HTTPS: rendesen vagy sehogy

Volt szerencsém Bolognába látogatni nyáron, és örömmel láttam, hogy a repülőtéren ingyenes wifi szolgáltatás van. Lehet, hogy már ekkor gyanakodnom kellett volna, de igazából akkor kezdett a dolog furcsa lenni, amikor a felkapcsolódás után ez az oldal fogadott a böngészőben:

airport-ssl-warning

A hibaüzenet szerint az oldalhoz tartozó SSL tanúsítvány “kicsit” hibás:

  • Nem megbízható a kiállítója.
  • Lejárt az érvényessége.
  • Másik weboldalra szól.

Valójában csak akkor lehetne hibásabb, ha már vissza is vonták volna a tanúsítványt.

Aki mégis továbblép, az ezzel az oldallal találkozhat a bolognai reptéren:

airport-webpage

Igazán eredeti dizájn. Oké, Bologna nem egy metropolisz, de a helyi egyetemen simán találhattak volna egy unatkozó diákot, aki egy hétvége alatt pofásabb weboldalt tud összedobni.

Ekkor már kíváncsi lettem és kis kísérletezéssel hamar kiderült, hogy a weboldalnak semmi köze ahhoz, hogy működik-e az internet hozzáférés, vagy sem.

Sok már itt a gyanús tényező:

  • Tanúsítvány
  • IP cím
  • Dizájn
  • Telefonszám gyűjtögetés

Ez volt az a pillanat, amikor konkrétan felálltam és körülnéztem, hátha ott ül valahol Troy Hunt az ő Pineapple-jével.

Egy rendes SSL tanúsítvány ezeket a kétségeimet könnyen eloszlathatta volna. De az ilyen, érvénytelen tanúsítvány semmire nem jó, mindössze annyit garantál, hogy az átlagfelhasználót idegesíteni fogja az oldal, a szakértőbb felhasználók pedig aggódni fognak az adataik biztonsága miatt. Aki HTTPS-re adja a fejét, csinálja rendesen, különben csak az ellenkezőjét éri el vele.

 

Technorati-címkék: ,
Reklámok

8 thoughts on “HTTPS: rendesen vagy sehogy

  1. Atom

    Lenne még mit tanulnod az internetes biztonságról!
    Kezdve ott, hogy IE-t 2014-ben már semmire sem használunk.
    Az elmúlt évek eseményeiből és botrányaiból megtudtuk, hogy sajnos nem lehet megbízni a CA szervezetekben. Maximális biztonságot saját tanúsítvány jelenti pendriveon, vagy belső hálózaton kiosztott kulcsokkal. A Firefox-nál importálhatóak a saját tanúsítványok. A Chrome sajnos nem rendelkezik ezzel az extra képességgel. Internet Explorert pedig jobb ha elfelejtjük.

  2. kardosbalint

    Kedves Atom, természetesen a Chrome használatához is lehet self signed certet importálni, mindössze a Windows Certificate Store-ba kell rakni, és (az Internet Explorerhez hasonlóan) természetesen eléri. Amit az IE-ről írsz, az természetesen baromság, IE9-től az egyik legjobb browser-engine.

    Hogy valami szakmait is írjak: célszerű mindenkinek körülnézni a saját webszerverein SSL ügyben, ehhez egy jó tool:

    https://www.ssllabs.com/ssltest/

    illetve fontos olvasmány és beállítások default IIS-ekhez:

    http://www.hass.de/content/setup-your-iis-ssl-perfect-forward-secrecy-and-tls-12

    1. Atom

      Tudod kedves Bálint az Chrome azért vezető böngésző mert minden fontos platformon elérhető. Chrome PC mellett van Androidra illetve iOS-re is. Ezekből sokkal többet adnak el ma már mint PC-ből.
      Remek dolog, hogy mókolod a Windowsod, de Androidon vagy iPhone-on hol találod meg a Windows Certificate Storet?!
      Jó lenne néha kibújnod a PC-d képernyője mögül mert igencsak megváltozott a világ.

      Ettől függetlenül is hatalmas ostobasággal kezd a cikk. Még a rosszul kitöltött tanúsítvány is sokkal nagyobb biztonságot ad a semmilyenhez képest. Ha nem professzionális ellenféllel szemben kell megvédeni a webes adatforgalmat aki célzottan és folyamatosan lehallgat mindent, akkor igenis megvédi az adatokat egy rosszul kitöltött de ettől még tökéletesen működő tanúsítvány által titkosított webszerver is az alkalmi jelszólopók elől.

      1. kardosbalint

        Tényleg van Chrome más platformra is? Na ne mondd! Jól esnek dícsérő szavaid, mindegyik platformra fejlesztünk mobil alkalmazásokat 🙂 Androidon a kulcs.p12 fájlt – ha rootolva van fájlkezelőből tudod telepíteni – ha nincs, akkor Settings -> Certificate -> Install from storage. IOS és Windows Phone alatt pedig vagy URL-ként, vagy pl. email csatolmányként tudod a kulcsfájlt elküldeni magadnak és telepíteni.
        Érdekesség, a 4.4-től a Google erősen próbálja visszaszorítani a self-signed certificate-ek használatát, csak rootolt telefonon lehet hiba nélkül telepíteni (akkor is a trusted CA store-ba kell) különben 0-24-ben egy felkiáltójel csücsül a notification barban, hogy van egy nem biztonságos certificate, és man-in-the-middle módszerrel ‘lehallgatható’ az összes forgalom. https://code.google.com/p/android/issues/detail?id=62644

  3. Atom

    Képzeld én is fejlesztek mobilra, milyen meglepő mostanában! Rossz olvasni, hogy amikor más fejlesztők ilyen hajmeresztő ötletekkel állnak elő mint te most te rootolással. OMG!
    Pont ez a mókolós haxolós mentalitás vezetett PC platform degradálódásához. Sajnos még fejlesztők és rendszergazdák borzalmas megoldásokkal képesek előállni, amik hosszú távon több problémát okoznak mint amennyit megoldanak.
    Legelegánsabban a Firefox oldja meg a saját tanúsítványok kezelését böngészőn belül. Nem kell rootolni, maszatolni, tiszta jó megoldás.
    man-in-the-middle módszerrel hiába hallgatod le az adatforgalmat. Ha előtte zárt rendszerben eljutott a tanúsítvány Firefox-ra akkor semmire nem megy vele a támadó.

    CA használatával viszont maga a szervezet lopja el adja ki a tanúsítványokat, Snowden óta tudjuk, hogy bennük nem lehet megbízni.

    1. kardosbalint

      Hú értem: szóval ha én rootolok Androidot (és merek mondjuk saját magamnak Cyanogenmodot fordítani) akkor az mókolós-haxolós mentalitás, de ha te erőszakolsz self-signed certificate-et rendszerekre, az az informatika csúcsa 🙂

      Az Android sem Linux alapú, a Linuxot sem a mókolás-haxolás hívta életre, és igazából ha jól értem a gondolatmenetedet, akkor a Linux vagy úgy általában a programozás megjelenése okozta a PC platform(?) degradálódását 🙂

      Példaként meg hozod a desktop Firefoxot, mert látszik, hogy Androidon életben nem használtad, mert akkor tudhatnád, hogy – mint az első hozzászólásomban a Windows CertStore-nál – itt is közös az Android CA store! 🙂

      1. Atom

        Rosszul érted. Vissza kellene ülnöd az iskolapadba mert komoly szövegértési nehézségekkel küszködsz. 🙂
        Az pedig eléggé ciki, hogy fejlesztőként fogalmad nincs arról, hogy Firefoxba, androidosba is, közvetlenül is lehet tanúsítványokat importálni.

Vélemény, hozzászólás?

Adatok megadása vagy bejelentkezés valamelyik ikonnal:

WordPress.com Logo

Hozzászólhat a WordPress.com felhasználói fiók használatával. Kilépés / Módosítás )

Twitter kép

Hozzászólhat a Twitter felhasználói fiók használatával. Kilépés / Módosítás )

Facebook kép

Hozzászólhat a Facebook felhasználói fiók használatával. Kilépés / Módosítás )

Google+ kép

Hozzászólhat a Google+ felhasználói fiók használatával. Kilépés / Módosítás )

Kapcsolódás: %s