολύ να πάρεις πληροφορίες επιπέδου side-channel, που αν τόσο πολύ τις θέλεις μάλλον είναι πολύ πιθανό να μπορείς να τις πάρεις και από αλλού, ίσως και με λιγότερο κόπο. Συνδυασμός των παραπάνω με λογικά timeouts στα sessions IDs. Generate των sessions IDs χρησιμοποιώντας public IP + user agent. Επίσης δεν έχει νόημα να σκεφτεί κανείς περιπτώσεις που δεν ισχύουν αυτά. Αν για κάποιο λόγο δεν ισχύει κάτι από αυτά η απάντηση είναι απλή: χρησιμοποίησε https. 4 ώρες πριν, defacer είπε Αυτό συμβαίνει εδώ και πολλά χρόνια (EV certificates) και είναι θα έλεγα όχι κακό αλλά προφανές. Όταν θέλουμε να ελέγξουμε τη φερεγγυότητα ενός ατόμου (π.χ. για να αποκτήσει πρόσβαση σε κάποια μυστικά) προφανώς και δεν έχουμε μόνο μία συνταγή. Άλλο background check θα κάνουμε στον ταμία της τράπεζας και άλλο στο γραμματέα του υπουργού άμυνας. Δεν είναι προφανές; Τίποτα δεν είναι προφανές από τη στιγμή που έχεις να κάνεις με "άσχετους" χρήστες. Το ότι ο χρήστης είναι ή/και θα φερθεί σαν "ηλίθος" το δέχεσαι de facto και δεν προσπαθείς να φτιάξεις το μυαλό του χρήστη. Με τη λογική των ιδανικών χρηστών τα μισά μέτρα ψηφιακής ασφάλειας και αποτροπής της απάτης θα ήταν αχρειάστα. Ειδικά τα άτομα που χρησιμοποιούν browsers πάνω από 10-15 χρόνια, από την εποχή που https έβλεπες μόνο στα sites των τραπεζών και σε μερικά πολύ μεγάλα sites και EVs certifications δεν έβλεπες, έχουν συνδέσει στο μυαλό τους το κλειδάκι στους browsers και κατ' επέκταση το https με trusted sites. Είναι πιο πιθανό να στείλεις σε αυτούς ένα duplicate site και να δουν μόνο το κλειδάκι και όχι το url. Επίσης από την εμπειρία τους και πάλι, ένα τυχαίο eshop με https πολύ πιθανό να το θεωρήσουν μεγάλο/έμπιστο βλέποντας μόνο το κλειδάκι. Τι να κάνουμε; Να φτιάξουμε τους χρήστες ή το μηχάνημα; Από τη στιγμή λοιπόν που τα τελευταία χρόνια η απόκτηση ενός certificate είναι υπόθεση λεπτών και πάει να γίνει ο κανόνας, ποιο ακριβώς το νόημα να το τονίζεις; Ο χρήστης ενδιαφέρεται για τις διαφορές, όχι τις ομοιότητες. Γιατί αν δείξεις στο χρήστη 10 παράγοντες για ένα site τους οποίους δεν καταλαβαίνει κιόλας, ενώ διαφορές αναμένεις να υπάρχουν μόνο σε έναν, το μόνο που κάνεις είναι να αυξάνεις τις πιθανότητες αυτός ο ένας να περάσει απαρατήρητος. Και είμαι 100% σίγουρος, πως τη μέρα που κάποιος browser θα ξεκινήσει να εμφανίζει έντονα warnings για τα sites που χρησιμοποιούν http ή και να τα κόβει εντελώς αν δεν τα βάλει ο χρήστης σε exception list, ταυτόχρονα το κλειδάκι στα περισσότερα https sites θα πάει περίπατο, πλήν όσων έχουν EV certificate. 3 ώρες πριν, παπι είπε Όσο καλά να το γράψεις, το νόημα το έχουμε πιάσει. Πουλάς ssl ως trusted site, και τώρα που βάζει και η κουτση Μαρία, χαλιεσαι που θα καταρρεύσει ο μύθος ssl = trusted site. Άτιμε... με κατάλαβες...! Επεξ/σία 11 Απριλίου 2018 από jimex Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Predatorkill Δημοσ. 11 Απριλίου 2018 Share Δημοσ. 11 Απριλίου 2018 (επεξεργασμένο) Μητσο ολα αυτα για τη συμπεριφορα των χρηστων τα εχεις διαβασει καπου, ειναι αποψεις σου ή η εμπειρια σου; Επεξ/σία 11 Απριλίου 2018 από Predatorkill Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
7beast Δημοσ. 12 Απριλίου 2018 Share Δημοσ. 12 Απριλίου 2018 (επεξεργασμένο) Καλησπέρα σας. Μόλις πρόσθεσα στο cloudflare την ιστοσελίδα μου (προσωπική). Ενώ το status ειναι Active (στο cloudflare) και στο Page Rules έχω προσθέσει "Always use HTTPS" , πάω να μπω στην ιστοσελίδα μου και μου λέει πως έχει λήξει το parallels certificate. Έχουμε καμιά ιδέα τι πρέπει να κάνω; Επεξ/σία 12 Απριλίου 2018 από 7beast Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
mindreader Δημοσ. 12 Απριλίου 2018 Μέλος Share Δημοσ. 12 Απριλίου 2018 7 ώρες πριν, 7beast είπε Καλησπέρα σας. Μόλις πρόσθεσα στο cloudflare την ιστοσελίδα μου (προσωπική). Ενώ το status ειναι Active (στο cloudflare) και στο Page Rules έχω προσθέσει "Always use HTTPS" , πάω να μπω στην ιστοσελίδα μου και μου λέει πως έχει λήξει το parallels certificate. Έχουμε καμιά ιδέα τι πρέπει να κάνω; Αρα δεν ειμαι ο μονος που αντιμετωπισα προβλημα με cloudflare. Για να δουμε τι θα πουν τα παιδια εδω, ποσο ευκολα λυνεται αυτο το προβλημα. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
becoming_I Δημοσ. 12 Απριλίου 2018 Share Δημοσ. 12 Απριλίου 2018 11 ώρες πριν, 7beast είπε Καλησπέρα σας. Μόλις πρόσθεσα στο cloudflare την ιστοσελίδα μου (προσωπική). Ενώ το status ειναι Active (στο cloudflare) και στο Page Rules έχω προσθέσει "Always use HTTPS" , πάω να μπω στην ιστοσελίδα μου και μου λέει πως έχει λήξει το parallels certificate. Έχουμε καμιά ιδέα τι πρέπει να κάνω; Δες εδώ Είναι σωστά setαρισμένοι οι nameservers σου; 4 ώρες πριν, mindreader είπε Αρα δεν ειμαι ο μονος που αντιμετωπισα προβλημα με cloudflare. Για να δουμε τι θα πουν τα παιδια εδω, ποσο ευκολα λυνεται αυτο το προβλημα. Το γεγονός οτί είναι εύκολο δε σημαίνει ότι κάποιος δεν μπορεί να κάνει κάποιο λάθος κατά τη ρύθμιση. Συνδέστε για να σχολιάσετε Κοινοποίηση σε άλλες σελίδες άλλες επιλογές
Προτεινόμενες αναρτήσεις
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώρα