mboost-dp1
PBS A/S
nyx (36) skrev:Kan vi ikke bare få aflivet systemet og gå tilbage til den gamle user/pass/key-in-a-file kombination? Ville være lige så sikkert og langt nemmere at bruge.
Hvordan vil det være ligeså sikkert?
Nu skal du huske at nemid's java app, ikke ligger på din netbanks side/skats side eller lign, men ligger på danids eget domain.Nicolai (50) skrev:Bare for at være flueknipper så hjælper det ikke at ændre i hosts filen. Man kan ikke (uden at ændre i cert/browser indstillinger) spoofe et falsk domæne da man i såfald ikke kan lave et 'ægte' cert :)
Så hvis man "blot" spoofer dette domain, så er der ikke noget cert-issue, eller behov for at lave falske hjemmesider.
#50
ikke for at være endnu mere flueknipper, så kan jeg da lige tilføje, at hvis du laver det stunt med hostfilen, så kan du jo bare tilføje et selfsigned certifikat til pcen´s CA, således at den stoler på dit selfsigned certifikat (hvis du alligevel har root adgang til at få adgang til host filen, så skulle det jo også være muligt at importere et certifikat, således at det bliver trusted)
#51 ideen med en certifikat fil lokalt på pcen, kan være mere sikker i den forbindelse med at for at kunne angribe en pc med en certifikat fil lokalt, kræver det at man har adgang til fil systemet på pcen, men nemid kan spoofes uden at have adgang til pcen overhoved, det kræver ikke mere end et ondsindet link
ikke for at være endnu mere flueknipper, så kan jeg da lige tilføje, at hvis du laver det stunt med hostfilen, så kan du jo bare tilføje et selfsigned certifikat til pcen´s CA, således at den stoler på dit selfsigned certifikat (hvis du alligevel har root adgang til at få adgang til host filen, så skulle det jo også være muligt at importere et certifikat, således at det bliver trusted)
#51 ideen med en certifikat fil lokalt på pcen, kan være mere sikker i den forbindelse med at for at kunne angribe en pc med en certifikat fil lokalt, kræver det at man har adgang til fil systemet på pcen, men nemid kan spoofes uden at have adgang til pcen overhoved, det kræver ikke mere end et ondsindet link
#52: Du kan jo heller ikke spoofe danids domæne?
#53: Det var mere fordi #45 skrev: "[...] ringe til folk [...] og en hastig ændring af hosts filen [...]". Men hvis man skal til at installere certifikater (IE bruger de indbyggede i Windows, Firefox bruger dens egen liste af hardcoded CA's, etc) så er det pludselig en smule mere besværligt, og ikke længere så hastigt. Så virker et MiTB attack som en bedre idé :p
#53: Det var mere fordi #45 skrev: "[...] ringe til folk [...] og en hastig ændring af hosts filen [...]". Men hvis man skal til at installere certifikater (IE bruger de indbyggede i Windows, Firefox bruger dens egen liste af hardcoded CA's, etc) så er det pludselig en smule mere besværligt, og ikke længere så hastigt. Så virker et MiTB attack som en bedre idé :p
Nicolai (54) skrev:#52: Du kan jo heller ikke spoofe danids domæne?
Hvis du går ind på fx Danskebanks hjemmeside, kan du se i kildekoden at nemid appletten ligger på denne url: https://applet.danid.dk
Dvs. når du henter Danske banks login hjemmeside ned, kommer der et punkt hvor din browser siger: "uh jeg skal også lige ud på https://applet.danid.dk og hente noget"
Din pc checker så hvad applet.danid.dk skal resolves til, ved først at checke om der er et hit i hosts filen, derefter om derefter prøver den din(e) dns'er.
dvs. injection i hosts fil, gør at man kan redirecte applet.danid.dk fra ip 92.60.149.224 til hvad end du gerne ville. samtidig bliver der sendt parametere med til applet.danid.dk om hvilken side man er på.
Du har vist ikke helt fået fat i hvordan https protokollen fungerer :)
Når din browser siger "uh jeg skal også lige ud på https://applet.danid.dk og hente noget" så henter browseren først et certifikat fra applet.danid.dk's IP. Du kan enten give browseren en forkert IP (via hosts fil / via DNS hijacking / etc) eller du kan bare lade som om at du er danids IP (hvis du router trafikken), men du bliver nød til at sende et certifikat som matcher domænet "applet.danid.dk". Du kan godt lave dit eget certifikat for applet.danid.dk, men så bliver det self-signed og det udløse en 'alvorlig' fejl i browseren.
Når din browser siger "uh jeg skal også lige ud på https://applet.danid.dk og hente noget" så henter browseren først et certifikat fra applet.danid.dk's IP. Du kan enten give browseren en forkert IP (via hosts fil / via DNS hijacking / etc) eller du kan bare lade som om at du er danids IP (hvis du router trafikken), men du bliver nød til at sende et certifikat som matcher domænet "applet.danid.dk". Du kan godt lave dit eget certifikat for applet.danid.dk, men så bliver det self-signed og det udløse en 'alvorlig' fejl i browseren.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund