Příspěvky

1

Server / Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?

« kdy: 08. 10. 2015, 10:07:33 »

Jsou útoky na snížení používané šifry (mezi klientem a serverem). Nelze se spoléhat na to, že si prohlížeč (který ani nemusí být aktuální a vybere si třeba RC4) vybere to nejlepší spojení, server by měl nabízet jen to, co je aktuálně považováno za bezpečné.

Ale je to vaše proxy, vaše data. Mě do toho nic není, chtěl jsem jen poradit.

Nic se nedeje. Diky za radu, zkusim se na to nastaveni mrknout.

2

Server / Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?

« kdy: 08. 10. 2015, 09:24:58 »

Nastavoval jsem to podle http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html Potom zalezi na klientovi jake pouzije sifrovani. Server jich muze podporovat vice. V zasade v tom nevidim nic spatneho ze server podporuje i starsi klienty, z principu v mem pripade by mel klient vyzadovat co nejsilnejsi sifrovani.

Takto nastavený server může podlehnout změně šifry (útočník si může vybrat libovolnou nižší), vzhledem k tomu, že je tam i LOW, tak to jde lousknout už i brute force. Nehledě na to, že tam nikde nevidím zakázání protokolů SSL(v2, v3) a naopak tam vidím povolení šifry RC4, která už je také lousknutá.

Na tu dokumentaci bohužel evidentně nikdo roky nesáhl.

Utocnik si ji sice vybrat muze, ale na nizsim sifrovani se serverem bude bavit pouze on. A "louskat" si muze tak mozna sve pakety

3

Server / Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?

« kdy: 07. 10. 2015, 23:20:06 »

  SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

Tohle tam máte schválně pro nějakého 20 let starého webového klienta? Uniká mi smysl s touto sadou šifer vůbec https zavádět.

Nastavoval jsem to podle http://httpd.apache.org/docs/2.2/ssl/ssl_howto.html Potom zalezi na klientovi jake pouzije sifrovani. Server jich muze podporovat vice. V zasade v tom nevidim nic spatneho ze server podporuje i starsi klienty, z principu v mem pripade by mel klient vyzadovat co nejsilnejsi sifrovani. 

4

Server / Re:Jak udělat aby server na portu 80 běžel v netu na SSL 443?

« kdy: 07. 10. 2015, 22:36:50 »

Zdar, ja mam to same udelano na Apache pres mod_proxy:

LoadModule proxy_module modules/mod_proxy.so

<VirtualHost *:443>
  SslEngine on
  SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
  SSLCertificateFile      /etc/SSLCerts/webSrv.cert.pem
  SSLCertificateKeyFile  /etc/SSLCerts/webSrv.key.pem

  ServerName apache.local
  ServerAlias *.apache.local
  ProxyRequests off
  ProxyPreserveHost on
  ProxyPass / http://server.local:80/
  ProxyPassReverse / http://server.local:80/
  ErrorLog logs/apache.local-error_log
  CustomLog logs/apache.local-access_log common
</VirtualHost>

5

Vývoj / Re:Java Applet a zjištění MAC

« kdy: 07. 10. 2015, 14:27:46 »

Appletem to pujde, a jestli bude podepsany bude to i bez otazek uzivateli jestli se ma spustit. Certifikat kterym se aplet podepise muze byt podepsany i vlastni selfsigned autoritou, ale jeji root certifikat potom musi byt naimportovany v duveryhodnych autoritach. Data pak jdou pomoci volani js predat i z5 do stranky ve ktere byl aplet spusten. Neco podobneho uz sem nekolikrat delal.

6

Vývoj / Re:Rozdíl mezi funkcemi

« kdy: 10. 04. 2015, 02:03:39 »

rtfm