[Opinie] castpol.pl

[Pan Kot 1535]

Skrót myślowy, chodziło mi o tożsamość.

 

Nie chcę tu nikogo bronić, ale równie dobrze można się pobawić SSLstripem, czy nawet "podmienić" zarówno stronę jak i certyfikat. Ile procent wszystkich userów przed każdym zalogowaniem do strony SSL sprawdza certyfikat? Najczęściej widzisz "o, zielone" i przechodzisz dalej...

 

Owszem, nie mówię że własnoręcznie podpisany certyfikat jest bezpieczny, ale z kolei zaufany certyfikat też można sobie wsadzić w cztery litery, skoro masz dostęp, żeby wykonać atak MITM to to czy certyfikat jest podpisany przez firmę X czy przez samego siebie nie ma znaczenia bo to tylko kolejna bariera, która jest bardzo prosta do przełamania.

 

Co nie zmienia faktu, że zgadzam się z jednym - czerwone tło i wykrzykniki najczęściej odstraszają klientów .

[Gość patrys]

Na SSLStrip złapie się tylko debil, albo starsza osoba która nie nie potrafi rozróżnić http od https w pasku adresu.

Rozumiem, ze chcesz generować CA na 100 konsolach ps3, fakt jest bardzo proste!

Coś jeszcze ciekawego ?

 

[kafi 2425]

Nie chcę tu nikogo bronić, ale równie dobrze można się pobawić SSLstripem

Przed tym też da się zabezpieczyć odpowiednio konstruując zestaw stron internetowych

(przede wszystkim NIE robiąc przekierowania http>https)

 

 

 

czy nawet "podmienić" zarówno stronę jak i certyfikat.

Jak podmienisz certyfikat, to dostaniesz błąd untrusted_issuer i dopóki jawnie nie zainstalujesz na komputerze klienta swojego pirackiego CA, to nie będziesz miał owego "zielonego" w pasku. W dużej części przeglądarek to nawet kłódka będzie przekreślona i świecąca na czerwono.

I teraz sedno sprawy - jeśli wszyscy by używali certyfikatów podpisanych przez zaufane CA,

to wtedy ten błąd u użytkownika by wywołał panikę, grozę itp.

Ale skoro większość uczy, że no kliknij dalej/akceptuj/ignoruj zawsze, to dla takiego ZU

robi się to normalne i nie zwraca uwagi, że to coś niedobrego, jak na stronie paypal.com,

czy tam jegobank.pl wyskoczy mu taki alert, tylko go zaakceptuje, jak to robił na setce innych stron

 

 

 

 

skoro masz dostęp, żeby wykonać atak MITM to to czy certyfikat jest podpisany przez firmę X czy przez samego siebie nie ma znaczenia

Tak jak pisałem - wystarczy dostęp do jednego z węzłów przez który przechodzi ruch.

A właśnie po to się szyfruje, żeby z tych postronnych węzłów dostępu nie było.

Edytowano Czerwiec 12, 2013 przez kafi (zobacz historię edycji)

[Pan Kot 1535]

Myślisz, że jak przeciętny Kowalski wpisze w przeglądarkę mbank.pl, a przeniesie go przy pomocy MITM na jakieś mbank.hacked.pl z zieloną kłódką to się kapnie?

 

Powiedzmy sobie szczerze, mało kto na to zwraca uwagę, a nawet i to można dość skrzętnie ukryć.

 

Kończę OT, bo w zasadzie dyskusja do niczego nie zmierza .

[Gość patrys]

Na początku twierdziłeś, że przeterminowany certyfikat zapewnia takie samo bezpieczeństwo jak by był aktualny.

Potem stwierdziłeś, że gdyby był poprawny certyfikat SSL to i tak można by go obejść..

 

Więc podsumowując, nie ma sensu przedłużać w firmie certyfikatu SSL, bo i tak można go "złamać"

 

 

[kafi 2425]

1) Bez ingerencji w stację roboczą użytkownika ciężko jest przekierować httpS://bank.pl na cokolwiek innego tak, aby nie generować żadnych alertów.

2) Spróbuj sobie wygenerować CSR dla CN zawierającego słowo BANK i przesłać go do podpisu do jakiegoś zaufanego CA.

Obawiam się, że będziesz musiał się lekko wytłumaczyć po co ci to,

no a nawet jak przejdzie a wrzucisz tam jakiś phishing, to nawet nie zdążysz zauważyć, jak certyfikat znajdzie się na CRL

i wtedy przeglądarka rzuci błędem, że certyfikat jest unieważniony i nie będzie zielonej kłódki.

 

3) Mbank ma szyfrowany serwis transakcyjny pod inną domeną niż nieszyfrowany system handlowy.

Cała ta ich zabawa jest zrobiona specjalnie, właśnie w celu zabezpieczenia się przed różnymi dziwnymi mechanizmami

MITM będącymi ewentualnie gdzieś w sieci.

[Miłosz 2311]

Zejdźcie z tematem MITM do innego działu

[xradar 5]

W tej chwili hosting leży, razem ze stroną castpol.pl Mam nadzieję, że to chwilowa awaria.

 

edit: To była jakaś chwilowa czkawka tylko.

Edytowano Czerwiec 13, 2013 przez Gość (zobacz historię edycji)

[Miłosz 2311]

System się zafreezował, po jakichś 150 dniach działania od ostatniego restartu. Czekałem pare minut czy sam wróci do normy, ale jednak był wymagany twardy reset.

[Malina24 0]

Firma może nie jest zła ale ceny są kompletnie nieadekwatne do oferowanych usług weźmy np. ten serwer dedykowany z 16 GB RAMu za 650 zł w innej firmie mam podobny serwer ale za 100 zł... Niby jest w cenie administracja serwerem ale nie przesadzajmy żeby za to brać ponad 500 zł.. Drugą kwestią są do dziś nie zrealizowane usługi, które były kupione nawet na rok z góry u poprzedniego właściciela..Pragnę zwrócić również uwagę że logo rzetelna firma jest tam tak na prawdę trochę na pokaz, gdyż wystarczy kliknąć na ten baner aby dowiedzieć się że firma nie spełnia warunków uczestnictwa w programie. To ostatnie radziłbym na prawdę poprawić gdyż jest to trochę wprowadzanie w błąd klienta.

[Miłosz 2311]

Niespełnia, ponieważ została zmieniona umowa z nimi. I jak to stwierdzili - banerek nie należy się

 

Oferta na stronie jest do modernizacji. Ale też nie narzekam na brak klientów na maszyny z administracją. Głównie w naszej serwerowni je składamy.

Serwery z oferty są z poprzedniej oferty OVH, więc ceny uległy zmianie. Poza tym były takie, że nie było doliczane 500 zł za administracje. Jak bazujesz na kimsufitach, to już Twoja sprawa. Nie wiem skąd takie dane posiadasz, a nie kojarzę faktu żebyś u mnie pracował.

 

Z usługami w "startym castpolu", to już jest problem Twój i byłego właściciela. Był czas na to. Spora część klientów jednak została u nas. Tym co się nie podobały ceny, to się przenieśli.

[YagAA 2]

Czy castpol jeszcze żyje? Nikt nie odpowiada na maile od długiego czasu.

 

Dostaję takie zwrotki z maili i chciałbym się dowiedzieć, o co chodzi i jak to naprawić. Maile ode mnie wychodzą i dochodzą poprawnie, a po kilku dniach od wysłania maila wysyłany jest taki komunikat.

 

 

This message was created automatically by mail delivery software.A message that you sent could not be delivered to one or more of itsrecipients. This is a permanent error. The following address(es) failed:mail@mojadomena.pl

Reporting-MTA: dns; bravo.castpol.plAction: failedFinal-Recipient: rfc822;mail@mojadomena.plStatus: 5.0.0

 

[Miłosz 2311]

Zyje. Przyslales w mailu takze wycinek, w ktorym wstawiles mojadomena.pl :-) a to chyba nie jest Twoja domena ;-)

[YagAA 2]

Nie jest to prawdziwa domena, ale nie ma to znaczenia. Było ok, nic nie zmieniałem, w domenie dnsy kierują do castpol, konto pocztowe stworzone poprawnie, a od kilku dni cały czas otrzymuję takie informacje, a maile dochodzą i są wysyłane.

[Miłosz 2311]

Domen masz 12, nie będę każdej przeglądał i szukał. "Problem" występuje tylko u Ciebie. Więc przyślij na maila nazwę domeny.