[LUGOS] Re: firefox edavki game over

Matej Spiller-Muys Matej.Spiller at siol.net
Sun Apr 9 21:52:23 CEST 2006


> Stvar je še bolj katastrofalna... komponento, ki nam bo zadevo
> podpisovala nam postrežejo kar preko navadnega http protokola in na isti
> nekriptirani strani povedo se SHA-1 hash...
>
> http://edavki.durs.si/OpenPortal/Pages/Faq/FaqPreview.aspx?id=45
> (vsaj na tej strani so navodila in navadni http linki - pa tudi ko si ze
> enkrat na https to po javo in jce pošljejo na navadni http!)
>
> man-in-the-middle napadalec lahko datoteko in SHA na strani brez
> problema zamenja!
>
> torej efektivno rešitev ni nič bolj varna, kot če bi uporabljali navadno
> SSL konekcijo in nobenih client-side podpisovanj.
>
> ŠE VEČ: rešitev je _NEVARNEJŠA_ od golega zaupanja SSL konekciji, saj te
> prisili, da postaneš ranljiv za man-in-the-middle attack, saj te
> prisilijo namestiti software, ki mu daš vse varnostne privilegije! ta
> software pa dobiš preko nevarovane poti... genijalno!
>
> To sem šele zdajle doumel in se mi zdi v bistvu zelo nevarno.

Dej no dej :) Se malce bolje poglej. ActiveX je podpisan. Java komponenta pa
tudi. In sicer
z Hermesovim certifikatom. Lahko bi bila edino navodila bolj jasna kako
preveriti komponento.

Poleg tega ... komponenta podpise xml, ki se preveri in se enkrat podpise na
serverju. Lahko bi recimo spremenil
da ne vidis tisto kar si podpisal. Vendar pa lahko se vedno vidis v arhivu
to svojo napoved kot xml dokument.

Ta dokument je po w3c standardu "XML digital signature" in  ga lahko
pogledas v katerem koli programu, ki to podpira.
Tako da povej mi, kaj bi ti v komponenti spremenil, da bi bil man in the
middle uspesen, glede na to da lahko
pogledam kaj sem podpisan v plain text obliki (zdownloadam iz arhiva). Da je
to podpis po standardu, in lahko za
preverjanje uporabis kateri koli third party tool (celo open source). Vidis
pa dva podpisa, svojega in serverskega.

Lahko pa predlagas, da naredijo eno livecd distribucijo, preko katere je
dovoljeno samo izpoljnjevanje dohodnine.
V bistvu to sploh ni tako slaba ideja. Samo, kaj ce polovici ljudi ne bi
delal hardware (npr linux ne podpira moje usb wireless kartice),
pa predstavlji si navodila za nastavitev ADSLja itd itd ...

Nic cudnega da se dolgo cajta ne bomo eDrzava, ce pa vsako zadevo ljudje kot
prvo takoj spljuvajo.

No pa mi povej eno bolj varno resitev za razumno ceno seveda.
Smartcard readerji in kartice so v tem trenutku se predrage, dedicated OS je
problem z vsemogocim hardwarom ...

Lej zaradi mene bi blo lohk tut podpisano z PGPjem tako kot so podpisani
mail, pa deb, rpm paketi, ce podpis mora biti.
Samo mislim, da je tukaj bolj vprasanje zakaj je sploh potreben podpis. Ne
vem, mogoce zato, ker moram podpisat dohodnino tudi,
ce jo oddam osebno na davcni izpostavi. Le zakaj, gremo se kregat!!!! SSL pa
ne more bit smatran kot podpis.

lp, Matej




More information about the lugos-list mailing list