W dniu 20.08.2022 o 18:28, Marek pisze:
> On Sat, 20 Aug 2022 11:26:45 +0200, Mirek <m...@n...dev> wrote:
>> Bzdury totalne.
>> Strony phishingowe mogły mieć prawidłowy certyfikat na swojej domenie
>> _podobnej_ do atakowanej.
>> Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
>
> Serio? Dopiero teraz zauważyłeś  o czym jest dyskusja? Nie dyskutujemy
> jak działa technicznie SSL/certyfikacja tylko jak to się *nie* sprawdza
> obecnie w praktyce. 100% oszukanych nie zwróciło uwagi na literówkę czy
> podobieństwo domeny, bo tego nie ogarniają, ergo dla nich całe
> certyfikacja i zaufanie o kant dupy potłuc bo to się rozpada na
> pierwszym takim użytkowniku. 100%! To jest skuteczność. Słyszałeś o tym,
> żeby chociaż 10% ofiar nie dało się oszukać bo zauważyli niezgodność
> nazwy z oczekiwaną?
> Jest nawet piękny film na yt pewnego użytkownika, który pokazuje z
> goryczą w głosie kłódkę, EVkę a mimo to  "plugin" ściągnął całą kasę z
> kego konta. I co teraz?  Może zaproponujesz  paradygmat małpy z brzytwą
> i rzucisz postulatem: "Internet tylko dla ludzi ogrniętych, którzy
> umieją zweryfikować wiarygodność domeny i certyfikatu!"?
> Problem "podobnych" domen to nie wszystko.
> Istnieją ataki na DNS (zatruwanie) czy ataki na router usera, w efekcie
> którego można go "przekierować" na serwer z prawidłową nazwą i
> prawidłowym (zwykłym) certyfikacie, uważasz, że jak ktoś nie odróżnia
> mbank.pl od mbnk.pl to zwróci uwagę, że teraz mbank.pl nie ma EV?
>
> Idźmy dalej. Wątek rozpoczął się od oszustów tworzących *nowe* site'y, z
> których user korzysta pierwszy raz i nazwa domeny nie ma dla niego
> żadnego znaczenia.  User widząc kłódkę i prawidłowy certyfikat uznaje
> (bo mu tak 20 lat temu wpojono), że to "bezpieczna" strona, bo ktoś ją
> "zweryfikował" i wystawił certyfikat (zwykły, nie EV). A to bzdura na
> resorach. Oczywiście zorientowano się, że ta cała certyfikacja to lipa i
> wprowadzono EV.  Teraz wystarczy poczekać aż zdaży się jeden lub dwa
> przypadki, w których ktoś wyda EV z naruszeniem procedur ("bo co, nie da
> się? Potrzymaj mi piwo...") i zostanie wymyślony EV wersja druga,
> poprawiona. W której certyfikaty będą wydawane po oddaniu krwi i moczu.

EV is dead.

MJ