Jump to content

SUBIECTE NOI
« 1 / 5 »
RSS
Suprataxa card energie?!

Cum era nivelul de trai cam din a...

probleme cu ochelarii

Impozite pe proprietati de anul v...
 teava rezistenta panou apa calda

Acces in Curte din Drum National

Sub mobila de bucatarie si sub fr...

Rezultat RMN
 Numar circuite IPAT si prindere t...

Pareri brgimportchina.ro - teapa ...

Lucruri inaintea vremurilor lor

Discuții despre TVR Sport HD.
 Cost abonament clinica privata

Tremura toata, dar nu de la ro...

Renault Android

Recomandare bicicleta e-bike 20&#...
 

La ce e bun SSL?

- - - - -
  • Please log in to reply
18 replies to this topic

#1
paulicaFX

paulicaFX

    Member

  • Grup: Members
  • Posts: 792
  • Înscris: 08.08.2011
La ce mai e util sa folosesti un certificat de securitate, daca poti folosi programe care asculta requesturile, si decripteaza?

Care sunt beneficile in a folosi HTTPS in loc de HTTP?

Edited by paulicaFX, 11 October 2015 - 12:13.


#2
mmm3

mmm3

    Senior Member

  • Grup: Senior Members
  • Posts: 3,766
  • Înscris: 14.09.2015
HTTP e fara Secure. Plain-Text.
Totul e decriptabil. Asta nu inseamna ca nu mai trebuie encriptat nimic, ba din contra, sa fie encriptat si mai bine.

Edited by mmm3, 11 October 2015 - 12:19.


#3
f300

f300

    30k si ma duc

  • Grup: Senior Members
  • Posts: 30,000
  • Înscris: 27.09.2008

View PostpaulicaFX, on 11 octombrie 2015 - 12:13, said:

La ce mai e util sa folosesti un certificat de securitate, daca poti folosi programe care asculta requesturile, si decripteaza?

Nu, nu poti. Vreau sa spun ca atacator normal, ca vrei sa prinzi pe wifi-ul de la hotel parola de facebook a vecinului.

#4
paulicaFX

paulicaFX

    Member

  • Grup: Members
  • Posts: 792
  • Înscris: 08.08.2011

View Postmmm3, on 11 octombrie 2015 - 12:17, said:

HTTP e fara Secure. Plain-Text.
Totul e decriptabil. Asta nu inseamna ca nu mai trebuie encriptat nimic, ba din contra, sa fie encriptat si mai bine.


Pai cu Fiddler poti decripta un request HTTPS...

Edited by paulicaFX, 11 October 2015 - 12:21.


#5
mihaitzar

mihaitzar

    Member

  • Grup: Members
  • Posts: 724
  • Înscris: 29.05.2004
Nu poti sa decriptezi HTTPS daca folosesti program care asculta requesturile... Iti trebuie cheia care e pe server.

#6
tigerheart

tigerheart

    Savage Member

  • Grup: Senior Members
  • Posts: 9,815
  • Înscris: 07.08.2008
Uite aici niste avantaje si dezavantaje: https://www.sslshopp...rtificates.html

#7
bobo323

bobo323

    Active Member

  • Grup: Members
  • Posts: 1,681
  • Înscris: 12.06.2015
E bun SSL atunci cand ai un site unde se comercializeaza ceva, securizeaza platile.

#8
banculescu

banculescu

    Member

  • Grup: Members
  • Posts: 901
  • Înscris: 04.10.2014

View Postmmm3, on 11 octombrie 2015 - 12:17, said:

HTTP e fara Secure. Plain-Text.
Totul e decriptabil. Asta nu inseamna ca nu mai trebuie encriptat nimic, ba din contra, sa fie encriptat si mai bine.
nu e bine sa se encripteze tot; deoarece consuma resurse si multe cereri si pagini nu necesita encriptare. de ce se encriptez pagina cu termeni si conditii de la un site; altfel se pune problema la o pagina de autentificare;

in plus certificatele costa.

#9
moldoveanca2001

moldoveanca2001

    Member

  • Grup: Members
  • Posts: 589
  • Înscris: 27.03.2015
Buna paulicaFX,

probabil ca stiti deja ca mesajele transmise de calculatorul dvs catre pagina web si invers sunt criptate folosind o anumite cheie.
Ceea ce cred eu ca va este neclar este metoda prin care acea cheie este ascunsa altor entitati care pot vedea acele mesaje, de exemplu compania care va ofera serviciile de Internet, sau persoana care ofera acces WI-FI.

La stabilirea conexiunii, pagina web va trimite o cheie publica calculatorului dvs., iar calculatorul dvs. va genera o cheie secreta pe care o va cripta folosind cheia publica. Pana aici si cheia publica si cheia secreta criptata sunt accesibile oricui din retea. Dar cheia secreta necriptata este cunoscuta doar de calculatorul dvs., si nu poate fi decriptata decat de o cheie privata pe care doar pagina web o detine.
Dupa ce pagina web decripteaza cheia secreta toate datele transmise in continuare vor fi criptate folosind acea cheie, iar ele nu vor putea fi vizualizate in formatul lor initial decat dupa decriptarea lor cu cheia secreta necriptata.

Ati inteles?

Pe scurt, X spune lui Y sa ii trimita un secret pe care sa il cripteze cu o anume cheie, pentru ca X sa il poata decripta mai tarziu cu alta cheie pe care doar X o cunoaste

Edited by moldoveanca2001, 11 October 2015 - 13:29.


#10
banculescu

banculescu

    Member

  • Grup: Members
  • Posts: 901
  • Înscris: 04.10.2014

View Posttigerheart, on 11 octombrie 2015 - 12:22, said:

Uite aici niste avantaje si dezavantaje: https://www.sslshopp...rtificates.html

acum ti-am citi linkul; exact ce spuneam si eu, dar in engleza si mai detaliat;

recomand tuturor sa -l citeasca, chiar daca il stiu; au fost multe raspunsuri, dar nici unul asa la obiect.

#11
f300

f300

    30k si ma duc

  • Grup: Senior Members
  • Posts: 30,000
  • Înscris: 27.09.2008

View Postbanculescu, on 11 octombrie 2015 - 13:00, said:

nu e bine sa se encripteze tot; deoarece consuma resurse si multe cereri si pagini nu necesita encriptare. de ce se encriptez pagina cu termeni si conditii de la un site; altfel se pune problema la o pagina de autentificare;

"multe resurse" ?!?!?!?! Google encripteaza default pina si pagina principala de cautare "google.com" si nu se pling nici macar utilizatorii de mobile entry-level (si la Android de fiecare data cind bagi ceva, indiferent ca-s doua cuvinte sau un url tot prin google trece, encriptat).

Este absolut ok sa encriptezi tot. Daca nu encriptezi (de exemplu) pagina cu T&C un atacator (de exemplu) de pe wifi iti poate servi absolut orice pagina. Poate sa iti serveasca bine-mersi un buton de "next" care sa duca tot la el pe server, pe http, unde sa-ti bagi login si pass pe o pagina pe care nu o poti deosebi de cea originala (ma refer inclusiv la URL, totul o sa para ok).

#12
MarianG

MarianG

    be that as it may

  • Grup: Moderators
  • Posts: 31,383
  • Înscris: 10.08.2005

View PostpaulicaFX, on 11 octombrie 2015 - 12:13, said:

La ce mai e util sa folosesti un certificat de securitate, daca poti folosi programe care asculta requesturile, si decripteaza?

Care sunt beneficile in a folosi HTTPS in loc de HTTP?
de spoofing
nu ai vrea sa fii sigur ca vorbesti cu cine trebuie si nu cu un pretins ?

#13
moldoveanca2001

moldoveanca2001

    Member

  • Grup: Members
  • Posts: 589
  • Înscris: 27.03.2015
Atentie, certificatul SSL nu garanteaza ca site-ul de unde cumparati produse sau servicii este de incredere. El doar garanteaza ca site-ul este cine pretinde ca este, si nu cineva care a interceptat traficul dvs.
Cum oricine poata cumpara un astfel de certificat, ramane posibil sa fiti inselati

#14
mmm3

mmm3

    Senior Member

  • Grup: Senior Members
  • Posts: 3,766
  • Înscris: 14.09.2015
Magazine online mari de la noi nu stiu ce e ala SSL sau parola encriptata nu plain-text. Despre restul datelor de la ei (Nume, Prenume, Adresa, Telefon, Email, CNP, etc) sunt plain-text si cine gaseste o vulnerabilitate a lor le va avea impachetate frumos.
De obicei cine da teapa pe siteuri nu sta sa cumpere si certificate.

#15
f300

f300

    30k si ma duc

  • Grup: Senior Members
  • Posts: 30,000
  • Înscris: 27.09.2008
Am impresia ca habar n-ai cine, ce, cum si de ce ataca...

#16
NumeDeCod

NumeDeCod

    Active Member

  • Grup: Senior Members
  • Posts: 1,544
  • Înscris: 11.03.2005

View PostpaulicaFX, on 11 octombrie 2015 - 12:21, said:

Pai cu Fiddler poti decripta un request HTTPS...

Il poti decripta fiindca esti endpoint-ul conexiunii securizate si ai "instruit" sistemul de operare sa considere certificatul fiddler-ului ca fiind unul de incredere (aka ai instalat un root CA din fiddler).

Ceea ce spui tu nu e posibil in oricare alt punct intre server si tine (man in the middle). Din motive matematice/criptografice, pe care le gasesti daca te intereseaza :D

#17
paulicaFX

paulicaFX

    Member

  • Grup: Members
  • Posts: 792
  • Înscris: 08.08.2011

View PostNumeDeCod, on 18 octombrie 2015 - 22:27, said:

Il poti decripta fiindca esti endpoint-ul conexiunii securizate si ai "instruit" sistemul de operare sa considere certificatul fiddler-ului ca fiind unul de incredere (aka ai instalat un root CA din fiddler).

Ceea ce spui tu nu e posibil in oricare alt punct intre server si tine (man in the middle). Din motive matematice/criptografice, pe care le gasesti daca te intereseaza Posted Image


Ok, m-a cam lamurit raspusul asta, thanks :)

#18
Lexon

Lexon

    Senior Member

  • Grup: Senior Members
  • Posts: 2,600
  • Înscris: 07.08.2011
Adaug si eu aici cateva intrebari referitoare la SSL, sa nu mai deschid alt topic:
Mai are rost sa iei un certificat SSL platit?

Cum se poate ca un certificat free emis de let's encrypt sa fie mai "bun" ca unul platit emis de GeoTrust si ce inseamna practic mai bun? Pentru ca preturile nu sunt tocmai mici...

Comparativ:
https://www.ssllabs....=css-tricks.com
vs
https://www.ssllabs....w.laptopbun.com

In cazul asta, pentru un business, mai are rost sa platesti pentru certificat?

Anunturi

Chirurgia endoscopică a hipofizei Chirurgia endoscopică a hipofizei

"Standardul de aur" în chirurgia hipofizară îl reprezintă endoscopia transnazală transsfenoidală.

Echipa NeuroHope este antrenată în unul din cele mai mari centre de chirurgie a hipofizei din Europa, Spitalul Foch din Paris, centrul în care a fost introdus pentru prima dată endoscopul în chirurgia transnazală a hipofizei, de către neurochirurgul francez Guiot. Pe lângă tumorile cu origine hipofizară, prin tehnicile endoscopice transnazale pot fi abordate numeroase alte patologii neurochirurgicale.

www.neurohope.ro

0 user(s) are reading this topic

0 members, 0 guests, 0 anonymous users

Forumul Softpedia foloseste "cookies" pentru a imbunatati experienta utilizatorilor Accept
Pentru detalii si optiuni legate de cookies si datele personale, consultati Politica de utilizare cookies si Politica de confidentialitate