elitemadzone.org - Čemu služi https?

alimamnekolikokuća

Član broj: 338957
Poruke: 326

+456 Profil

^{24.02.2019. u 04:00 - pre 62 meseci}

Evo ja ću pokušati ukratko da objasnim kao i obično na kladioničarski način:

Dakle, http je kao kad neko skine gaće i tumara okolo
a https je kad mu google (ili neka druga sekjuritatea) skida gaće "in hide" ali obavezno "secure".

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 07:21 - pre 62 meseci}

http je dobro poznati tekstualni protokol a https je http preko ssl. http://info.ssl.com/article.aspx?id=10241

Odgovor na temu

alimamnekolikokuća

Član broj: 338957
Poruke: 326

+456 Profil

Re: Čemu služi https?

^{24.02.2019. u 11:17 - pre 62 meseci}

Jeeep, http je niz pravila koja odredjuju način razmene podataka u računarskim mrežama.
https je takodje niz pravila koja odredjuju način razmene podataka u računarskim mrežama ali uključuje i dodatna pravila koja obezbedjuju povećanu sigurnost razmenjenih podataka (u smislu diskretnosti).
Dodatna pravila (zvana sloj sigurnih priključaka) kriptuju razmenjene podatke izmedju dve strane i umanjuju mogućnost neovlašćenog uvida u razmenjene podatke. Odtle epitet "sigurni".

Ideja (pravila) u suštini dobra i korisna može biti kompromitovana na više načina, naravno najpre novca radi.

Mnogi dežuraju da bi provalili pravila sloja sigurnih priključaka:
- prvo lokalni (i bilo koji drugi) proksi i internet provajder
- državne tajne službe
- špijun svih špijuna: google
- svi oni koji umesto bitkoina pokušavaju da zarade na neopreznosti klijenata na mreži.

Pored nabrojanih ne treba zaboraviti da su proizvodjači brauzera na platnom spisku mnogih špijuna (googla pre svega) i da nikad niste sigurni koje podatke vaš brauzer otkucava svojim sponzorima.
Dok vi otkrijete jedan kanal kojim vaši podaci cure googlu proizvodjači brauzera (za google džeparac) otvore još par novih kanala koja je sve teže kontrolisati.

Da sad ne zakeramo na ekstenzijama koje na primer firefox mozzila instalira bez saglasnosti klijenta:
- google update
- Application Update Service Helper
- Multi-process staged rollout
- Pocket
- Web Compat

Pa Service Workers itd.
Naravno nisu sve te "zakrpe" vezane za SSL samo kažem da ste kompromitovani.

I onda jednog dana kad se bezbrižno naspavate na ekranu vas sačeka stravičan prizor od koga će vam zastati dah:

Citat:

Browsers leak installed extensions to sites

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 11:25 - pre 62 meseci}

"Jeeep, http je niz pravila koja odredjuju način razmene podataka u računarskim mrežama."

H(yper)T(ext)T(ransfer)P(rotocol)... imas i ssl i to je protokol, imas i TCP i to je protokol i sve je to niz pravila za nacin razmene podataka na racunarskim mrezama...

Odgovor na temu

Everbot

Član broj: 339505
*.dynamic.isp.telekom.rs.

+44 Profil

Re: Čemu služi https?

^{24.02.2019. u 11:33 - pre 62 meseci}

@Dusanboss

Pitanje iz naslova je retoričko. Nisam ni očekivao da neko odgovori čemu služi https. Namera mi je bila da raspravljamo zašto ES pored HTTPS dozvoljava i HTTP i zašto je to loše. Da je loše u to sam siguran. Nisam siguran u kojoj meri, ali s obzirom na preporuke da se ne radi čak ni redirekcija bez sigurnih kolačića i http only flegova, mislim da je prilično loše. Mali test, ako ostavim http link do ove stranice da li prelazim na http? Jel korisnik treba da vodi računa i za svaki link da li počinje sa https?

_{[Ovu poruku je menjao Everbot dana 24.02.2019. u 12:46 GMT+1]}

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
87.116.182.*

Sajt: angelstudio.org

+392 Profil

Re: Čemu služi https?

^{24.02.2019. u 12:10 - pre 62 meseci}

@Everbot

Hahaha, internet forumi i bezbednost, da li [es] kao i drugi neki forumi i dalje salje username i password kao plaintext u emailu?

Odgovor na temu

Everbot

Član broj: 339505
*.dynamic.isp.telekom.rs.

+44 Profil

Re: Čemu služi https?

^{24.02.2019. u 12:16 - pre 62 meseci}

Ovaj nalog sam otvorio baš davno, ima skoro dva meseca. Tada je password bio u plaintekstu. Pa jeste smešno pošto glavni deo foruma ima security u nazivu. U pravu je python_freak što je predložio promenu imena. Inače, smatram da ovo nije najveći problem. Najveći problem je naravno ćirilica.

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 12:18 - pre 62 meseci}

Citat:

Everbot:
@Dusanboss

Pitanje iz naslova je retoričko. Nisam ni očekivao da neko odgovori čemu služi https. Namera mi je bila da raspravljamo zašto ES pored HTTPS dozvoljava i HTTP i zašto je to loše. Da je loše u to sam siguran. Nisam siguran u kojoj meri, ali s obzirom na preporuke da se ne radi čak ni redirekcija bez sigurnih kolačića i http only flegova, mislim da je prilično loše. Mali test, ako ostavim http link do ove stranice da li prelazim na http? Jel korisnik treba da vodi računa i za svaki link da li počinje sa https?

_{[Ovu poruku je menjao Everbot dana 24.02.2019. u 12:46 GMT+1]}

Nema nikakve potrebe za https. To jedino treba za placanja preko interneta. https zapravo potpomaze plasiranju nezeljenih reklama....

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 12:19 - pre 62 meseci}

Citat:

Everbot:
Ovaj nalog sam otvorio baš davno, ima skoro dva meseca. Tada je password bio u plaintekstu. Pa jeste smešno pošto glavni deo foruma ima security u nazivu. U pravu je python_freak što je predložio promenu imena. Inače, smatram da ovo nije najveći problem. Najveći problem je naravno ćirilica.

O ovome se skoro diskutovalo, https://www.elitesecurity.org/...y-zar-naziv-nije-malo-ironican

Odgovor na temu

Everbot

Član broj: 339505
*.dynamic.isp.telekom.rs.

+44 Profil

Re: Čemu služi https?

^{24.02.2019. u 12:22 - pre 62 meseci}

Već sam napisao, ako nema https onda znači nije nas briga, odnosno nije ni potrebno. Ako ima, ali ne radi kako treba, šta to znači? Ja tumačim samo na jedan način: hteli smo, ali ne znamo.

Kako https potpomaže plasiranju neželjenih reklama?

Citat:

To jedino treba za placanja preko interneta

Nije tačno! Potrebno je za bilo koje podatke za koje korisnik smatra da su poverljivi, a vrlo je verovatno da utiče i na rangiranje sajtova kod pretraživača.

Citat:

O ovome se skoro diskutovalo

Znam, pročitao sam kada me je Bojan uputio na predloge i pitanja.

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 12:24 - pre 62 meseci}

"Kako https potpomaže plasiranju neželjenih reklama?"

Tako sto ne mozes da opalis filter preko proxyija.

Odgovor na temu

Everbot

Član broj: 339505
*.dynamic.isp.telekom.rs.

+44 Profil

Re: Čemu služi https?

^{24.02.2019. u 12:35 - pre 62 meseci}

Ok to je u redu, mada mislim da je moguće zaobići i to. U stvari siguran sam da je moguće zaobići, samo pitanje je koliko je praktično. Ako dodaš proxy kao CA, proxy bi mogao da generiše sertifikate i prevari klijenta tako da kljent misli da komunicira direktno sa serverom. Naravno ovo može da se uradi samo ako imaš pristup klijentskom računaru. Isprobao sam ovo sa mitmproxy.

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 12:58 - pre 62 meseci}

Znas kako tesko ces tu moci bilo sta da uradis a da klijent ne primeti zbog same prirode ssl-a. U svakom slucaju kad bi ovo moglo da se izvede a da klijent ne primeti to onda ne bi bio ssl ;p

Odgovor na temu

alimamnekolikokuća

Član broj: 338957
Poruke: 326

+456 Profil

Re: Čemu služi https?

^{24.02.2019. u 13:21 - pre 62 meseci}

Citat:

Branimir Maksimovic

Tako sto ne mozes da opalis filter preko proxyija.

Na šta tačno misliš?

AdGuard može da blokira i preko https:

Citat:

AdGuard blocks all ads including video ads, interstitial ads and floating ads, pop-ups, banners, advertisements, and text ads. Element blocking feature allows blocking of ANY unwanted element on the page.

Odgovor na temu

alimamnekolikokuća

Član broj: 338957
Poruke: 326

+456 Profil

Re: Čemu služi https?

^{24.02.2019. u 13:24 - pre 62 meseci}

Citat:

Everbot

Ako dodaš proxy kao CA, proxy bi mogao da generiše sertifikate i prevari klijenta tako da kljent misli da komunicira direktno sa serverom.

Paaa, AdGuard generiše sertifikate i klijent komunicira sa serverom preko AdGuard-a. Klijent je ubedjen da je direktoj vezi sa serverom.
Ali AdGuard je dobričina :)

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 13:26 - pre 62 meseci}

Moze iz browsera, da, ali nije to meni posao. Recimo Chrome sada izgleda otezava posao blokiranju reklama.

Citat:

In a new public document called Manifest V3, Google has announced it will change how extensions work in Chrome and the big casualty is it will break ad blockers - arguably the most popular extension any web browser has.

Odgovor na temu

Everbot

Član broj: 339505
*.dynamic.isp.telekom.rs.

+44 Profil

Re: Čemu služi https?

^{24.02.2019. u 13:34 - pre 62 meseci}

^^^^Problem je kako da klijent ne primeti kada instaliraš CA sertifikat na njegov sistem. Ako nije kod kuće dok ti čačkaš njegov računar verovatno neće ništa da primeti. Nakon istalacije CA sertifikata sve izgleda normalno osim podataka o sertifikatu koje možeš da pročitaš kada klikneš na katančić sa leve strane adrese. Pođi od sebe, da li proveravaš podatke sertifikata? To verovatno rade samo ljudi koji pate od nekog oblika paranoje. I nije tačno da to ne bi bio ssl. Bio bi, komunikacija bi bila kriptovana, samo što bi komunicirao sa "čovekom u sredini", odnosno proksijem.

Uglavnom, ako ovo radiš sam da bi filtrirao reklame, onda svakako znaš o čemu se radi.

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 13:36 - pre 62 meseci}

Pazi. Cemu sluzi privatni kljuc?

Odgovor na temu

Everbot

Član broj: 339505
*.dynamic.isp.telekom.rs.

+44 Profil

Re: Čemu služi https?

^{24.02.2019. u 15:18 - pre 62 meseci}

Ne razumem kontekst pitanja. Služi za dešifrovanje poruka koje su šifrovane javnim ključem i za šifrovanje poruka koje mogu da se dešifuju javnim ključem. Ako neko hoće možemo da uradimo i praktičnu demonstraciju ovde.

Generišem tajni ključ sa:

Code:

openssl genrsa -out key.pem 1024

Na osnovu tajnog ključa generišem javni:

Code:
openssl rsa -in key.pem -pubout > pub.pem

Ovo je sadržaj javnog ključa:

Code:

-----BEGIN PUBLIC KEY-----
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDgbY5CGYR05ctspNaKjgn4Hao0
nLCExw8pFJMAhD4lFQ0cPwO5e05eupds0SbSVCkXWFEimwgiqJeIQzKmg6Cyg19V
cx5iAYjOYLgn9Q9aIfLfZYgKwpTXhsDNXvQbFyltCS2qHuvD+4Uk2NBxXWwe+YoL
+Nwyl5rrn1K2nbwAAwIDAQAB
-----END PUBLIC KEY-----

Sada bilo ko može da uzme moj javni ključ, šifruje poruku i zalepi je na primer ovde. Samo ja ću moći da je dešifrujem jer imam privatni ključ.

Postupak šifrovanja bi išao od prilike ovako:

Nekim tekst editorom kreiram tekstualni fajl koji sadrži poruku

Code:

vi poruka.txt

Šifrujem poruku javnim ključem (prethodno sam zalepio sadržaj javnog ključa u fajl pub.pem)

Code:
openssl rsautl -encrypt -inkey pub.pem -pubin -in poruka.txt -out poruka.enc

Dobio sam fajl poruka.enc koji sadrži šifrovanu poruku. Šifrovana poruka je u binarnom formatu. Da bih je zalepio ovde mogu da uradim base64 encoding:

Code:
cat poruka.enc | base64 > poruka.b64.enc.txt

Ostalo je samo da sadržaj fajla poruka.b64.enc.txt pošaljem putem nesigurnog kanla, odnosno zalepim ovde.

Ako neko upotrebi moj javni ključ i objavi ovde šifrovanu poruku napisaću i uputstvo za dešifrovanje.

Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
109.72.51.23

+1064 Profil

Re: Čemu služi https?

^{24.02.2019. u 15:22 - pre 62 meseci}

E kako to lepo znas, kako mislis da ce browser da komunicira preko kriptovane konekcije a da ne primeti da ide preko proxy-ja? Tj kako mislis da ce proxy sa javnim kljucem od sajta da kriptuje kad nema privatni kljuc?

Odgovor na temu