[LUGOS] Re: firefox edavki game over

[Rok Jaklič]

Andraz Tori wrote:
>>>Vsekakor nam do takrat ne ostane nic drugega kot to, da za svoje
>>>mlincke skrbimo po najboljsih moceh.
>>
>>Ja in prav tukaj jaz vidim problem. Drzava nam je podturila svoj applet za
>>varnost katerega bomo morali skrbeti mi, "oni" gredo pa zdaj lahko mirno
>>na dopust ;)
> 
> 
> Stvar je še bolj katastrofalna... komponento, ki nam bo zadevo
> podpisovala nam postrežejo kar preko navadnega http protokola in na isti
> nekriptirani strani povedo se SHA-1 hash... 
> 
> http://edavki.durs.si/OpenPortal/Pages/Faq/FaqPreview.aspx?id=45
> (vsaj na tej strani so navodila in navadni http linki - pa tudi ko si ze
> enkrat na https to po javo in jce pošljejo na navadni http!) 
> 
> man-in-the-middle napadalec lahko datoteko in SHA na strani brez
> problema zamenja!
> 
> torej efektivno rešitev ni nič bolj varna, kot če bi uporabljali navadno
> SSL konekcijo in nobenih client-side podpisovanj.
> 
> ŠE VEČ: rešitev je _NEVARNEJŠA_ od golega zaupanja SSL konekciji, saj te
> prisili, da postaneš ranljiv za man-in-the-middle attack, saj te
> prisilijo namestiti software, ki mu daš vse varnostne privilegije! ta
> software pa dobiš preko nevarovane poti... genijalno!
> 
> To sem šele zdajle doumel in se mi zdi v bistvu zelo nevarno.
> 
> 

Se mi zdi, da je tole že več kot zrelo za kakšen članek ali "neko javno 
gonjo", kljub temu, da se ljudem nebi sanjalo o čem se govori in piše; 
vendar bi lahko z neki preprostim primerom dosegli to, da bi tudi Janez 
Novak razumel, kam vse gre denar po nepotrebnem ... me prav zanima 
koliko inženirskih ur je bilo potrebno, da so implementirali ta "podpis".