On 20.08.2022 10:48, Marek wrote:

> Powiedz wszystkim oszukanym przez strony phishingowe, że najważniejsze
> że te strony miały prawidłowy certyfikat i były sprawdzone, że ich
> domena i mieli prawo jej używać. To najważniejsze.
> Ciągle nie pojmujesz, że to "sprawdzanie" nie ma żadnej wartości.
> *Wszystkie* strony phisingowe używające SSL maja prawidłowo wystawiony i
> podpisany certyfikat i zostały *prawidłowo* zweryfikowane przez signera
> certyfikatu. Żadnej z ofiar to nie pomogło. I to nie była wina jakiś
> nieogarniętych użytkowników.

Bzdury totalne.
Strony phishingowe mogły mieć prawidłowy certyfikat na swojej domenie
_podobnej_ do atakowanej.
Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.




Nawet Ty niby technicznie ogranięty user
> palnąłeś głupstwo jakoby szyfrowanie zapewnia integralność danych. W
> teorii *TYLKO* w bardzo wąskim zakresie, w praktyce nic to nie daje, bo
> dane mogą być skompromitowane banalnie przed zaszyfrowaniem albo po
> odszyfrowaniu.
>

Zapewnia integralność danych od wyjścia z mojego komputera do serwera i
z powrotem. Nadal nie rozumiesz o czym mówimy?
Jeżeli nie ufasz swojemu komputerowi to wyrzuć go, nie wiem - zainstaluj
Linuksa, kup Mac-a - cokolwiek, albo trzymaj pieniądze w skarpecie ale
nie zmieniaj mi tu tematu.


> LOL,
> Co z tego, że połączenie jest bezpiecznie, skoro dane nie są bezpieczne
> *przed* zaszyfrowaniem (skompromitowany telefon, pc) ani *po*
> odszyfrowaniu (oszusci stojący za stroną do fraudów)?
> Nie rozumiesz, że szyfrowanie i całe te ceregiele z certyfikatami dają
> tylko złudne poczucie bezpieczeństwa. A obecnie web po ssl z
> bezpieczeństwem nie ma nic wspólnego. To tylko onanizator, taka nakładka
> wibrująca do wywołania samozadowolenia z chwilowego poczucia prywatności
> na łączu. I właściwe tylko do tego się skraca bo działa tylko w wąskim
> zakresie  *po* zaszyfrowaniu i *przed* odszyfrowaniem (a nawet w tym
> zakresie są sposoby). Miała chronić przed jakimś mitycznym podglądaczem,
> który podgaldajac payload miałby niewiadomo-co-strasznego zrobić.   Z
> dumą eliminując mityczne zagrożenie spowodowała najgorsze z możliwych
> scenariuszy: skupienie wektorow ataku na źródło *wszystkich* twoich
> danych, twój komputer, laptop smartfon itp. Po co podglądać jakieś
> fragmentaryczne dane na łączu jak można mieć dostęp do wszystkiego na
> raz? Obecnie "szyfrowanie" http to zakładanie wypasionego zamka do drzwi
> z papieru i dytky do komórki.
>

Nie mam już siły ani ochoty tłumaczyć po co jest https i przed czym
chroni a przed czym nie.
Weź może doczytaj sobie i wróć za tydzień.
Moja rada jest taka: nie loguj się nigdzie ani tym bardziej nie kupuj w
sklepach, które nie używają https z prawidłowym certyfikatem.
Może dla ciebie nie ma to wartości, bo najwyraźniej tego nie ogarniasz.
Na szczęście dla ogarniających ma, i nikt normalny nie postawi sklepu na
http w trosce o swoją i twoją dupę.

--
Mirek.