HTTPS

Reeglid, arvamused, ettepanekud
vtl
Liige
Postitusi: 1313
Liitunud: 01 Veebr, 2009 20:20
Kontakt:

Re: HTTPS

Postitus Postitas vtl »

suurtükimees kirjutas:Kindlasti mitte ei mõelnud, et HTTPS peaks kaitsma SQL injectioni või muu sarnase pahateo eest, sp kirjutasingi "lisamõttena"...
Vastutustundetu on niimoodi "ühte lausesse" kaks (lisa)mõtet kirja panna.
IT-s mitte nii kodus inimene loeb eelnevast välja, et "kuna siin https-i pole, siis võib korda saata igasuguseid koledaid ründeid".
suurtükimees kirjutas:
* Mingite bottide paigaldamine ja hooldamine, selleks, et tasuta teenus kasutatavaks teenuseks teha, ei ole tasuta, vaid on töö.
Nõus, aga palju reaalselt sinna alla tööd läheks? (retooriline küsimus)
Abikaasa tegeleb põhitöö kõrvalt mõne vana sõbra-tuttava IT-haldusega. Üks tegelane ei soovinud raha maksta, aga tahtis hirmasasti https-i. Ja oli kusagilt kuulnud sellest letsencryptist. Ja hakkas NÕUDMA, et miks te mulle ei pane.
Vastu tulles inimese soovile saigi pandud. Tulemus on see, et asi ennast ikka automaagiliselt ei uuenda (kuigi kõik oleks justkui juhendi järgi tehtud ja korras) ning iga kolme kuu tagant tekib probleem, stiilis "internet läks jälle katki". Siis tuleb oma põhitöö kõrvale jätta ja spetsiaalselt tegeleda mingisuguse võõra probleemiga ning serte uuendada.

Töö maht iseenesest ei ole suur, küsimus on tülis, mida selle korduv esilekerkimine on tekitanud. Minu eesmärk on võimalikku kohustuslikku "tüli" vältida niipalju kui võimalik. Eriti siis, kui selle tekkepõhjus on IT-võhiku soov saada endale "tasuta teenus".
suurtükimees kirjutas:
* Cisco jt. suured võivad ju sponsoreerida "viime kogu veebi https-ile üle" poliitikat, aga kas nad ISE kasutavad oma veebis letsencrypte serte? Ei.
Ei saa täpselt aru, miks see probleem peaks olema. KIA tegevjuht ei sõida ka ise KIAga.
Ei olegi "probleemi selles". Lihtsalt eelmises postis toodud reklaamiargument oli stiilis "vaadake, Cisco ja teised on selle taga - järelikult see ei saa ju halb asi olla".
suurtükimees kirjutas:
* Suur hulk veebilehti, sisuhalduseid, foorumeid jms. keskkondi jookseb majutuses ja/või virtuaalkonteinerites, mille kasutajatel ei ole shelli ligipääsu. Vähemalt mitte sellel teenustasemel. Seega jätkem siiski "10-minuti-käsurea-haldused" entusiastidele.
Teades, kes on foorumi admin, peaks pädevust ülegi jääma.
Seda enam. Mida pädevam on admin, seda vähem tahab ta endale mõttetut jama ja lisakohustusi kaela võtta. Ehk vt. üle-eelmine punkt.
suurtükimees kirjutas:
* Mis siis saab, kui tasuta teenus ühel päeval ära kaob või tasuliseks teenuseks muutub? Hakkame järgmist otsima? Jälle töö ja vaev? Miks peaks foorumi omanik/administraator endale lisatööd võtma, kui asi niigi toimib?
Läheme HTTP peale tagasi? Kus see meeletu töö ja vaev siin on? Mittetäielik analoog: "Miks üldse vaevuda seina tapeetima? Jälle töö ja vaev. Tavaline värvimata kips niigi toimib."
https pealt tagasiminek ON suurem probleem, kui http pealt https peale üleminek. Alates bookmarkidest ja linkidest, lõpetades tavakodanike paanikaga "foorum on nüüd ebaturvaliseks tehtud".
suurtükimees kirjutas:
* Kui siin on kõik nii kõvad kärbsed koos, siis äkki teete ise kolhoosi korras ära selle väikese asja?
Ei saa aru kas nali või on mõte ikka taga
Miks see nali peaks olema? Kui grupp seltsimehi otsustab, et seda on väga vaja ning on nõus seda oma raha või ajaga toetada, siis võetagu ühendust foorumi omaniku/administraatoriga ja pakutagu abi. Kui admin peab vajalikuks https peale üleminekut, siis ta juba ise otsutab, mida ja kellega edasi ette võtta.

Mina EI OLE omanik ega administraator, seega ma lõpetaks suuvoodri mängimise ning taandaks ennast nüüd siit vaidlusest.
Eesti Relvaomanike Liit - relvaomanikud.ee
kibek2si
Liige
Postitusi: 209
Liitunud: 04 Jaan, 2012 14:54
Asukoht: Saare-/Tartumaa
Kontakt:

Re: HTTPS

Postitus Postitas kibek2si »

Tere.
MiTM attack on samuti üsna kole rünne. Pahandusi, mis sellega korda on võimalik saata on mitmeid. Antud foorumi puhul näiteks, inputi vahelt varastamine, (parooli kasutajanimie, nende kohta andmebaasi loomine ning selle mustal turul maha müümine). Samas on sellega ka eelnevat mainitud, sisetatud teksti asendamine endale sobiva tekstiga.
Tõsi, minu pakutud self signed on halb mõte, ning praeguses olukorras veelgi halvem mõte.
Mis ma samuti puudutaksin on paroolide ristkasutus, mitme erineva teenuse juures tarvitatakse sama prooli ning ühe teenuse DB langemisel mehed mustas käes koos e-mailiga on hea saak. Sest sellega on võimalik hakata proovima meili teenusele ligipääsu, ning näiteks paypal, ebay, amazon jms.
Lisaks tooksin infoturbe spetsialisti Troy Hunti postituse(https://haveibeenpwned.com/) miks on vaja HTTPS teenust.
https://www.troyhunt.com/heres-why-your ... eds-https/
Kutt7
Uudistaja
Postitusi: 21
Liitunud: 17 Sept, 2007 23:32
Asukoht: Tallinn
Kontakt:

Re: HTTPS

Postitus Postitas Kutt7 »

HTTPS'i peale mitte kolimine ei ole absoluutselt millegagi põhjendatud!
Ma saaks aru, kui praegu oleks aasta 2010 või tegu oleks mingi NSR veebisaidiga.
Veebimajutuses saab ju lihtsalt lisada LE serdi ja mõne proxy lahendusega mixed content'i probleem lahendatud.
vtl
Liige
Postitusi: 1313
Liitunud: 01 Veebr, 2009 20:20
Kontakt:

Re: HTTPS

Postitus Postitas vtl »

kibek2si kirjutas:MiTM attack on samuti üsna kole rünne. Pahandusi, mis sellega korda on võimalik saata on mitmeid. Antud foorumi puhul näiteks, inputi vahelt varastamine, (parooli kasutajanimie, nende kohta andmebaasi loomine ning selle mustal turul maha müümine). Samas on sellega ka eelnevat mainitud, sisetatud teksti asendamine endale sobiva tekstiga...
Kas Sa võiksid tuua mõne näite, kuidas militaar.net-i hostiva veebimajutuse ühendusele oma karvane käsi vahele panna?
Kasutajapoolsest viimasest otsast kuni internetiteenuse pakkujani ei ole mõtet rääkida, sest nõnda kuigi suurt "andmebaasi" just ei loo.
kibek2si kirjutas:Mis ma samuti puudutaksin on paroolide ristkasutus, mitme erineva teenuse juures tarvitatakse sama prooli ning ühe teenuse DB langemisel mehed mustas käes koos e-mailiga on hea saak. Sest sellega on võimalik hakata proovima meili teenusele ligipääsu, ning näiteks paypal, ebay, amazon jms...
Selge see, et paroolide ristkasutus on halb, aga see on juba teine teema. Kui inimene kasutab militaar.net-is ja paypalis sama parooli, siis ei ole viga https-i puudumises, vaid olematus küberhügieenis.
Eesti Relvaomanike Liit - relvaomanikud.ee
Vasta

Kes on foorumil

Kasutajad foorumit lugemas: Registreeritud kasutajaid pole ja 0 külalist