Gå til innhold

barfoo

Medlemmer
  • Innlegg

    3 442
  • Ble med

  • Besøkte siden sist

Alt skrevet av barfoo

  1. Ja, om du ikkje stoler på OSet og nettleseren er ikkje TLS relevant angrepsvinkel; nettleseren kan i praksis sende kopi av alt du gjer til en tredjepart, uten at det er synlig ved å sjå på TLS-sertifikater. Det ligger litt i navnet: Transport Layer Security - det skal beskytte data in transit, ikkje at rest. Men det er jo strengt tatt det relevante her; det er komplekst. Det er derfor veldig underlige tråder, når en insisterer på å dra det ned på VGS-nivå og heimebrukernivå.
  2. Nettlesaren utfører sjekke for deg. Med mindre du har ganske god teknisk forståeleg er min konklusjon at nettlesaren i praksis gjer god nok jobb. I motstand fall kan du uansett ikkje stole på datamaskina. Folk som kan installere ca kan fint installere malware som skjuler det.
  3. Du kan ikkje det uten viare, da vil den ha anna hash. Men Edge (og andre nettlesere) støtter extensions, som kan utføre kall som nettleseren. Om det spesifikt finst er litt uinteressant, for det finst en gazilion måter å få Edge til å gjere ting for deg på. Nettleserextension er en variant, eller så kan du f.eks. hente inspirasjon fra Selenium. Andre mekanismer er f.eks. dll injection. Begge deler er kjente angrepsvektorer som du må ta høgde for. Så får heller du sitte der og gnage etter konkrete eksempler, framfor å forstå angrepstypen - som er langt meir interessant enn om malware XYZ brukte det i 2014.
  4. Det sentrale er vel å forstå PKI og CA si rolle i det, og kontrollmekanismer. For public CAer er det OCSP, DANE og offentlige logger (certificate transparency) som er relevant kontrollmekanisme, ikkje å sjå på sertifikatet. Du kan OCSP til å sjekke at sertifikatet ikkje er revoked, og CT-logg for å sjekke at thumbprint på sertifikatet faktisk er publisert. Dane (og CAA) kan brukast for å bekrefte sertifikat uavhengig av CA, og CAA til å bekrefte at domeneeigar godkjenner CA.
  5. Problemet om du tillet endelause omkamper er at du aldri vil få endeleg resultat. Det vil vere problematisk om du har kranglefant av ein nabo som saksøker deg på tynt grunnlag; då er det i di interesse å få det avklart endeleg utan at det tek for mykje tid og ressurser. Så forslaget ditt om evige omkamper vil føre til det motsette av det du trur.
  6. malicious browser extension i google gir ganske mange resultat. Det har skjedd før, og vil skje igjen. Og det er en variant der nettleser blir brukt - eg kan tenke på et par andre, f.eks. DLL injection. Du har fundamentalt feil tilnærming til sikkerhet med det du framviser i tråden her. @nomore For min del hadde feilsøkingssteg #1 i scenariet ditt vore å sjekke om IP-blokka hadde bytta eigar, slik at det var falsk positiv. Deretter sjekke for nye AI-bots som har dukka opp via Teams (Ja, det er et forbanna problem som kan spre seg fort), sjekka browser extensions og deretter sjekka etter CDN/applikasjoner som var i bruk som peikte på det. Men underholdande løsning uansett. Og PITA å finne.
  7. RSA med små nøkler er knekt, RSA med 4096 bits er trygt; 2048 bits kan knekkast av motivert angriper er vel ca. konsensus. Uansett har vi nye algoritmer som i praksis fikser problemet For det første er ikkje kvantedatamaskiner praktisk brukbare per i dag. For det andre er PQC allerede populært forskningsfelt, og på veg til å bli mainstream. Så det er ingenting som tyder på at kryptografi ikkje vil være sikkert sjølv med avanserte kvantedatamaskiner - men med andre algoritmer enn vi har i dag. I tillegg er ikkje problemet store-and-decrypt; symmetriske algorimter er allerede resistante mot kvantedatamaskiner, så problemet er nøkkelforhandling- og signaturalgoritmer.
  8. Kan du utdjupe? Synkron? Asynkron? Tenker du på symmetrisk og asymmetrisk? I så fall er svaret at all trafikk er kryptert med symmetrisk kryptografi, men autentisering skjerm med asymmetrisk kryptografi i praksis. RSA er f.eks. i bruk for å forhandle algoritmer, mens symmetriske algoritmer (f.eks. AES-GCM) er i bruk for å kryptere innhold. Korrekt konfigurert TLS er sikkert mot angripere i nettverket.
  9. Det kan skje i tilfeller der brukeren har stolt på en CA dei ikkje burde stolt på, slik at proxyen kan lage sertifikater som klienten trur på i realtime. Eksempel er Superfish. I tillegg er det ganske vanlig i corporate-nett, der du har corporate CA. Så kort sagt: du har allerede malware, eller har installert CA-sertifikat. Det er fordel å forstå PKI som brukt i TLS. Det er greit forklart på wikipedia.
  10. Ja, og det er fullstendig åpenbart at samfunnet aldri ville godtatt et slikt produkt om det kom på markedet i dag. Vi diskuterer å forby tilsetningsstoffer i mat fordi dei kanskje kan forårsake kreft... Her har vi et av dei produkta med best dokumentert kreftrisiko, og det er lovleg. Å forby nye brukarar er proposjonalt, og vil i praksis føre til totalforbod om eit par generasjoner. Det er eit OK kompromiss.
  11. Ja, og det hadde du visst om du besøkte lenka. I tillegg ignorerer du jo at det har ein kostnad for samfunnet at folk dauer tidlig,
  12. Masse fine ord. Ikkje et komma om korleis du vil fikse det.
  13. Var ikkje det didaktiske poenget med tråden å lære folk å kjøre capture? Ikkje redusere nettverkstrafikken?
  14. Problemet er at det er vanskeleg å evaluere kvalitet i forkant av handel. Lovbestemt reklamasjonsrett gir minimumsforventning, også får produsenter tilpasse seg til det. Nope. Begge deler er lov i Noreg, jf. tvisteloven §35-7. Det er fordi det ikkje var tatt ut gruppesøksmål. Det hadde ikkje vore forskjellig i USA.
  15. Du greide ikkje å finne mindre aparte sammenheng?
  16. No har premisset ditt hol du kan fly 747 gjennom, men la oss godta i eit halvt sekund: Korleis vil du løyse det uten å skape ein milliard nye problem? Vi snakker altså om «bedrageri» som er så overbevisande utført at domstolen går god for det. I sivile saker er kravet sannsynsovervekt for å vinne. I straffesaker er derimot kravet heva over rimelig tvil. Dvs. at terskelen er mykje høgare. Korleis skal du straffe noko ein domstol seier det er sannsynsovervekt for? I realiteten ser det jo slik ut: Sivil sak: >51% sjans for at A har meir rett enn B. Straffesak: >95% sjans for at A svindler B. Det framstår som motbakke å argumentere for.
  17. Korleis vil du ikkje ha eit rettsvesen som legg til grunn det mest sannsynlege i ein tvist? Det er jo det dagens domstoler gjer, og du påstår er problem. Korleis vil du gjere dette betre?
  18. Ja. Du forholdet deg til butikken. Du har ingen avtale med leverandør, kun butikken. Og at bransjeorganisasjoner prøver på avvise ansvar er ingenting nytt. Men om delar kjenner svakheter dei meiner ikkje er mangel må det informerast om før kjøp.
  19. Fordi angrep mot tls uten å kompromittere klienten faktisk er ganske vanskelig. Det er laga for å beskytte mot det. Kan du først få brukeren til å stole på tilfeldige sertifikater kan du stortsett få brukeren til å installere malware i browseren som gir deg større tilgang enklere. Så vi er tilbake til at du stoler på OSet og programvare du kjører.
  20. For det første er det jo visse forskjeller på arkivering i 1940 og i 2026. Rettsvesenet hadde problemer i 1945 som det ikkje har i dag, og motsatt. Nitti år gamle eksempel har relativt begrensa verdi. For det andre så er jo det i essens poenget med rettssystemet: løyse konflikter. I ei sak om eigedomshøve der skriftlige bevis er vekke vil jo retten måtte ta stilling til anna informasjon for å komme til eit resultat, også må partane slå seg til ro med rettskraftig resultat. Kva du vil med tråden er fortsatt ... utydelig.
  21. Kun om seljar krev bruksfrådrag. Elles har du kun krav på rente frå reklamasjonsdato, som vanlegvis ikkje er verdt å bruke tid på, men på tv til 150k kan det jo fort bli litt når butikken krangler. På 150k er det rundt rekna 1500,- i månaden i forsinkelsesrente. Så når butikken har vore idioter hadde eg sterkt vurdert det...
  22. Akk, så vakkert at du forsøker å diagnostisere andre som misforstår deg. Problemet er ikkje at vi misforsto deg. Problemet er at du brukte språk som beskriver ei veldig spesifikk handling, nemleg å ta ut tiltale. Ikkje anmelde, ikkje tipse politiet. Men spesifikt å ta ut tiltale. Eit konkret juridisk begrep brukt i straffeprosesslova.
  23. Nei. Det betyr ikkje det. Ein viss grad av presisjon og språket er nyttig.
  24. Nei. Nei. Du kan anmelde. Så kan politiet etterforske, og påtalemakta avgjere tiltale.
×
×
  • Opprett ny...