Security Professionals
- ipfw add deny all from eindgebruikers to any
Reacties (15)
07-11-2011, 09:08 door
0101
Goed stuk, bedankt!
Even een vervolg vraag: wat is de beste (gratis) methode om de integriteit van een persoonlijke website (via certificaten) te garanderen?
"Notaris" is een beschermde term in Nederland en daarmee ook de buitenlandse vertalingen. Daar ben ik jaren geleden al tegenaan gelopen toen ik me op de HCC-dagen als Thawte en CAcert notary presenteerde.
Peter
Peter
Het principe werkt in principe, maar maakt het niet Structureel veiliger omdat de basis "SSL/TLS" over de jaren te verwaterd en complex geworden is.
Dat Convergence maakt het alleen maar nog complexer, vooral voor de eindgebruiker die dan een notar-cloud & plugins moet gaan vertrouwen enzo.
Betere weg zou zijn SSL/TLS zelf eens flink op te schonen, en dan een niet commerciële Notar structuur maar een publieke die zich richting de buitenwereld degelijk Moeten verantwoorden over hoe goed ze hun beveiliging op orde hebben, en bij wet verplicht zijn om elke 'hak' direct publiek te maken.
Zo lang het onder commerciële 'zelf regulering/doofpotten' blijft, is er al helemaal geen hoop.
Ps.
Herhaling is leuk:
security.nl/artikel/38377/1/Hacker_onthult_toekomst_van_SSL-certificaten.html
.q.
Dat Convergence maakt het alleen maar nog complexer, vooral voor de eindgebruiker die dan een notar-cloud & plugins moet gaan vertrouwen enzo.
Betere weg zou zijn SSL/TLS zelf eens flink op te schonen, en dan een niet commerciële Notar structuur maar een publieke die zich richting de buitenwereld degelijk Moeten verantwoorden over hoe goed ze hun beveiliging op orde hebben, en bij wet verplicht zijn om elke 'hak' direct publiek te maken.
Zo lang het onder commerciële 'zelf regulering/doofpotten' blijft, is er al helemaal geen hoop.
Ps.
Herhaling is leuk:
security.nl/artikel/38377/1/Hacker_onthult_toekomst_van_SSL-certificaten.html
.q.
07-11-2011, 11:06 door
[Account Verwijderd]
[Verwijderd]
07-11-2011, 11:10 door
[Account Verwijderd]
[Verwijderd]
Door Hugo:
Door Anoniem: Even een vervolg vraag: wat is de beste (gratis) methode om de integriteit van een persoonlijke website (via certificaten) te garanderen?
Door kennis van zaken te hebben. Dit is niet lullig bedoeld. De integriteit van een website wordt niet in eerste instantie bepaald door SSL-certificaten, maar door veilige code. Duik daar eens in.Beste Hugo,
No offence taken.
Ik ging uit van de situatie waarbij de code (platte html) veilig is. Het gaat er meer om dat bijvoorbeeld dns-gegevens kloppend zijn en de website bijvoorbeeld niet wordt omgeleid.
07-11-2011, 12:39 door
Erwtensoep
Naast Convergence was er al eerder de addon Perspectives. Ook gebaseerd op notaries, maar als complement voor het CA systeem, Convergence vervangt het CA systeem in Firefox.
07-11-2011, 14:41 door
[Account Verwijderd]
[Verwijderd]
Een zeer goede uitleg over Convergence.
Convergence is dus GEEN alternatief op PKI, aangezien het PKI nodig heeft om te kunnen werken.
Er moeten immers certificaten zijn om te controleren.
Mijns inziens blijft het enige goede alternatief client certificaten met een PKI systeem dat flexibel is in uitgifte en revocatie, waardoor fouten beperkt worden tot zeer specifieke tijdsperiodes bijvoorbeeld.
Gelukkig bestaan dit soort oplossingen al, het publiek moet hier alleen kennis van nemen en het willen accepteren omdat deze oplossingen vaak een radicaal anders denken nodig hebben.
Convergence is dus GEEN alternatief op PKI, aangezien het PKI nodig heeft om te kunnen werken.
Er moeten immers certificaten zijn om te controleren.
Mijns inziens blijft het enige goede alternatief client certificaten met een PKI systeem dat flexibel is in uitgifte en revocatie, waardoor fouten beperkt worden tot zeer specifieke tijdsperiodes bijvoorbeeld.
Gelukkig bestaan dit soort oplossingen al, het publiek moet hier alleen kennis van nemen en het willen accepteren omdat deze oplossingen vaak een radicaal anders denken nodig hebben.
Ik verwacht dat google graag zo'n notary gaat worden, en vervolgens gaat bijhouden wie (beter gezegd, welk IP) welk certificaat opvraagt.
08-11-2011, 11:03 door
[Account Verwijderd]
[Verwijderd]
09-11-2011, 00:04 door
Erik van Straten
Door Hugo: Convergence kan werken met self-signed certificaten op webservers. Een PKI is dus overbodig.
Hoe onderscheid je dan een fake site van een site die z'n certificaat net vernieuwd heeft (bijv. omdat deze simpelweg is verlopen, de hostname iets is gewijzigd, het vermoeden bestaat dat de private key gestolen is, of de private key verloren is gegaan tijdens een HDD crash en men vergeten is die privkey te backuppen)?Door Hugo: Hoe werkt Convergence?
Op het moment dat een browser verbinding maakt met een met SSL beveiligde website, raadpleegt de Convergencemodule in de browser meerdere, zogehete, notaries. Deze notaries vragen bij dezelfde website het SSL certificaat op en geven deze terug aan de browser. De browser controleert of alle ontvangen certificaten overeen komen met het certificaat dat deze zelf van de website ontvangt. Komen deze overeen, dan is het zeer aannemelijk dat er geen man-in-the-middle aanval plaatsvindt en de verbinding dus veilig is.
Uhh aan de client zijde (en zelfs dat is mogelijk te onderscheppen). Maar hoe zit het aan de server zijde?Op het moment dat een browser verbinding maakt met een met SSL beveiligde website, raadpleegt de Convergencemodule in de browser meerdere, zogehete, notaries. Deze notaries vragen bij dezelfde website het SSL certificaat op en geven deze terug aan de browser. De browser controleert of alle ontvangen certificaten overeen komen met het certificaat dat deze zelf van de website ontvangt. Komen deze overeen, dan is het zeer aannemelijk dat er geen man-in-the-middle aanval plaatsvindt en de verbinding dus veilig is.
Hoe zit het met DNS attacks - zoals recentelijk op ups.com, vodafone.com, theregister.co.uk, acer.com, betfair.com, nationalgeographic.com en telegraph.co.uk (zie http://security.nl/artikel/38361/1/DNS_populaire_Britse_websites_gekaapt.html) of gisteren en masse in Brazilië (zie http://net-security.org/secworld.php?id=11903)?
PS zeker geen persoonlijke kritiek hoor! Ik heb wat ideeën over een aantal serieuze verbeteringen in PKI en zou ze wel eens tegen iemand "aan willen houden" (die de materie snapt en eventuele onzin van mij onderuit kan halen) zonder ze meteen te publiceren, probleem is wel dat ik er nauwelijks tijd voor heb door m'n werk (en andere interesses).
09-11-2011, 09:00 door
[Account Verwijderd]
[Verwijderd]
09-11-2011, 13:33 door
Erik van Straten
Door Hugo:
Nee, ik bedoel niet client-auth, maar de MITM aanval in de buurt van de PC (met de webbrowser) versus in de buurt van de webserver. In dat laatste geval halen de notaries hun gegevens ook bij de aanvaller op en wordt (als ik Convergence goed begrijp) de aanval niet gedetecteerd.Door Erik van Straten: Uhh aan de client zijde (en zelfs dat is mogelijk te onderscheppen). Maar hoe zit het aan de server zijde?
Je bedoelt SSL-client authenticatie? Daar biedt convergence geen ondersteuning voor.Mail me maar op [obfuscated]@gmail.com, dan krijg je m'n echte e-mailadres. Ben altijd wel in voor een goede discussie over securityzaken.
Idem, ik kijk ernaar uit! Mail heb ik zojuist verzonden.Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
