Forum » Informacijska varnost » POSTArCA prevzem potrdila
POSTArCA prevzem potrdila
techfreak :) ::
Zelo mi je vsec proces za prevzem kvalificiranega digitalnega potrdila s strani POSTArCA.
Na email dobis obvestilo o prevzemu (za katerega sem moral 2x pogledati ce je sploh legit), kjer imas link do strani kjer lahko prevzames potrdilo ter referencno stevilko (avtorizacijsko kodo pa posljejo preko navadne poste) ... ker odpiranje linkov iz mailov se nikoli ni bilo del phishinga in podobno, ane?
Drugi sok pa clovek dozivi ob obisku linka, ko ga pricaka naslednja stran:
Sicer ni nic narobe s certifikati, ki niso podpisani s strani potrjenih ustanov, vsaj pri uporabi znotraj podjetja ali za lastne potrebe (ker lahko ali namestis root certifikat na vse odjemalce, ali pa primerjas certifikata), se vseeno pa bi pricakoval precej vec od podjetja, ki izdaja certifikate za eDavke, spletne banke in podobne zadeve.
Tukaj poleg MITM napada vidim se tezavo da se uporabnika uci naj ignorira ta obvestila.
(omenil bi se bogato podporo brskalnikov, saj podpirajo tako IE kot FF)
Na email dobis obvestilo o prevzemu (za katerega sem moral 2x pogledati ce je sploh legit), kjer imas link do strani kjer lahko prevzames potrdilo ter referencno stevilko (avtorizacijsko kodo pa posljejo preko navadne poste) ... ker odpiranje linkov iz mailov se nikoli ni bilo del phishinga in podobno, ane?
Drugi sok pa clovek dozivi ob obisku linka, ko ga pricaka naslednja stran:
Sicer ni nic narobe s certifikati, ki niso podpisani s strani potrjenih ustanov, vsaj pri uporabi znotraj podjetja ali za lastne potrebe (ker lahko ali namestis root certifikat na vse odjemalce, ali pa primerjas certifikata), se vseeno pa bi pricakoval precej vec od podjetja, ki izdaja certifikate za eDavke, spletne banke in podobne zadeve.
Tukaj poleg MITM napada vidim se tezavo da se uporabnika uci naj ignorira ta obvestila.
(omenil bi se bogato podporo brskalnikov, saj podpirajo tako IE kot FF)
Ribič ::
Se povsem strinjam! Imel sem podobne težave pri dostopu na spletno banko Sparkasse Netstik, kjer je bilo za dostop potrebno prevzeti digitalno potrdilo na splenti strani postar-ca. Ko pa odpreš link za prevzem pa... glejga no... ta povezava ni varna in da ustvarim varno povezavo je zopet potrebno namestiti nov certifikat tokrat korensko potrdilo in še to preko nezaščitene oz. nevarne povezave... Mislim no totalna zmeda in kaos.
jukoz ::
Hehe, ti rajši poglej komu vse po defaultu zaupaš (hint: vsem ki so plačali da jih Chrome/FF/IE doda not).
Sicer nimam certa od pošte, ampak sem prepričan da si med drugim tudi na papirju dobil natiskane SHA in MD5 ključe in lahko preveriš ali so pravi. Prepričan sem tudi to, da piše da pred prevzemom preveri ali so res pravi.
Sicer nimam certa od pošte, ampak sem prepričan da si med drugim tudi na papirju dobil natiskane SHA in MD5 ključe in lahko preveriš ali so pravi. Prepričan sem tudi to, da piše da pred prevzemom preveri ali so res pravi.
techfreak :) ::
Nisem se dobil po posti, bomo videli.
Tudi ce bi certifikat prevzel po povezavi, ki uporablja cert podpisan s strani veljavne ustanove lahko se vseeno primerjas fingerprinte certifikata in povezava ne bi bila nic manj varna.
Tudi ce bi certifikat prevzel po povezavi, ki uporablja cert podpisan s strani veljavne ustanove lahko se vseeno primerjas fingerprinte certifikata in povezava ne bi bila nic manj varna.
Ribič ::
Hehe, ti rajši poglej komu vse po defaultu zaupaš (hint: vsem ki so plačali da jih Chrome/FF/IE doda not).
Sicer nimam certa od pošte, ampak sem prepričan da si med drugim tudi na papirju dobil natiskane SHA in MD5 ključe in lahko preveriš ali so pravi. Prepričan sem tudi to, da piše da pred prevzemom preveri ali so res pravi.
Jaz na svojem pismu nisem dobil, če se pa prav spomnim, sem pa zato klical gor in jih povprašal o tem korenskem certifikatu, pa mi tisti tip na drugi strani slušalke ni znal najbolje razložiti. Tako, da sem mu moral jaz dopovedati kaj in kako, da je nazadnje le našel SHA1 tega certifikata in mi ga prebral prek telefona.
lp
jukoz ::
Ma ja, a resno ne pošljejo SHA1 natiskanega? A ne pošljejo ene kode po pošti?
Sicer pa ja, nimam poštarce in ne poznam. Mi je pa čudno da bi bili tako šlampasti.
Vem da je bil NLB šlampast in so zamenjali cert, na njihovi spletni strani je bil pa še star SHA =)
Sicer pa ja, nimam poštarce in ne poznam. Mi je pa čudno da bi bili tako šlampasti.
Vem da je bil NLB šlampast in so zamenjali cert, na njihovi spletni strani je bil pa še star SHA =)
Gapi ::
Kako se vam ljubi plačevat 5€ za certifikat, če pa dobiš od sigen-ca zastonj. Vem prvo leto vam ga plača banka. Potem ga morate plačevat sami. Tako je bilo pri Abanki.
No person is rich enough,to buy back his past.
...:TOMI:... ::
Za abnako in za sparkasse lahko uporabite sigenca. Ne vem, kaj se se silite z uporabo postarce.
Tomi
fosil ::
Kakor mi je znano pri vseh bankah kjer dela poštarca dela tudi sigenca.
Ampak večina ljudi verjetno niti ne ve, da lahko sigenco dobijo zastonj.
Poleg tega si jo moraš zrihtat sam, pri poštarci ti pa vse uredijo na banki.
Za slo-techovce je tako nepoznavanje seveda neopravičljivo
Ampak večina ljudi verjetno niti ne ve, da lahko sigenco dobijo zastonj.
Poleg tega si jo moraš zrihtat sam, pri poštarci ti pa vse uredijo na banki.
Za slo-techovce je tako nepoznavanje seveda neopravičljivo
Tako je!
Zgodovina sprememb…
- spremenil: fosil ()
cegu ::
Tole je res štala, se strinjam. Kako naj uporabnik ve, kdo mu sporoča da nekaj ni varno?
Jaz sem si certifikat z zasebnim ključem zašifriral v DES, ga dal v QR kodo, sprintal, QR kodo prerezal na pol, vsak del dal na svoje mesto; tako da ga lahko dobim, če ga potrebujem.
Simpl ko pasul, lahko bi za ljudske certifikate naredili nekaj podobnega.
(Če kdo hoče Android app za tole, PM :) )
Jaz sem si certifikat z zasebnim ključem zašifriral v DES, ga dal v QR kodo, sprintal, QR kodo prerezal na pol, vsak del dal na svoje mesto; tako da ga lahko dobim, če ga potrebujem.
Simpl ko pasul, lahko bi za ljudske certifikate naredili nekaj podobnega.
(Če kdo hoče Android app za tole, PM :) )
techfreak :) ::
Kodo preko poste sem dobil, vendar ni bilo nobenega hasha v pismu, samo URL za prevzem ter koda. Sicer je prevzem tako failal, preko supporta pa sem dosegel da naslednji teden dobim novo kodo. 
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Prevzem certifikata sigenca v WIN 10 (strani: 1 2 )Oddelek: Informacijska varnost | 19713 (16278) | MrStein |
| » | Varnost spletnih bank - enkratna geslaOddelek: Informacijska varnost | 6876 (5028) | seba-beba |
| » | Sigen-ca za strežnikOddelek: Informacijska varnost | 4532 (3862) | Tomas 33 |
| » | Prevzem digitalnega potrdila KDP - težaveOddelek: Omrežja in internet | 4425 (4322) | fosil |
| » | netstik in sparkasseOddelek: Loža | 7979 (4129) | 5er--> |