» »

Pornhub s HTTPS protokolom nad požrešne ISP-je

Pornhub s HTTPS protokolom nad požrešne ISP-je

engadget - Ameriški ISP-ji bodo kmalu lahko prodajali zgodovino internetnega brskanja. Vse več podjetij se zato odloča, da bodo sami poskrbeli, da podatki njihovih uporabnikov ne bodo na prodaj.
Preskok na HTTPS enkripcijo je bil za veliko spletnih strani dober korak. A strani z vsebinami za odrasle niso bile med prvimi, ki so se odločili za to potezo. Ta teden pa je Pornhub sporočil, da lahko vsi brezskrbno brskajo po najbolj bizarnih kotičkih njihove strani brez skrbi. S podporo HTTPS-ja so poskrbeli, da bodo podatki o obnašanju posameznikov na Pornhubu ostali kar se da anonimni in skriti pred velikimi korporacijami. Kmalu za Pornhubom so se za isto potezo odločilil tudi pri YouPornu . Prav Pornhub in YouPorn sta dve od enajstih spletnih strani z vsebino za odrasle, ki so se znašli na Googlovem seznamu stotih najbolj obiskanih spletnih strani.

HTTPS uporablja enkripcijo, ki zagotavlja varno povezavo med brskalnikom in serverjem. Nima te moči, da bi posameznika naredila nevidnega na internetu, a zakrije ves promet, ki se zgodi znotraj glavne domene spletne strani. Hkrati tudi pospeši nalaganje spletne strani, onemogoča prikazovanje sumljivih oglasov in varuje pred določeniim virusi.

ISP-ji bodo vedeli, če bo kdo obiskal Pornhub, a bo ostalo samo pri tej informaciji. Ne bodo imeli vpogleda v brskanje po sami spletni strani in v naravo vsebine, ki jo konzumirajo Pornhubovi obiskovalci. HTTPS protokol ni popoln, a vso "umazano" brskanje in ogledi najrazličnejših posnetkov bodo ostali skrivnost.

“S tovrstnim protokolom internetne komunikacije ne zagotavljamo le varnost naši platformi, ampak tudi našim uporabikom,” je povedal Corey Price, podpredsednik Pornhuba. Dodal je še, da si želijo, da bi se “vsi uporabniki počutili varno in bili zaščiteni medtem, ko uživajo v več kot petih milijonih posnetkov.”

58 komentarjev

«
1
2

mtosev ::

nisem vedo, da je https tak uporaben.

sem pred časom enega znanca opozoril, da imeti forum na http ni varno naj gre na https pa je ignoriral zadevo
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

neooo ::

tako bo kot vedno, ljudje se bomo s pomocjo tehnologije znasli :)

konspirator ::

Ni panike, w10 poskrbi, da vsaj MS in s tem ostale 3 črkovne agencije vedo, kaj gledate.
Isp-ji so ta vlak zamudili.
--

Zgodovina sprememb…

Glugy ::

To je res. To ti nič ne pomaga če je pa Windows sam po seb že tako odprt za razne dežurne vohljače

Ales ::

HTTPS ... pospeši nalaganje spletne strani, onemogoča prikazovanje sumljivih oglasov in varuje pred določeniim virusi.

A bejš?

Najbrž zdravi tudi ledvice zraven.

Nisem čisto prepričan, kaj je namen povzemanja tega "članka". Razumem, da Pornhub izkoristi nek debilni poskus zakonodaje za promocijo, četudi pri tem uporablja kup polresnic kot reklamo, ni mi pa jasno, zakaj take debilizme potem povzema Slo-tech.

Kot satiro..? Ne..?

techfreak :) ::

HTTP/2 je oz. bo implementiran v vseh brskalnikov samo prek HTTPS povezav, tako da vsaj glede hitrejsega nalaganja se niso motili. Preprecuje tudi MITM (ce ne dovolimo sprejema nepotrjenih certifikatov), kar pomaga proti dolocenemu malware-u, ki se zanasa na vsiljevanje kode v samo vsebino spletnih strani (npr. pri vprasljivih VPN ponudnikih).

SeMiNeSanja ::

techfreak :) je izjavil:

HTTP/2 je oz. bo implementiran v vseh brskalnikov samo prek HTTPS povezav, tako da vsaj glede hitrejsega nalaganja se niso motili. Preprecuje tudi MITM (ce ne dovolimo sprejema nepotrjenih certifikatov), kar pomaga proti dolocenemu malware-u, ki se zanasa na vsiljevanje kode v samo vsebino spletnih strani (npr. pri vprasljivih VPN ponudnikih).

Pa ravno certifikat od VPN ponudnika bo eden prvih 'nepreverjenih', ki jih boš potrdil. Pa imaš šmoren.....?

Zgodovina sprememb…

Lonsarg ::

Nekaj je sprejeti VPN certifikat, da se ne more nek drug VPN izdajat za tvojega, to NIMA nobene veze z sprejemanjem certifikatov v tvojem brskalniku.

Če pa misliš dat od VPNja certifikat v brskalnik kot root pa raje ne uporabljaj računalnika sploh. Lih glavni point HTTSPja je, da si varen ne glede na to kako sumljiv medij uporabljaš za komunikacijo (kar VPN dostikrat je).

Zgodovina sprememb…

  • spremenil: Lonsarg ()

M.B. ::

HTTPS je hitrejši od HTTP, če se uporablja HTTP2, ki ga je edino preko HTTPS uporabljat. Test.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

Horejšio ::

Privzeti iskalnik programerjev Ne no :)

SeMiNeSanja ::

Lonsarg je izjavil:

Nekaj je sprejeti VPN certifikat, da se ne more nek drug VPN izdajat za tvojega, to NIMA nobene veze z sprejemanjem certifikatov v tvojem brskalniku.

Če pa misliš dat od VPNja certifikat v brskalnik kot root pa raje ne uporabljaj računalnika sploh. Lih glavni point HTTSPja je, da si varen ne glede na to kako sumljiv medij uporabljaš za komunikacijo (kar VPN dostikrat je).

Še vse sorte drugih neumnosti počno uporabniki, ko nestrpno nabijajo po Yes, Yes, Yes v želji, da se jim čim prej prikaže tisto, do česar so želeli dostopati.

Potem pa imaš še tiste, ki bodo ponujali brezplačni VPN, če boš namestil njihov certifikat kot root cert. Eni bi za 1€ 'prihranka' še lastno mater prodali, ne pa namestili en root certifikat. Sploh če jim lepo razložiš, da certifikati služijo varnosti.....

Horejšio ::

Če razumejo da ključa ne smeš delit, je kar OK. Move on.

no comment ::

;) še vedno vedo, da si na pornhubu.

in ker se skrivaš za https potem je jasno, da gledaš posilstva mladoletnic. verjetno pa še kaj hujšega...

SeMiNeSanja ::

Horejšio je izjavil:

Če razumejo da ključa ne smeš delit, je kar OK. Move on.

Tipičen uporabnik nima pojma, kaj je certifikat. Z vseh strani jim vtepavajo v glavo, da so dobri za varnost, da si morajo namestiti certifikat od banke, sigenca, sigovca,....

In potem naj navaden uporabnik posumi, da je lahko tudi kaj slabega, če namesti certifikat nekega ponudnika VPN storitev ali svojega ISP-ja? Kot da ločijo, da le obstaja neka razlika med enimi in drugimi certifikati.

čuhalev ::

M.B. je izjavil:

HTTPS je hitrejši od HTTP, če se uporablja HTTP2, ki ga je edino preko HTTPS uporabljat.


Zanimivo ... kje je skrivnost? TLS doda čas obdelave podatkov. Morda zgolj ne gledajo prometa. ;)

HTTP2 stiska zaglavja, ampak a ni neko varnostno priporočilo, da se podatkov naj ne bi stiskalo pred šifriranjem?

Zgodovina sprememb…

  • spremenil: čuhalev ()

Horejšio ::

SeMiNeSanja je izjavil:

Horejšio je izjavil:

Če razumejo da ključa ne smeš delit, je kar OK. Move on.

Tipičen uporabnik nima pojma, kaj je certifikat. Z vseh strani jim vtepavajo v glavo, da so dobri za varnost, da si morajo namestiti certifikat od banke, sigenca, sigovca,....

In potem naj navaden uporabnik posumi, da je lahko tudi kaj slabega, če namesti certifikat nekega ponudnika VPN storitev ali svojega ISP-ja? Kot da ločijo, da le obstaja neka razlika med enimi in drugimi certifikati.


Verjetno ves odgovor. V browswer so že vgrajeni ta lepi certifikati o zaupanju. Niso pa vsi ;)

Geho ::

Double click and grab your d**k for p0rn p0rn p0rn... :)

Horejšio ::

Sicer pa je res majstr na tem področju Mittai-

petrus ::

>Ameriški ISP-ji bodo kmalu lahko prodajali zgodovino internetnega brskanja.

To ne drži, ker predlagani zakoni, katere je Trump zavrnil, niso nikoli bili veljavni, situacija ostaja kot je, lahko prodajajo, oziroma ne prodajajo, isto kot prej!
Podpisana Senate Joint Resolution 34 enostavno ne potrdi Federal Register 87274 predlog (Dec 2. 2016) in prepreči FCCju podobne poizkuse v prihodnosti.

Kaj res nihče teh stvari ne bere ali kaj? Nič se ne bo dovolilo kot tudi noben obstoječ zakon o varstvu podatkov ne bo nehal veljat, ne bo pa novih.
stati inu obstati

ExtraBacon ::

Bravo PornHub! Tudi z vidika informacijske varnosti ne verjamem, da je v sloveniji organizacija, ki je bolj varna od PornHuba. PornHub namreč izplačuje bogate nagrade za najdene varnostne ranljivosti: https://hackerone.com/pornhub

Horejšio ::

Ko si nastavite pornhub za privzeto readon :) Ima kdo slabe izkusnje s private VPN ? Oziroma imamo seznam zanesljivih ?

konspirator ::

--

Zgodovina sprememb…

ExtraBacon ::

Eh, zakaj bi kdo pri nas uporabljal HTTPS, če ga ne uporablja niti urad za varovanje tajnih podatkov. Sej te MITM napadi so itak overrated, no. http://nsaforums.uvtp.gov.si/login/inde...

In other news, oni bodo zdej ustanovil kiber vojsko.

Ales ::

techfreak :) je izjavil:

HTTP/2 je oz. bo implementiran v vseh brskalnikov samo prek HTTPS povezav, tako da vsaj glede hitrejsega nalaganja se niso motili.

No, če stran uporablja HTTP/2, bo prenos hitrejši zaradi HTTP/2 in ne zaradi same HTTPS povezave.

To je približno tako, kot bi rekel, da je desni pas avtoceste hitrejši od levega, ker po desnem slučajno trenutno vozi hitrejši avto, kot po levem. Ampak avtocesta niti nima veze v tem primeru, fora je v avtu.

Če že, potem pri večini HTTPS povezav v tem trenutku le-ta pomeni majhen dodaten overhead in upočasnitev povezave (četudi daleč manjšo, kot ljudje ponavadi mislijo). Implementacija HTTP/2 na strani spletnih strežnikov je pa v tem trenutku žal še precej omejena. Kje smo trenutno, nekje na 10-15%?

Preprecuje tudi MITM (ce ne dovolimo sprejema nepotrjenih certifikatov), kar pomaga proti dolocenemu malware-u, ki se zanasa na vsiljevanje kode v samo vsebino spletnih strani (npr. pri vprasljivih VPN ponudnikih).

Ok, priznam, drži. Pri tej vrsti malwarea in MITM seveda pomaga.

Ampak ton celega članka je daleč preveč bombastičen za moje pojme, tudi kar se tega tiče.

sandi203 ::

VSEBINSKE PRIPOMBE:
"Ameriški ISP-ji bodo kmalu lahko prodajali zgodovino internetnega brskanja. Vse več podjetij se zato odloča, da bodo sami poskrbeli, da podatki njihovih uporabnikov ne bodo na prodaj."


V primeru pornhub.com in youporn.com to nima nikakršne povezave, ker odločanje za https za tako ogromno spletno stran (milijoni ogledov), ne moreš narediti v nekaj dneh od kar je predlog zakona v medijih. Prenod na takšni strani traja vsaj pol leta, če ne že več. Po moje je prej vzrok tega, ker so brskalniki začeli javljati, da http (v povezavi s prijavo) ni varna, na primer tole: https://developer.mozilla.org/en-US/doc... Od uporabnikov pa resnično ne želiš, da ob prijavljanju na spletno stran, da jim javlja "INSECURE", še zlasti kasneje, ko je potrebno vnesti kreditno kartico.

"Kmalu za Pornhubom so se za isto potezo odločilil tudi pri YouPornu."

Pornhub in Youporn (RedTube itd) imajo vsi istega lastnika, ki se je pred meseci odločil, da bo vse spletne strani postavil na https. Torej ne gre za neko večjo novico, da sta kar dve spletni strani prešli na https.

"Nima te moči, da bi posameznika naredila nevidnega na internetu, a zakrije ves promet, ki se zgodi znotraj glavne domene spletne strani."

Zakaj "glavne"? Intenetni ponudniki lahko vidijo ime domene (torej www.pornhub.com), kdaj je uporabnik obiskoval, kako dolgo je na strani in če bi imel zelo veliko bazo pri sebi in statistično analizo posnetkov (količino prenesenih podatkov, čas klikanja itd), bi z določeno stopnjo ugibanja vedeli tudi, kakšno vsebino gleda uporabnik (to bi seveda bilo precej drago glede na izplen in za naše ISP ni bojazni, nimajo toliko denarja).

"Hkrati tudi pospeši nalaganje spletne strani".

Verjetno zaradi http/2 protocola, ki je podprt le znotraj https. Vendar če preverimo, vidimo, da tako pornhub.com kot youporn.com ne uporabljata http/2. Tako da je ta izjava na trhlih temeljih. Tako se zgodi, če samo prepisuješ članek, brez preverjanj napisanega.

"onemogoča prikazovanje sumljivih oglasov in varuje pred določeniim virusi."

Tole je verjetno mišljeno, da se priključiš na dvomljiv javni Wifi, kjer ponudnik brezplačnega Wifi vriva v spletne strani in posreduje oglase, lahko tudi viruse. Bistveno je, da https zagotavlja konsistenstnost podatov, torej to kar je spletni strežnik poslal, je brskalnik tudi prikazal in tako ni ničesar kar bi nekdo podtaknil.


ŠE KOTIČEK ZA SLOVENSKI JEZIK:
"ISP-ji bodo vedeli, če bo kdo obiskal Pornhub, a bo ostalo samo pri tej informaciji. Ne bodo imeli vpogleda v brskanje po sami spletni strani in v naravo vsebine, ki jo konzumirajo Pornhubovi obiskovalci."

ISP - ponudniki dostopa do interneta
konzumirajo - dobesedno bi bilo "zaužijejo", "bolje pa bi bilo si jo ogledujejo obiskovalci."

"S tovrstnim protokolom internetne komunikacije ne zagotavljamo le varnost naši platformi"

Platformi? To je pogosto slabo razumljena beseda. Platforma pomeni "CPU + programje zanj". Bolje bi bilo, prevesti "varnost strežniškemu okolju".

"HTTPS uporablja enkripcijo, ki zagotavlja varno povezavo med brskalnikom in serverjem".

enkripcija - šifriranje
serverjem - strežnikom

Looooooka ::

No ne pretiravaj.
Z nobeno analizo ne bos ugotovil kaj gleda.
Ce nisi nekako dobil dovolj veliko procesorsko moc, da lahko v resnicnem casu razbijas enkripcijo 2048 bitnih certifikatov ali pa nekako izvedel MITM napada brez, da bi kdo to opazil, ne bos videl nicesar.
Https ne zagotavlja nobene varnosti na stezniskem okolju.
Zagotavlja zgolj varno povezavo med klientom in stteznikom. Streznik je se zmeraj ranljiv na vse zlorabe napak, na katere bi bil ranljiv tudi brez tega.
Prehod na https traja pol leta ce si nesposoben ali pa ce imas besposobne partnerje, ki uporabljajo tvoje storitve in ne znajo klientov(karkoli klice tvoj streznik je klient) spraviti na https ti pa si pogodbeno vezan in obenem dovolj neumen, da https-ja ne omogocis opcijsko. S tem takoj zavarujes vse ostale.
Edini drug razlog je lahko samo se to, da nimas denarja, da bi pokril dodatno porabo procesorske moci, ki bi bila ob httpsju pac vecja. Pornografske strani in ostali velikani ta denar imajo, majhne pa nimajo dovolj prometa, da bi bila razlika v porabi opazna. Torej ta izgovor ze stoji na zelo majavih nogah.

Zgodovina sprememb…

Looooooka ::

Lansko leto sem kupil nek lifetime vpn bundle po smesno nizki ceni.
Danesnpovsod vidim reklame za podobne pakete ostalih ponudnikov za nekajkrat cenejso ceno.
Ameriki bo uspelo nemogoce. Dvigniti uporabo VPN-ja do te mere, da bo na VPNju vec civilistov kot teroristov. Bravo. Kapo dol.

RejZoR ::

Hm, pa HTTPS ISP-ju prepreči resolvanje URL-jev al zgolj samo vsebino prenosa?

Ker če ISP še vedno vidi, da greš na podstran https://pronhub.com/nagebabe/nagebabe.m... pol ti enkripcija ne pomaga kej dost ne, če še vedno vidijo, da si šel na dan URL naslov. Sicer ne morejo vidit v samem prometu kaj je vsebina, ampak ti to ne pomaga kej dost...
Angry Sheep Blog @ www.rejzor.com

konspirator ::

Samo prenos je zakodiran, isp še vedno vidi, kaj obiskuješ (url).
Https v zgornjem primeru nima ravno nekega vpliva na varnost ali zasebnost.

Namesti si wireshark (WS), pojdi na gledat nekaj na https://www.youtube.com ter poglej, kaj se vidi v WS.
--

Zgodovina sprememb…

techfreak :) ::

ISP ne vidi URLja, temvec samo domene na katere se povezujes, ker jih mora resolvati na DNS strezniku (ponavadi se uporablja DNS od ISPja + DNS promet ni sifriran), ter pri zacetku TLS handshake-a zaradi Server Name Indication @ Wikipedia.

sandi203 ::

Looooooka je izjavil:

No ne pretiravaj.
Z nobeno analizo ne bos ugotovil kaj gleda.

Pred nekaj dnevi je bil objavljen članek, da so na osnovi statistične analize izbrali 100 youtube video in potem so naključen obisk strani statistično ovrednostili z čez 90% zanesljivosti, kateri video je uporabnik gledal. To seveda gre za laboratorijske akademske raziskave, vendar nekdo z dovolj globoko denarnico, ima možnost. Kot pa sem napisal pri naših ISP to ni nobene bojazni, ker nimajo dovolj denarja.

Looooooka je izjavil:

Ce nisi nekako dobil dovolj veliko procesorsko moc, da lahko v resnicnem casu razbijas enkripcijo 2048 bitnih certifikatov ali pa nekako izvedel MITM napada brez, da bi kdo to opazil, ne bos videl nicesar.

Nisem mislil na razbijanje šifriranja, ampak zgolj na statistično analizo prometnih podatkov. Recimo precej poenostavljen primer. Recimo, da ima medijska spletna stran dve novici. Ena novica je dolga za 10 strani, druga je zelo kratka pol strani. HTTPS šifrira podatke, vendar če narediš statistično analizo, boš s količine prenesenih podatkov z zelo veliko verjetnostjo lahko sklepal, katero izmed teh dveh strani je uporabnik gledal. Seveda se strinjam s tabo, da je to do velike mere "pretiravanje", ker bi potem moral ISP imeti veliko količino shranjenih podatkov in potem še vire, da bi takšne podatke statistično obdeloval. Bi pa morda bila zainteresirana kakšna "služba", ki bi targetirala le določene strani itd. Za pornhub in youporn je preprosto preveč podatkov, da bi si to učinkovito lahko privoščil. Prevelik denarni vložek za izplen.

Looooooka je izjavil:


Prehod na https traja pol leta ce si nesposoben ali pa ce imas besposobne partnerje

Pri velikih straneh je cel kup stvari, ki jih potrebno paziti. Predvsem so zelo znani oglaševalci (oglasi, ki se sučejo na straneh), ki slabo ali pa sploh ne podpirajo https. Torej ali ponudnik oglasov naredi upgrade na https ali pa je potrebno zamenjati oglaševalca, kar pomeni spremembe na spletni strani sami in potencialno še upad prihodkov. Potem je potrebno testiranje, da iskalci strani (Google itd) lepo naredijo spremembe, ker drobna takšna napaka lahko stane veliko oglaševalskega denarja.

RejZoR ::

techfreak :) je izjavil:

ISP ne vidi URLja, temvec samo domene na katere se povezujes, ker jih mora resolvati na DNS strezniku (ponavadi se uporablja DNS od ISPja + DNS promet ni sifriran), ter pri zacetku TLS handshake-a zaradi Server Name Indication @ Wikipedia.


Nisem nikol imel možnosti prečekirat kako gre resolvanje takih strani, al se vseeno vidijo URL-ji naprej od glavnega ali ne in sem sklepal, da se URL-ji vidijo, samo da je dejanski promet prenosa kriptiran. Kar bi bilo v primeru npr nakupa s kreditno dovolj, saj bi se videlo kje si kupoval ampak ne bi mogu noben prestrežt dejanske avtentikacije in podatkov kartice. Če je tko da s ena ISP strani vidi samo matično stran in ničesar dlje, pol pa ima smisel ja.
Angry Sheep Blog @ www.rejzor.com

Zgodovina sprememb…

  • spremenil: RejZoR ()

konspirator ::

Se popravljam, isp lahko vidi glavno stran, kaj gledaš potem ne vidi.


https://www.teamupturn.com/reports/2016...
Pozor na DNS querije.
--

Zgodovina sprememb…

sandi203 ::

konspirator je izjavil:

Samo prenos je zakodiran, isp še vedno vidi, kaj obiskuješ (url).
Https v zgornjem primeru nima ravno nekega vpliva na varnost ali zasebnost.

ISP lahko vidi domeno torej www.pornhub.com, ne vidi pa ostalega dela naslova, npr. če je URL: https://www.pornhub.com/perverzna_stran...
potem bo ISP lahko videl le, da je uporabnik gledal stran na strežniku www.pornhub.com, ne pa da je obiskal "perverzna_stran_ki_jo_ne_želim_da_jo_drugi_vidijo.html".
Zakaj:
1. Najprej se med spletnim strežnikom in brskalnikom vzpostavi SSL/TLS povezava, za to je potrebna domena www.pornhub.com (ta podatek lahko vidi ISP).
2. Ko se šifrirana povezava vzpostavi, se prične izvajati HTTP protokol. Torej brskalnik izvede ukaz: "GET perverzna_stran_ki_jo_ne_želim_da_jo_drugi_vidijo.html" ta ukaz je poslal preko šifrirane povezave.

Drugače pa je mogoče podatek o domeni npr. www.pornhub.com dobiti tudi preko DNS strežnika, ki ga uporabnik najpogosteje (privzeto) uporablja od ISP-ja.

Če bi želeli anonimonost:
1. VPN - v tem primeru ISP ne vidi, da gledamo www.pornhub.com, vidi pa VPN ponudnik
2. anonimizirana omrežja - prepočasno delovanje, da bi bilo mogoče normalno gledati video posnetke

RejZoR ::

Se pravi če uporbaljaš npr OpenDNS, pol ni problem tud glede DNS resolvanja, kar pomeni, da sam ISP dejansko po tem ne vidi ničesar.
Angry Sheep Blog @ www.rejzor.com

sandi203 ::

RejZoR je izjavil:

Se pravi če uporbaljaš npr OpenDNS, pol ni problem tud glede DNS resolvanja, kar pomeni, da sam ISP dejansko po tem ne vidi ničesar.

ISP lahko vidi:
1. ISP lahko vidi domeno, ki jo je resolval na DNS strežniku - temu se da izogniti, če uporabljaš kakšen zunanji DNS npr. google dns 8.8.8.8 ali podobno.
2. Vendar pod 1 še ne bo rešilo težave, da ISP ne bo videl, kaj obiskuješ. Ker brskalnik mora poslati zahtevo, da želiš komunicirati z www.pornhub.com - ta inforamcija pa potuje preko ISP-ja.

Kot sem omenil zgoraj rešitev je: vpn ali anonimizirana omrežja s svojimi težavami.

techfreak :) ::

sandi203 je izjavil:

2. anonimizirana omrežja - prepočasno delovanje, da bi bilo mogoče normalno gledati video posnetke
Problem teh omrezij je latency, ne pa sama hitrost. Strani in slike na njih ti bo sicer pocasi nalagalo, ampak s samim streamom ne bi smelo biti tezav.

krho ::

Kaj ti koristi https, če folk namešča vso golazen od antivirusnih programov, kateri ti potem izvajajo MITM.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

techfreak :) ::

To je pa potem vprasanje koliko zaupas AV programu (in ce smo realni tudi ostalim zadevam, ki tecejo na odjemalcu, vkljucno s samim OSom).

krho ::

Problem je, če imaš fat client app. Kjer je potem edina rešitev `curl_setopt(handler, CURLOPT_SSL_VERIFYPEER, false);`
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net

SeMiNeSanja ::

sandi203 je izjavil:

RejZoR je izjavil:

Se pravi če uporbaljaš npr OpenDNS, pol ni problem tud glede DNS resolvanja, kar pomeni, da sam ISP dejansko po tem ne vidi ničesar.

ISP lahko vidi:
1. ISP lahko vidi domeno, ki jo je resolval na DNS strežniku - temu se da izogniti, če uporabljaš kakšen zunanji DNS npr. google dns 8.8.8.8 ali podobno.
2. Vendar pod 1 še ne bo rešilo težave, da ISP ne bo videl, kaj obiskuješ. Ker brskalnik mora poslati zahtevo, da želiš komunicirati z www.pornhub.com - ta inforamcija pa potuje preko ISP-ja.

Kot sem omenil zgoraj rešitev je: vpn ali anonimizirana omrežja s svojimi težavami.

Če ima ISP v uporabi transparenten DNS proxy, potem bo videl tudi vse query-je, ki jih preko njega pošlješ na bilokateri dns strežnik.

DNS je ravno ena od stvari, na katere so včasih opozarjali pri TOR projektu, da te lahko izda, kaj počneš, če ne gre tudi DNS preko tunela.

Pri 'corporate userju' pa itak že delodajalec lahko vse te podatke prestreže. Tako sem si recimo zadnjič pomagal pri tuhtanju, kaj vraga mi počne ena IoT igračka, da sem preprosto vklopil debug logiranje na DNS proxiju in točno videl, katere strežnike igračka 'ogovarja'. Seveda bi lahko uporabil tudi wireshark....

Bistvo je, da DNS promet ni kriptiran. To omogoča vpogled vanj. Omogoča pa tudi manipulacije, ker nikjer nimaš zagotovila, da je odgovor dejansko poslal strežnik na 8.8.8.8 in da ga ni nihče vmes malo 'popravil'. Tega se je treba zavedati zlasti na kakšnih javnih WiFi-jih, na katere se tako radi priklapljamo. Če imaš smolo, te bo hudobnež poslal popolnoma drugam, kot si imel namen iti.

jype ::

Lonsarg ::

SeMiNeSanja je izjavil:


Bistvo je, da DNS promet ni kriptiran. To omogoča vpogled vanj. Omogoča pa tudi manipulacije, ker nikjer nimaš zagotovila, da je odgovor dejansko poslal strežnik na 8.8.8.8 in da ga ni nihče vmes malo 'popravil'. Tega se je treba zavedati zlasti na kakšnih javnih WiFi-jih, na katere se tako radi priklapljamo. Če imaš smolo, te bo hudobnež poslal popolnoma drugam, kot si imel namen iti.

Glede manipulacije imaš prav, edino kriptirani DNS pomaga, in na tem se dela z DNSCrypt, čeprav pozno in počasi.

Glede anonimnosti pa tudi to ne, ISP bo še vedno videl IPje na katere greš, kar je "skoraj" enako kot videti domeno. Tu pa razen anonimizacijskega omrežja alternative ni.

RejZoR ::

krho je izjavil:

Kaj ti koristi https, če folk namešča vso golazen od antivirusnih programov, kateri ti potem izvajajo MITM.


Folk preveč zganja paniko okoli tega. Eno je MITM izven tvojega sistema in eno znotraj. Dejstvo pa je, da moraš izvajat skneiranje HTTPS prometa, drugače nisi naredil nič. Imajo pa AV-ji vsaj v primeru avast!-a privzeto vključeno whitelisto strani kjer prometa ne skenira, predvsem gre to za banke in znane varne storitve ala socialna omrežja itd.
Angry Sheep Blog @ www.rejzor.com

techfreak :) ::

krho je izjavil:

Problem je, če imaš fat client app. Kjer je potem edina rešitev `curl_setopt(handler, CURLOPT_SSL_VERIFYPEER, false);`
Izklop preverjanja ni nikoli resitev. V idealnem svetu bi uporabnik/administrator moral poskrbeti da je CA certifikat dodan na ravni OSa, drugace pa omogocis dovoljevanje izjem, kjer mora uporabnik vsak tak certifikat odobriti.

MrStein ::

RejZoR je izjavil:

krho je izjavil:

Kaj ti koristi https, če folk namešča vso golazen od antivirusnih programov, kateri ti potem izvajajo MITM.


Folk preveč zganja paniko okoli tega. Eno je MITM izven tvojega sistema in eno znotraj. Dejstvo pa je, da moraš izvajat skneiranje HTTPS prometa, drugače nisi naredil nič. Imajo pa AV-ji vsaj v primeru avast!-a privzeto vključeno whitelisto strani kjer prometa ne skenira, predvsem gre to za banke in znane varne storitve ala socialna omrežja itd.

in kako ta whitelista pomaga? Moč za MITM že ima. Game over.
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

techfreak :) ::

Realno gledano ima AV ze tako dostop do vsega na tvojem racunalniku, tako da je MITM malenkost. Ce mu ne zaupas delati MITM, potem mu tudi ne mores dovoliti da tece na tvojem racunalniku.

čuhalev ::

Ne pozabimo, da si je tipičnen človek sposoben naložiti razne AV, ki to niso. Mene kar glava boli

krho ::

techfreak :) je izjavil:

krho je izjavil:

Problem je, če imaš fat client app. Kjer je potem edina rešitev `curl_setopt(handler, CURLOPT_SSL_VERIFYPEER, false);`
Izklop preverjanja ni nikoli resitev. V idealnem svetu bi uporabnik/administrator moral poskrbeti da je CA certifikat dodan na ravni OSa, drugace pa omogocis dovoljevanje izjem, kjer mora uporabnik vsak tak certifikat odobriti.

It is, če uprabiš curl + openssl in moraš podpirat stare OSe in hočeš uporabit kakšen recent SSL. Drugače ne moreš do windows store certov, torej s programom shippaš svoj seznam.
si.Mail odprto-kodni odjemalec elektronske pošte. - http://www.simail.si
Uredite si svojo zbirko filmov, serij in iger - http://xcollect.sf.net
«
1
2


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo

Xvideos in porno spl. strani

Oddelek: Loža
205165 (4221) zee
»

V TLS odkrita 19 let stara ranljivost

Oddelek: Novice / Varnost
2912997 (10587) SeMiNeSanja
»

Pornhub s HTTPS protokolom nad požrešne ISP-je (strani: 1 2 )

Oddelek: Novice / Zasebnost
5822093 (10750) M.B.
»

Britanska vlada od ponudnikov spletne pornografije zahteva, da tudi dejansko preverij

Oddelek: Novice / NWO
4618645 (15834) CooDy

Več podobnih tem