[LUGOS] Re: firefox edavki game over

Matej Spiller-Muys Matej.Spiller at siol.net
Mon Apr 10 00:17:59 CEST 2006


> In uporabniki zelo pazijo na to, da je stvar podpisana s strani Hermesa,
ali
> ne? Koliko običajnih ljudi sploh razume, kaj jim želi tisto okno za
zvišanje
> privilegijev povedat (govorim o navadnih uporabnikih, ne o nas, ki se na
te
> stvari spoznamo)?
Mislim da se ne sekirajo dosti. Pravzaprav ce bi rekel uporabnikom, naj mi
dajo njihov privatni kljuc,
bi mi ga 50% dalo brez dodatnih vprasanj.
Drugace pa stran preveri, ko naloada komponento kdo jo je podpisal. Seveda
Hermes komponenta,
java, firefox in IE, OS in ostale bolj ali manj sistemske zadeve pa se
verjetno ne preverjajo. Oz ne vidim nacina
kako bi se lahko.

> "b.     Vkolikor nimate nameščene verzije 1.4.2 oz. 1.5.0, si jo
> namestite s pomočjo spodnjih povezav. Namestiti je potrebno le eno izmed
> verzij.
> Verzija 1.4.2: http://java.sun.com/j2se/1.4.2/download.html, opcija
> »Download J2SE JRE«
> Verzija 1.5.0: http://java.sun.com/j2se/1.5.0/download.jsp, opcija
> »Download JRE 5.0 Update X«"
>
> ... tule se že zatakne... torej, četudi si na https:// in torej bi moral
> biti zdaj že v 'varnem' območju. Ima man-in-the-middle napadalec
> možnost, da ko ti hočeš na sunov page (ker želiš namestit Javo), ti
> servira svoj EXE, ki ga boš seveda namestil, ker hočeš uporabljat
> e-davke!
To pomeni da bi mogli isto narediti za IE. Sem probal pretocit latest IE pa
nisem nasel SSL linka.
Celo windows update ne laufa pod HTTPS. A lahko rece drzava tudi MSju? Da
nej postavi ze enkrat SSL za
windowsupdate. Pa Mozilli tudi. Recimo MSXML ni podpisan (vsaj ni bil par
verzij nazaj) pa se tudi uporablja v IEju.


> Funny thing je, da bi lahko tam bili https:// linki pa niso... še bolje
> bi bilo, da bi se dejansko dogovorili s sunom, da bi lahko sami
> servirali ustrezne datoteke in tako uporanbiku ne bi bilo treba
> zapuščati drusovih strani.
Sam zakaj potem ne bi se OS. Pa vse driverje, ker lahko recimo spremenijo
sliko predno se izrise.

Se zadevam na kaksne stvari opozarjas. Ampak kriviti samo eDavke za taksne
tezave je nesmiselno.
To je bolj globalni problem. Vsaj dokler ne pride evil evil evil DRM v OS.
Pol pa taksnih problemov ne bo.
No pa tut nasih pravic vec ne bo vec toliko. Ampak bo pa varno, a ne?

> Prav tako mislim, da tehnična navodila kot so ta, sploh ne bi smela biti
> prisotna na http:// ... saj uporabnik zaupa navodilom, ki jih je našel
> na spletni strani edavkov, pa jim sploh ne bi smel, ker so lahko tudi ta
> plod sofisticiranega man-in-the-middle napada.
Sama stran je dostopna tudi preko https:// ne vem pa kaksen je link na
navodila, ko si enkrat logiran notri.
Tako da lahko zaupas, ce ne drugemu tistim hash-em.

> Še več... celi e-davki bi moral biti zgolj in samo na httpsju, z vsemi
> navodili skupaj.
Se strinjam. Samo ce bi to veljajo za eDavke bi moglo isto veljati za vse
vladne vsebine na
spletu. Zakone, sporocila za jasnost, itd itd ... Ok, politicnih strankah ne
bi blo treba,
k itak bl lazejo kokr ne ;)

lp, Matej




More information about the lugos-list mailing list