(...)Tak myślisz? To spytaj Cezarego ilu miał klienci czasu wprowadzenia ssl'a ,)(...)
To nie SSL napędza ruch w sklepie Przez wiele lat istnienia sklepu (do rozpoczęcia tego wątku) uwagę na brak SSL zwrócił mi jeden gość (nie kupujący tylko gość), który na dodatek bardzo mi w mailu naubliżał. Musiałem ochłonąć po lekturze jego wypocin i wtedy zainstalować certyfikat, ale chłonąłem dłużej niż planowałem, a później zapomniałem. Ot, uroki prowadzenia własnej firmy. _________________ Cezary sp7ukl (ex sp2ukl) Sklep dla krótkofalowców: https://www.HamRadioShop.pl Autoryzowany dystrybutor Nagoya, AnyTone, Baofeng, Zastone, Wouxun, TYT ---------------- "Alea iacta est"
(...)Tak myślisz? To spytaj Cezarego ilu miał klienci czasu wprowadzenia ssl'a ,)(...)
To nie SSL napędza ruch w sklepie
Absolutnie! Ale nie napędzanie miałem na myśli. Jedynie potrzebowałem wykazać, że bardzo dużo ludzi nie ma nawet pojęcia, że połączenie można (ani czy warto) szyfrować. I w ogóle na to nie zwracają uwagi.
_________________ Paweł sierrapapaninepapaalphazulu
Absolutnie! Ale nie napędzanie miałem na myśli. Jedynie potrzebowałem wykazać, że bardzo dużo ludzi nie ma nawet pojęcia, że połączenie można (ani czy warto) szyfrować. I w ogóle na to nie zwracają uwagi.
Z tym poglądem nie dyskutuję, bo jestem jego świadomy. Ale też robimy np pogadanki dla zwykłych ludzi, gdzie prostymi słowami mówimy jak w Internecie nie wdepnąć w gówno:
"Niekoniecznie bezpieczny Internet Czy korzystając na co dzień z Internetu zwracasz uwagę na to, którędy, czy bezpiecznie i w jaki sposób Twoje dane docierają do usługi z której korzystasz? Często korzystasz z publicznych hot-spotów? A może masz "jedno hasło, by wszystkimi rządzić"? Higiena korzystania z sieci jest równie ważna, jeśli nie ważniejsza od higieny osobistej. Spróbujemy ten temat wam nieco przybliżyć" _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y".
Ale Google pewnie chociaż odrobinę, a Google pozycjonuje wyżej strony SSL, co powinno się przełożyć na hajs.
sp7ukl pisze:
Przez wiele lat istnienia sklepu (do rozpoczęcia tego wątku) uwagę na brak SSL zwrócił mi jeden gość (nie kupujący tylko gość), który na dodatek bardzo mi w mailu naubliżał.
Hmm nie czytasz tego pola, które w mailu z potwierdzeniem nazywa się "Notatka klienta:" ? ponieważ ja zgłaszałem przy zakupie właśnie w tym polu, i to nie jeden raz. Zawsze bez reakcji. (Teraz Cezary szuka w SQLu kto to ten djbpm )
sq6ade pisze:
Zaliczam się do tych 99% lamusów . Choć z neta korzystam od czasów PR 1200bps , łącza TEPSY na modemie na isozaura 14400bps, sieci kabli koncentrycznych 10MHz w IASE , korzystałem z Netscapenavigator i Acrobat Reader w wersjach 1 , 2 to nigdy nikt mnie nie wyruch*ł w necie. I nigdy nie sprawdzałem żadnych ssl , kłódek w adresie i innych takich a sporo kupiłem w sieci
Masz farta. Chodzi o możliwość podsłuchu, przechwycenia hasła do logowania (które może gdzieś jeszcze pasować, np do głównego maila, którym można resetować hasła do innych serwisów). Ze 20 lat temu bawiłem się snifferem w sieci. Wówczas sieci były jeszcze na hubach, a SSL prawie nie istniał. Tak łatwo wpadały loginy i hasła do kolekcji, że to było nieprawdopodobne. Teraz hubów nie ma. Ale skąd wiesz, czy pomiędzy Twoim komputerem, a stroną bez SSL nie ma czegoś, co kolekcjonuje loginy, hasła, ciastka i kto wie co jeszcze? Warto ryzykować?
(...)Tak myślisz? To spytaj Cezarego ilu miał klienci czasu wprowadzenia ssl'a ,)(...)
To nie SSL napędza ruch w sklepie
Absolutnie! Ale nie napędzanie miałem na myśli. Jedynie potrzebowałem wykazać, że bardzo dużo ludzi nie ma nawet pojęcia, że połączenie można (ani czy warto) szyfrować. I w ogóle na to nie zwracają uwagi.
[/quote]
Niedługo zaczną na to zwracać uwagę, bo producenci przeglądarek się porozumieli i będą wyświetlać krzykliwe ostrzeżenia, być może nawet blokować strony bez ssl. Na razie google już domyślnie blokuje uprawnienia aplikacjom korzystającym z serwisów bez ssl, a stronom obniża ranking w wyszukiwarce. IOS apkom całkiem zablokował gołe http. Niedługo trend rozszerzy się na przeglądarki mobilne. Poza tym już teraz niektóre funkcje JS są blokowane w przeglądarkach lub utrudnia się ich użycie (np brak podpowiadania haseł na stronach bez ssl). Celem jest wymuszenie ssl. Kto się nie dostosuje po prostu wypadnie z obiegu i będzie funkcjonował gdzieś na marginesie internetu dla garstki użytkowników.
Edit: no jakbym nie kombinował to nie potrafię poprawić cytowania. _________________ SP7VLS Krzysztof
...Ze 20 lat temu bawiłem się snifferem w sieci. Wówczas sieci były jeszcze na hubach, a SSL prawie nie istniał. Tak łatwo wpadały loginy i hasła do kolekcji, że to było nieprawdopodobne. Teraz hubów nie ma. Ale skąd wiesz, czy pomiędzy Twoim komputerem, a stroną bez SSL nie ma czegoś, co kolekcjonuje loginy, hasła, ciastka i kto wie co jeszcze? Warto ryzykować?
Jak masz fizyczny dostep do kabla lub dowolnego węzła po drodze to zważywszy na tą właśnie cechę "99%" i te tanie i nic nie gwarantujące certy DV sprawa wygląda jeszcze gorzej bo przeglądarki www domyślnie ufają tak wielu urzędom CA że nie odróżnisz certyfikatu wystawionego dla hackera od tego dla przeciętnego serwera. Stąd uśpiona czujność usera i atak MITM (Man in the Middle) dalej są możliwe.
Albo jesteśmy globalnie tak nieudolni albo komuś na tym zależy by popsuć zaufanie oparte na matematycznej zależności. Jaki bowiem kłopot w tym by cyfrowym dowodem osobistym którego integralność gwarantuje państwo podpisać wniosek na wystawienie certyfikatu dla serwera w domenie, za którą zapłaciła firma, której pełnomocnikiem jest również osoba o ustalonej cyfrowo tożsamości. Certyfikat taki ma gwarancję autentyczności do puki tego łańcucha nikt nie przerwie (np poprzez skompromitowanie któregoś z kluczy). Certyfikaty dla iluś tam domen klientowi za free w ramach obsługi firmowego konta mogłyby potwierdzać banki, które też korzystałyby z certyfikacji wyższego urzędu. Legalnie działająca firma nie musi ukrywać tożsamości właściciela domeny a ta mogłaby być gwarantowana jak wyżej. Większy problem będzie tylko z utrzymaniem bezpieczeństwa samego serwera i jego kluczy prywatnych.
Gdyby nie niska świadomość i te 99% to nie musielibyśmy powierzać zaufania dostawcom przeglądarek, w których jest już tyle domyślnie wpisanych urzędów certyfikacji że potencjalny atakujący ba szerokie pole do wyboru gdzie wygenerować sobie nowy cert.
Dlatego nie uważam by w tym konkretnym przypadku darmowe systemy wystawiające certy komu popadnie przyczyniały się do poprawy bezpieczeństwa.
...Ze 20 lat temu bawiłem się snifferem w sieci. Wówczas sieci były jeszcze na hubach, a SSL prawie nie istniał. Tak łatwo wpadały loginy i hasła do kolekcji, że to było nieprawdopodobne. Teraz hubów nie ma. Ale skąd wiesz, czy pomiędzy Twoim komputerem, a stroną bez SSL nie ma czegoś, co kolekcjonuje loginy, hasła, ciastka i kto wie co jeszcze? Warto ryzykować?
Jak masz fizyczny dostep do kabla lub dowolnego węzła po drodze to zważywszy na tą właśnie cechę "99%" i te tanie i nic nie gwarantujące certy DV sprawa wygląda jeszcze gorzej bo przeglądarki www domyślnie ufają tak wielu urzędom CA że nie odróżnisz certyfikatu wystawionego dla hackera od tego dla przeciętnego serwera.
Możesz opisać wektor ataku? Zainteresowałeś mnie... Szczególnie tym które to CA są takie słabe... _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y".
Klient widzi kłódkę certyfikatu pochodzącego od urzędu więc nic nie budzi jego spokoju przecież uczyli go że kłódka musi być , CA które wydało certyfikat nie zna prawdziwej tożsamości wnioskującego bo tego nie sprawdza innym sposobem niż tylko dostępnym z automatu w necie. Takie CA wybierają atakujący. Dalej już klasycznie domena podobna do oryginału, zatruty DNS po stronie klienta, lub wręcz sztywny wpis w localhost. i ruch może iść przez MITM i zrobić z nim można wszystko jak się odszyfruje a potem zaszyfruje certem orginalnego serwera. To raczej nie jest żaden nowy wektor ataku, z technicznego punktu widzenia, chodzi tylko o to, że łatwość uzyskania certyfikatu uznawanego za atrybut bezpieczeństwa dostępna jest też atakującym. Jeśli by dostać certyfikat trzeba zapłacić, okazać się dokumentami z KRS itp, to trudniej zrobić to na fałszywej tożsamości. Ggyby atakujący musiał do wygenerowania certyfikatu posługiwać się własną tożsamością pewnie miałby znacznie trudniej. Drugim 'winowajcą' są autorzy przeglądarek i systemów operacyjnych - kto decyduje i jakimi kryteriami się kieruje w uznawaniu CA za "domyślne zaufane". Wyczyść ten magazyn i zobacz po paru dniach surfowania ilu CA musisz zaufać (manualnie) za każdym razem zapoznaj się z polityką certyfikacji danego CA i oceń czy zaufasz tożsamościom zweryfikowanym na podstawie tych polityk.
Czyli zupełnie nie rozumiesz jak to działa. cert dla dowolnej domeny wystawi Ci nawet najbardziej zaufane CA. ŻADNE CA nie sprawdza jak to nazywasz "prawdziwej tożsamości" w przypadku wydawania certyfikatów DV. Więc bez żadnego problemu dowolne, nawet najbardziej zaufane CA podpisze Ci certyfikat np. dla domeny sp7pki.lq24.pl.
Poza tym piszesz o "niezaufanych CA" - pokaz mi takie. Producenci przeglądarek nie maja żadnego problemu w tym, żeby CA co do których sa jakiekolwiek wątpliwości z nich usunąć. Nawet jeśli jest to duża i znana firma jak pokazano ostatnio na przykładzie Symanteca. To co piszesz śmierdzi mi nieco teoria spiskową.
Edit: No i nie zapominaj do czego służą certyfikaty DV. _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y".
Rozumiem i nie popieram ,). pamiętam czasy w których każdy certyfikat był OV a nie DV oraz czasy w których by zarejestrować domenę trzeba było potwierdzić prawa do niej innym kanałem niż Internet. Dało się, było upierdliwe, ale stopień zaufania był jednak wyższy.
Nie chce dalej dyskutować w tym tonie w przywłaszczonym wątku Tym bardziej że "poczucie bezpieczeństwa" to tylko miara świadomości i każdy może mieć inną. Ty próbujesz zachęcać innych do "swojej miary" a ja przedstawiam inny pogląd.
Dla mnie certy DV są OK wyłącznie dla witryn "Read Only". Jeśli za pośrednictwem witryny mam swoje chronione dane powierzyć komukolwiek (sklep, kurier, bank, urząd) to oczekuję porządnego certyfikatu OV z gwarancją finansową i możliwością dochodzenia swoich praw w przypadku nadużyć bezpieczeństwa.
Dalej już klasycznie domena podobna do oryginału, zatruty DNS po stronie klienta, lub wręcz sztywny wpis w localhost. i ruch może iść przez MITM i zrobić z nim można wszystko jak się odszyfruje a potem zaszyfruje certem orginalnego serwera.
Musiałby najpierw podmienić DNS dla CA. One nie weryfikują tożsamości wnioskującego, ale weryfikują czy wnioskujący ma faktyczny dostęp do domeny. Nie dostaniesz certyfikatu na cudzą domenę, więc podmiana dnsów u odbiorcy nic ci nie da. Certyfikaty DV zabezpieczają właśnie przed tego typu atakami. Po to są. Czyli dokładnie odwrotnie niż piszesz. _________________ SP7VLS Krzysztof
oczywiście "nie dostaniesz certu na domenę, której nie kontrolujesz" ale sprawdzenie można realizować na różne sposoby. Są CA które wymagają spełnienia minimum 2 z 3 warunków a są takie którym wystarczy 1. Jeśli możesz pozostać 'niewykrytym anonimowym' a cert uzyskasz to takie CA jest "gorsze" od CA, które sprawdza wnikliwiej albo podlega przepisom czy to obowiązującym w kraju w z którego oferuje swe usługi czy to z uwagi na podlegającą zatwierdzaniu 'politykę certyfikacji'. Niestety jak dotąd certy SSL nie maja charakteru i ścieżki walidacji jak certyfikaty kwalifikowane.
W tym wątku pojawiło się kilka różnych kwestii. Bezsporna jest wyższość SSL nad jego brakiem. Bezsporna jest zgodność certyfikatu z domeną dla której został wystawiony. Pozostaje jedynie dyskusyjny "umowny i uznaniowy stopień zaufania" i te wady po stronie usera pod akronimem "99%" Dziś zamiast uczyć i wyjaśniać różnice zbyt często słyszymy - to jest bezpieczne (nawet wtedy gdy znamy sposoby i sytuacje, w których mogło by nie być bezpieczne).
mam takie pytanie koledzy jak bym chciał na Allegro Lokalnym wystawić radio do sprzedaży (pisze ze wystawienie darmowe i na czas nieograniczony) radio wystawił bym icoma za 3500zł jaką marze pobiorą,moze ktos przeliczyć,bo na dawnym było 6% i chyba już nie można jak nie ma firmy tam wystawiac zwykłemu człowiekowi . Takie cos znalazłem,czyli od sumy 3500zł: albo 350zł lub pisze,że nie więcej niż 50zł ??
Jeśli ustawisz opcję kup teraz to musisz im oddać 10% wartości transakcji - ale jeśli ta wartość przekroczy 50 PLN to oddajesz 50PLN Ogłoszenie lokalne będzie bezpłatne, ale zdaje się, że będzie widoczne jedynie w Twojej okolicy. Licytacja podobnie jak kup teraz, ale oddajesz za tyle, za ile produkt zostanie zlicytowany.
Jeśli ustawisz opcję kup teraz to musisz im oddać 10% wartości transakcji - ale jeśli ta wartość przekroczy 50 PLN to oddajesz 50PLN Ogłoszenie lokalne będzie bezpłatne, ale zdaje się, że będzie widoczne jedynie w Twojej okolicy. Licytacja podobnie jak kup teraz, ale oddajesz za tyle, za ile produkt zostanie zlicytowany.
widoczne tylko w mojej okolicy,to znaczy ze do 50km a jeśli ktoś na południu czy na północy będzie,to nie znajdzie moje ogłoszenia.
tego nie wiedzą chyba nawet w allegro _________________ Cezary sp7ukl (ex sp2ukl) Sklep dla krótkofalowców: https://www.HamRadioShop.pl Autoryzowany dystrybutor Nagoya, AnyTone, Baofeng, Zastone, Wouxun, TYT ---------------- "Alea iacta est"
oczywiście "nie dostaniesz certu na domenę, której nie kontrolujesz" ale sprawdzenie można realizować na różne sposoby. Są CA które wymagają spełnienia minimum 2 z 3 warunków a są takie którym wystarczy 1. Jeśli możesz pozostać 'niewykrytym anonimowym' a cert uzyskasz to takie CA jest "gorsze" od CA, które sprawdza wnikliwiej albo podlega przepisom czy to obowiązującym w kraju w z którego oferuje swe usługi czy to z uwagi na podlegającą zatwierdzaniu 'politykę certyfikacji'. Niestety jak dotąd certy SSL nie maja charakteru i ścieżki walidacji jak certyfikaty kwalifikowane.
W tym wątku pojawiło się kilka różnych kwestii. Bezsporna jest wyższość SSL nad jego brakiem. Bezsporna jest zgodność certyfikatu z domeną dla której został wystawiony. Pozostaje jedynie dyskusyjny "umowny i uznaniowy stopień zaufania" i te wady po stronie usera pod akronimem "99%" Dziś zamiast uczyć i wyjaśniać różnice zbyt często słyszymy - to jest bezpieczne (nawet wtedy gdy znamy sposoby i sytuacje, w których mogło by nie być bezpieczne).
Warte poczytania: https://www.troyhunt.com/extended-validation-certificates-are-dead/ _________________ "Prezydium zapoznało się z wnioskiem Marka SP9UO, w którym domaga się podjęcia przez Prezydium działań przeciwko osobom szkalującym PZK, a szczególnie przeciwko członkom organizacji. Takie działania będą podjęte po zasięgnięciu opinii prawnej."
To mówiłem ja, "unlis i ukrywający coś, wstydzący się swojego znaku, człowiek z ulicy, losowa osoba z internetu, element, ignorant i darmozjad, anonimowy pirat, konfident, donosiciel, do d**y".
Dzięki za linka pokazuje też dobitnie "uznaniowość zaufania" i grę dostawców kto wie może właśnie zainteresowanie w sektorze bankowym blockchainem nie wynika li tylko z zagrożenia jakie przyniósł Bitcoin ale może też z 'degradacji zaufania' do PKI - (oczywiście nie w znaczeniu tego forum czy klubu z siódmego okręgu tylko "Public Key Infrastructure" ). Jedno zdanie z wyrwane z tekstu :
But hey, if you can't even spell warranty, what are the chances of actually understanding what it does?!
Czy te nowe cenniki dla sprzedawców już działają ? W piątek robiłem duże zakupy na alle i ceny bez zmian (kupuję ten sam asortyment u tych samych sprzedawców). _________________ Wiosna się budzi w całej naturze Witana rzewnym słowików pieniem, W zielonym gaju, ponad strumieniem, Kwitną prześliczne dwie róże.
FILMY VIDEO 
)
