/vichan/ - shillchan

dało do myślenia

pobudza neutrino

rozpala wyobraźnie

aktywuje migdałki

Zaraz, zaraz anon. A co ma Cloudflare wspólnego z Let's Encrypt? A na czym polega kryptografia klucza publicznego i w jakim celu przeglądarka przechowuje certyfikaty "root"? Na czym polega MITM? Na przyszłość chociaż zapoznaj się z terminami nim zaczniesz postować dezinformację.

>>8878

Kurwa z kim ja tu siedzę XDDDDD

>A co ma Cloudflare wspólnego z Let's Encrypt?

Let's Encrypt należy do Mozilli, o której napisałem W PIERWSZYM ZDANIU XDDDD

Cloudflare jest wystawcą certyfikatu dla 8ch.net i karachan.org

>A na czym polega kryptografia klucza publicznego

SSL chroni cię przed podglądaniem przez ISP oraz adwersarza w sieci lokalnej, ale nie przez serwer z którym się łączysz idioto!

>i w jakim celu przeglądarka przechowuje certyfikaty "root"?

Co z tego że przechowuje jak i tak robi handshake z serwerem wystawcy certyfikatu aby potwierdzić autentyczność?

NA STRONIE CLOUDFLARE JEST NAWET ARTYKUŁ KTÓRY TO OPISUJE XDDD

https://blog.cloudflare.com/introducing-tls-client-auth/

>Na czym polega MITM?

Na tym że zamiast łączyć się z serwerem 8ch.net albo karachan.org łączysz się z serwerami CDN Cloudflare, które mają pełny nadzór nad tym co robisz na stronie aaa to tylko żeby ddosów nie było nie ;)))

Przemyśl sobie te trzy kwestie:

co widzą serwery dns cloudflare 1.1.1.1 albo googla 8.8.8.8 kiedy z nich korzystasz

co widzą serwery wystawcy ceryfikatu (cloudflare, mozilla) kiedy łączysz się ze stroną https

co widzą serwery cdn (cloudflare, akamai) kiedy łączysz się ze stroną za cdn

I więcej się nie kompromituj

>>8881

Dezinformacja level 9000. Co masz na celu umieszczając taką informację? Zastraszyć anonów? Pomóc anonom w ogarnianiu kwestii bezpieczeństwa? Zaproponowałeś alternatywę?

Masz rację na temat Cloudflare, ale w OPie nadmieniłeś "Let's Encrypt". Obawiam się, że nie jesteś do końca poinformowany na temat tego, jak "Let's Encrypt" działa, gdyż przy użyciu "Let's Encrypt" nie występuje nic z tych kwestii, które nadmieniłeś. Powiedziałeś jedynie, że "Let's Encrypt" należy do Mozilli, co jest mocnym semantycznym nadużyciem.

Link do informacji na temat "TLS client auth" jest kompletnie z czapy, nawet nie rozumiesz tego mechanizmu. Weźcie tam się ogarnijcie w tej shillowni, bo żal czytać te wasze głupie posty. A co najgorsze, jeszcze ktoś wam uwierzy.

TL;DR: Ten półmózg próbuje sprowadzać cały mechanizm HTTPS do metody działania Cloudflare.

>>8890

Specjalnie żebyś nie pomieszał, pod koniec postu zrobiłem rozdzielenie trzech wektorów ataku:

dns

https (tsl ca)

cdn

To trzy różne sprawy a request/handshake występuje przy każdej z nich

>>8891

Tak, powrzucaj jeszcze kilka skrótów trzyliterowych, ciężkich anglojęzycznych skrótów, to może uda ci się tam przemycić jakąś dezinformację nowicjuszom, może uda wam się którychś wystraszyć.

O, no albo jakieś mało dokładne blokowe infografiki bez dokładnego ich zrozumienia: >>8892

Zapytałeś się co widzi wystawca certyfikatu w przypadku Let's Encrypt. Otóż widzi tyle samo, co każdy inny wystawca certyfikatu, czyli nic. Wyjątkiem jest oczywiście Cloudflare z wiadomych przyczyn.

Niestety, nie byłem tutaj pewien do końca z jedną rzeczą. Istnieje jedna technologia, która wchodzi tutaj w konflikt i zakłada kontakt z serwerami CA, a mitygacja jest bardzo prosta. Jeżeli kolega dezinformator przychodzi tutaj nas nauczyć, to niech powie na czym polega problem, a nie mydli nam oczy "certyfikatami klienckimi", które w użyciu z HTTPS widziałem tylko raz.

Jeżeli tego nie zrobi, to ja za pare minut opublikuję dokładną analizę problemu.

>>8896

>Zapytałeś się co widzi wystawca certyfikatu w przypadku Let's Encrypt. Otóż widzi tyle samo, co każdy inny wystawca certyfikatu, czyli nic.

Nieprawda

>Niestety, nie byłem tutaj pewien do końca z jedną rzeczą. Istnieje jedna technologia, która wchodzi tutaj w konflikt i zakłada kontakt z serwerami CA, a mitygacja jest bardzo prosta.

Opisz tą bardzo prostą mitygację protip: you can't

>>8899

W większości przypadków nie widzi nic.

kto tutaj jest dezinformatorem?

<op opisuje problem w pierwszym poście

<wszyscy rozumieją

<przychodzi jakiś wykopek i próbując sprawiać wrażenie inteligentnego zaczyna mącić i komplikować sprawę

<na każde ponowne wytłumaczenie na czym polega problem odpowiada pseudointeligenckimi wypracowaniami na kilka stron A4 z których nic nie wynika

>>8902

OP miesza problemy, z jego posta wynika np. że Let's Encrypt jest systemem MITM, umieszcza posty na temat certyfikatów klienckich, czego całkowicie nie rozumie, zapytany o konkretny problem nie jest w stanie odpowiedzieć, bo albo go nie rozumie, albo nie przyszedł tutaj dostarczać informacje. Ja próbuję od niego tą informację wyciągnąć.

>>8909

bo nie przyszedł, shilla się krawężnikuje a nie rozmawia z nim

>>8909

P.S. jak ktoś napieprza nawiasami jakby parodiował Lispa to naprawdę nie ma sensu brać tej wypowiedzi pod uwagę

>>8914

Jest to powszechnie znana metoda, być może jedna z najskuteczniejszych, jednakże ja preferuję pokazać anuncji poprzez takie dyskusje jak działają shille, wskazać ich metody i dojść do sedna. Uważam, że eksponowanie takich jednostek jest również jedną z metod walki z dezinformacją, w końcu wiele osób do dzisiaj niedowierza, że internet jest syfiony kupioną opinią. Jeżeli będą świadomi, takie opinie będą warte mniej.

>>8909

>Let's Encrypt jest systemem MITM

Wszystkie certyfikaty https które wymagają requestu w celu potwierdzenia autentyczności

>>8909

>>8924

twój styl pisma jest rozpoznawalny a kojarzysz się z postami w których próbujesz dyskredytować jakiekolwiek poglądy bardziej radykalne od tych akceptowanych przez polską policję

próbuj bardziej

>>8924

to przynajmniej nie odpowiadać bezpośrednio na jego posty, niby nic, ale wtedy się denerwuje xD

>>8925

No, blisko. Ale to nie jest MITM. I nadal, to się dzieje w mniejszości przypadków. Proszę o umieszczenie więcej informacji na ten temat.

>>8934

>Ale to nie jest MITM

Nie rozumiesz analogii? Twój adres ip się odkłada w logach serwera w którym potwierdzasz autentyczność certyfikatu więc na twojej drodze do prawdziwego serwera docelowego stoi Man In The Middle - serwer w którym potwierdzasz autentyczność certyfikatu

a to nie jest tak, że można po prostu wyłączyć w przeglądarce potwierdzanie autentyczności certyfikatu?

>>8938

A ile normików to zrobi? 0,01%?

>>8936

Nie, MITM to jest atak, który polega na tym, że cały ruch idzie przez serwery atakującego. Próbuj hardziej.

>potwierdzasz autentyczność certyfikatu

Mijamy się z prawdą. Do potwierdzenia autentyczności certyfikatu wymagana jest wyłącznie kryptografia klucza publicznego. Opcjonalne połączenie do serwerów CA sprawdza coś innego.

>>8941

>Nie, MITM to jest atak, który polega na tym, że cały ruch idzie przez serwery atakującego

HAHAHAHAHAHA XDDDD

https://en.wikipedia.org/wiki/No_true_Scotsman

Czyli jednak przyznajesz że miałem rację z grabberem ip a ty kłócisz się o dokładną definicję przechodzenia CAŁEGO ruchu przez serwer XDDDD

>>8946

Tak, bo na tym polega atak typu MITM. Wyciek metadanych nie jest atakiem typu MITM.

Dobra, w sumie koniec. Anon dezinformator przestał odpowiadać, więc dopowiadam sam.

Mechanizm o którym wspomniałem to tzw. OCSP. Polega on na tym, że przeglądarka wysyła żądanie do serwera OCSP, który jest zarządzany przez CA z pytaniem, czy dany certyfikat nie wygasł.

Zaznaczyłem, że występuje to w mniejszości przypadków, ponieważ Chrome stosuje inny mechanizm, który (o dziwo) jest mechanizmem nie stanowiącym problemów prywatnościowych.

Dodatkowo problem jest mitygowany po stronie serwera za pomocą tzw. OCSP stapling. Więcej informacji na ten temat na tej stronie:

https://kryptosfera.pl/post/online-certificate-status-protocol-czesc-4/

Ważna uwaga: OCSP to nie jest potwierdzanie ważności certyfikatu (bo to sprawdza się za pomocą kryptografii klucza publicznego), ani sprawdzenie, czy nie wygasł (bo to można sprawdzić prostym porównaniem), a sprawdzenie, czy nie został wydany podpis, który unieważnia certyfikat przed czasem.

Nie jest to również atak MITM, a tłumaczenie w poście >>8936 jest najbardziej bezsensownym tłumaczeniem jakie ostatnio widziałem.

Dobra, ale pytanie raczej powinno brzmieć, czy certbot (najczęściej używany program do konfigurowania Let's Encrypt) włącza OCSP Stapling. Niestety, odpowiedź brzmi: nie. Dlatego, vichan bawi i uczy: prosimy na to ustawienie zwrócić uwagę.

>>8987

Mówisz zupełnie o czym innym a używanie pseudointeligentnego języka nie sprawi że ktokolwiek z anonów ci uwierzy.

>>8990

Twoja dezinformacja ląduje tam —→ tvn, polsat, tvp, wykop

cloudflare = CIA, żydzi

niby nie cenzurujemy ale jak ktoś coś przeciwko żydostwu (the daily stormer) to od razu kasowanko