barfoo

Du meiner feil. SAN eller CN må stemme. Og det er - som screenshot fra deg viser - einaste plassen det står diskusjon.no. Dette er heilt ærleg PKI 101. Du illustrerer poenget mitt: du som sluttbruker kan ikkje sjekke sertifikat på en måte som gir meining.

Nei, det er feil. Om sertifikatet ikkje tilhøyrer (SAN) diskusjon.no vil ikkje nettlesaren godta det, uavhengig av CA. Forøvrig støtter afaik alle windowsversjoner custom root-ca, så kor du får at kun funker i edu eller enterprise er er mysterium. Så kom igjen, korleis vil du sjå forskjell, på ein måte som er bedre enn nettlesaren alt gjer? Hugs at nettlesaren sjekker ct-logger og ocsp.

Kva slags informasjon der gjer at du kan slå fast at sertifikatet er det diskusjon.no faktisk bruker, og ikkje eit anna frå ein tredjepart?

Korleis vil du sjå forskjell på sertifikata? Har du oversikt over alle gyldige Root CA's der ute? Om CAen ikkje er ein OSet/nettleseren stoler på, vil nettleseren advare deg - om det er ein systemet stoler på vil den ikkje advare deg. Men sertifikatet ser heilt likt ut, med unntak av (potensielt) forskjellig Root CA. Om vi antar angriper - korleis vil du differensiere "DigiCert TLS QuoVadis Root CA3" og "DigiCert TLS QuoVadis Root CA3"? Det er tross alt fritekst navn... Så nei, brukeren kan ikkje sjå om sertifikatet er gyldig. Nettleseren kan derimot gjere en rekke sjekker - som i praksis er utanfor rekkevidde for brukeren å gjere fordi det krev teknisk kompetanse å verifisere for hand. Dei kan følge instruksjonsmanualen for software. Det vil ikkje sei at dei kan forklare korleis TLS fungerer, eller foreta sjølvstendige vurderinger av sikkerhet i oppsettet. Ei heller verifisere at sikkerheta er som påstått fra løsningslevrandør.

Du vil ha skjærefjøl som er mjukere enn kniven- og samtidig ikkje plast? Kjøp tre. Det koster fuck all. Når dei ryker etter et år i oppvaskmaskin kjøper du nye. Titan vil eg tippe kverker kniven veldig fort, så det framstår som ugunstig...

...gitt felles språk. Det går an på lese innlegg som ei heilheit, og ikkje plukke ut ei setning.

Leste du det du svarte på? Eg skreiv at krav om norsk ikkje var sakleg krav om det var andre felles språk. Dvs: skal du klippe plen og både du og sjefen har felles språk er ikkje norskkrav sakleg.

Likestillingslova slår klart fast at sakleg forskjellsbehandling på grunnlag av språk er ok; usakleg er ikkje. På resturant kan det å beherske norsk vere eit sakleg krav, men skal du klippe plenen og næraste leder og du har felles språk er det neppe sakleg krav. I tillegg må du åpenbart likebehandle ulike søkarar. I typiske sommerjobber for ungdom i kommunen vil språk neppe vere relevant.

Her argumenterer du på utmerka vis for at fagkarakteren er god nok, og at orden og oppførsel ikkje er nyttig i svært mange tilfeller. Forøvrig vil jo det å dele fagkarakteren opp i t.d. innsats, kunnskap, evne også vidare vere interessant tanke som kan formidle langt meir enn eit enkelt tal eller bokstav.

Ja, men å redusere det til tre grader er lite nyttig. Og det som blir målt med karakteren er i praksis at du er litt strukturert og greier å følge systemet som blir tredd over deg. For veldig mange yrker er ikkje det viktig; det viktige er det faglege, og at du leverer resultat. Ingen av dei to tinga blir målt av den karakteren. Arbeidsgiver oppdager ikkje at eg er en time for sein på jobb, og ikkje bryr dei seg heller. Og det er tilfelle for veldig mange med høgare utdanning. For dei det ikkje er relevant for så er ikkje den karakteren det avgjerande.

Den viser vel stortsett konformitet til et system. For enkelte arbeidstakarar er det relevant, for andre ikkje.

Hæ ? Det er ikkje karakter per fag, og den viser ikkje hverken interesse, trivsel eller mestring.

Synagoger er ikkje del av vår kulturhistorie. Synagogen i Oslo er frå 1920. Grunnen er jo forsåvidt åpenbar: grov rasisme i grunnlova frå 1814, men det gjer ikkje det til del av vår kulturhistorie.

Eu har ikkje totalforbod mot subsidier, og efta godkjente avgiftsfritak for elbiler.

Alle frekvensomformere veit rotasjonsretninga til motoren. Ellers hadde ikkje det vore et salgbart produkt. Om bilen brått begynte å bevege seg bakover når du setter den i drive og trykker inn gasspedalen hadde det vore en feil som hadde gjort bilen ubrukelig. Så det er total avsporing fra di side.

A utvikler teknologi som gjer at dei kan redusere dieselkonsumet i anleggsvirksomheta med 90%. Det krever investeringer, men investeringene er lønnsomme på grunn av avgiftene. B velger å bruke diesel. Når avgiftene så blir redusert får B en konkuransefordel som følge av at dei ikkje har gjort investeringa for å kutte. Er det rettferdig? For min del framstår det som veldig uheldig.

Ja, om du ikkje stoler på OSet og nettleseren er ikkje TLS relevant angrepsvinkel; nettleseren kan i praksis sende kopi av alt du gjer til en tredjepart, uten at det er synlig ved å sjå på TLS-sertifikater. Det ligger litt i navnet: Transport Layer Security - det skal beskytte data in transit, ikkje at rest. Men det er jo strengt tatt det relevante her; det er komplekst. Det er derfor veldig underlige tråder, når en insisterer på å dra det ned på VGS-nivå og heimebrukernivå.

Nettlesaren utfører sjekke for deg. Med mindre du har ganske god teknisk forståeleg er min konklusjon at nettlesaren i praksis gjer god nok jobb. I motstand fall kan du uansett ikkje stole på datamaskina. Folk som kan installere ca kan fint installere malware som skjuler det.

Du kan ikkje det uten viare, da vil den ha anna hash. Men Edge (og andre nettlesere) støtter extensions, som kan utføre kall som nettleseren. Om det spesifikt finst er litt uinteressant, for det finst en gazilion måter å få Edge til å gjere ting for deg på. Nettleserextension er en variant, eller så kan du f.eks. hente inspirasjon fra Selenium. Andre mekanismer er f.eks. dll injection. Begge deler er kjente angrepsvektorer som du må ta høgde for. Så får heller du sitte der og gnage etter konkrete eksempler, framfor å forstå angrepstypen - som er langt meir interessant enn om malware XYZ brukte det i 2014.

Det sentrale er vel å forstå PKI og CA si rolle i det, og kontrollmekanismer. For public CAer er det OCSP, DANE og offentlige logger (certificate transparency) som er relevant kontrollmekanisme, ikkje å sjå på sertifikatet. Du kan OCSP til å sjekke at sertifikatet ikkje er revoked, og CT-logg for å sjekke at thumbprint på sertifikatet faktisk er publisert. Dane (og CAA) kan brukast for å bekrefte sertifikat uavhengig av CA, og CAA til å bekrefte at domeneeigar godkjenner CA.

Problemet om du tillet endelause omkamper er at du aldri vil få endeleg resultat. Det vil vere problematisk om du har kranglefant av ein nabo som saksøker deg på tynt grunnlag; då er det i di interesse å få det avklart endeleg utan at det tek for mykje tid og ressurser. Så forslaget ditt om evige omkamper vil føre til det motsette av det du trur.

malicious browser extension i google gir ganske mange resultat. Det har skjedd før, og vil skje igjen. Og det er en variant der nettleser blir brukt - eg kan tenke på et par andre, f.eks. DLL injection. Du har fundamentalt feil tilnærming til sikkerhet med det du framviser i tråden her. @nomore For min del hadde feilsøkingssteg #1 i scenariet ditt vore å sjekke om IP-blokka hadde bytta eigar, slik at det var falsk positiv. Deretter sjekke for nye AI-bots som har dukka opp via Teams (Ja, det er et forbanna problem som kan spre seg fort), sjekka browser extensions og deretter sjekka etter CDN/applikasjoner som var i bruk som peikte på det. Men underholdande løsning uansett. Og PITA å finne.

RSA med små nøkler er knekt, RSA med 4096 bits er trygt; 2048 bits kan knekkast av motivert angriper er vel ca. konsensus. Uansett har vi nye algoritmer som i praksis fikser problemet For det første er ikkje kvantedatamaskiner praktisk brukbare per i dag. For det andre er PQC allerede populært forskningsfelt, og på veg til å bli mainstream. Så det er ingenting som tyder på at kryptografi ikkje vil være sikkert sjølv med avanserte kvantedatamaskiner - men med andre algoritmer enn vi har i dag. I tillegg er ikkje problemet store-and-decrypt; symmetriske algorimter er allerede resistante mot kvantedatamaskiner, så problemet er nøkkelforhandling- og signaturalgoritmer.

Kan du utdjupe? Synkron? Asynkron? Tenker du på symmetrisk og asymmetrisk? I så fall er svaret at all trafikk er kryptert med symmetrisk kryptografi, men autentisering skjerm med asymmetrisk kryptografi i praksis. RSA er f.eks. i bruk for å forhandle algoritmer, mens symmetriske algoritmer (f.eks. AES-GCM) er i bruk for å kryptere innhold. Korrekt konfigurert TLS er sikkert mot angripere i nettverket.

Det kan skje i tilfeller der brukeren har stolt på en CA dei ikkje burde stolt på, slik at proxyen kan lage sertifikater som klienten trur på i realtime. Eksempel er Superfish. I tillegg er det ganske vanlig i corporate-nett, der du har corporate CA. Så kort sagt: du har allerede malware, eller har installert CA-sertifikat. Det er fordel å forstå PKI som brukt i TLS. Det er greit forklart på wikipedia.