kafi
-
Postów
104 -
Dołączył
-
Ostatnia wizyta
-
Wygrane w rankingu
19
Typ zawartości
Profile
Forum
Wydarzenia
Odpowiedzi opublikowane przez kafi
-
-
W dniu 12.10.2017 o 15:46, ryzior napisał:
Coś oszukujesz :), bo testowałem na 5 telefonach od androida 5.1; 6.0; 6.0.1; 7.1; 8.0 i lipa nic , a aplikacja ma na każdym uprawnienia do powiadomień.
A używasz aplikacji natywnej, czy cordova app?
-
Jeżeli przyjmiemy podstawowe założenia bezpieczeństwa przy generowaniu certyfikatu, czyli:
- klucz prywatny generujemy (prawie)doskonałym generatorem (pseudo)losowym na lokalnej bezpiecznej maszynie,
- urzędowi certyfikacyjnemu przekażemy jedynie skrót klucza, a nie cały klucz ,
to wtedy pod względem bezpieczeństwa transmisji KAŻDY certyfikat dokładnie tak samo zabezpiecza transmisję
(choć samo pojęcie "zabezpieczenia transmisji" przez certyfikat jest lekko naciągane i uproszczone)
niezależnie od tego, czy jest to selfsigned, czy Let's Encrypt, Comodo czy też Verisign.
Bo elementem "zabezpieczającym" transmisję jest modulus/klucz publiczny, który strukturalnie certyfikacie jakiegokolwiek wystawcy jest po prostu tym, co użytkownik prześle, żeby wystawca tam wstawił.
Tyle jeśli chodzi o same aspekty kryptograficzne.
Natomiast pytanie - czym zatem różnią się poszczególne urzędy certyfikacji? Właściwie to jednym aspektem, wynikającym wprost z tego, po co zostały powołane - czyli ZAUFANIEM. I to różnymi poziomami tego zaufania. Pierwszy to poziom dostawców technologii, którzy stwierdzają, że ich klienci mogą zaufać certyfikatom wydanym z tego i tamtego źródła. Drugi poziom to sam użytkownik, który może własnoocznie sprawdzić, kto wystawił certyfikat i mu zaufać lub nie.
Taki Let's Encrypt na przykład, ze względu także na swój crossign, nie jest zaufany na szczególnie starszych platformach.
WoSign / StartCom przez swoje "szwindle" przestał być zaufany na nowych platformach.
A jeśli chodzi o to własnooczne sprawdzenie - świadomy użytkownik widząc Let's Encrypt przy logowaniu do serwisu transakcyjnego banku intuicyjnie sprawdzi, czy nie padł ofiarą jakiegoś szwindlu (np. ataku MITM albo jakiejś unicodowej "homoglyphowej" - nie wiem jak to przetłumaczyć na język polski - odmiany nazwy domeny zabezpieczonej prawidłowym (kryptograficznie) certyfikatem - bo ranga wystawcy nie będzie pasowała do rangi serwisu docelowego.
Gdzie najlepiej domena .net?
w Domeny
Opublikowano
Ja miałem (nie)przyjemność "korzystać" z supportu OVH przy usługach domenowych.
Dwa tygodnie wisiał ticket z problemem (po odnowieniu domeny .it została przedelegowana na jakieś dummy-serwery i nie dało się tej delegacji nijak zmienić).
Dopiero po założeniu sporu w Paypalu raczył się tematem zająć ktoś kompetentny (choć i tak widać było, że frontdesk dosyć hmm... nieudolnie przekazuje informacje udzielane im przez backoffice).