Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

RAČUNARI, umetak: Kratka biografija Bila Gejtsa.

elitemadzone.org :: MadZone :: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.

Strane: 1 2

[ Pregleda: 1134 | Odgovora: 26 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

mjanjic
Šikagou

Član broj: 187539
Poruke: 2380



+637 Profil

icon Re: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.18.05.2021. u 21:45 - pre 5 meseci
Citat:
Shadowed:
Podrazumevano radi :)
Moze se namestiti pracenje kroz proxy ako imas kontrolu i nad klijentom. Napravis na proksiju sertifikat i dodas ga na klijentu kao trusted. Onda ce ti browser dozvoliti da u proksiju dekriptujes/enkriptujes a da se ne buni.

Dakle, i na tvom ruteru (VDSL/kablovska itd.) se ne vidi koji URL otvaraš o browseru, odnosno ne vidi se nikakav podatak u HTTP zahtevu, osim možda IP adresa ili domen servera kome se šalje zahtev? Za ovo poslednje znam da se digla neka prašina kad je predloženo da se DNS zahtevi kriptuju, tako da bilo koji posrednik ne zna ni za koji tačno domen se traži IP adresa
Ako je to sigurno tako, 'aferim', najzad ga napravili da štrumpfuje :)

Znam da se zadnjih godina radilo na DoH (DNS over HTTPS) i da Mozilla ima neki tamo 1.1.1.1 DNS koji treba da poveća sigurnost u smislu da tvoj browser ne kontaktira prvo DNS tvog provajdera i pita ga da li zna IP adresu domena koji posećuješ, ali nisam u toku da li to sve radi i kako. Negde sam samo video da se to Mozilla DNS serveru u stvari pristupa preko Cloudflare koji "obećava" da će svi podaci biti obrisani u naredna 24 sata - što je OK, osim ako se izuzmu "slučajne" greške kao one sa šiframa Tviter korisnika u vidu otvorenog teksta.
Blessed are those who can laugh at themselves, for they shall never cease to be amused.
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
dynamic-62-240-24-122.cpe.sn.co.rs.



+1061 Profil

icon Re: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.18.05.2021. u 21:59 - pre 5 meseci
URL je totalno nebitan kad mozes da vidis koji domen gadja... No dns kriptovanje podrazumeva da verujes onom serveru sa druge strane.... Ruteri imaju svoj proxy za dns tako da na ruteru mozes da vidis koji se domeni traze.
Dakle ako koristis dns over https na google ili cloudflare oni ce znati sve o upitima, podrazumevano...
Najsigurnije da dignes sam svoj dns...
No kod mene kao sto je Shadowed rekao imam proxy na ruteru (squid) koji presrece https upite na portu 443 i potura svoj sertifikat ;)
Glavni razlog zbog cega to radim je da se ratosiljam malware-a i reklama na jendom mestu a da ne mora svako da stavlja adblocker ;)

 
Odgovor na temu

Shadowed
Vojvodina

Član broj: 649
Poruke: 12799



+4739 Profil

icon Re: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.18.05.2021. u 22:12 - pre 5 meseci
Citat:
mjanjic: Dakle, i na tvom ruteru (VDSL/kablovska itd.) se ne vidi koji URL otvaraš o browseru, odnosno ne vidi se nikakav podatak u HTTP zahtevu, osim možda IP adresa ili domen servera kome se šalje zahtev?

Tako je. Jednom kada uspostavis SSL/TLS sesiju, sta prolazi kroz nju se ne vidi. Ne mora uopste ni da bude http.

Citat:
mjanjic:Za ovo poslednje znam da se digla neka prašina kad je predloženo da se DNS zahtevi kriptuju, tako da bilo koji posrednik ne zna ni za koji tačno domen se traži IP adresa
Ako je to sigurno tako, 'aferim', najzad ga napravili da štrumpfuje :)

Da, to je dodatna stvar jer ako ja prvo pitam "koji je IP za nekisajt.com" pa onda odem na ip koji sam dobio kombinacijom ta dva podatka se moze sa prilicno sigurnosti pretpostaviti da sam otisao na nekisajt.com (mada ne i sta sam radio tamo). Zato se ide na to da se zastiti i DNS upit kao sto si opisao dalje u svom postu.


E sad, ono sto sam provalio kada sam jednom modifikovao neki proxy server je da on moze da kada se kacis preko njega na nekisajt.com da uradi ssl handshake umesto sajta a zasebno napravi konekciju ka sajtu. Medjutim, on nema sertifikat sajta tj. ne moze da se predstavi kao on. No, moze imati svoj sertifikat i ako njega dodas u trusted na klijentu, browser se nece buniti sto on to radi. To je nacin na koji su ti admini mozda pratili saobracaj jer pretpostavljam da su admini ipak mogli na klijentskim kompjuterima da dodaju sertifikate.
 
Odgovor na temu

Ivan Dimkovic

Ivan Dimkovic
Administrator
Član broj: 13
Poruke: 16219
...kabel-badenwuerttemberg.de.



+7026 Profil

icon Re: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.18.05.2021. u 22:33 - pre 5 meseci
Citat:
mjanjic:
Sve to OK, ali se sećam da sam u jednoj firmi video na proxy mašini instaliran App koji prikazuje sve URL-ove koji se otvaraju sa bilo kog računara u mreži firme, nebitno da li su HTTP ili HTTPS, admini to instalirali kad su jurili neki virus koji je flood-ovao internu mrežu ogromnim brojem pingova i drugih zahteva, ali kasnije ostavili, bilo im zanimljivo da prate šta ko radi - bukvalno, ono vidiš internu IP adresu i URL kojem pristupa izvan mreže (npr. portal sa vestima, koji je inače https).

To što neki od vas navode da je moguće sakriti URL kome se pristupa (jer sadrži parametre za pretragu na tom sajtu i sl.) je nešto za šta 99.99999% korisnika ne zna, ja pričam o klasičnom korišćenju: uneseš u adresno polje https://www.elitesecurity.org i tvoj provajder ili admin na lokalnom proksiju odmah vidi da si posetio Elite Security sajt. Sad, da može to da se spreči, nije da ne može, ali ne radi podrazumevano (tj. po default-u kako se već odomaćilo).


Nikakav problem u poslovnom okruzenju, posto je firma vlasnik kompjutera za rad.

Firma instalira svoj CA i onda MITM proxy prolazi bez da browser i sl. baca greske.

Ovo sljaka sve dok klijent ne radi certificate pinning, u kom slucaju je jedino resenje 'akovanje.

Ako si ti vlasnik svog racunara i ne das da se instaliraju proizvoljni CA-ovi, ne moze ni ISP ni lokalni proxy da ti gledaju u korektno kriptovan TLS saobracaj. Ako pokusaju MITM, provaljeni su odmah.

Zato se ponekad desi ovo:

Citat:

In a troubling rehash of events from July 2019, Mozilla was recently informed that Internet Service Providers (ISPs) in Kazakhstan have begun telling their customers that they must install a government-issued root certificate on their devices to access internet services. When a user in Kazakhstan installs the root certificate provided by their ISP, they are choosing to trust a Certificate Authority (CA) that enables the interception and decryption of network communications between Firefox and the website.



DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

Branimir Maksimovic

Član broj: 64947
Poruke: 5534
dynamic-62-240-25-20.cpe.sn.co.rs.



+1061 Profil

icon Re: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.19.05.2021. u 01:04 - pre 5 meseci
Ne znam samo cemu kriptovan saobracaj ka web sajtu, koji svako zna koji je? To je osnovno pitanje. Kad izuzmemo placanje i popunjavanje formulara...
 
Odgovor na temu

mjanjic
Šikagou

Član broj: 187539
Poruke: 2380



+637 Profil

icon Re: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.19.05.2021. u 10:22 - pre 5 meseci
Pa nije baš tako, na jednoj IP adresi možeš da imaš više sajtova.
Potom, na nekom sajtu možeš da čitaš vesti, a možeš i da ostaviš komentar, ako je saobraćaj kriptovan, kao i DNS, onda nijedan posrednik ne može da zna da li si ti samo čitao ili si nešto i komentarisao.
Takođe, ako koristiš neki proxy, ni admin tog sajta ne zna tvoju tačnu adresu, videće samo IP adresu proxy servera... ima onih kojima je to bitno, recimo onima u Kini kojima vlast sve filtrira, a možda ni mi nismo daleko od tog scenarija, posebno imajući u vidu sve obimniju "saradnju" sa kinezima.


Citat:
Shadowed:
No, moze imati svoj sertifikat i ako njega dodas u trusted na klijentu, browser se nece buniti sto on to radi. To je nacin na koji su ti admini mozda pratili saobracaj jer pretpostavljam da su admini ipak mogli na klijentskim kompjuterima da dodaju sertifikate.

Ne, tada nije ni bilo SSL/TLS-a nigde u mreži niti na internim serverima, osim na mejl serveru gde je bio lokalno napravljen sertifikat koji se morao "prihvatiti" kao validan. Nije to bilo baš skoro, mislim da je tada relativno dosta sajtova još uvek bilo na HTTP, čak i ES (ne sećam se kad se pojavio HTTPS ovde, ali se sećam teme u vezi toga što se nekima otvarao HTTP umesto HTTPS, problem kako se inicijalno pristupi, a većina je u browser-u imala zapamćen HTTP link), ali mislim da se i za HTTPS lokalnom proxy serveru slao URL kao otvoreni tekst.

Blessed are those who can laugh at themselves, for they shall never cease to be amused.
 
Odgovor na temu

Ivan Dimkovic

Ivan Dimkovic
Administrator
Član broj: 13
Poruke: 16219
*.web.vodafone.de.



+7026 Profil

icon Re: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.19.05.2021. u 10:48 - pre 5 meseci
Citat:
Branimir Maksimovic:
Ne znam samo cemu kriptovan saobracaj ka web sajtu, koji svako zna koji je? To je osnovno pitanje.


Zato sto cist komunikacioni kanal izmedju tebe i web sajta moze da cita svako ko ima pristup mreznoj opremi.

To bi bio ekvivalent poste koja ne sme da bude u koverti vec iskljucivo komplet vidljiva svakom ko ima neki udeo u postanskom saobracaju. Znaci, dok tvoje pismo ide od Kine do Srbije, moze da ga ga cita svaka susa koja nesto radi sa njim. Logicno, pre ili kasnije ce neko da napravi skener na prijemu posiljki koji ce "preventivno" sve da skenira - nikad se ne zna, mozda ces postati terorista jednog dana i tako to.

Ljudi i firme imaju prava na privatnost u komunikaciji, ukljucujuci i komunikaciju sa web sajtovima.

TLS je jedna od komponenti koje su tu da tu privatnost omoguce.

Citat:

Kad izuzmemo placanje i popunjavanje formulara...


Moz da bude sta god neko hoce. Privatnost je pravo, tvoja privatnost je tvoja stvar, moja privatnost je moj problem. Tebe treba da zanima samo sta ces sa svojom.

A razloga oko kojih bi se mnogi slozili imas milion:

1. Data mining - imas pravo da ne dozvolis drugima da profitiraju od sadrzaja tvoje komunikacije
2. Ljudska prava - nije svuda ruziscasto i za neke stvari se gubi glava, sakrivanje saobracaja je jedna od metoda kojom se to sprecava
3. Prisluskivanja raznih vrsta - od najblizih (porodica) preko komsilikua, lakse je ne razmisljati o tome sto se komunikacionog kanala tice

+ Sve situacije koje mogu zadesiti nekog ko je politicki angazovan, na visokoj poziciji profesionalno ili je javna licnost.

Ono, ljudima su hakovali teleofnske sekretarice jbg, Stingray uredjaje poseduje bog te pita ko sve ne i sl. Sto je manje lakih mogucnosti za spijuniranje - to bolje.

--

Ali diskusija o ovim razlozima je glupa - posto kakav god razlog bio, dobar je: privatnost je nesto na sta svako ima pravo. Ako tebi ne treba - baci je u djubre, ali ostavi druge.
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos: http://www.digicortex.net/node/17 Gallery: http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! - https://github.com/psyq321/PowerMonkey
 
Odgovor na temu

elitemadzone.org :: MadZone :: RAČUNARI, umetak: Kratka biografija Bila Gejtsa.

Strane: 1 2

[ Pregleda: 1134 | Odgovora: 26 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.