Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
said
HV vaatleja
liitunud: 16.03.2005
|
29.06.2009 08:26:38
HV sertifikaadist ja selle usaldusväärsusest |
|
|
https://web.hinnavaatlus.ee suunas pöördudes ilmnes paar ebameeldivat probleemi.
a) sertifikaat aegus 20.05.2009,
b) sertifikaadi common name on hinnavaatlus.ee, mitte web.hinnavaatlus.ee
c) tegemist on endapoolt allkirjastatud sertifikaadiga.
Tulemuseks ebausaldusväärne leht, mille puhul pole üldse selge, mida antud lehega taotletakse, sest juhul kui leht, millega usaldust tõestetakse peaks siiski ka ise usaldatav olema, mitte kasutama ausõna baasil väljaantud valeidentiteeti.
|
|
Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
tagasi üles |
|
|
voyager_est
HV Guru
liitunud: 02.11.2002
|
29.06.2009 09:36:13
|
|
|
Anna andeks, aga ma ei näe mingit põhjust, miks peaks kasutama mingit tasulist sertifitseerimise teenust.
Pole see mingilgi määral usaldusväärsem, kui HV enda loodud sertifikaadid.
HV defineerib oma identiteedi ikka ise ja võib vabalt ka endale sertifikaadi välja anda.
Kui sulle muidu HV on usaldusväärne, siis jääb arusaamatuks, mis probleem selle HV kodukootud sertifikaadiga on?
|
|
Kommentaarid: 74 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
66 |
|
tagasi üles |
|
|
said
HV vaatleja
liitunud: 16.03.2005
|
29.06.2009 14:59:56
|
|
|
Huvitav, et viimane punkt loetelust äramärkimist leidis, pigem on mul kõigepealt küsimus aegumise ja common name mitteklappimisega.
Loomulikult võiks ma saada ka HinnaVaatluse CA sertifikaadi, et kontollida, kas on ikka tegu HinnaVaatluse sertfikaadiga, mida mulle pakutakse.
Kogu teema idee on sellest, et äkki teeb keegi mulle näituseks tünga ja korjab minu isikuandmeid sedasi kenasti kokku, kuigi mina ausa kodanikuna tahaksin kõnealuses keskkonnas tevitada, et ma olen päriselt ka olemas.
|
|
Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
29.06.2009 15:35:05
|
|
|
said, sertifikaadi uuendamise/pikendamise teeme tänase päeva jooksul.
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
nevermind
HV Guru
liitunud: 01.10.2001
|
29.06.2009 15:48:07
|
|
|
said äkki selgitad, kuidas sa enda jaoks garanteerid, et CA poolt ostetud sertifikaatidega sait ei kogu sinu tundlikke andmeid ning ei tee nendega miskit pahandust.
vähemalt minul küll sellist turvatunnet ei teki ainult teadmisest, et saidi omanik on mõnesaja dollariga CA serdi ostnud...
_________________ AHV ei tea, mis AHV teeb |
|
Kommentaarid: 63 loe/lisa |
Kasutajad arvavad: |
|
:: |
2 :: |
1 :: |
57 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
29.06.2009 15:55:02
|
|
|
tsitaat: |
mõnesaja dollariga CA serdi ostnud
|
aga siis tekib nurin, et miks nii nõrga krüpteeringuga
tugevama krüpteeringuga maksab aga tuhandeid dollareid
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
3GHZ
HV kasutaja
liitunud: 29.02.2008
|
29.06.2009 16:03:06
|
|
|
tsitaat: |
tugevama krüpteeringuga maksab aga tuhandeid dollareid
|
Mis Eesti rahas maksab kümneid tuhandeid.
_________________ Eesti vanarahvatarkus: S*tu ruttu, karu tuleb! Kui ei s*tu, karu pureb! |
|
Kommentaarid: 6 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
6 |
|
tagasi üles |
|
|
said
HV vaatleja
liitunud: 16.03.2005
|
01.07.2009 00:25:35
|
|
|
Oh teid, mina räägin lehe tuvastamisest, teie rahast.
Ega siis SSL ainult krüpteerimise jaoks ole, mida näiteks Riigiteataja puhul oleks tarvis krüpteerida? Samas huvitaval kombel suunatakse kasutajad plõksti krüpteerimata ühenduselt ümber krüptitud ühendusele.
Põhjus väga lihtne, vajadus tuvastada, kas ma ikka räägin õige serveriga või mitte ja lihtsuse mõttes on sinan paigaldatud sertifikaat, mille tuvastamiseks kõik vajalik on igal kaunil ja heal arvutikasutajalbrauseriga kaasas. Seega, kui pöörduda tagasi raha juurde, siis on raha eest ostetud sertifikaat selline indulgentsi moodi asi - hingeõnnistus läbi poetatud kopika, aga see pole ikkagi minu point. kui tehakse veebileht, mis peaks viimasel ajal arulagedalt kurja AKI arvates väga tundlike (khm) isikuandmeid töötlema, siis peaks ta olema piisavalt tuvatatav.
Antud juhul sai kes iganes ja mida iganes mulle serveerida ning mul polnud mingit võimalust otsustada kas ma ikka rääggin õige serveriga. Samas on õnneks krüptospetsialistid vaeva näinud ja surunud läbi selle, et vaikimisi ei ole krüpto vaid krüpto pärast vaid esmatähtis on ikkagi see kas klient üldse usaldab serverit või mitte, mis omakorda seab nõudmised serverile kolmes punktis a) sertifikaadi vastavust peab saama kontrollida (CA avaliku sertifikaadiga võrdlemine), b) antud juhul peab CN vastama hosti nimele ja c) sertifikaat peab olema kehtiv, vastasel juhul saadab klientprogramm käesurumise kurele ja küsib tihendilt rooli ja tooli vahel, et kas too on ikka endas kindel. Kahe viimase punktiga pole mingit probleemi, esimesega on kaks varianti, kas indulgents või siis oma "volituste" levitamine kasutajatele ja viimasega minuteada ei kaasne mingit probleemi kangastuvate kümnete tuhandetega.
|
|
Kommentaarid: 10 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
10 |
|
tagasi üles |
|
|
KillerXP
HV Guru
liitunud: 18.11.2002
|
01.07.2009 00:37:37
|
|
|
tegelikult juhtisin sellele tähelepanu juba varem LINK
Praegu vaadates on sert kenasti uuendatud kuniks 29.06.2010 12:40:00 GMT ja asi ilusam... Ok tõepoolest kurdab, et tegu on self signed certiga kuid ma ei näe põhjust miks mitte HV-d ja Tanelit usaldada.
|
|
Kommentaarid: 86 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
1 :: |
81 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
01.07.2009 00:41:03
|
|
|
said, point on nüüd selles, kas usaldad meid või mitte, mingeid paarituhande dollariliseid sertifikaate üksikute kasutajate pärast me kindlasti soetama ei hakka
HV sertifikaadid on konkreetselt seotud meile kuuluvate serveritega ning on meie enda poolt välja antud, küsimus on vaid usalduses ja/või kahtluses, mida tasulise serdi ost kindlasti ei kõrdalda.
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
secrgb
HV vaatleja
liitunud: 06.11.2003
|
29.04.2015 12:40:24
|
|
|
Kes vana asja meelde tuletab ...
Kas on SSL rakendamise plaanides selgust saadud?
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
11 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
secrgb
HV vaatleja
liitunud: 06.11.2003
|
01.12.2015 17:09:17
|
|
|
Ma ikka vingun selle pisiasja (SSL) kallal aga aasta hakkab otsa saama.
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
11 |
|
tagasi üles |
|
|
Dirty Harry
HV Guru
liitunud: 05.09.2002
|
|
Kommentaarid: 177 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
1 :: |
143 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
01.12.2015 20:41:27
|
|
|
HV SSL serdid on juba novembris ostetud, lähevad järgmisel aastal uue HV platvormiga käiku.
Kannatust palun, kui tõesti praegust HinnaVaatlust ja HinnaVaatluse foorumit ei usalda
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
Pailaps
HV Guru
liitunud: 13.05.2004
|
|
Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
52 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
Pailaps
HV Guru
liitunud: 13.05.2004
|
01.12.2015 20:49:14
|
|
|
Tanel kirjutas: |
Pailaps, sa mu eelmist postitust jõudsid lugeda? |
Postitasin peaaegu samal ajal, kui jõudsid kirjutada Mu õpetuse saab äkitse kuskile vajalikku kopeerida. Mõnel HV.ee kasutajal võib vaja minna.
_________________ Ma trollin 50% oma postitustest. |
|
Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
52 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
secrgb
HV vaatleja
liitunud: 06.11.2003
|
02.12.2015 07:39:03
|
|
|
Pigem olen see vastik turvateadlik nohkar, kes ei tahaks oma andmeid niisama lihtsalt levitada.
|
|
Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
11 |
|
tagasi üles |
|
|
wapper
HV kasutaja
liitunud: 08.09.2003
|
09.03.2017 11:06:29
|
|
|
Kuulge mis juhtus HV SSL-ga? URLi realt vahib vastu "pole turvaline".
Paroolid postitakse lahtisel kujul üle võrgu, see on ju suur jama.
HVs on inimestel kontodel raha, inimesed autendivad end ID kaardiga aga ühendus on krüpteerimata. Aiaiai ebasoliidne
|
|
Kommentaarid: 86 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
84 |
|
tagasi üles |
|
|
pppd
Kreisi kasutaja
liitunud: 21.06.2004
|
09.03.2017 12:56:00
|
|
|
Tanel kirjutas: |
Postitatud: 01.12.2015 19:41
SSL serdid on juba novembris ostetud, lähevad järgmisel aastal uue HV platvormiga käiku. |
Küsimus pole usalduses, küsimus on elementaarses turvas. Ja nüüd on juba brauserid ka lõugama hakanud, kui lehed paroole üle plain HTTP peaks saatma.
|
|
Kommentaarid: 3 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
3 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
09.03.2017 13:27:37
|
|
|
tsitaat: |
HVs on inimestel kontodel raha
|
ei ole raha, on HV-teenused, nagu krediit ja Vaba Mikrofon postitusõigused, ja neid kuhugi kanda ei saa (HV teenused on ja jäävad seotuks kindla kasutajakontoga)
tsitaat: |
inimesed autendivad end ID kaardiga aga ühendus on krüpteerimata
|
Paluks mitte lahmida, ID-autentimine aadressil https://web.hinnavaatlus.ee/ on krüptitud
pppd, paraku IT-maailmas asjad võtavad tihti plaanitust rohkem aega ja ka HV pole kahjuks erand.
HV foorum on senisel kujul toimetanud aastast 2001 ja pole siiani teadaolevalt ühtegi turvaintsidenti. Paraku polnud senist platvormi ilma suurema muudatuseta võimalik üle viia SSL peale.
Uus HV platvorm on aga täies mahus krüptitud, aga selle LIVE'i minek võtab veel natuke aega.
Test (koostöös arendusfirmaga URL OÜ) on nähtaval: https://test.hv.ee/
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
ufo56
HV Guru
liitunud: 18.11.2004
|
09.03.2017 13:47:03
|
|
|
tasuta https://letsencrypt.org/ asi olemas ja ei kasuta see url.ee ega test.hv.ee seda, raske on siis paar minutit kulutada ja normaalne sert panna ilma et peaks erroreid nägema ?
_________________ Lae pildid -> pilt.io |
|
Kommentaarid: 77 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
66 |
|
tagasi üles |
|
|
Tanel
HV Guru
liitunud: 01.10.2001
|
09.03.2017 14:04:49
|
|
|
ufo56, sert on juba olemas ja tuleb LIVE's.
EDIT: ehh krt, testikeskkonna sert sai täna just läbi
Saab ehk varsti korda, annan siin teada.
_________________ HV valuutakalkulaator |
|
Kommentaarid: 461 loe/lisa |
Kasutajad arvavad: |
|
:: |
12 :: |
7 :: |
356 |
|
tagasi üles |
|
|
|