Skocz do zawartości

kafi

Użytkownicy
  • Zawartość

    3
  • Rejestracja

  • Ostatnia wizyta

Reputacja

0 Neutral
  1. Gdzie najlepiej domena .net?

    Ja miałem (nie)przyjemność "korzystać" z supportu OVH przy usługach domenowych. Dwa tygodnie wisiał ticket z problemem (po odnowieniu domeny .it została przedelegowana na jakieś dummy-serwery i nie dało się tej delegacji nijak zmienić). Dopiero po założeniu sporu w Paypalu raczył się tematem zająć ktoś kompetentny (choć i tak widać było, że frontdesk dosyć hmm... nieudolnie przekazuje informacje udzielane im przez backoffice).
  2. [ PYTANIE ] Alternatywa dla SLACK-a

    A używasz aplikacji natywnej, czy cordova app?
  3. Certyfikaty SSL

    Jeżeli przyjmiemy podstawowe założenia bezpieczeństwa przy generowaniu certyfikatu, czyli: - klucz prywatny generujemy (prawie)doskonałym generatorem (pseudo)losowym na lokalnej bezpiecznej maszynie, - urzędowi certyfikacyjnemu przekażemy jedynie skrót klucza, a nie cały klucz , to wtedy pod względem bezpieczeństwa transmisji KAŻDY certyfikat dokładnie tak samo zabezpiecza transmisję (choć samo pojęcie "zabezpieczenia transmisji" przez certyfikat jest lekko naciągane i uproszczone) niezależnie od tego, czy jest to selfsigned, czy Let's Encrypt, Comodo czy też Verisign. Bo elementem "zabezpieczającym" transmisję jest modulus/klucz publiczny, który strukturalnie certyfikacie jakiegokolwiek wystawcy jest po prostu tym, co użytkownik prześle, żeby wystawca tam wstawił. Tyle jeśli chodzi o same aspekty kryptograficzne. Natomiast pytanie - czym zatem różnią się poszczególne urzędy certyfikacji? Właściwie to jednym aspektem, wynikającym wprost z tego, po co zostały powołane - czyli ZAUFANIEM. I to różnymi poziomami tego zaufania. Pierwszy to poziom dostawców technologii, którzy stwierdzają, że ich klienci mogą zaufać certyfikatom wydanym z tego i tamtego źródła. Drugi poziom to sam użytkownik, który może własnoocznie sprawdzić, kto wystawił certyfikat i mu zaufać lub nie. Taki Let's Encrypt na przykład, ze względu także na swój crossign, nie jest zaufany na szczególnie starszych platformach. WoSign / StartCom przez swoje "szwindle" przestał być zaufany na nowych platformach. A jeśli chodzi o to własnooczne sprawdzenie - świadomy użytkownik widząc Let's Encrypt przy logowaniu do serwisu transakcyjnego banku intuicyjnie sprawdzi, czy nie padł ofiarą jakiegoś szwindlu (np. ataku MITM albo jakiejś unicodowej "homoglyphowej" - nie wiem jak to przetłumaczyć na język polski - odmiany nazwy domeny zabezpieczonej prawidłowym (kryptograficznie) certyfikatem - bo ranga wystawcy nie będzie pasowała do rangi serwisu docelowego.
×