Skocz do zawartości
wood

[Opinie] castpol.pl

Polecane posty

Skrót myślowy, chodziło mi o tożsamość.

 

Nie chcę tu nikogo bronić, ale równie dobrze można się pobawić SSLstripem, czy nawet "podmienić" zarówno stronę jak i certyfikat. Ile procent wszystkich userów przed każdym zalogowaniem do strony SSL sprawdza certyfikat? Najczęściej widzisz "o, zielone" i przechodzisz dalej...

 

Owszem, nie mówię że własnoręcznie podpisany certyfikat jest bezpieczny, ale z kolei zaufany certyfikat też można sobie wsadzić w cztery litery, skoro masz dostęp, żeby wykonać atak MITM to to czy certyfikat jest podpisany przez firmę X czy przez samego siebie nie ma znaczenia bo to tylko kolejna bariera, która jest bardzo prosta do przełamania.

 

Co nie zmienia faktu, że zgadzam się z jednym - czerwone tło i wykrzykniki najczęściej odstraszają klientów ;).

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Na SSLStrip złapie się tylko debil, albo starsza osoba która nie nie potrafi rozróżnić http od https w pasku adresu.

Rozumiem, ze chcesz generować CA na 100 konsolach ps3, fakt jest bardzo proste!

Coś jeszcze ciekawego ? ;)

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Nie chcę tu nikogo bronić, ale równie dobrze można się pobawić SSLstripem

Przed tym też da się zabezpieczyć odpowiednio konstruując zestaw stron internetowych

(przede wszystkim NIE robiąc przekierowania http>https)

 

 

 

czy nawet "podmienić" zarówno stronę jak i certyfikat.

Jak podmienisz certyfikat, to dostaniesz błąd untrusted_issuer i dopóki jawnie nie zainstalujesz na komputerze klienta swojego pirackiego CA, to nie będziesz miał owego "zielonego" w pasku. W dużej części przeglądarek to nawet kłódka będzie przekreślona i świecąca na czerwono.

I teraz sedno sprawy - jeśli wszyscy by używali certyfikatów podpisanych przez zaufane CA,

to wtedy ten błąd u użytkownika by wywołał panikę, grozę itp.

Ale skoro większość uczy, że no kliknij dalej/akceptuj/ignoruj zawsze, to dla takiego ZU

robi się to normalne i nie zwraca uwagi, że to coś niedobrego, jak na stronie paypal.com,

czy tam jegobank.pl wyskoczy mu taki alert, tylko go zaakceptuje, jak to robił na setce innych stron ;)

 

 

 

 

skoro masz dostęp, żeby wykonać atak MITM to to czy certyfikat jest podpisany przez firmę X czy przez samego siebie nie ma znaczenia

Tak jak pisałem - wystarczy dostęp do jednego z węzłów przez który przechodzi ruch.

A właśnie po to się szyfruje, żeby z tych postronnych węzłów dostępu nie było.

Edytowano przez kafi (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Myślisz, że jak przeciętny Kowalski wpisze w przeglądarkę mbank.pl, a przeniesie go przy pomocy MITM na jakieś mbank.hacked.pl z zieloną kłódką to się kapnie? :D

 

Powiedzmy sobie szczerze, mało kto na to zwraca uwagę, a nawet i to można dość skrzętnie ukryć.

 

Kończę OT, bo w zasadzie dyskusja do niczego nie zmierza :P.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość patrys

Na początku twierdziłeś, że przeterminowany certyfikat zapewnia takie samo bezpieczeństwo jak by był aktualny.

Potem stwierdziłeś, że gdyby był poprawny certyfikat SSL to i tak można by go obejść..

 

Więc podsumowując, nie ma sensu przedłużać w firmie certyfikatu SSL, bo i tak można go "złamać" ;)

 

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

1) Bez ingerencji w stację roboczą użytkownika ciężko jest przekierować httpS://bank.pl na cokolwiek innego tak, aby nie generować żadnych alertów.

2) Spróbuj sobie wygenerować CSR dla CN zawierającego słowo BANK i przesłać go do podpisu do jakiegoś zaufanego CA.

Obawiam się, że będziesz musiał się lekko wytłumaczyć po co ci to,

no a nawet jak przejdzie a wrzucisz tam jakiś phishing, to nawet nie zdążysz zauważyć, jak certyfikat znajdzie się na CRL

i wtedy przeglądarka rzuci błędem, że certyfikat jest unieważniony i nie będzie zielonej kłódki.

 

3) Mbank ma szyfrowany serwis transakcyjny pod inną domeną niż nieszyfrowany system handlowy.

Cała ta ich zabawa jest zrobiona specjalnie, właśnie w celu zabezpieczenia się przed różnymi dziwnymi mechanizmami

MITM będącymi ewentualnie gdzieś w sieci.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zejdźcie z tematem MITM do innego działu ;)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

System się zafreezował, po jakichś 150 dniach działania od ostatniego restartu. Czekałem pare minut czy sam wróci do normy, ale jednak był wymagany twardy reset.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Firma może nie jest zła ale ceny są kompletnie nieadekwatne do oferowanych usług weźmy np. ten serwer dedykowany z 16 GB RAMu za 650 zł w innej firmie mam podobny serwer ale za 100 zł... Niby jest w cenie administracja serwerem ale nie przesadzajmy żeby za to brać ponad 500 zł.. Drugą kwestią są do dziś nie zrealizowane usługi, które były kupione nawet na rok z góry u poprzedniego właściciela..Pragnę zwrócić również uwagę że logo rzetelna firma jest tam tak na prawdę trochę na pokaz, gdyż wystarczy kliknąć na ten baner aby dowiedzieć się że firma nie spełnia warunków uczestnictwa w programie. To ostatnie radziłbym na prawdę poprawić gdyż jest to trochę wprowadzanie w błąd klienta.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Niespełnia, ponieważ została zmieniona umowa z nimi. I jak to stwierdzili - banerek nie należy się ;)

 

Oferta na stronie jest do modernizacji. Ale też nie narzekam na brak klientów na maszyny z administracją. Głównie w naszej serwerowni je składamy.

Serwery z oferty są z poprzedniej oferty OVH, więc ceny uległy zmianie. Poza tym były takie, że nie było doliczane 500 zł za administracje. Jak bazujesz na kimsufitach, to już Twoja sprawa. Nie wiem skąd takie dane posiadasz, a nie kojarzę faktu żebyś u mnie pracował.

 

Z usługami w "startym castpolu", to już jest problem Twój i byłego właściciela. Był czas na to. Spora część klientów jednak została u nas. Tym co się nie podobały ceny, to się przenieśli.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Czy castpol jeszcze żyje? Nikt nie odpowiada na maile od długiego czasu.

 

Dostaję takie zwrotki z maili i chciałbym się dowiedzieć, o co chodzi i jak to naprawić. Maile ode mnie wychodzą i dochodzą poprawnie, a po kilku dniach od wysłania maila wysyłany jest taki komunikat.

 

 

This message was created automatically by mail delivery software.A message that you sent could not be delivered to one or more of itsrecipients. This is a permanent error. The following address(es) failed:mail@mojadomena.pl
Reporting-MTA: dns; bravo.castpol.plAction: failedFinal-Recipient: rfc822;mail@mojadomena.plStatus: 5.0.0

 

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zyje. Przyslales w mailu takze wycinek, w ktorym wstawiles mojadomena.pl :-) a to chyba nie jest Twoja domena ;-)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Nie jest to prawdziwa domena, ale nie ma to znaczenia. Było ok, nic nie zmieniałem, w domenie dnsy kierują do castpol, konto pocztowe stworzone poprawnie, a od kilku dni cały czas otrzymuję takie informacje, a maile dochodzą i są wysyłane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Domen masz 12, nie będę każdej przeglądał i szukał. "Problem" występuje tylko u Ciebie. Więc przyślij na maila nazwę domeny.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×