Vlákno názorů k článku Zabezpečení na úkor použitelnosti jde na úkor bezpečnosti od bman - Proč bych nemohl na veřejné wifi do internetového...
-
Ještě důležitější je IMHO ten opačný směr: proč si ti lidé myslí, že na nějaké neveřejné wifi nebo doma je situace nějak výrazně odlišná? Pokud nemám pod kontrolou celou cestu mezi mnou a protistranou - a to nemám skoro nikdy - musím předpokládat, že se té síti věřit nedá. Implementace jednoho konkrétního úseku té cesty v tom až tak zásadní roli nehraje.
-
ale u šifrování si musíš být jistý, kdo je na druhé straně, jinak ti také nepomůže. Poslední míle je vždy velice riziko vzhledem k výrazné různorodosti.
Samozřejmě musím věřit všem subjektům na cestě, pro mě jsou velcí ISP v ČR důvěryhodní a tolik se nebojím, že mi pakety doručí jinám nebo s nimi budou tajně manipulovat, naproti tomu u Wi-Fi důvěru nemám, ví jak je lze napadnout a obelhat i já.
-
ale u šifrování si musíš být jistý, kdo je na druhé straně, jinak ti také nepomůže
Jistě. Jenže to je úplně stejné u hotspotu někde v nákupním centru, na nádraží, v hotelu - a nebo třeba doma nebo v práci. Rozdíl je jen v míře rizika, ne v tom, že by jedno bylo bezpečné a druhé ne, přestože se řada populárních článků snaží takový dojem vyvolat.
pro mě jsou velcí ISP v ČR důvěryhodní a tolik se nebojím, že mi pakety doručí jinám nebo s nimi budou tajně manipulovat
Já tuhle slepou důvěru ve všechny hopy po cestě nemám - tím spíš, že obvykle ani s jistotou nevím, které všechny to jsou. Takže se i doma při přístupu na služby, kde mi na bezpečnosti záleží (třeba Internet banking nebo přihlašování na mé servery) chovám stejně, jako bych byl na nějakém tom pochybném hotspotu.
-
No, zrovna u té manimpulace bych si nebyl tak jistý ani u ISP v ČR. Viz nedávná kauza GDPR a O2, kdy ISP unesl http spojení aby zobrazil formulář pro odsouhlasení GDPR. A nebo kauza únosu celých bloků veřejných adres přes Čínu. Co tam s tím provozem dělali raději ani neřekli.
Osobně přistupuji prakticky ke každé "internet" síti jako k nedůvěryhodné, tedy požaduji šifrování a ověřování identity v maximální míře. Byť ta identita bývá často založena také jen na důvěře.
-
O2 to mimochodem s tím GDPR a podvrháváním http dělá zrovna teď znovu.
S tímhle ale skončíte u toho, že musíte mít přímou linku do servovny poskytovatele služby :). S ISP je samozřejmě problém, ač mám brány v DC, stejně tak potřebuji ISP, který mě aspoň umožní propojení do nixu a tranzitní pásmo, opět tam je mezičlánek, kterému musím věřit. Pro mě má ale již daleko vyšší důvěru než poskytovatel wifi v hotelu.
Přesměrování provozu přes BGP je problém, však se postupně nasazuje ověřování na úrovni protokolu. Pokud jsem v tomhle hodně paranoidní (nebo spravuji vlastní AS), monitoruji ohlášení směrování a mohu na to zareagovat.
-
Přesně.
Podvrhávat certifikáty, DNS odpovědi čo vkládat bordel do http provozu lze stejně kdekoliv.
Je možné, že na veřejné wifi je větší pravděpodobnost, že si tam bude někdo hrát a já se tam nachomejtnu.Spíš bych to doporučení směřoval, že pokud jsem na veřejné wifi a vidím chyby v prohlížeči či jíné nestandardní chování, tak se odpojím a nepoužívám.
Pokud mám VPNku jemuž poskytovateli důvěřuji, tak ji použiji pro zabezpečení.
ČLÁNKY DO MAILU