Re: firefox es chrome cert problema

[Kosa Attila]

On Thu, Nov 15, 2012 at 11:42:26AM +0100, Szládovics Péter wrote:
> 2012-11-15 11:14 keltezéssel, Kosa Attila írta:
> > A firefox es a google chrome a legujabb (magyar Windows 7
> > Ultimate alatt futnak). Egy nagyon egyszeru https zorp proxy-n
>
> Szerintem nem is fog. Az egyik UTM gyártója (ami szintén MITM módban
> szűri az SSL-t) írja is, hogy néhány oldal nem fog menni, és példának
> pont a gmail áll a doksiban :)

Erdekesegkeppen: ie alatt mukodnek azok is, amelyek firefox es
chrome alatt nem... Az ie-t "meghatja", ha azt kerem, hogy tegyen
kivetelt. A masik ket bughalmot nem.

--
Udvozlettel
Zsiga
--
linux-flame lista - linux...@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux-flame

[Szládovics Péter]

2012-11-15 11:47 keltezéssel, Kosa Attila írta:
> On Thu, Nov 15, 2012 at 11:42:26AM +0100, Szládovics Péter wrote:
>> 2012-11-15 11:14 keltezéssel, Kosa Attila írta:
>>> A firefox es a google chrome a legujabb (magyar Windows 7
>>> Ultimate alatt futnak). Egy nagyon egyszeru https zorp proxy-n
>>
>> Szerintem nem is fog. Az egyik UTM gyártója (ami szintén MITM módban
>> szűri az SSL-t) írja is, hogy néhány oldal nem fog menni, és példának
>> pont a gmail áll a doksiban :)
>
> Erdekesegkeppen: ie alatt mukodnek azok is, amelyek firefox es
> chrome alatt nem... Az ie-t "meghatja", ha azt kerem, hogy tegyen
> kivetelt. A masik ket bughalmot nem.

Ez valóban érdekes.

[KORN Andras]

On Thu, Nov 15, 2012 at 11:14:26AM +0100, Kosa Attila wrote:

> Google chrome alatt pedig azt irja, hogy "Nem folytathatja, mert
> a honlap üzemeltetője fokozott biztonságot kért erre a domainre."

En ugy tudom, a Chrome-ba be van drotozva a Google certje, pont a
MITM-tamadasok kivedese erdekeben.

Guy

--
Andras Korn <korn at elan.rulez.org>
Never let any mechanical device know you're in a hurry.

[Kosa Attila]

On Thu, Nov 15, 2012 at 12:26:36PM +0100, KORN Andras wrote:
> On Thu, Nov 15, 2012 at 11:14:26AM +0100, Kosa Attila wrote:
>
> > Google chrome alatt pedig azt irja, hogy "Nem folytathatja, mert
> > a honlap üzemeltetője fokozott biztonságot kért erre a domainre."
>
> En ugy tudom, a Chrome-ba be van drotozva a Google certje, pont a
> MITM-tamadasok kivedese erdekeben.

Ezzel kapcsolatban valami url? Es a firefox miert nem akar menni?

--
Udvozlettel
Zsiga

[KORN Andras]

On Thu, Nov 15, 2012 at 12:30:21PM +0100, Kosa Attila wrote:

> > > Google chrome alatt pedig azt irja, hogy "Nem folytathatja, mert
> > > a honlap üzemeltetője fokozott biztonságot kért erre a domainre."
> >
> > En ugy tudom, a Chrome-ba be van drotozva a Google certje, pont a
> > MITM-tamadasok kivedese erdekeben.
>
> Ezzel kapcsolatban valami url? Es a firefox miert nem akar menni?

http://dev.chromium.org/Home/chromium-security/root-ca-policy

http://productforums.google.com/forum/?_escaped_fragment_=topic/gmail/3J3r2JqFNTw#!topic/gmail/3J3r2JqFNTw

http://c0decstuff.blogspot.hu/2011/07/fiddling-with-chromiums-new-certificate.html
(ez lehet hogy jo workaround neked)

http://www.imperialviolet.org/2011/05/04/pinning.html

http://ssl.entrust.net/blog/?p=615

https://code.google.com/p/chromium/issues/detail?id=110191

https://www.techdirt.com/articles/20110830/13243615741/evidence-suggests-diginotar-who-issued-fraudulent-google-certificate-was-hacked-years-ago.shtml

http://unixlinux.tmit.bme.hu/SSL

Guy

--
Andras Korn <korn at elan.rulez.org>

What is Life but a sexually transmitted disease with a 100% mortality rate?

[Nemeth Gyorgy]

2012.11.16. 8:34 keltezéssel, Kosa Attila írta:
>> Hasonlóval találkoztam évekkel ezelőtt, amikor játszottam a Zorp
>> keybridgingjével, ott az ISS Siteprotector nem volt hajlandó az XPU
>> upgrade-ek letöltésére, amikor a keybridging aktív volt. De az annyira
>> nehezen debugolható volt, hogy hagytam a csudába, úgyis csak játék volt
>> számomra a keybridging.
>
> Nekem nem jatek, van, ahol hasznalom evek ota, de itt nincs
> keybridging.

Akkor milyen tartalmú tanúsítványt kapnak a kliensek?

--
Friczy

[Nemeth Gyorgy]

2012.11.16. 12:24 keltezéssel, Kosa Attila írta:
>>> Nekem nem jatek, van, ahol hasznalom evek ota, de itt nincs
>>> keybridging.
>>
>> Akkor milyen tartalmú tanúsítványt kapnak a kliensek?
>

> A tuzfal nevere kiallitottat.

Vagyis még a CN és az URL se stimmel? Erre azért mindegyik böngésző
szokott kiabálni.

[Kosa Attila]

On Fri, Nov 16, 2012 at 12:23:02PM +0100, Nemeth Gyorgy wrote:
> 2012.11.16. 8:34 keltezéssel, Kosa Attila írta:
> >
> > Nekem nem jatek, van, ahol hasznalom evek ota, de itt nincs
> > keybridging.
>
> Akkor milyen tartalmú tanúsítványt kapnak a kliensek?

A tuzfal nevere kiallitottat.

--
Udvozlettel
Zsiga

[Kosa Attila]

On Fri, Nov 16, 2012 at 12:25:39PM +0100, Nemeth Gyorgy wrote:
> 2012.11.16. 12:24 keltezéssel, Kosa Attila írta:
> >>> Nekem nem jatek, van, ahol hasznalom evek ota, de itt nincs
> >>> keybridging.
> >>
> >> Akkor milyen tartalmú tanúsítványt kapnak a kliensek?
> >
> > A tuzfal nevere kiallitottat.
>
> Vagyis még a CN és az URL se stimmel? Erre azért mindegyik böngésző
> szokott kiabálni.

A CA-t ismeri, igy meg lehet neki mondani, hogy engedje. Peldaul
az otp csont nelkul mukodik, csak a gmail nem akar...

--
Udvozlettel
Zsiga

[Nemeth Gyorgy]

2012.11.16. 13:56 keltezéssel, Kosa Attila írta:
>> Vagyis még a CN és az URL se stimmel? Erre azért mindegyik böngésző
>> szokott kiabálni.
>
> A CA-t ismeri, igy meg lehet neki mondani, hogy engedje. Peldaul
> az otp csont nelkul mukodik, csak a gmail nem akar...

Attól, hogy megbízható a CA, még nem megbízható dolog, hogy máshova
mész, mint amire a tanúsítvány ki van állítva.

--
Friczy

[KORN Andras]

On Fri, Nov 16, 2012 at 02:02:47PM +0100, Kosa Attila wrote:

> > > A CA-t ismeri, igy meg lehet neki mondani, hogy engedje. Peldaul
> > > az otp csont nelkul mukodik, csak a gmail nem akar...
> >
> > Attól, hogy megbízható a CA, még nem megbízható dolog, hogy máshova
> > mész, mint amire a tanúsítvány ki van állítva.
>

> A zorp ellenorzi a kapcsolatot, es csak oda engedi felepulni,
> ahol megfelelo a cert. Zorp hasznalata eseten mindig meg kell
> biznod a tuzfalban https kapcsolat eseten, hiszen a szerver igazi
> tanusitvanyat soha nem latod.

De ha a tuzfal altal a kliens fele mutatott tanusitvanyban nem az a cn van,
amit a kliens megszolitott, akkor hiaba megbizhato az alairo CA, a kliens
akkor is sipakolni fog miatta.

Guy

--
Andras Korn <korn at elan.rulez.org>

I've got morals. I just don't know where they are.

[Mezei Zoltan]

2012/11/16 KORN Andras <ko...@linuxflame.elan.rulez.org>:

> De ha a tuzfal altal a kliens fele mutatott tanusitvanyban nem az a cn van,
> amit a kliens megszolitott, akkor hiaba megbizhato az alairo CA, a kliens
> akkor is sipakolni fog miatta.

Igen, de ez a sipákolás csak egy warning, amit le lehet okézni,
ellenben Zsiga nem warningot kap, hanem nem működik neki. Nézd meg a
levelemet (és éljenek a böngészőgyártók, hogy újabban CA-t is akarnak
játszani).
--
Zizi

"...nálatok a cégnél múltból nagyon sok van..."

[Mezei Zoltan]

2012/11/15 Kosa Attila <zs...@kosaek.hu>:
> masik: "ssl_error_bad_cert_domain". Ami igaz is, de _minden_ mas
> https-es oldalra is igaz, hiszen a kliens a tuzfal cert-jet
> latja, mas https-es oldalak megis mukodnek, csak a gmail.com nem
> akar.

Azért nem megy, mert ha ezen a hibán további is lendülnél, a következő
hiba a ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN lenne...

[Mezei Zoltan]

2012/11/15 Kosa Attila <zs...@kosaek.hu>

> Google chrome alatt pedig azt irja, hogy "Nem folytathatja, mert
> a honlap üzemeltetője fokozott biztonságot kért erre a domainre."

Certificate Pinning a technológia neve, Chrome 13 (kb. 2011. június)
óta van a Chrome-ban ilyen:

http://blog.chromium.org/2011/06/new-chromium-security-features-june.html

"Chromium 13: built-in certificate pinning and HSTS
...
In addition in Chromium 13, only a very small subset of CAs have the
authority to vouch for Gmail (and the Google Accounts login page).
This can protect against recent incidents where a CA has its authority
abused, and generally protects against the proliferation of signing
authority."

A lényeg: a .google.com végű domainek-hez csak a Chrome-ba drótozott
CA-k adhatnak ki certificate-eket. Van több ilyen domain is, innen
tudod kimazsolázgatni őket:

http://src.chromium.org/svn/trunk/src/net/base/transport_security_state_static.h

[Nemeth Gyorgy]

2012.11.16. 15:38 keltezéssel, Mezei Zoltan írta:
> Igen, de ez a sipákolás csak egy warning, amit le lehet okézni,
> ellenben Zsiga nem warningot kap, hanem nem működik neki. Nézd meg a
> levelemet (és éljenek a böngészőgyártók, hogy újabban CA-t is akarnak
> játszani).

CA-t akkor akarna játszani, ha kiállítani akarna tanúsítványt. A
böngészők időnként játszanak mást is, a chrome pl. dnssecet is próbálgat.

--
Friczy

[Mezei Zoltan]

2012/11/16 Nemeth Gyorgy <fl...@friczy.net>:
> Vagyis a megoldás: ha eddig nem volt keybridging, és az ügyfelek mindig
> csak egy tanúsítványt láttak, függetlenül attól, hogy melyik oldalt
> nézték meg https-en, vezesd be a keybridginget.

A gmail esetében nem segít...

--
Zizi

"...nálatok a cégnél múltból nagyon sok van..."

[Kosa Attila]

On Fri, Nov 16, 2012 at 03:25:39PM +0100, KORN Andras wrote:
> On Fri, Nov 16, 2012 at 02:02:47PM +0100, Kosa Attila wrote:
>
> > > > A CA-t ismeri, igy meg lehet neki mondani, hogy engedje. Peldaul
> > > > az otp csont nelkul mukodik, csak a gmail nem akar...
> > >
> > > Attól, hogy megbízható a CA, még nem megbízható dolog, hogy máshova
> > > mész, mint amire a tanúsítvány ki van állítva.
> >
> > A zorp ellenorzi a kapcsolatot, es csak oda engedi felepulni,
> > ahol megfelelo a cert. Zorp hasznalata eseten mindig meg kell
> > biznod a tuzfalban https kapcsolat eseten, hiszen a szerver igazi
> > tanusitvanyat soha nem latod.
>
> De ha a tuzfal altal a kliens fele mutatott tanusitvanyban nem az a cn van,
> amit a kliens megszolitott, akkor hiaba megbizhato az alairo CA, a kliens
> akkor is sipakolni fog miatta.

De meg lehet neki mondani, hogy kivetelkent kezelje le a dolgot,
es onnantol kezdve nem problemazik. Kiveve a gmail esetet. Egesz
pontosan az accounts.google.com az, ami nem megy.

--
Udvozlettel
Zsiga

[Kosa Attila]

On Fri, Nov 16, 2012 at 03:41:40PM +0100, Mezei Zoltan wrote:
> 2012/11/15 Kosa Attila <zs...@kosaek.hu>:
> > masik: "ssl_error_bad_cert_domain". Ami igaz is, de _minden_ mas
> > https-es oldalra is igaz, hiszen a kliens a tuzfal cert-jet
> > latja, mas https-es oldalak megis mukodnek, csak a gmail.com nem
> > akar.
>
> Azért nem megy, mert ha ezen a hibán további is lendülnél, a következő
> hiba a ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN lenne...

Egyelore a firefox-rol van szo, nem a chrome-rol. Abban is
ugyanaz lenne, mint a chrome-ban?

--
Udvozlettel
Zsiga

[Mezei Zoltan]

2012/11/16 Kosa Attila <zs...@kosaek.hu>:

> On Fri, Nov 16, 2012 at 03:41:40PM +0100, Mezei Zoltan wrote:
>> 2012/11/15 Kosa Attila <zs...@kosaek.hu>:
>> > masik: "ssl_error_bad_cert_domain". Ami igaz is, de _minden_ mas
>> > https-es oldalra is igaz, hiszen a kliens a tuzfal cert-jet
>> > latja, mas https-es oldalak megis mukodnek, csak a gmail.com nem
>> > akar.
>>
>> Azért nem megy, mert ha ezen a hibán további is lendülnél, a következő
>> hiba a ERR_SSL_PINNED_KEY_NOT_IN_CERT_CHAIN lenne...
>
> Egyelore a firefox-rol van szo, nem a chrome-rol. Abban is
> ugyanaz lenne, mint a chrome-ban?

Amikor Chrome-mal belefutottam hajszálpontosan ugyanebbe a hibába,
akkor a Firefox-ban még nem volt benne ez a feature, de tervezték
bevezetni. Nem tudom, hogy most hogy állnak vele.

--
Zizi

"...nálatok a cégnél múltból nagyon sok van..."

[Mezei Zoltan]

On Fri, Nov 16, 2012 at 4:03 PM, Kosa Attila <zs...@kosaek.hu> wrote:
>> http://src.chromium.org/svn/trunk/src/net/base/transport_security_state_static.h
> Szoval a kikerulese meglehetosen nehezkes...

Hát, kéne csinálnod egy CA-t, amelynek a titkos kulcsának a hash-e
ugyanaz, mint mondjuk a Verisign titkos kulcsának a hash-e. Ha ez
sikerül, akkor onnan könnyen vagy, és nem mellesleg szólj, van pár
ötletem, hogy hogy lehetne nagyon sok pénzt csinálni ebből :-p

[Kosa Attila]

On Fri, Nov 16, 2012 at 03:50:23PM +0100, Nemeth Gyorgy wrote:
> CA-t akkor akarna játszani, ha kiállítani akarna tanúsítványt. A
> böngészők időnként játszanak mást is, a chrome pl. dnssecet is próbálgat.

Ilyenkor eltunodom azon, hogy milyen vallalati halozat az, ahol
egy sima user bongeszoje kimaszkalhat a netre nevfeloldasert.

--
Udvozlettel
Zsiga

[Nemeth Gyorgy]

2012.11.16. 16:06 keltezéssel, Kosa Attila írta:
>> CA-t akkor akarna játszani, ha kiállítani akarna tanúsítványt. A
>> böngészők időnként játszanak mást is, a chrome pl. dnssecet is próbálgat.
>
> Ilyenkor eltunodom azon, hogy milyen vallalati halozat az, ahol
> egy sima user bongeszoje kimaszkalhat a netre nevfeloldasert.

Ha nem tud kimenni, nem fogja beszüntetni a működését. FYI kiscégeknél
simán előfordulhat, és bármily meglepő, egy böngészőt nem csak cégek
használnak.

--
Friczy

[Nemeth Gyorgy]

2012.11.16. 15:58 keltezéssel, Kosa Attila írta:
>> De ha a tuzfal altal a kliens fele mutatott tanusitvanyban nem az a cn van,
>> amit a kliens megszolitott, akkor hiaba megbizhato az alairo CA, a kliens
>> akkor is sipakolni fog miatta.
>
> De meg lehet neki mondani, hogy kivetelkent kezelje le a dolgot,
> es onnantol kezdve nem problemazik. Kiveve a gmail esetet. Egesz
> pontosan az accounts.google.com az, ami nem megy.

Mostanában volt egy-két, root CA-t érintő incidens, a google pedig
bekeményített. (ezek szerint az FF is) Nem fogod tudni kikerülni.

--
Friczy

[Mezei Zoltan]

2012/11/16 Kosa Attila <zs...@kosaek.hu>:

>> Amikor Chrome-mal belefutottam hajszálpontosan ugyanebbe a hibába,

> Es hogy oldottad meg?

A chrome-nak indításkor van egy --hsts-hosts kapcsolója, annak lehet
átadni paraméterben a Zorp-od CA-jának a hash-ét egy hülye JSON
formátumban. Innen nem férek hozzá a pontos konfighoz, google-özz rá.

>> akkor a Firefox-ban még nem volt benne ez a feature, de tervezték
>> bevezetni. Nem tudom, hogy most hogy állnak vele.

> A 12 meg mukodik, a 16 mar nem. Koztes verziokrol nincs
> informaciom.

Nem vagyok benne biztos, hogy a certificate pinning miatt nem működik
firefox alól.

[Mezei Zoltan]

2012/11/16 Kosa Attila <zs...@kosaek.hu>:

>> >> akkor a Firefox-ban még nem volt benne ez a feature, de tervezték
>> >> bevezetni. Nem tudom, hogy most hogy állnak vele.
>> > A 12 meg mukodik, a 16 mar nem. Koztes verziokrol nincs
>> > informaciom.
>> Nem vagyok benne biztos, hogy a certificate pinning miatt nem működik
>> firefox alól.

> De akkor mi miatt nem akar az accounts.google.com eseten? Mert az
> otpbank.hu peldaul mukodik...

Nem tudom. A Chrome-ot elég jól ismerem belülről is, a Firefoxot meg
még annyira sem, mint az IE-t :-)

[KORN Andras]

On Fri, Nov 16, 2012 at 03:38:52PM +0100, Mezei Zoltan wrote:

> > De ha a tuzfal altal a kliens fele mutatott tanusitvanyban nem az a cn van,
> > amit a kliens megszolitott, akkor hiaba megbizhato az alairo CA, a kliens
> > akkor is sipakolni fog miatta.
>
> Igen, de ez a sipákolás csak egy warning, amit le lehet okézni,
> ellenben Zsiga nem warningot kap, hanem nem működik neki. Nézd meg a
> levelemet (és éljenek a böngészőgyártók, hogy újabban CA-t is akarnak

Meg tegnap megirtam, hogy a bedrotozott tanusitvanyok miatt nem megy.

A fenti nem az eredeti kerdesre valasz, hanem azt magyarazza, miert nem
elegendo, ha a tuzfal CA-jaban megbiznak a kliensek.

Guy

--
Andras Korn <korn at elan.rulez.org>

A winchester feje indexel, amikor savot valt?

[Mezei Zoltan]

2012/11/16 Kosa Attila <zs...@kosaek.hu>:

>> A chrome-nak indításkor van egy --hsts-hosts kapcsolója, annak lehet
>> átadni paraméterben a Zorp-od CA-jának a hash-ét egy hülye JSON
>> formátumban. Innen nem férek hozzá a pontos konfighoz, google-özz rá.

> Igen, ilyesmirol kuldott Guy linket.

Most nézem, már van ilyen:

chrome://net-internals/#hsts

Weben szerkesztgetheted a dolgokat. Chrome Version 23.0.1271.64 m-ben
biztosan megy (azom van), a többit nem tudom.

[KORN Andras]

On Fri, Nov 16, 2012 at 04:22:44PM +0100, Kosa Attila wrote:

> > Szerintem nem jó dolog a usereket rászoktatni arra, hogy ez az üzenet
> > nem komolyan veendő.
>
> Megertettek, hogy ez van.

Ettol viszont meg nem jo, ha egy ilyen marhasag beidegzodesse valik.

Guy

--
Andras Korn <korn at elan.rulez.org>

The worst thing about censorship is <CENSORED>.

[Kosa Attila]

On Fri, Nov 16, 2012 at 04:37:28PM +0100, Mezei Zoltan wrote:
> 2012/11/16 Kosa Attila <zs...@kosaek.hu>:
> >> A chrome-nak indításkor van egy --hsts-hosts kapcsolója, annak lehet
> >> átadni paraméterben a Zorp-od CA-jának a hash-ét egy hülye JSON
> >> formátumban. Innen nem férek hozzá a pontos konfighoz, google-özz rá.
> > Igen, ilyesmirol kuldott Guy linket.
>
> Most nézem, már van ilyen:
>
> chrome://net-internals/#hsts
>
> Weben szerkesztgetheted a dolgokat. Chrome Version 23.0.1271.64 m-ben
> biztosan megy (azom van), a többit nem tudom.

Na, ezt majd jol megkukkolom hetfon, koszi :)

--
Udvozlettel
Zsiga

[KORN Andras]

On Fri, Nov 16, 2012 at 04:19:04PM +0100, Mezei Zoltan wrote:

> >> Amikor Chrome-mal belefutottam hajszálpontosan ugyanebbe a hibába,
> > Es hogy oldottad meg?
>
> A chrome-nak indításkor van egy --hsts-hosts kapcsolója, annak lehet
> átadni paraméterben a Zorp-od CA-jának a hash-ét egy hülye JSON
> formátumban. Innen nem férek hozzá a pontos konfighoz, google-özz rá.

Korabbi levelembol:

http://c0decstuff.blogspot.hu/2011/07/fiddling-with-chromiums-new-certificate.html

Guy

--
Andras Korn <korn at elan.rulez.org>

Do witches run spell checkers?

[KORN Andras]

On Fri, Nov 16, 2012 at 04:40:13PM +0100, Kosa Attila wrote:

> > > > De ha a tuzfal altal a kliens fele mutatott tanusitvanyban nem az a cn van,
> > > > amit a kliens megszolitott, akkor hiaba megbizhato az alairo CA, a kliens
> > > > akkor is sipakolni fog miatta.
> > >
> > > Igen, de ez a sipákolás csak egy warning, amit le lehet okézni,
> > > ellenben Zsiga nem warningot kap, hanem nem működik neki. Nézd meg a
> > > levelemet (és éljenek a böngészőgyártók, hogy újabban CA-t is akarnak
> >
> > Meg tegnap megirtam, hogy a bedrotozott tanusitvanyok miatt nem megy.
>

> A chrome. A firefox eseten is ugyanaz a problema?

Valoszinu.

> > A fenti nem az eredeti kerdesre valasz, hanem azt magyarazza, miert nem
> > elegendo, ha a tuzfal CA-jaban megbiznak a kliensek.
>

> A tuzfal ellenorzi a webszerver tanusitvanyat, a kliensek pedig
> csak a tuzfal tanusitvanyat latjak, ezert masban nem tudnak
> megbizni. Keybridging eseten ugy mukodik, hogy a tuzfal ellenorzi
> a webszerver tanusitvanyat, majd "ropteben" general egy olyan

Tudom, hogy mukodik. :)

Guy

--
Andras Korn <korn at elan.rulez.org>

All computers wait at the same speed.

[Kosa Attila]

On Fri, Nov 16, 2012 at 05:09:57PM +0100, KORN Andras wrote:
> On Fri, Nov 16, 2012 at 04:40:13PM +0100, Kosa Attila wrote:
>
> > A tuzfal ellenorzi a webszerver tanusitvanyat, a kliensek pedig
> > csak a tuzfal tanusitvanyat latjak, ezert masban nem tudnak
> > megbizni. Keybridging eseten ugy mukodik, hogy a tuzfal ellenorzi
> > a webszerver tanusitvanyat, majd "ropteben" general egy olyan
>
> Tudom, hogy mukodik. :)

Elhiszem, de en a hogyant irtam le :)))

--
Udvozlettel
Zsiga

[KORN Andras]

On Fri, Nov 16, 2012 at 04:20:12PM +0100, Kosa Attila wrote:

> > > Ilyenkor eltunodom azon, hogy milyen vallalati halozat az, ahol
> > > egy sima user bongeszoje kimaszkalhat a netre nevfeloldasert.
> >
> > Ha nem tud kimenni, nem fogja beszüntetni a működését. FYI kiscégeknél
> > simán előfordulhat, és bármily meglepő, egy böngészőt nem csak cégek
> > használnak.
>

> Jo, hogy nem csak cegek hasznaljak. De az olyan feature-ok, mint
> peldaul a ca-k beegetese, a ceges hasznalatot nem akadalyozza?
> Vagy nem szamit a ceges "piac", csak az otthoni userek?

A ceges hasznalatot nem akadalyozza, csak a ceges user maganszferajat vedi
(adott esetben a ceggel szemben).

Guy

--
Andras Korn <korn at elan.rulez.org>

"De azota megkomolyodtam, es most mar tudom, hogy ez vicces. -- elan"

[Szládovics Péter]

2012-11-16 15:38 keltezéssel, Mezei Zoltan írta:
> 2012/11/16 KORN Andras <ko...@linuxflame.elan.rulez.org>:
>> De ha a tuzfal altal a kliens fele mutatott tanusitvanyban nem az a cn van,
>> amit a kliens megszolitott, akkor hiaba megbizhato az alairo CA, a kliens
>> akkor is sipakolni fog miatta.
> Igen, de ez a sipákolás csak egy warning, amit le lehet okézni,
> ellenben Zsiga nem warningot kap, hanem nem működik neki. Nézd meg a
> levelemet (és éljenek a böngészőgyártók, hogy újabban CA-t is akarnak
> játszani).
> --
> Zizi
>
> "...nálatok a cégnél múltból nagyon sok van..."

Úgy érted, dögöljenek meg, hogy védelmet akarnak a MITM ellen?

[Nemeth Gyorgy]

2012-11-16 16:22 keltezéssel, Kosa Attila írta:

> Egyszer. Ha akkor megmondod neki, hogy kivetelkent kezelje a
> dolgot, onnantol nem szol.

Vagyis minden https oldalt kivételként be kell állítani. Nem jó megoldás.

>
>> Szerintem nem jó dolog a usereket rászoktatni arra, hogy ez az üzenet
>> nem komolyan veendő.
>
> Megertettek, hogy ez van.

Aztán rászoknak máshol is. Rossz beidegződéshez vezet.

--
--- Friczy ---
'Death is not a bug, it's a feature'

[Kosa Attila]

On Mon, Nov 19, 2012 at 10:54:02AM +0100, Szládovics Péter wrote:
>
> Ez nem igaz (ebben a formában).

Es en nem ertem azt, amit te irsz :)

> Te azt mondtad, hogy ha a CA trusted, ne reklamáljon.

Nem azt mondtam, hogy "ne reklamaljon", hanem azt, hogy nem
reklamal. Erzed-e a kulonbseget?

> Én meg azt, hogy csupán ez nem elég, mert a tanúsítvány lehet lejárt,
> vagy a CN ill. az alternate name lehet más, mint az url, és hiába
> trusted a CA, emiatt reklamálni fog. Tehát a CA trusted-dé tétele
> önmagában nem elég. Te ezt vitatod most.

Nincs min vitatkozni, mert en latom azt, amit te elkepzelni sem
tudsz :) Konkret peldaval: a www.otpbank.hu atdob egy https-es
oldalra. Elso alkalommal azt mondod az ie-nek, hogy kivetel, es a
kovetkezo alkalommal nem fog szolni egy arva szot sem. Ha
megnezed a bongeszoben, hogy milyen certet lat, akkor a tuzfal
nevere kiallitott certet fogod latni, nem az otpbank certjet. Es
ezen probalhatsz vitatkozni, meg ezt-azt allitani, de nincs
ertelme, mert ugy van, ahogy leirtam.

--
Udvozlettel
Zsiga

[SZALAI Karoly]

On Mon, Nov 19, 2012 at 11:01:33AM +0100, Kosa Attila wrote:
> Nincs min vitatkozni, mert en latom azt, amit te elkepzelni sem
> tudsz :) Konkret peldaval: a www.otpbank.hu atdob egy https-es
> oldalra. Elso alkalommal azt mondod az ie-nek, hogy kivetel, es a

ilyenkor ha hazamegyek, es megnezem az otp-t, fog sipolni, hogy
nem az firewallos cert van? ha nem, akkor eleg gaz igy hasznalni,
leven egyszer leokezom, onnantol pedig barki beszopathat :)
--
CZW

[Kosa Attila]

On Mon, Nov 19, 2012 at 11:16:32AM +0100, SZALAI Karoly wrote:
> On Mon, Nov 19, 2012 at 11:01:33AM +0100, Kosa Attila wrote:
> > Nincs min vitatkozni, mert en latom azt, amit te elkepzelni sem
> > tudsz :) Konkret peldaval: a www.otpbank.hu atdob egy https-es
> > oldalra. Elso alkalommal azt mondod az ie-nek, hogy kivetel, es a
>
> ilyenkor ha hazamegyek, es megnezem az otp-t, fog sipolni, hogy
> nem az firewallos cert van? ha nem, akkor eleg gaz igy hasznalni,
> leven egyszer leokezom, onnantol pedig barki beszopathat :)

Asztali gepek vannak, azokat nem viszik haza :) De feltetelezem,
hogy igen, szolnia kellene a bongeszonek, hogy nem az a cert van,
amit eddig "megszokott".

--
Udvozlettel
Zsiga