-
Path: news-archive.icm.edu.pl!news.icm.edu.pl!newsfeed.pionier.net.pl!2.eu.feeder.erj
e.net!feeder.erje.net!weretis.net!feeder8.news.weretis.net!newsreader4.netcolog
ne.de!news.netcologne.de!peer03.ams1!peer.ams1.xlned.com!news.xlned.com!peer02.
ams4!peer.am4.highwinds-media.com!news.highwinds-media.com!newsfeed.neostrada.p
l!unt-exc-02.news.neostrada.pl!unt-spo-a-02.news.neostrada.pl!news.neostrada.pl
.POSTED!not-for-mail
Date: Sun, 21 Aug 2022 00:31:20 +0200
MIME-Version: 1.0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:91.0) Gecko/20100101
Thunderbird/91.12.0
Subject: Re: Mają wszystko...
Content-Language: pl
Newsgroups: pl.misc.elektronika
References: <62ff46d0$0$457$65785112@news.neostrada.pl>
<a...@n...neostrada.pl>
<62ffe10d$0$6196$65785112@news.neostrada.pl>
<a...@n...neostrada.pl>
<62ffeaf3$0$6207$65785112@news.neostrada.pl>
<a...@n...neostrada.pl>
<63000281$0$6195$65785112@news.neostrada.pl>
<a...@n...neostrada.pl>
<63000d00$0$6200$65785112@news.neostrada.pl>
<a...@n...neostrada.pl>
<6300a8d5$0$6212$65785112@news.neostrada.pl>
<a...@n...neostrada.pl>
From: Michał Jankowski <m...@f...edu.pl>
In-Reply-To: <a...@n...neostrada.pl>
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
Lines: 41
Message-ID: <630160b5$0$6212$65785112@news.neostrada.pl>
Organization: Telekomunikacja Polska
NNTP-Posting-Host: 94.42.86.164
X-Trace: 1661034678 unt-rea-a-01.news.neostrada.pl 6212 94.42.86.164:55682
X-Complaints-To: a...@n...neostrada.pl
X-Received-Bytes: 3989
Xref: news-archive.icm.edu.pl pl.misc.elektronika:773873
[ ukryj nagłówki ]W dniu 20.08.2022 o 18:28, Marek pisze:
> On Sat, 20 Aug 2022 11:26:45 +0200, Mirek <m...@n...dev> wrote:
>> Bzdury totalne.
>> Strony phishingowe mogły mieć prawidłowy certyfikat na swojej domenie
>> _podobnej_ do atakowanej.
>> Że ofiara nie sprawdziła z czym się łączy to już nic nie poradzę.
>
> Serio? Dopiero teraz zauważyłeś o czym jest dyskusja? Nie dyskutujemy
> jak działa technicznie SSL/certyfikacja tylko jak to się *nie* sprawdza
> obecnie w praktyce. 100% oszukanych nie zwróciło uwagi na literówkę czy
> podobieństwo domeny, bo tego nie ogarniają, ergo dla nich całe
> certyfikacja i zaufanie o kant dupy potłuc bo to się rozpada na
> pierwszym takim użytkowniku. 100%! To jest skuteczność. Słyszałeś o tym,
> żeby chociaż 10% ofiar nie dało się oszukać bo zauważyli niezgodność
> nazwy z oczekiwaną?
> Jest nawet piękny film na yt pewnego użytkownika, który pokazuje z
> goryczą w głosie kłódkę, EVkę a mimo to "plugin" ściągnął całą kasę z
> kego konta. I co teraz? Może zaproponujesz paradygmat małpy z brzytwą
> i rzucisz postulatem: "Internet tylko dla ludzi ogrniętych, którzy
> umieją zweryfikować wiarygodność domeny i certyfikatu!"?
> Problem "podobnych" domen to nie wszystko.
> Istnieją ataki na DNS (zatruwanie) czy ataki na router usera, w efekcie
> którego można go "przekierować" na serwer z prawidłową nazwą i
> prawidłowym (zwykłym) certyfikacie, uważasz, że jak ktoś nie odróżnia
> mbank.pl od mbnk.pl to zwróci uwagę, że teraz mbank.pl nie ma EV?
>
> Idźmy dalej. Wątek rozpoczął się od oszustów tworzących *nowe* site'y, z
> których user korzysta pierwszy raz i nazwa domeny nie ma dla niego
> żadnego znaczenia. User widząc kłódkę i prawidłowy certyfikat uznaje
> (bo mu tak 20 lat temu wpojono), że to "bezpieczna" strona, bo ktoś ją
> "zweryfikował" i wystawił certyfikat (zwykły, nie EV). A to bzdura na
> resorach. Oczywiście zorientowano się, że ta cała certyfikacja to lipa i
> wprowadzono EV. Teraz wystarczy poczekać aż zdaży się jeden lub dwa
> przypadki, w których ktoś wyda EV z naruszeniem procedur ("bo co, nie da
> się? Potrzymaj mi piwo...") i zostanie wymyślony EV wersja druga,
> poprawiona. W której certyfikaty będą wydawane po oddaniu krwi i moczu.
EV is dead.
MJ
Następne wpisy z tego wątku
- 21.08.22 01:25 Marek
- 21.08.22 01:33 Marek
- 21.08.22 01:45 Marek
- 21.08.22 02:29 Marek
- 21.08.22 09:31 Stachu Chebel
- 21.08.22 10:29 Marek
- 21.08.22 12:12 Mirek
- 22.08.22 13:10 Piotr Gałka
- 22.08.22 13:13 Piotr Gałka
- 22.08.22 13:28 J.F
- 22.08.22 18:15 SW3
- 23.08.22 18:09 Marek
- 23.08.22 18:11 Marek
- 23.08.22 18:26 J.F
Najnowsze wątki z tej grupy
- Fejk muzyczny czy nie fejk
- Raspberry Pi 3 Model B+
- Kuchenka elektryczna
- test
- Cewka elektrozaworu
- zapytanie o chip r5f21275nfp
- nie naprawiam więcej telewizorów
- Zrobił TV OLED z TV LCD
- Zasilacz USB na ścianę.
- Gniazdo + wtyk
- Aliexpress zaczął oszukiwać na bezczelnego.
- OpenPnP
- taka skrzynka do kablowki
- e-paper
- 60 mA dużo czy spoko?
Najnowsze wątki
- 2025-03-16 Nowa ustawa o ochronie praw autorskich - opis problemu i szkic ustawy
- 2025-03-16 Nowa ustawa o ochronie praw autorskich - opis problemu i szkic ustawy
- 2025-03-16 Najlepszy akumulator 12V
- 2025-03-16 Co powinno spotkać "adwokatów dwóch" uczestniczących w przesłuchaniu świadka do którego nie dopuszczono adwokata świadka?
- 2025-03-16 Przednich p-mgielnych nie wolno bez mgły
- 2025-03-16 Co w KANADZIE wolno komercyjnie (na razie się nie czepili?)
- 2025-03-16 silnik-chwilówka
- 2025-03-16 Prokurator Wrzosek "Bezstronna" nie przyczynia się do śmierci (dowodnie) - oświadcza bodnatura [Dwie Kacze Wieże]
- 2025-03-15 kraje nieprzyjazne samochodom
- 2025-03-15 parking Auchan
- 2025-03-15 Art. 19.1 ustawy o ochronie praw autorskich
- 2025-03-15 przegląd za mną
- 2025-03-15 Na co komu okna
- 2025-03-15 Mój elektryk
- 2025-03-15 Fejk muzyczny czy nie fejk