Avaleht
uus teema   vasta Tarkvara »  Turvalisus »  SEB libakiri Smart-ID parooli saamiseks(häkkimine) märgi kõik teemad loetuks
märgi mitteloetuks
vaata eelmist teemat :: vaata järgmist teemat
mine lehele eelmine  1, 2, 3
Hinnavaatlus :: Foorum :: Uudised :: Ärifoorumid :: HV F1 ennustusvõistlus :: Pangalink :: Telekavad :: HV toote otsing
autor
sõnum Saada viide sõbrale. Teata moderaatorile
otsing:  
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004




sõnum 13.05.2024 21:52:43 vasta tsitaadiga

Vael, TLS-CCA
https://www.id.ee/artikkel/isikutuvastus-id-kaardiga/

kevku, see tundub ikka sõltuvat serveri poolest. Kui server tahab kliendi autentsust kontrollida TLS-CCA-ga, siis ta peab seda saama. MiTM ründekindlat krüptokanalit minevikuks nimetada ei ole päris korrektne.
Mitte et ma hetkel teaksin, mis asi see JWT küpsis on.

Aga ma saan aru, et nüüd on serveripoole peal ka ID-kaardiga autentimisel võimalik loobuda kõige turvalisemast, kuid kohati tõrkuda võivast (näiteks MiTM ründe korral icon_rolleyes.gif ) TLS-CCA-st ja selle asemel kasutada vaid serveri autentsust kontrollida võimaldavat, parooliga sama krüptograafilise turvatasemega ühendust.

Tead mõnda teenust ehk nimetada, mis TLS-CCA-st loobunud on sellega seoses?

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
kevku
HV kasutaja

liitunud: 05.10.2007




sõnum 14.05.2024 10:15:26 vasta tsitaadiga

Riigiportaal (ja selle SSO) kasutab ainult web-eid.
Kommentaarid: 7 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 7
tagasi üles
vaata kasutaja infot saada privaatsõnum
vortex
HV veteran
vortex

liitunud: 02.02.2003




sõnum 14.05.2024 12:06:04 vasta tsitaadiga

Vael kirjutas:

...Keele küsimus- kas keegi on näinud näiteks YT eestikeelseid reklaame? Vene k 75% reklaame, Eestit ei eksisteeri lihtsalt muu maailma jaoks, äärmisel juhul lastakse google translaatorist läbi- imestan et niigi palju vaeva nähtud....

Siin on ilmselt küsimus sinu seadmete seadistustes. Mina näen Youtubes vaheldumisi eestikeelseid ja ingliskeelseid reklaame. Venekeelseid ei ole veel kohanud.

_________________
twitter: @meelisv
Kommentaarid: 42 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 37
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004




sõnum 14.05.2024 12:27:48 vasta tsitaadiga

kevku kirjutas:
Riigiportaal (ja selle SSO) kasutab ainult web-eid.


Okidoki, sellepärast siis riigiportaali sisselogimine töötas, kui idukaardi 23.7 versiooni tarkvara IDEMIA AWP ühe kaardi serdi ära cache'is ja teise ID-kaardiga enam SEB netipanka sisselogimisel TLS-CCA ei töötanud ning DigiDoc näitas päises ühe kaardi andmeid ja allpool teise omi:

https://foorum.hinnavaatlus.ee/viewtopic.php?p=11425079#11425079

Ja näib, et esines teistel ka sedasama probleemi, nagu sealt altpoolt lugeda võib.

Ma ütleks, et see on suht porr lahendus, kui sulle konkreetsel veebilehel isegi ei öelda, et ID-kaardi kasutamisele vaatamata TLS-CCA-d ei kasutata ja oled MiTM ründele haavatav. thumbs_down.gif Igasugu nuhkijatele ja skämmeritele meeldib see muidugi väga.

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.


viimati muutis Dogbert 14.05.2024 13:38:53, muudetud 2 korda
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
Mnator
HV Guru

liitunud: 18.10.2007



Online

sõnum 14.05.2024 12:48:10 vasta tsitaadiga

ma miskipärast arvan, et see on nukkapidi seotud püüdlustega (teenuspakkujatele) roppkalli sId läbipressimistega, et seda loetaks Id-kaardiga võrdväärseks
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
Betamax
HV Guru
Betamax

liitunud: 29.05.2003



Autoriseeritud ID-kaardiga

sõnum 14.05.2024 13:31:20 vasta tsitaadiga

vortex kirjutas:
Vael kirjutas:

...Keele küsimus- kas keegi on näinud näiteks YT eestikeelseid reklaame? Vene k 75% reklaame, Eestit ei eksisteeri lihtsalt muu maailma jaoks, äärmisel juhul lastakse google translaatorist läbi- imestan et niigi palju vaeva nähtud....

Siin on ilmselt küsimus sinu seadmete seadistustes. Mina näen Youtubes vaheldumisi eestikeelseid ja ingliskeelseid reklaame. Venekeelseid ei ole veel kohanud.

Kui sisse ei logi, oled tibla Google'i jaoks ja näedki venekeelseid reklaame. Logid sisse ja kaovad ka venekeelsed reklaamid.
Kommentaarid: 693 loe/lisa Kasutajad arvavad:  :: 1 :: 1 :: 534
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004




sõnum 14.05.2024 13:49:01 vasta tsitaadiga

Mnator kirjutas:
ma miskipärast arvan, et see on nukkapidi seotud püüdlustega (teenuspakkujatele) roppkalli sId läbipressimistega, et seda loetaks Id-kaardiga võrdväärseks

Nõrgestame ID-kaardi turbeastet, et nõrgema taseme autentimismeetodid ID-kaardiga samaväärseks saaks nimetada? Nutikas skämm kõrgeimal tasemel.

E-hääletus ikka kasutab endiselt TLS-CCA-d või tehakse see autentimine ka ühepoolseks? Siis võib kohe EKRE e-häälte võltsimise protestiga liituda, sest hääled siis tõesti alluvad MiTM ründele.

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
Mnator
HV Guru

liitunud: 18.10.2007



Online

sõnum 14.05.2024 14:26:40 vasta tsitaadiga

Dogbert kirjutas:
Mnator kirjutas:
ma miskipärast arvan, et see on nukkapidi seotud püüdlustega (teenuspakkujatele) roppkalli sId läbipressimistega, et seda loetaks Id-kaardiga võrdväärseks

Nõrgestame ID-kaardi turbeastet, et nõrgema taseme autentimismeetodid ID-kaardiga samaväärseks saaks nimetada? Nutikas skämm kõrgeimal tasemel.

E-hääletus ikka kasutab endiselt TLS-CCA-d või tehakse see autentimine ka ühepoolseks? Siis võib kohe EKRE e-häälte võltsimise protestiga liituda, sest hääled siis tõesti alluvad MiTM ründele.
kui e-hääletusel lubatakse sId, kui palju võimalusi jääb?
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
Vael
HV Guru

liitunud: 17.03.2013




sõnum 14.05.2024 15:57:29 vasta tsitaadiga

Dogbert kirjutas:
Mnator kirjutas:
ma miskipärast arvan, et see on nukkapidi seotud püüdlustega (teenuspakkujatele) roppkalli sId läbipressimistega, et seda loetaks Id-kaardiga võrdväärseks

Nõrgestame ID-kaardi turbeastet, et nõrgema taseme autentimismeetodid ID-kaardiga samaväärseks saaks nimetada? Nutikas skämm kõrgeimal tasemel.

E-hääletus ikka kasutab endiselt TLS-CCA-d või tehakse see autentimine ka ühepoolseks? Siis võib kohe EKRE e-häälte võltsimise protestiga liituda, sest hääled siis tõesti alluvad MiTM ründele.

Word!

Siis ongi, et need "JWS küpsistega" saidid on sama nõrga turvatasemega?
Ja keegi sellest ei teavita ka, et nüüd peaks ettevaatlikum olema?( ma põhliselt ID kaart kasutand).
Ja kõik sellepärast, et ID haldajad on mitu korda vigase ver väljastand ja nüüd peaks kõik lihtsam ja paremini töötama?
Loodetavasti pangad hoiavad taset vähemalt, eesti portaalist nuhiti nagunii andmed kõik välja juba...
Kommentaarid: 17 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 16
tagasi üles
vaata kasutaja infot saada privaatsõnum
Dogbert
HV Guru
Dogbert

liitunud: 03.05.2004




sõnum 14.05.2024 17:05:57 vasta tsitaadiga

Mul ei tulnud kohe ette, et e-hääletusel ei kasutata brauserit, vaid selleks eraldi loodud äppi, millega ei saa kogemata avada liba-valimiste lehekülge, nagu saab brauseriga avada libapanga lehekülge või liba-riigiportaali kas siis skämmkirjas saadetud linki avades või peenemal juhul DNS serverit, kasutaja ruuterit või arvutit ära tinistades.

Valimiste äpp ühendub ikkagi ainult konkreetsel aadressil asuva kindla serveriga, millelt aktsepteeritakse vaid autentset sertifikaati, mis on äpile teada. Seega MiTM rünnet ei saa sel juhul läbi viia.

Minu viga.

Ründe võimaldamiseks peaks äpp olema kompromiteeritud.

Ma varem ei olegi mõelnud selle peale, et miks hääletuse jaoks seda äppi vaja on. Eks sellepärast ongi, et brauseri kasutamise puhul inimesi mingitele libalehtedele ei saaks meelitada. Äpp on selle välistamiseks.

_________________
Tee inimesele lõke ja tal on soe üheks päevaks, pista ta põlema ja tal on soe elu lõpuni. (Terry Pratchett)
e.k spikker: muhk on kumer, lohk on nõgus.
Kommentaarid: 33 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 32
tagasi üles
vaata kasutaja infot saada privaatsõnum
Mnator
HV Guru

liitunud: 18.10.2007



Online

sõnum 14.05.2024 17:22:49 vasta tsitaadiga

aga nagu oleks olnud juttu ka eraldi rakendusest loobumisest, et ikka igalt poolt hõlpsamini hääletama pääsetaks
või oli see vaid korraks jutt?
Kommentaarid: 1 loe/lisa Kasutajad arvavad:  :: 0 :: 0 :: 1
tagasi üles
vaata kasutaja infot saada privaatsõnum
näita postitusi alates eelmisest:   
uus teema   vasta Tarkvara »  Turvalisus »  SEB libakiri Smart-ID parooli saamiseks(häkkimine) mine lehele eelmine  1, 2, 3
[vaata eelmist teemat] [vaata järgmist teemat]
 lisa lemmikuks
näita foorumit:  
 ignoreeri teemat 
sa ei või postitada uusi teemasid siia foorumisse
sa ei või vastata selle foorumi teemadele
sa ei või muuta oma postitusi selles foorumis
sa ei või kustutada oma postitusi selles foorumis
sa ei või vastata küsitlustele selles foorumis
sa ei saa lisada manuseid selles foorumis
sa võid manuseid alla laadida selles foorumis



Hinnavaatlus ei vastuta foorumis tehtud postituste eest.