Fórum Root.cz
Hlavní témata => Software => Téma založeno: Ħαℓ₸℮ℵ ␏⫢ ⦚ 18. 02. 2024, 12:21:26
-
Na určitých serverech mi chrome vyhazuje hlášku "Vaše hodiny jdou napřed", i když to není pravda a je to chyba na straně serveru. Tyto stránky bych si chtěl přečíst, jenže zde i po kliknutí na Rozšířené není možnost "Pokračovat"(jako v případě jiné chyby jako nesoulad servername a domény a navíc se ani neukáží detaily).
curl s parametrem -k s tím nemá problém. Web neběží na portu 80, což bych přijal jako workaround býval mýval
Jakým způsobem v chrom(i)u se tedy na stránku dostanu ? Nechci si pokusně měnit čas v systému.
Nezkoumal jsem, jak je to v ostatních browserech... Rozumím, že pro správnou funkci PKI je kritický čas pro srování platnosti certifikátu
PS: čím by to daná chyba mohla být způsobena? Nabízí se prostě, že je tam starý certifikát po expiraci, ale to si myslím, že by ukazovalo jinou hlášku. ... Tak podle všeho jde o expirovaný.
-
Příklady takových webů?
-
Expired.badssl.com (err.cert.date.invalid)
Paradox : v chromu 80 to ještě nabídne pokračovat, v nové verzi je to posané výšhe
(Ale u chyby err.cert common name invalid (=jiná doména než vypálena v cerfifikátu) jde pokračovat , nechápu logiku, proč v jedné chybě ta nožnost je a v druhe není)
-
Takže je to expirovaný certifikát. Což musí být z názvu jasné i vám. Jinak web badssl.com je určen pro odborníky, když nevíte, k čemu slouží, tak tam nelezte.
-
Vypadá to ,že máte dnes špatnou náladu, tak snad ti zlepší náladu vtip "Why was the computer late to work? It had a hard drive to work."
Speciální příklad pro Jirsáka, jak to vypadá: https://verizon-global-root-ca-expired.chain-demos.digicert.com/
Speciální příklad pro Jirsáka, jak chci, aby to vypadlo https://nazkouskuneexistujicisubdomena.maxiorel.cz/
Jde mi jen o to tlačítko Pokračovat
Speciálně pro Jirsáka přikládám screenshoty . Už z <TITLE> tabu je zřejmé, že ta hláška je uplně mimo: hodiny mi jdou dobře a vdruhym případě jde jen o nějakou dočasnou chybu certifikátu. Ale to tom jsem polemizovat vůbec nechtěl, Chtěl jsem radu, jak pokračovat na tento web, který vlivem chyby zaspivšího webmástra a autorů nové verze chrome nejde zobrazit. Se asi nějak nový elév rozhodl, že tlačítko Pokračovat v jednom případě odebere a vdruhym ho nechá, i když to nedává smysl.
Je jedno, že se podařilo najít konkrétní chybovou hlášku, tím spíš ,že to je chyba typu webmaster was late to work . He had a certificate to work on.
Jenom jsem poznamenal pro ilustraci, že z nějakého prapodivného důvodu to tlačítko pokračovat tam jest v případě certifikátu vydaného na jinou doménu než zadanou. Když o tom přemýšlím, to je častější vektor útoku hackera, který udělá HTTPS MITM , že prostě nahradí certifikát jiným. Proč by tam dával expirovaný certifikát? Pokud by ho vůbec sehnal.
Pro pořádek: uvolňuju podmínku , že musí nesmí běžet na portu 80, stačí i když bouřlivě redirectuje
na Location: ${adresa/http:/https:} - výsledek je pak stejný
-
Vypadá to ,že máte dnes špatnou náladu
Špatnou náladu mám z toho, že tady na fóru nelze blokovat uživatele, kteří se notoricky ptají na hlouposti a hloupě, například vás. To, že k zodpovězení vašeho dotazu bude potřeba vědět, o jakou adresu jde, to dojde úplně každému, jenom vám ne. Takže si ten dotaz musí desítky lidí přečíst, prokousat se vašimi rádobyvtipnými větami (které akorát zakrývají to, že vůbec netušíte, o čem píšete), aby to v průběhu vzdali, že takovou slátaninou se zabývat nebudou. Načež se nad vámi někdo smiluje a zeptá se na to, co mělo být hned v první větě vašeho komentáře – o jaký web se jedná?
Už z <TITLE> tabu je zřejmé, že ta hláška je uplně mimo: hodiny mi jdou dobře
Chrome ale nemůže vědět, že vám jdou hodiny dobře. Naopak, pokud narazí na propadlý certifikát, je jedna z pravděpodobných možností, že vám jdou na počítači špatně hodiny. Další možnost je, že provozovatel serveru nechal certifikát expirovat – s tím ale uživatel stejně nic neudělá. Takže jediné rozumné, co se dá udělat, je doporučit uživateli, aby si zkontroloval, že mu nejdou špatně hodiny na počítači.
vdruhym případě jde jen o nějakou dočasnou chybu certifikátu
To není žádná dočasná chyba certifikátu, to je prostě certifikát, který k danému webu nepatří.
Chtěl jsem radu, jak pokračovat na tento web, který vlivem chyby zaspivšího webmástra a autorů nové verze chrome nejde zobrazit.
Nijak. Právě proto se ta chyba zobrazuje, aby se uživatelé na stránku nedostali.
Když o tom přemýšlím, to je častější vektor útoku hackera, který udělá HTTPS MITM , že prostě nahradí certifikát jiným. Proč by tam dával expirovaný certifikát? Pokud by ho vůbec sehnal.
Vy o tom radši ani nepřemýšlejte. (Důvod, proč se odmítají expirované certifikáty, je celkem jednoduchý.) Radši přemýšlejte nad tím, co uděláte pro to, aby vaše dotazy tady nebyly notoricky hloupé a nevypadalo to, že si pole pro zadání dotazu pletete s vyhledávacím políčkem Googlu.
Pro pořádek: uvolňuju podmínku , že musí nesmí běžet na portu 80
Co kdybyste si to po sobě alespoň přečetl? Napsal jste tu dvě věty o portu 80 (v prvním dotazu a teď), a žádná z nich nedává smysl.
-
Prvotní dotaz byl úplně jednoduchý, stýskalo se mi po tlačítku Pokračovat , když chrome narazí na nějakou chybu kolem zabezpečení. Přičemž v kontrastu s jinými chybami HTTPS tam to tlačítko je. Taky jsem nezkoumal co je to přesně za chybu. Nepovažoval jsem to za relevantní pro cíl dotazu: zobrazit HTML stránku, když je nějaký problém s HTTPS. Až pak jsem zjistil, že tuto stránku technicky lze otevřít nejen přes curl, Firefox a dokonce starší verzi chromu. Takže že jde jen umělé upozornění , i když správné, aby si uživatel dal pozor, ale až v nové verzi chromu se z toho stalo omezení.
Ano, chrome nemůže vědět, jestli hodiny jdu špatně mě nebo jdou špatně serveru. Proto by měla být možnost Pokračovat, když hodím voko na digitálky a na lištu vpravo dole a zjistim, že u mě dobrý.
Zvolil jsem špatný příklad, protože nemám čas hledat 10 minut hledat vypilovanou doménu, který přesně demostruje co chci, ale slouží to jen jako demonstrace, že v případěj jiné chyby tam tlačítko Pokračovat je. A ono jde skutečně o dočasnou chybu, v 50% případech se to načte dobře. Ale ty příklady už tady zazněly https://druhypokusnazkouskuneexistujicisubdomena.maxiorel.cz/
Jde mi jen o to tlačítko Pokračovat
Nijak. Právě proto se ta chyba zobrazuje, aby se uživatelé na stránku nedostali.
A já se právě na tu stránku chci dostat.
To je právě ono - já se na tu stránku chci dostat. Jelikož jsem odborník, tak tam nebudu zadávat čísla kreditních karet a hesla., Jenom se ho chci přečíst
Je snad zločin prohlédnout si stránku přes HTTP nebo s expirovaným certifikátem ¿
Stať o portu jsem 80 jsem uváděl proto, aby mi nikdo neradil, že mám zkusit si ten web otevřít "na adrese HTTP místo HTTPS". Když tam neběží. Což by byl workaround, když se něco s HTTPS podělá. Přemýšlím dopředu.
-
Ve Win verzi Chromu (verze 121) "tlačítko" pokračovat u expirovaného certifikátu vidím.
-
Normální expirovaný certifikát, u mě to vypadá takto: Chrome / FF, aktuální verze, windows 10
-
Takže celé to zmatené povídání o portu 80 a jak je/není důležitý, se dá nahradit za "počítejme s https-only serverem?" Stačilo to napsat takhle polopaticky a bylo by to jasné. On totiž port 80, byť se běžně používá pro http protokol, je jen port 80 a co si na něm kdo pustí je čistě jeho věc. Klidně tam může běžet https, ssh, nějaká VPN... A když se explicitně zmiňuje port a ne protokol, tak v tom už lidi hledají nějakou složitost s přesměrováním nebo forwardováním portů, která tu vůbec nedává smysl.
Chrome jako prohlížeč pro BFU a jako ten, kdo schytá od BFU obvinění, že se přes něj nakazili, prostě agresivně blokuje, co se mu nezdá, a ostatní Chromium projekty to většinou přebírají. A často to má pozitivní přínos, když to donutí správce serverů k tomu, co měli udělat už dávno, ale bylo jim to u zadnice, protože přece stačí kliknout na "pokračovat".
Odborník jistě nebude mít problém zkusit, co dělá Firefox jako poslední velký ne-chromiový prohlížeč mimo jablečný svět, dřív, než vytvoří další diskuzní vlákno. Nebo si projít flags v tom Chrome, a podívat se na ssl-related volby. Nebo si přesměrovat provoz přes lokální (třeba ssh) proxy, aby si prohlížeč myslel, že se baví s localhostem a aplikoval mírnější pravidla. Nebo si stáhnout tu stránku přes curl/wget a prostě si ji prohlédnout staticky. Nebo to všechno nějak nakombinovat. Nebo vymyslet ještě dalších X možností.
(Ne, nejsem Jirsák, jen s ním tady naprosto souhlasím. :D )
-
Zkusil jsem to i na Ubuntu 23.10 na Virtuále a i tam mi to dává chybu "Your connection is not private" a nikoliv "Your clock is ahead". Takže něco je pošahanýho na tvým počítači.
-
Prvotní dotaz byl úplně jednoduchý, stýskalo se mi po tlačítku Pokračovat
Takže to nebyl dotaz. Na nic jste se neptal, jen jste si chtěl postěžovat.
Proto by měla být možnost Pokračovat, když hodím voko na digitálky a na lištu vpravo dole a zjistim, že u mě dobrý.
Právě proto tam to tlačítko Pokračovat není. Protože by to spousta lidí vyhodnotila stejně špatně, jako vy, řekla by si „u mně dobrý“ a bylo by jim úplně jedno, že lezou třeba na web nějakého útočníka.
Zvolil jsem špatný příklad,
Ne, zvolil jste špatné diskusní fórum. Kdybyste řešil nějaký problém, k čemuž je určeno toto diskusní fórum, žádný příklad byste nemusel volit – prostě byste uvedl ten web, u kterého jste na problém narazil. Jenže vy neřešíte problém, vy jste si chtěl jenom vylít srdéčko.
protože nemám čas hledat 10 minut hledat vypilovanou doménu,
Jasně, zatímco lidé, kteří vám chtějí pomoci, těch 10 minut mají.
A ono jde skutečně o dočasnou chybu, v 50% případech se to načte dobře.
Certifikát se jednou vystaví a pak už se nemění. Pokud to v 50 % případů funguje, znamená to, že je tam sudý počet serverů a na polovině z nich je špatný certifikát.
Ale ty příklady už tady zazněly https://druhypokusnazkouskuneexistujicisubdomena.maxiorel.cz/
Jde mi jen o to tlačítko Pokračovat
To je právě ono - já se na tu stránku chci dostat.
Ano, právě proto je v prohlížečích ta ochrana. Aby se tam nedostali lidé, kteří se tam dostat nemají a přesto se tam chtějí dostat.
Jelikož jsem odborník
V žádném případě nejste. Odborník by se aspoň uměl zeptat.
Jenom se ho chci přečíst
Je snad zločin prohlédnout si stránku přes HTTP nebo s expirovaným certifikátem ¿
Co si chcete přečíst? Ten web? Bez platného certifikátu ovšem nevíte, jestli jste na tom webu nebo někde úplně jinde. A jestli je vám to jedno, co si čtete, přečtěte si třeba /dev/random. Vzhledem k tomu, jak píšete, se nebojím, že byste neporozuměl tomu, co je v /dev/random napsáno.
Přemýšlím dopředu.
Tak přestaňte přemýšlet dopředu a myslete na to, co píšete. Jestli vám tam třeba nechybí ta nejdůležitější informace. Jestli to, co jste napsal, dává smysl. Jestli je to správně česky. Myslím, že to vaše přemýšlení zaměstná více než dostatečně.
-
Normální expirovaný certifikát, u mě to vypadá takto: Chrome / FF, aktuální verze, windows 10
On totiž Ħαℓ₸℮ℵ ␏⫢ ⦚ zapomněl napsat takový drobný detail, že má prohlížeč plný různých pochybných rozšíření („kvůli bezpečnosti“) a blokuje kde co. Takže zatímco u všech normální uživatelů Chrome po té, co dostane expirovaný certifikát, pravděpodobně pingne na nějaký server Googlu, aby zjistil, jak moc mu jdou špatně hodiny – a zjistí, že mu jdou přibližně správně, že tedy certifikát je opravdu expirovaný, a zobrazí příslušnou chybovou hlášku (s textem Pokračovat). Naproti tomu Ħαℓ₸℮ℵ ␏⫢ ⦚ takovou komunikaci nejspíš zablokuje nebo přesměruje bůhvíkam, takže prohlížeč ani nemá šanci zjistit, jak si stojí jeho hodiny – a logicky zobrazí hlášku o tom, že je asi něco špatně s hodinami.
Rozdíl je v tom, že všichni uživatelé tam to tlačítko Pokračovat mají (protože na hlášce o expirovaném certifikátu je), zatímco Ħαℓ₸℮ℵ ␏⫢ ⦚ tam to tlačítko nemá (protože na hlášce o špatném času není, protože to má uživatel spravit tak, že nastaví správně hodiny).
To je jediné, co nás na celé té taškařici může těšit – že Ħαℓ₸℮ℵ ␏⫢ ⦚ zase nachytal sám sebe.
-
a co najdem ako prve, ked to dam do googla?
The error usually occurs when the date and time aren't set correctly on your device. Other possible causes include an incorrectly selected time zone or region, a bad CMOS battery, browsing an insecure website, and interference from the browser cache.
Cize to moze znamenat aj chybu certifikatu, alebo chces ist na stranku, ktora je pochybna.
Chrome je prehliadac pre BFU a podla toho sa aj sprava. Proste nedovoli ist na stranky, ktore obsahuju nieco skodlive. Ak si teda odbornik, tak pouzijes nejaky normalny prehliadac, ktory proste urobi co sa mu povie a neriesi, ci si tym nakazis pocitac, alebo nie. Ak chces obsah, tak si ho stiahnu cez curl.
-
Přesně tak, na funkčním prohlížeči na funkčním počítači to hodí chybu co sem tu dal screen já a tam lze pokračovat na nezabezpečený web. Ta jeho hláška je prostě pokud jsou blbě hodiny. Zkusil sem v systému změnit časovou zónu o jednu na východ, což vedlo k tomu, že mi hodiny ukazovaly o hodinu víc než tady reálně bylo, takže sem přepl čas na ručně nastavený a tu hodinu ubral, což vedlo právě k té hlášce, že mám blbě hodiny. Těchto dotazů je plný net a tak do pěti minut se dá najít několik návodů, kde se doporučují tyto kroky:
1. zkontrolovat nastavení času a to včetně toho, že mám správně nastaven region kde se vyskytuji a tomu odpovídající časovou zónu, zapnutou automatickou synchronizaci času a mít čas skutečně čerstvě synchronizován.
2. Smazat data prohlížeče - cache, cookies, historii, mít aktuální verzi prohlížeče, vypnout rozšíření, případně zkusit prohlížeč přeinstalovat a začít s čistým profilem.
3. Mít podporovaný a plně aktualizovaný systém.
4. Mít aktualizovanou sadu certifikátů co jsou předinstalovány v prohlížeči a systému.
5. Mít v pořádku RTC a baterii, která je napájí.
6. Jako poslední zoufalý krok spouště prohlížeč s parametrem --ignore-certificate-errors
-
Nemám čas (čti: náladu) číst podrobně všechny příspěvky, ale vypadá to že se zatím nenašel expert který ví jak v Chrome přeskočit chybu certifikátu, když chybí tlačítko "Přeskočit"
Tedy vězte, že stačí napsat: thisisunsafe
Napsat == vyťukat na klávesnici, zdánlivě bez jakékoliv odezvy. Prostě idkfa pro Gen-Z :-)
-
A na konci ještě enter :)
Potvrzuju, že to funguje v aktuální verzi Chrome, Edge i Firefoxu.
-
Tohle není dobrý nápad lidi učit, protože se to naučí používat rutinně a budou z toho jen problémy. Za chvíli tu máme tazatele s další várkou neuvěřitelných dotazů vyplývajících z nestandardního uživatelského chování.
Tyhle nepřeskočitelné obrazovky vznikají, když autor webu nasadil hlavičku HSTS (https://www.root.cz/clanky/bezpecnejsi-sifrovani-https-s-hlavickami-hsts-a-hpkp/), ve které prohlížeči řekl, že na daném webu musí být v pořádku certifikát a všechny s ním související bezpečnostní prvky. Otáčí se tím logika a autor říká, že bezpečný stav je zavřeno. Tedy pokud se něco rozbije, nepustíme na web uživatele méně zabezpečeným kanálem, jako je to možné bez HSTS. Nelze přepnout na HTTP nebo obejít varování. To je chtěný stav.
Správný postup je tedy to na tom serveru opravit tak, jak to má být a jak autor deklaroval, že to taky bude.
-
Ano, dame na dom najnovsie bezpecnostne prvky, zabezpecime ho ako pevnost, aby sme nakoniec dali kluc, ktory to vsetko vypne pod rohozku.
Skor by som riesil preco vznikol dany problem a v pripade vyvoja a testovania pouzit nejaky iny prehliadac, kde som si vedomy toho, ze idem so zabezpecenim dole.
-
Jsou servery, které dlouho, nebo už vůbec nikdy, nikdo neopraví.
-
Správný postup je tedy to na tom serveru opravit tak, jak to má být a jak autor deklaroval, že to taky bude.
To je krásné, že to je správný postup. Problém je, že k vyřešení problému "nemohu se dostat k tomu, co potřebuji protože to mají špatně nakonfigurované, přitom obsah mi server normálně zašle" je tohle konstatování úplně k ničemu.
-
Skor by som riesil preco vznikol dany problem
Připomněl bych, že žádný problém neexistuje. Jako příklad „problému“ byl uveden web, kde je záměrně nasazen expirovaný certifikát, aby na tom bylo možné testovat chování klientů při expirovaném certifikátu.
To je krásné, že to je správný postup. Problém je, že k vyřešení problému "nemohu se dostat k tomu, co potřebuji protože to mají špatně nakonfigurované, přitom obsah mi server normálně zašle" je tohle konstatování úplně k ničemu.
Jak to víte, že vám to zaslal ten správný server? Že to nepodvrhl útočník? Překvapuje mne, kolik lidí přistupuje k tak důležitým serverům, že se na ně musí za každou cenu hned dostat; a zároveň jim je úplně jedno, kdyby z toho serveru dostali obsah podvržený útočníkem. Mohl byste alespoň naznačit, o jaký případ se může jednat? Když si představím možnosti – banka, e-mail, pracovní věci jako třeba GitHub – tam rozhodně nepolezu přes neplatný certifikát. Nákup na nějakém e-shopu – nakoupím jinde nebo počkám. Shánění informací – zjistím si je jinde. Informace třeba nějakého úřadu – zjistím si je jinde nebo počkám, rozhodně nebudu důvěřovat něčemu za neplatným certifikátem. Co je tedy tak důležité, že to neseženu jinde ani nemůžu počkat, a zároveň tak nedůležité, že mi nebude vadit neplatný certifikát?
-
Donedávna bylo 80% informací na serverech bez https a nebyl to problém, zabezpečovalo se jen to důležité.
Dnes, kdy se tlačí na zabezpečení úplně všeho (i informace koho má Adel zase za přítele, nebo že Fiala koupil v Německu Nutellu), je na zabezpečených serverech naprostá většina informací.
A mnohé z nich můžou být jedinečné (jinde k dohledání nejsou), ale provozovatele už přestalo bavit se o server starat a řešit obnovu nějakých certifikátů a verze security protokolů, tak ho nechává jen žít vlastním životem. Třeba už i zapomněl, že nějaký server provozuje, částka za provoz se mu z účtu strhává automaticky.
Ano, je správné, že mě browser upozorní, že s certifikátem serveru je nějaký problém, ale není správné, pokud mi ve výchozí konfiguraci zcela zabraňuje se k cílové informaci dostat.
-
Tomas-T: a zase sme na zaciatku, ze browser od chromu je prisposobeny pre bfu, a v ramci ich bezpecnosti to rovno blokuje. Na rozdiel od doby kedy vladlo http, ma dnes internet kazdy a premyslanie nie je v mode. takze vznikaju tieto inteligentne prehliadace, ktore rozhoduju za uzivatela.
Preto mam (zatial) rad firefox, lebo ma sice upozorni, ale dovoli na vlastne riziko pokracovat.
-
Donedávna bylo 80% informací na serverech bez https a nebyl to problém, zabezpečovalo se jen to důležité.
Kdyby nebyl problém, tak se neřeší HTTPS.
A mnohé z nich můžou být jedinečné (jinde k dohledání nejsou), ale provozovatele už přestalo bavit se o server starat a řešit obnovu nějakých certifikátů a verze security protokolů, tak ho nechává jen žít vlastním životem. Třeba už i zapomněl, že nějaký server provozuje, částka za provoz se mu z účtu strhává automaticky.
To vypadá, jako že vymýšlíte krkolomný případ, který by teoreticky mohl nastat – ale reálně se s něčím takovým nepotkáte.
Ano, je správné, že mě browser upozorní, že s certifikátem serveru je nějaký problém, ale není správné, pokud mi ve výchozí konfiguraci zcela zabraňuje se k cílové informaci dostat.
Je to správné. Protože když tam dáte možnost upozornění přeskočit, všichni ti, kdo vůbec nevědí, o co jde, a dál by jít neměli, to varování přeskočí. Jak je ostatně vidět i v této diskusi.
Zkrátka ti, kteří nedokážou posoudit, jaké nebezpečí se za tím neplatným certifikátem skrývá, nemají mít možnost to upozornění přeskočit. A ti, kteří to posoudit dokážou, tam to tlačítko nepotřebují, protože si to dokáží zařídit jinak.
-
Ano, je správné, že mě browser upozorní, že s certifikátem serveru je nějaký problém, ale není správné, pokud mi ve výchozí konfiguraci zcela zabraňuje se k cílové informaci dostat.
Ve výchozím stavu to prohlížeč právě dovolí. Nedovolí to jen v případě, že mu to autor webu výslovně zakázal a tedy prohlásil, že tady musí být vše podle pravidel a není možné svévolně snížit úroveň zabezpečení. Běžný uživatel netuší, co ta chybová obrazovka znamená a že použitím tlačítka „přeskočit“ se dostává do velmi nebezpečné situace. Přesně k zabránění tohoto vektoru útoku vznikla hlavička HSTS.
-
A mnohé z nich můžou být jedinečné (jinde k dohledání nejsou), ale provozovatele už přestalo bavit se o server starat a řešit obnovu nějakých certifikátů a verze security protokolů, tak ho nechává jen žít vlastním životem. Třeba už i zapomněl, že nějaký server provozuje, částka za provoz se mu z účtu strhává automaticky.
To vypadá, jako že vymýšlíte krkolomný případ, který by teoreticky mohl nastat – ale reálně se s něčím takovým nepotkáte.
Hmm, tak to trvalo cca hodinu a už jsem to potřeboval - nakonec tedy, jen abych se stejně dozvěděl, že daný web někdo zablokoval. :)
https://send.ephemeral.land/
-
Hmm, tak to trvalo cca hodinu a už jsem to potřeboval - nakonec tedy, jen abych se stejně dozvěděl, že daný web někdo zablokoval. :)
https://send.ephemeral.land/
Takže kdybyste tam nelezl, nestalo by se vůbec nic.
-
Takže kdybyste tam nelezl, nestalo by se vůbec nic.
Dostal jsem odkaz na něco, o co jsem měl zájem.
Ale už jsem zjistil, že ta "blokace" (nejspíš opravdu unesené spojení po cestě) je selektivní, z virtuálu v Azure funguje původní web bez problémů - takže k požadovanému obsahu jsem se nakonec dostal.
-
Aha, tak problém identifikován.
Spojení na tento server ukradl a přesměroval firemní firewall. Při odpojení z firemní VPN už vše fungovalo v pořádku.
-
Takže jste se stal terčem útoku MitM a ten blok vás před ním správně ochránil. Vy jste ho ale násilím překonal a tím jste se vystavil riziku předání citlivých údajů útočníkovi.
Přesně před tím ta ochrana chrání a právě proto se nemá překonávat, ale má se hledat příčina.
-
Samotnou identifikaci browseru za citlivý údaj nepovažuju.
A samozřejmě předávání jakýchkoliv citlivých údajů (např. přihlašovací údaje) na stránce, která má z ničeho nic nesprávný certifikát, by byla čistě jen moje blbost - což v tomhle uvedeném případě nehrozilo, žádné citlivé údaje se tam nikde nevyplňují.
Jen prostě nemám rád, když se ke mě browser chová jako k BFU a sám si rozhoduje, co je pro mě dobré a co ne.
A firemní firewall, který místo aby mi zobrazil stránku "Tato stránka je blokována firemní politikou", tak mě přesměruje na web, který má nedůvěryhodný certifikát a zároveň HSTS - to je už jen k pláči.
-
pouzivas browser pre bfu a stazujes sa, ze sa sprava ako keby si bol bfu. Ako som pisal, chrome je pre ludi, ktori zapnu pocitac, spustia browser a o bezpecnosti a o tom, ako funguje internet nemaju ani sajnu.
-
Samotnou identifikaci browseru za citlivý údaj nepovažuju.
A samozřejmě předávání jakýchkoliv citlivých údajů (např. přihlašovací údaje) na stránce, která má z ničeho nic nesprávný certifikát, by byla čistě jen moje blbost - což v tomhle uvedeném případě nehrozilo, žádné citlivé údaje se tam nikde nevyplňují.
Jen prostě nemám rád, když se ke mě browser chová jako k BFU a sám si rozhoduje, co je pro mě dobré a co ne.
A firemní firewall, který místo aby mi zobrazil stránku "Tato stránka je blokována firemní politikou", tak mě přesměruje na web, který má nedůvěryhodný certifikát a zároveň HSTS - to je už jen k pláči.
Je hezké, jak vždycky někdo popisuje, že přece ví, co dělá, když se navzdory prohlížeči chce dostat na web se špatným certifikátem. Pak se ukáže, že ho před tím prohlížeč varoval oprávněně a že šlo opravdu o MitM útok, a dotyčný zase tvrdí, že přece ví, co dělá, a určitě by tam nezadával jakékoli citlivé údaje. Já si myslím, že kdyby ten web vypadal věrohodně, tak za chvilku zapomenete, že tam byl neplatný certifikát, a citlivé údaje tam bez problémů zadáte.
Zatím to ale vypadá, že váš prohlížeč se k vám chová správně. A že je opravdu potřeba, aby prohlížeče postupně odstraňovaly tu možnost přeskočit varování i tam, kde zatím je. Protože ani uživatelé, kteří se nepovažují za BFU, tu situaci zjevně neumí vyhodnotit správně.
-
pouzivas browser pre bfu a stazujes sa, ze sa sprava ako keby si bol bfu. Ako som pisal, chrome je pre ludi, ktori zapnu pocitac, spustia browser a o bezpecnosti a o tom, ako funguje internet nemaju ani sajnu.
Snad jen upřesním, že nepoužívám Chrome ale Edge - potřebuji ho z pracovních důvodů pro vývoj a přeskakovat pak pro běžnou činnost na něco jiného už nechci. Jinak samozřejmě pro občasnou kontrolu funkčnosti i vzhledu mám na na PC i Chrome, Firefox a Operu.
Asi bych to uzavřel, že tenhle konkrétní problém způsobil hodně nestandardně zkonfigurovaný firemní firewall, který mi chtěl říct, že mi zakázal přístup ke konkrétní stránce a zároveň tu varovnou stránku zabezpečil tak, že mi k ní browser odmítl povolit přístup.
Jestli to lze považovat za MITM útok, tak bych to měl asi nahlásit firemnímu security oddělení. ;D
-
Jestli to lze považovat za MITM útok, tak bych to měl asi nahlásit firemnímu security oddělení. ;D
Chtěl jste se dostat na nějaký web, ale někdo uprostřed vám místo toho podstrčil něco jiného. To je samozřejmě ukázkový MitM útok.
Něco jiného je, že MitM útok je dnes oblíbený nástroj firemních bezpečnostních řešení. (Která tím obvykle bezpečnost založenou na certifikátech snižují, protože certifikáty nevalidují tak pečlivě, jako prohlížeče, pokud vůbec. Máslo na hlavě ovšem mají ii tvůrci prohlížečů, kteří neposkytují bezpečnostním nástrojům možnost napíchnout se na dešifrovaná data – a když tvůrci těch bezpečnostních řešení usoudí, že ta dešifrovaná data potřebují, zařídí se prostě po svém a založí bezpečnost na těch MitM útocích.) Jestli to hlásit či nehlásit firemnímu bezpečnostnímu oddělení je na vás – pokud to řešení není popsáno někde fe firemních dokumentech, správně by se to hlásit mělo, protože to MitM útok je.
-
Ak to robi firemny firewall, tak by som urcite nahlasil, nech tam podstrcia aspon certifikat, ktory je v ramci domeny pokladany za doveryhodny.
-
To je vlákno :-) Sice je to poučné (co vše se člověk nedozví, děkuji), ale stále nechápu ten tah na BRANKU. Stále se tu peskuje vrátný, který nepustil dovnitř auto pana ředitele, protože za volantem je někdo, koho nikdy ještě neviděl. A přitom by měl dostat pochvalu za obezřetnost.
-
Nemám čas (čti: náladu) číst podrobně všechny příspěvky, ale vypadá to že se zatím nenašel expert který ví jak v Chrome přeskočit chybu certifikátu, když chybí tlačítko "Přeskočit"
Nápodobně
Tedy vězte, že stačí napsat: thisisunsafe
Napsat == vyťukat na klávesnici, zdánlivě bez jakékoliv odezvy. Prostě idkfa pro Gen-Z :-)
Bohužel se nic nestane. i s entrem . Zkoušeno víckrát
Ta poslední věta zní jak nějaký argot...
Další:
> HSTS. To je dobrá poznámka, ale uživatel by měl mít konečný slovo, jinak je takový software k ničemu. A k ničemu na druhou, když prohlížeč ani nenapíše, na základě čeho tedy trucuje otevřít stránku . Ani slovo o HSTS, pokud to tím skutečně je., nebo jiné vysvětlení.
Pořád je to stejné (nepochopení), kvůli které by tu nemusely být Jirsákovy Monology a diskuse o smyslu HTTPS
1. jdu na stránku s vědomím, že může být spojení unesené
2. Je to čistě umělé omezení (curl -k to otevře, starší verze taky přes Pokračovat)
3. Já chci mít kontrolu v prohlížeči nad jeho chováním
4. Je to nějak nahouby řešené v chromu: chybná hláška když hodiny moje jdou dobře, thisisunsafe nefunguje. Přitom podobná
Nepomohlo ani chrome://net-internals/#hsts
https://www.techrepublic.com/article/taming-your-browser-how-to-resolve-the-hsts-site-roadblock-in-chrome/
> všeljaké drbání ohejbákem jako otevření přes curl lokální proxy, stahování a otevírání...:
Tohle jsou rady k ničemu, to si to mohu otevřít v té staré verzi chrome, kde tahle chyba (zmizelé Pokračovat)není. Nějaké šachování přes curl bude k ničemu, když půjde o "trzv.progresivní" stránku, která bez javascriptu se načte jako animované šedé čtverečky
-
Pod čarou:
prohlížeč mám plný těchto rozšíření: ["uBlock Origin"] tečka.
Pokud by chromium Opravdu se nechalo rozhodit špatným, časem selhat po nemožnosti ověřit čas, pak je asi něco špatně vymyšlené. Nebo pokud po chybě vydedukuje, že uživatel má špatně čas.
Řečnická otázka: Proč tam tedy není formulář pro čestné prohlášení, že mi hodiny jdou správně?
Opravdu už mě nanapadá proč po stopadesáty vysvětlovat, že funkčnost webu by neměla záviset na lokální čase uživatele s poznámkou, že to maximálně nemůže zaručit platnost certifikátu - a to já právě chci dát- když webmaster zaspí. Takže ani to neomezuje funkčnost, jenom to nedokáže zaručit integritu a pravost webu - a to já strpím pro ten jeden konkrétní neudržovaný webík, na který se chci pasivně podívat s vědomím, že dokonce hacker vynaložil úsilí, aby dostal k expirovanému certifikátu a použil ho.
Řečnická otázka: proč by měl prohlížeč Chromium pingávat nějak na servery google? maximálně vydavatel certifikátu a různé OCSP nebo revokační seznamy ,které jsou součástí atributů certifikátů nebo v úložišti certifikátu browseru. Pokud vím, tak pro lets encrypt to je r3.lencr.org, žádný google
Já přeci nejsem vinen, pokud by mi hodiny šly napřed. Tím spíš když jdou správně. Je právo mít na počítači nastavený libovolný čas. Přece nebudu jak šašek kvůli chybě někoho druhého přepínat systémový čas mezi aktuálním časem, časem pro neudržený web 1 a rozhašený web2 kvůli tomu, že webmaster zaspal nebo že chrome(až nové verzi detekoval problém s certifikátem
-
To je krásné, že to je správný postup. Problém je, že k vyřešení problému "nemohu se dostat k tomu, co potřebuji protože to mají špatně nakonfigurované, přitom obsah mi server normálně zašle" je tohle konstatování úplně k ničemu.
Jak to víte, že vám to zaslal ten správný server? Že to nepodvrhl útočník?
Nevím a dost často je mi to úplně jedno. Když si potřebuju přečíst o chovu jednoho druhu vzácných strašilek, je mi úplně jedno, jestli to jde ze serveru Franty chovatele nebo Johna crackera. Fakt překvapení, ale to byste nesměl být vy.
Shánění informací – zjistím si je jinde. [...] . Co je tedy tak důležité, že to neseženu jinde ani nemůžu počkat, a zároveň tak nedůležité, že mi nebude vadit neplatný certifikát?
Cokoliv, co neseženete jinde. A že je takového obsahu dost a dost. Že jste na žádný takový nenarazil vy je váš problém. Ale lidé, co se zabývají čímkoliv exotičtějším a nebydlí zrovna vedle státní vědecké knihovny moc dobře ví, o čem mluvím.
-
Chrome je prohlížeč pro BFU. Srovnej si hodiny nebo použij prohlížeč, který tuhle kontrolu nedělá. A bylo jasně demonstrováno, že ty hodiny máš blbě, protože nikomu jinýmu to tohle nedělá.
-
To je vlákno :-) Sice je to poučné (co vše se člověk nedozví, děkuji), ale stále nechápu ten tah na BRANKU. Stále se tu peskuje vrátný, který nepustil dovnitř auto pana ředitele, protože za volantem je někdo, koho nikdy ještě neviděl. A přitom by měl dostat pochvalu za obezřetnost.
Problém je, že ten vrátný to dělá ať chci nebo ne. A je to občas dost otravné.
-
Chrome je prohlížeč pro BFU. Srovnej si hodiny nebo použij prohlížeč, který tuhle kontrolu nedělá.
To je třeba který? Já jen abych věděl...
-
To je třeba který? Já jen abych věděl...
Netuším, nemám potřebu mít rozštelované hodiny, takže je mi to jedno. Rozšteluj si hodiny a zkoušej.
-
Další:
> HSTS. To je dobrá poznámka, ale uživatel by měl mít konečný slovo, jinak je takový software k ničemu. A k ničemu na druhou, když prohlížeč ani nenapíše, na základě čeho tedy trucuje otevřít stránku . Ani slovo o HSTS, pokud to tím skutečně je., nebo jiné vysvětlení.
V mém případě to na HSTS jako důvod, proč mi nechce dovolit pokračovat, upozornilo, viz text na stránce po rozkliknuti Advanced volby (a na skutečnou příčinu mě navedl název certifikátu serveru: "Fortiguard SDNS Blocked Page"):
Your connection isn't private
Attackers might be trying to steal your information from send.ephemeral.land (for example, passwords, messages, or credit cards).
NET::ERR_CERT_AUTHORITY_INVALID
send.ephemeral.land uses encryption to protect your information. When Microsoft Edge tried to connect to send.ephemeral.land this time, the website sent back unusual and incorrect credentials. This may happen when an attacker is trying to pretend to be send.ephemeral.land, or a Wi-Fi sign-in screen has interrupted the connection. Your information is still secure because Microsoft Edge stopped the connection before any data was exchanged.
You can't visit send.ephemeral.land right now because the website uses HSTS. Network errors and attacks are usually temporary, so this page will probably work later.
-
.... Srovnej si hodiny nebo použij prohlížeč, který tuhle kontrolu nedělá. A bylo jasně demonstrováno, že ty hodiny máš blbě, protože nikomu jinýmu to tohle nedělá.
Musím se ohradit, ne , ne ,Ne a ješte jednou ne.
Hodiny mi jdou dobře.
Nebo si to myslel tak , že si mám nastavit hodiny do intervalu platnosti certifikátu?
Takový workaround je mi proti srsti, je to hašení chyby někoho jiného a navíc nevím , zda to bude fungovat.
(Nebude stížnost na neplatnost nadřazených certifikátů ? A pravděpodobně bude mít stránka prvky jiných domén, kde naopak "hodiny půjdou pozdě")
-
To sem samozřejmě nemyslel, myslel sem to tak jak sem psal, seřídit hodiny včetně časové zóny.
Takže chceš říct, že tohle všechno si zkusil a ni nezabralo? Pokud prohlížeč říká, že je to špatně, tak je to špatně.
1. zkontrolovat nastavení času a to včetně toho, že mám správně nastaven region kde se vyskytuji a tomu odpovídající časovou zónu, zapnutou automatickou synchronizaci času a mít čas skutečně čerstvě synchronizován.
2. Smazat data prohlížeče - cache, cookies, historii, mít aktuální verzi prohlížeče, vypnout rozšíření, případně zkusit prohlížeč přeinstalovat a začít s čistým profilem.
3. Mít podporovaný a plně aktualizovaný systém.
4. Mít aktualizovanou sadu certifikátů co jsou předinstalovány v prohlížeči a systému.
5. Mít v pořádku RTC a baterii, která je napájí.
6. Jako poslední zoufalý krok spouště prohlížeč s parametrem --ignore-certificate-errors