Ряд вопросов о https

Если кто-то задастся целью получить пароли - он это сделает вообще за так!

Тогда забей на https вообще.

Чем ужасен самоподписаный сертификат (в конторе до 150 человек), кроме того что надо его предварительно добавить в исключение?

Ничем, но его не надо добавлять в исключения, а правильнее добавить сертификат в качестве корневого

У тебя просто старый ЛОР.

3. Почему мой ЛОР ещё до сей поры не пользует https?

добро пожаловать: https://www.linux.org.ru/forum/admin/9591817?lastmod=1379360874661

Да в целом то конечно можно и забить, но всё же, тут есть момент в том, что тогда уж совсем любой дурак сможет в кафе за соседним столиком получить данные. Это пожалуй уж слишком. :) А точку доступа поднимать и что-то собирать уже скажем так на порядок сложнее, и это уже надо будет делать с определённой целью.

Для идиотов подскажите о чём речь? Я правильно понимаю, что Вы про то, что можно сделать так: создать самоподписанный wilddomain сертификат: *.example.com, и установить его в клиентскую систему? Покажите How-to плиз, куда его ставить правильно?

О как! Вот я лошара то... Я ведь хожу на ЛОР из панели быстрого доступа. А ЛОР не сделал редиректа. Забавно!

Макском сам только весной кажется узнал, не переживай.

В целом мой ход мыслей то правильный? :) По первым пунктам если. :)

Фиг знает, я не спец. Но знаю ребят которые легко выяснят ваши пароли. Кроме разве что высшего звена.

То есть этим ребятам, что с https что без, особой разницы нету? :)

Но знаю ребят которые легко выяснят ваши пароли.

переданные через ssl? И без фишинга?

что тогда уж совсем любой дурак сможет в кафе за соседним столиком получить данные.

Уверен? Запусти на одном из компов вирешарк, а со второго попробуй авторизоваться и посмотри прилетят пакеты авторизации на первый комп или нет.

1. Чем ужасен самоподписаный сертификат (в конторе до 150 человек), кроме того что надо его предварительно добавить в исключение?

Тем, что его можно подменить на другой самоподписанный и многие не заметят разницы.

Если кто-то задастся целью получить пароли - он это сделает вообще за так!

При грамотном проектировании многие риски можно устранить.

Что помешает: поставить руткит,кейлогер жертве?

Своевременные обновления системного ПО, общая культура использования ПК (не сидим под админом, не пускаем что попало, selinux и тд).

В крайний случай можно поднять к примеру публичную точку доступа, отравить на ней DNS, и сделать свой сайт-заглушку. Сайт будет тупо по http собирать логин/пасс. - Кто нахрен обращает внимание на цвет строки или на букву s в браузере...

Грамотные пользователи обращают, если ресурс им важен.

2. Если я добавил в исключение самоподписанный сертификат и потом я захотел получить сертификат подписанный официально, клиенты ничего уже не должны замечать? Как ведут себя почтовые клиенты (imaps)/браузеры в таких случаях?

Нормально ведут. Сменил и сменил. Вот если был нормальный, а появился самоподписанный, это уже очевидная атака.

3. Почему мой ЛОР ещё до сей поры не пользует https?

Думаю, во-первых потому, что аккаунт на лоре не представляет собой важную информацию, во-вторых это сильно повысит нагрузку на сервер.

Я бы рассказал, но треды про баб здесь трут :)

Лучше чтобы самоподписанным был сертификат CA, а сертификаты сервисов уже подписывать им. Далее CA нужно рассовать в клиентские браузеры (если мы только о HTTPS) и/или системные хранилища, тогда сертификаты сервисов будут жраться клиентами без проблем.
Чтобы лишний раз не выплясывать в консоли с openssl, можно заюзать xca.

1) Больше ничем. Если ресурсы сугубо внутриконторские, то самоподписный сертификат отлично канает.
2) Ага. Все молча юзают шифрованное соединение.
3) А вот и пользует.

Фиг знает, я не спец. Но знаю ребят которые легко выяснят ваши пароли. Кроме разве что высшего звена.

Каждый «не спец» знает кучу ребят которые легко выяснят любые пароли.

Ты поймал меня, спиноза! :D

Кстати вспомнил одну историю. Работал я тогда одинэсником (ну по молодости мы всякое пробовали), и поехал ставить апдейты в некую контору в офисном центре. Поднимаюсь на этаж, захожу, это контора ххх? Ага. Объясняю кто я, кто они, и чо мне нужно. Мне отказывают, но я молод и целеустремлен, чо я зря приехал штоле, и после недолгих прений админ проводит меня за сервер и сажает за админский пароль, на чем и покидает. Около получаса я возился с их базой, и, наконец все обновив, по ходу командуя ордами теток из всех отделов, возвращаюсь в бухгалтерию за баблом. Мне опять отказывают. Я звоню своим, пацаны, я тут вспотел не много, а нас еще походу кинуть хотят, а мне в ответ — ты где бродишь, тебя давно уже ждут, и т.п. Короче я буквой в названии ошибся. Контора 50+ человек. Админ волосатый прибежал через полчаса с выпученными глазами, уже готовый получать п***лей от начальства, но я же не садист, успокоил чувака. Так и разошлись.

А вы говорите https.

Отличная история. Ты прям как Митник, словами все зарулил :)

Я это к чему: безопасность переоценена, тем более техническая. Не зайди я качать за бабло, они бы и не доперли, а базы и пароли уже все у меня. Понятно, что зная на что идешь надо иметь яйца. Не то что бы у меня их нет, но я-то не знал :) Друг-брат по работе спокойно проходил в контору и в хитман-стиле спокойно через файл-открыть пер всю базу на флешку и был таков. Нет никакой безопасности, запомните это ребята. Даже очковые дилетанты вроде нас это делают.

Точно. Соц.инженерию никто не отменял. Самая большая дыра в системе: человек.

Нет никакой безопасности, запомните это ребята.

Система считается безопасной если цена взлома превышает цену профита от взлома.

Друг-брат по работе спокойно проходил в контору и в хитман-стиле спокойно через файл-открыть пер всю базу на флешку и был таков.

Тут нужно было упомянуть, что это была база данных со статистикой удоя коров за последний месяц в колхозе «красная зорька»

Профит от взлома обычно рабочий бизнес, т.к. клиентская база, кроме нее редко что интересует. Разве что компромат собирать, но он в базах редко бывает. Насчет удоя не уверен, врать не буду. Скажу только, что вся операция стоила 1000 рублей :)

Думаешь сириус бизнес лучше защищен? У меня крупнейший застройщик города как-то был в свободном доступе и чуть больше, если попросить, и никто не переживал — отношения это все, бро.

Думаешь сириус бизнес лучше защищен? У меня крупнейший застройщик города как-то был в свободном доступе и чуть больше, если попросить, и никто не переживал — отношения это все, бро.

Что значит в свободном доступе? Сайт их был в свободном доступе на чтение?
Судя по полному остутствию конкретики и избытку логических фейлов в твоих рассказах уверен, что это какие то нелепые сказки. Но сейчас ночь по этому сказки очень даже кстати.

Подписанный сертификат стоит копейки.

Так а в момент когда я буду через форму входа передавать логин+пасс меня плейнтекстом поснифать будет нельзя разве?

Спасибо тебе большое! Всё доходчиво и вменяемо объяснил.

1. Чем ужасен самоподписаный сертификат (в конторе до 150 человек), кроме того что надо его предварительно добавить в исключение?

С точки зрения безопасности самоподписанный сертифкат даже лучше, так как его невозможно «прозрачно» подменить, воспользовавшись какой-нибудь уязвимостью в стороннем CA.

Зачем вообще внутри конторы https?

Некоторые ходят снаружи. :(

Ну, купить нормальный сертификат и нет проблем. Я вообще вайлдкард купил и доволен, нет заморочки с субдоменами.

Чем ужасен самоподписаный сертификат

Самоподписаный в сегодняшних реалиях самый Ъ.

Как спалось, котик, приснились тебе суперхакиры, ломающие https? Или я зря старался все это выдумывал? ;)

Так а в момент когда я буду через форму входа передавать логин+пасс меня плейнтекстом поснифать будет нельзя разве?

Можно, но должен быть доступ к трафику.

Как спалось, котик

фу фу фу фу, чуть не блюванул.
Голубизна на моем ЛОРе?!

Часто ломают CA? :)

Ну так дядечка за соседним столиком в кафе и с промайз моде сетевым интерефейсом? Не?

Ну так дядечка за соседним столиком в кафе и с промайз моде сетевым интерефейсом? Не?

Не уверен на 100%, вроде это сработает только если вы оба подключены к тупому свичу.

Но если подключаться будут не только из локалки но и через инет то https лучше использовать, малоли как там идет трафик и у кого руки чешутся.

Даже просто логически подумать, представь себе сеть из 4 компов которые подключены к некой железке с 4 гигабитными портами, и представ что ты с компа номер 1 передаешь на комп номер 2 файл со скоростью гигабит. Если эта железка будет заворачивать весь трафик с компов 1 и 2 на компы 3 и 4 то просто забьет их каналы ненужным им трафиком и они между собой уже ничего передать не смогут, либо смогут ценой снижения скорости между компами 1 и 2.
Производители сетевого оборудования таких фейлв не допускают, так что опасаться нужно дядечек сидящих в провайдерах интернета или администрирующих прокси сервера.

Этим хаб от свитча и отличается.

Ну я больше про wi-fi говорю, я думаю по проводу удалёнщики не часто ходят.

Зачем нужен самоподписанный, если startssl для корневого + ещё одного домена — бесплатен?

Ну я больше про wi-fi говорю, я думаю по проводу удалёнщики не часто ходят.

в этом плане нету разницы.

Безопасности нет в конторах где не нужна безопасность. Работал в конторе, которая занималась сопровождением IT одной из дочек газпрома. Обмен данных происходил через масдаевские шары. Чтобы получить доступ к папке из шары нужно было писать заявления в 3 разных департамента.

Вообще-то, один из Root CA (может, здесь напомнят, который) барыжит корпоративными файрволами, на которых покупатель может подписать любой сертификат их подписью, и, таким образом, реализовав MITM, «пердотвращать хищение его корп. тайн».