Názory k článku Webovinky: nové webové projekty 2
-
Pepa (neregistrovaný)Jenže diskuze nezačíná v 15:25
Jak poznáte, že se vydává za někoho jiného, když si podvodník nechá vystavit certifikát na adresu toho podvodného serveru? Jak certifikační autorita pozná, že má jít o podvodný server? Nebo že se z nezávadného serveru stal podvodný? Když tohle někdo udělá, tak si toho že lezete na podvodný server vůbec nevšimnete, protože to žádnou chybu nezahlásí.
To poznáte jenom tak, že každý nový serverový certifikát budete osobně ověřovat u provozovatele toho pravého serveru. A k tomu vás dokope spíš to, když každý nový certifikát zahlásí chybu než že budete vycházet z nějakých předinstalovaných certifikátů certifikačních autorit. Nebo jste snad četl certifikační politiky všech předinstalovaných autorit abyste věděl, že jimi vydaný certifikát nebude nikdy použit pro podvodný server? -
stoural (neregistrovaný)Nezlobte se, ale ja umim cist. V 15:25 jsem napsal toto:
"Certifikat NEMA a ani NEMUZE bratit zneuziti dat samotnym provozovatelem. Ale muze IMHO zabranit tomu, abyste sva data odevzdali "podvodnemu provozovateli", ktery se vydava za nekoho jineho."
A to je presne to, co jsem napsal i o "prispevek vyse" -
Ne, vy jste tvrdil, že certifikát který za neznámých podmínek vystavila v prohlížeči za neznámých podmínek předinstalovaná certifikační autorita a prohlížeč nezahlásí chybu je důvěryhodný a certifikát, který si někdo vygeneroval sám a prohlížeč tedy "chybu" zahlásí důvěryhodný není. To je trochu něco jiného, než tvrdíte teď. -
stoural (neregistrovaný)Ale ja jsem prece NIKDE netvrdil, ze certifikat zabrani tomu, aby vas okradl samotny provozovatel, coz je onen pripad okradamesusmevem.cz.
Pouze jsem tvrdil, ze certifikat vydany pro okradamesusmevem.cz zabrani tomu, aby vas na domene okradamesusmevem.cz ve skutecnosti okradl okradamesusmevem-konkurenci.cz -
tim jsem chtěl naznačit, že obsah stránek nebo důvěryhodnost provozovatele serveru nikoho nezajímá a s certifikátem nemá nic společného. Když si založim firmu Okradame s usmevem sro, založim server okradamesusmevem.cz, tak si na to můžu nechat vystavit duveryhodny certifikat. A az na ty stránky vlezete, tak vám to žádnou chybu nezahlásí. Na druhou stranu si třeba spořka vystaví vlastní certifikát, takže to zahlásí chybu a vy si sám ten certifikát podle informací spořitelny ověříte. Co je důvěryhodnější?
-
Jenže u občanky víte, že jí stát vydává při splnění nějakých definovaných podmínek. Certifikát vystavený autoritou u které ani neznáte její politiky odpovídá pořád jen tomu papíru v plastu. Někoho možná splete, protože vypadá "důvěryhodně" jako občanka, ale na důvěryhodnost jí to rozhodně nepřidává.
-
stoural (neregistrovaný)Ja se v tom moc nevyznam, ale chapu to tak, ze kdyz si udelam stranku www.m-bank.info a nacpu tam prezentaci mbanky, nejenom, ze takova prezentace bude mit IMHO problem ziskat "overeny certifikat" od "duveryhodne autority" (takze musi pouzit "svuj vlastni certifikat"), ale take si mohu overit, zdali opravdu komunikuji s mbank (protoze ta verejne poskytuje informace o svych certifikatech).
Certifikat NEMA a ani NEMUZE bratit zneuziti dat samotnym provozovatelem. Ale muze IMHO zabranit tomu, abyste sva data odevzdali "podvodnemu provozovateli", ktery se vydava za nekoho jineho. -
Michal (neregistrovaný)No jak se to projevuje v prohlížeči je mi jasné. Ale není mi jasný ten faktický rozdíl. Co je na autorizovaném certifikátu bezpečnějšího? Já to chápu takto (a asi je to špatně, rád se nechám poučit):
-V obou případech (autorizovaný i neautorizovaný) je přenos dat šifrovaný, není je tedy možné např. odposlouchávat na síťové úrovni. Takže je asi dobré, pokud je tam alespoň nějaký certifikát.
-Autorizovaný certifikát navíc říká, že provozovatel koupil certifikát pro svoji doménu od nějaké autorizační společnosti pro svoji doménu. To mi ale přeci nezaručuje vůbec nic, chce li data zneužívat, v klidu může, při autorizaci se nijak nekontroluje co bude s daty dělat...
Takže krom toho že prohlížeče "otravují" s upozorněním na neautorizovaný certifikát v tom bezpečnostní rozdíl nevidím. -
stoural (neregistrovaný)Chyba zabezpečeného spojení
Při spojení s www.eucty.cz nastala chyba neboť je používán neplatný bezpečnostní certifikát.
Certifikát není důvěryhodný neboť jeho vydavatel je neznámý.
(Kód chyby: sec_error_unknown_issuer)
* Tato chyba může být způsobena chybnou konfigurací serveru nebo někým, kdo se snaží vydávat za server.
* Pokud jste se k tomuto serveru připojili úspěšně již v minulosti, je možná chyba jenom dočasná, a můžete to zkusit znovu později.
A nebo můžete přidat výjimku… -
Michal (neregistrovaný)V rychlosti jsem na to koukal, eUcty mi přijdou přeci jen použitelnější.
Za hlavní výhodu považuji snadný import dat dělaný na míru pro české banky (vezmete to, co vám vypadne z Vašeho internetového bankovnictví a přepošlete to do eUctu).
Dále nabízejí přístup více uživatelů k jedněm datům. Já i manželka máme vlastní přístup, je vidět kdo z nás co zadal, kolik utratil atd.
Autoři navíc na aplikaci neustále pracují (snad jim to vydrží), během toho půl roku co to používám se objevili např funkce na práci s hypotékou, trvalé automatické platby, hlídání stavu na účtech a mnoho dalších. -
Michal (neregistrovaný)Já tomu stále moc nerozumím. Když se vrátím k příkladu těch www.eUcty.cz, tak stačí, aby si provozovatel té služby zaplatil u důvěryhodné autority certifikát na doménu www.eucty.cz a Vy budete spokojený? Já v tom zatím nevidím oproti neautorizovanému certifikátu žádný rozdíl (krom toho že to provozovatele stálo 3tis ročně). Pokud by data chtěl zneužívat, může je zneužívat tak i tak...
-
stoural (neregistrovaný)Ale tech stupnu, podle ceho se urcuje neduveryhodnost je samozrejme vice. Neni pouze jeden, napriklad se zjistuje, zdali cerfifikat vydala nejaka duveryhodna autorita, napr. thawte, dalsi hledisko je, zdali certifikat odpovida domene, pro kterou byl vybran atd.
Ten email od paypalu vam samozrejme neprijde. -
Pepa (neregistrovaný)a důvěryhodný je automaticky každý, jehož cerfitikát vydala autorita která se dostala do instalace prohlížeče? Takže když vám přijde email od paypalu, že se přesouvají na paypal.info, tak tomu serveru budete důvěřovat jenom proto, že bude mít certifikát od thawte a nebude se zobrazovat nějaká chyba? K čemu je důvěryhodnost certifikátu a kdo jí má určit?
-
Jiri (neregistrovaný)eUcty nejsou nový web. Já to spokojeně využívám už přes půl roku. Dokonce to zaujalo i manželku, nutí mě tam pravidelně zapisovat, co utratím.
Teď k té poznámce o bezpečnosti. Osobní finance není dobré sdělovat komukoliv na potkání, o tom není sporu. eUcty tento problém řeší poměrně elegantně, fungují naprosto anonymně a při registraci není nutný ani email. Takže vše je pouye na Vás, jaké data tam o sobě napíšete. Jinak informace o provozovateli tam jsou (v sekci Bezpečnostní doporučení hned na homepage). Certifikát není sice důvěryhodný, ale je to lepší než žádný, aspoň jdou data šifrovaně. Pokud se nepletu tak důvěryhodný certifikát znamená pouze to, že někdo zaplatí pár tisíc ročně, nedůvěryhodný je zdarma.
Jirka -
Michal (neregistrovaný)Minulý měsíc mě hodně zaujal web www.eUcty.cz. Je určen pro zpravování osobních financí. Jeho základ tvoří evidence příjmů a výdajů, můžete je buď zadávat ručně nebo importovat z bankovních výpisů. Dále máte k dispozici spoustu funkcí a statistik, které nad těmito daty pracují. Doporučuji vyzkoušet.
ČLÁNKY DO MAILU