Příspěvky

4381

Odkladiště / Re:Slovenské dátové schránky v Linuxu

« kdy: 10. 02. 2015, 10:49:54 »

Chcelo by to nejaku kartu ktora 100% funguje cez ten pkcs11 driver aby som odskusal ze je naozaj problem v karte a nie v softwari, ale nemam okrem obcianskeho ziadnu inu, este technicak k autu ma cip ale to pise to iste, a platobna karta s cipom tiez to iste...

Ted momentalne nemam ctecku u sebe, ale pamatuju si, ze kreditka na jeden z tech dumpu reagovala, ted si nepamatuju, na kterej.

4382

Odkladiště / Re:Slovenské dátové schránky v Linuxu

« kdy: 10. 02. 2015, 10:39:11 »

To mi nejde, --module <arg> je vraj mandatory, ked som mu dal --module opensc-pkcs11.so tak pise no slot with a token was found, co je v podstate ten isty vysledok ako v tom java applete...

Hm, tak to je zvlastni.

4383

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 10. 02. 2015, 10:37:57 »

Takže když z té stránky, kam zadává heslo, se formulář odešle přes HTTP, je to v pořádku?

Sorry, ale nemám čas ani náladu se hádat jak děcka na písku

4384

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 10. 02. 2015, 06:59:09 »

To není rozumně poučený uživatel, ale uživatel poučený velmi hloupě.

A jak by měl být poučen líp?

Navíc je nesmyslné chtít po uživateli, aby kontroloval každou stránku zvlášť.

Ne každou, ale jenom tu, kam zadává heslo.

To, aby se uživatel pohyboval po webu celou dobu bezpečně, je starost autora webu

To je samozřejmě nesmysl, protože autor webu nemůže např. nijak kontrolovat MITM útoky. Proto si uživatel sám musí nějak ověřit, že k MITM útoku nedošlo. Maximum, čeho je BFU schopný, je podívat se, že je web zelený.

4385

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 21:24:31 »

tak usoudí, že to na tomhle webu asi není potřeba - protože bezpečnost je pro ně přeci na první, druhém i  třetím místě, oni tomu určitě rozumí, takže kdyby bylo potřeba, aby to bylo zelené, tak by to zelené měli.

Opakuju: rozumně poučený uživatel VÍ, že "pokud to není zelené, nemám tam zadávat heslo".

4386

Odkladiště / Re:Slovenské dátové schránky v Linuxu

« kdy: 09. 02. 2015, 21:18:23 »

To som skusal, pise to unsupported card.

Aha, tak v tom pripade jeste "pkcs11-tool -O". Muzes zkusit i "pkcs11-tool -s".

4387

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 21:06:18 »

HTTPS není žádná magie. Principy asymetrické kryptografie se dají použít i bez HTTPS. Ale v tomto případě je to jedno, protože útočník změní odkaz na přihlašovací formulář, a kde běží skutečné přihlašování, to už je jedno.

Zapomínáš, že jsme se bavili o tom, jak to udělat bezpečně a bezpečně znamená mj. "tak, aby tomu uživatel rozuměl". HTTPS normální uživatel rozumí na úrovni "je to zelené = je to OK".

Mohu se zeptat, jak se dá podvrhnout ta IP adresa 185.18.28.13 (první řádek), kterou si zaznamenal můj SMTP server při komunikaci s odesílacím serverem?

Říkal jsem, že podmínkou je, aby byl útočník někde po cestě, ideálně hned za tvým počítačem (např. tvůj ISP nebo kdokoli, kdo mu naboural infrastrukturu). Jakmile můžu pozměňovat pakety, můžu jim bez problémů změnit zdrojovou adresu. Podmínkou je, abych mohl odchytnout i tvoje odpovědi, které budou na tuhle adresu směrované.

4388

Odkladiště / Re:Slovenské dátové schránky v Linuxu

« kdy: 09. 02. 2015, 21:02:09 »

ano, skusil som to na notebooku, tam je 32bit a tam som sa dostal dalej, applet sa zinicializoval ale narazil som na toto, ze to nenaslo tu kartu a tym padom som nemal cim podpisovat.

Můžeš zkusit to zmíněný "pkcs15-tool -D"

4389

Odkladiště / Re:Slovenské dátové schránky v Linuxu

« kdy: 09. 02. 2015, 19:53:20 »

No prave ze pod linuxom to ani z toho java appletu nejde, prave som to skusil. Vobec to nenajde ten device a je tam len moznost "define device manually" alebo take nieco, kde si mozem zvolit driver, skusal som tam dat opensc-pkcs11.so ale ani s tym nic nenasiel.

No ale rikal's, ze mas 64b javu a oni chteji 32b, ne?

4390

Server / Re:IBM DS400 - array state offline/alien

« kdy: 09. 02. 2015, 19:30:06 »

Kontaktoval jsem IBM v CR, za zasah chteji 15k/hod mimo pracovni dobu, 22k/hod v pracovni dobe, vysledek nejisty.

Fakt 15000Kč za hodinu?

4391

Odkladiště / Re:Slovenské dátové schránky v Linuxu

« kdy: 09. 02. 2015, 19:24:16 »

No to je pravda, ale ked nieco podpises tak ti to vygeneruje subor .zep v ktorom je zabundlovany ten podpis + originalny dokument, cize ked je ten podpisany dokument iny ako co si chcel povodne podpisat, vies ze niekde asi nastala chyba a mozes obratom nechat svoj certifikat revoknut a cokolvek sa tym podpisalo, platne nebude lebo uz dalsi den ked sa vygeneruje CRL tak tvoj revoknuty certifikat v nom bude a tym padom uz ziadne overovatko neoveri ze je ten podpis platny, vyhodi ti chybu lebo ten certifikat bol zruseny.

To máš ovšem dost zkreslené představy o tom, jak podepisování funguje. Myslíš, že když podepíšeš nějakou smlouvu, tak ti pak stačí přijít domů, revokovat certifikát a tím se smlouva stane nepodepsanou?

Neplatné jsou samozřejmě jenom podpisy PO revokaci.

Ano, to je vec driveru PKCS, tak som to myslel ze neviem ci to je standartna feature PKCS alebo nejaky ich addon, s tymi dvoma pinmi, ci to ten standartny driver pkcs dokaze spracovat. Ak nie, tak treba driver specialny od nich, ktory neexistuje (aspon pre linux).

Předpokládám, že ten java applet přistupuje k PKCS driveru a ne přímo k hw. Takže pokud to podporuje java applet, neměl by s tím imho být problém ani v openssl. Nicméně za tu dobu, co tady o tom teoretizujeme, jsi to už mohl mít vyzkoušené

4392

Odkladiště / Re:Slovenské dátové schránky v Linuxu

« kdy: 09. 02. 2015, 19:24:07 »

Potom je to uz len o tom ci je dana spolocnost doveryhodna

Ano, přesně o tom to je - jestliže k podepisování používáš soft třetí strany, je to celé jen otázka důvěryhodnosti a kompetentnosti té třetí strany. Je to asi tak jako bys jim dal klíče od šuplíku, ve kterém máš razítko a poprosil je, ať tam zaskočí a razítko dají na tenhle papír, který jim dáš...

vzhladom na to ze disig je aj certifikacna autorita a su registrovani NBU (aj ked vzhladom na nbusr123 to tiez nieje bohvieaka zaruka :-) tak by som ich osobne za doveryhodnych povazoval.

To už je samozřejmě na zvážení každého soudruha. Já pokud mám možnost papír orazítkovat sám, tak to raději udělám sám, než bych někomu dával klíče od razítka.

Ak teda som schopny overit ze ten applet ktorym sa to podpisuje je naozaj OK a nieje podvrhnuty, tak by som to dokonca povazoval za bezpecnejsie ako podpisovanie aplikaciou ktoru mam nainstalovanu, prave z dovodu mozneho virusu alebo podobne.

Opět ne. Pokud máš zavirovaný počítač, tak ti může libovolný kód prezentovat jako podepsaný onou autoritou. Čili pokud máš zavirovaný počítač, všechno ostatní padá a nic to nemůže zachránit, zejména ne nějaký podpis nějakého apletu

4393

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 18:39:08 »

V tom případě by měli HTTPS vypnout i u přihlašování, tam je přece také „zbytečné“ a dá se to udělat bezpečně i bez HTTPS.

Nedá.

4394

Odkladiště / Re:Slovenské dátové schránky v Linuxu

« kdy: 09. 02. 2015, 18:23:41 »

No ano, pokial mam nieco co je doverne tak podpisovat to cez web nieje idealne.

Pozor, je to daleko horší - pokud applet má možnost podepisovat tvým jménem, může ti tvrdit, že podepisuješ něco úplně jiného a ve skutečnosti podepíšeš směnku na dva miliony... Ono už samotný podepisování na počítači, kterej může být zavirovanej apod., je riziko, ale podepisování přes web, aplikací, která se může kdykoli změnit, to už je imho úplný bláznovství... (a to moje míra paranoie je dost nízká)

Tohle je největší slabina elektronického podpisu obecně - nejsi schopný bez technického prostředku vlastními silami posoudit, co podepisuješ.
 

Ale obavam sa ze cez to openssl to takto jednoducho nepojde... [...] vo windows to funguje tak ze po pripojeni to chce jeden pin (BOK) a pri vytvarani ZEP to chce dalsi pin (ZEP PIN), niesom si isty nakolko je to standartne a ci nejaka standartna pkcs11 kniznica dokaze cez openssl vyziadat oba tie piny.

Nevím, čemu říkají BOK a ZEP PIN, ale tohle afaik s openssl nesouvisí - je to věc driveru PKCS.

4395

Odkladiště / Re:Je platba přes GoPay bezpečná?

« kdy: 09. 02. 2015, 17:55:18 »

Myslíte namátkou  https://www.rb.cz/ a https://www.kb.cz/ ? Ano, nepřesměrovávají automaticky, ale aspoň mají HTTPS variantu dostupnou. Další dvě adresy https://www.fio.cz/ a https://www.tatrabanka.sk/ také fungují, i když nepochopitelně z HTTPS přesměrovávají na HTTP.

Spíš jde o to, že mají http verzi, která nepřesměrovává na https.

Navíc banka je přeci jen trochu jiná instituce, ta dává smysl i bez internetu

Bavíme se o tom, jestli je normální mít *prezentační* web na http. Jak s tím souvisí, co dává nebo nedává smysl bez internetu, tomu úplně nerozumím.

Ony už ty samotné odkazy na přihlášení na nezabezpečené stránce jsou velkým bezpečnostním rizikem, protože pokud si uživatel kontroluje, zda je na zabezpečeném webu, udělá to v okamžiku, kdy na ten web vstoupí. Počet případů, kdy by si někdo kontroloval, kdy bude konečně přesměrován na zabezpečenou stránku, se limitně blíží nule.

Ne. Běžný uživatel není schopen posoudit nic víc, než že daná stránka, na které se právě nachází "je zelená". Takže by si měl především ověřit, jestli "je zelená" stránka, na které zadává svoje heslo.

Nicméně v době, kdy snad každá banka má dvoufaktorovou autentizaci (nejčastěji smskou) i tohle není jediný prvek, na kterém by se doslova lámalo "bezpečné" a "nebezpečné".

A vůbec – existuje alespoň jeden jediný důvod, proč by internetová platební brána měla mít webovou prezentaci na HTTP, dokonce jen na HTTP?

Ano, HTTPS má vyšší režii. Čili si to můžeš přeložit jako: pomalejší odezva / vyšší cena / větší dopad na životní prostředí