|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
| autor |
|
dinoboy
HV vaatleja
liitunud: 11.12.2002
|
25.01.2006 12:12:22
Java ja ID-kaart |
|
|
Nii, nimelt probleem selline, et on vaja teha id-kaardi põhine autetimine. Serverisse on SSL tugi ja sertifikaadid kõik ilusti ära paigaldatud ja autentimine iseenesest töötab. Aga probleem on just nimelt selles, et on vaja kätte saada andmed sertifikaadist (isikukood, nimi, rahvus jne).
Teooria järgi peaksid need kirja minema kuhugi serveri muutujatesse, aga ma ei tea väga täpselt, kuidas neid sealt kätte saada.
Kas ma peaksin tegema klassi, mis extendib HttpServleti ning sealt siis requesti kaudu peaks saama kätte selle sertifikaadi?
Või on selleks ka mõni muu alternatiivne meetod?
id.ee lehe peal oli kirjas ainult, kuidas saada neid andmeid serveri muutujatesse, kui tegemist on Apache serveriga. Mina aga kasutan Tomcat 4.1'te.
Igasugune abi on teretulnud
|
|
| tagasi üles |
|
 |
Le Inc
HV Guru
liitunud: 06.09.2002
|
|
08.06.2009 12:29:34
|
|
|
Põhimõtteliselt sama teema .. antud juhul Win XP + Apache 2.2.11 mod_ssl
Uurisin õpetust ID.ee lehelt ( http://www.id.ee/10736 ), sain asja "mingil määral" tööle. Nimelt kui kasutaja sisestab aadressi https://localhost hakkab nii explorer kui firefox kisama et tegu on mitte usaldusväärse sertifikaadiga jne. (The security certificate presented by this website was not issued by a trusted certificate authority. The security certificate presented by this website was issued for a different website's address.)
AGA kui kasutaja otsustab ikka edasi minna (Continue to this website (not recommended).) siis ta võtab ilusti akna ette ja küsib PIN1. Küsimus. Kuidas sellest vahepealsest "ehmatavast" osast lahti saada. Kuidas hansapank, elion jne. asja teevad?
Ilma minupoolse sertifikaadita Apache keeldub ennast käima vedamast!?
|
|
| Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
   |
:: |
0 :: |
0 :: |
54 |
|
| tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
|
08.06.2009 12:50:25
|
|
|
Peab olema tunnustatud sertifikaat. Selle saad kalli raha eest osta.
_________________
 |
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
Le Inc
HV Guru
liitunud: 06.09.2002
|
|
08.06.2009 13:32:02
|
|
|
| Mhm, näiteks gaas.ee lehel viskab kohe sinist kui ID-kaarti pole lugejas. Ehk küss ongi selles kuda Apache nii tööle saada et ta isegenereeritud sertifikaati ei nõuaks? Aga eks otsib edasi ..
|
|
| Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
54 |
|
| tagasi üles |
|
|
marqs
HV veteran
liitunud: 06.12.2001
|
|
08.06.2009 14:09:15
|
|
|
brrr.. ilma serdita ssl?
Ise loodust on ehk sammuke asisem http://www.startssl.com/ , väidetavalt on Firefoxil ka StartComi CA kaasas, ehk siis FF nende sertide peale kisama ei hakka.
_________________
0xDEAD
0xBEEF |
|
| Kommentaarid: 28 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
27 |
|
| tagasi üles |
|
|
Le Inc
HV Guru
liitunud: 06.09.2002
|
|
08.06.2009 15:01:05
|
|
|
| marqs kirjutas: |
brrr.. ilma serdita ssl?
Ise loodust on ehk sammuke asisem http://www.startssl.com/ , väidetavalt on Firefoxil ka StartComi CA kaasas, ehk siis FF nende sertide peale kisama ei hakka. |
Ilma ei saa jah .. müstika on see miks isegenereeritud serdi peale veebibrauserid sellist kisa teevad nagu tahaks keegi riiki pöörama hakata? Kindlasti oleks ka explorer'ile mingit asja vaja .. kasutajad ehmuvad ära kui sellist jama näevad ja pööravad otsa ümber 
|
|
| Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
54 |
|
| tagasi üles |
|
|
tanzanite
HV kasutaja
liitunud: 13.05.2006
|
|
08.06.2009 15:30:44
|
|
|
@LeInc:
Sest iseloodud serdi (loe: selline sert kus serdiketis on mingi sert mida klient ei usalda) väärtus on samaväärne serdi puudumisega - ehk sama hea kui seda serdijama vahepeal polekski.
|
|
| tagasi üles |
|
|
priitr
HV kasutaja
liitunud: 17.06.2004
|
|
08.06.2009 15:37:42
|
|
|
| Le Inc kirjutas: |
Ilma ei saa jah .. müstika on see miks isegenereeritud serdi peale veebibrauserid sellist kisa teevad nagu tahaks keegi riiki pöörama hakata? Kindlasti oleks ka explorer'ile mingit asja vaja .. kasutajad ehmuvad ära kui sellist jama näevad ja pööravad otsa ümber |
Kaak tekitab isegenereeritud sertifikaadi nimele www.swedbank.ee ja suunab sinu arvuti veebisirviku minema swedi asemel omaenese serveri peale. Sinu raha jääb alles ainult tänu kas ID-kaardiga autentimisele või siis brauseripoolsele sertifikaadi väljaandja kontrollimisele.
Sertifikaatide väljastamisel nende omanike õiguspärasuse kontroll on SSL'i turvalisuse tagamiseks hädavajalik ja möödapääsmatu ning CA'd peaksid olema pigem oluliselt hoolikamad ja mitte igale küsijale suvalisi sertifikaate väljastama. Samuti peaksid brauseritootjad olema _eriti_ ettevaatlikud uute usaldatavate CA'de lisamisel oma toodetesse.
_________________
Tšudes ne bõvajet. |
|
| Kommentaarid: 27 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
27 |
|
| tagasi üles |
|
|
inzinz
HV kasutaja
liitunud: 26.01.2005
|
|
08.06.2009 16:26:39
|
|
|
| tanzanite kirjutas: |
@LeInc:
Sest iseloodud serdi (loe: selline sert kus serdiketis on mingi sert mida klient ei usalda) väärtus on samaväärne serdi puudumisega - ehk sama hea kui seda serdijama vahepeal polekski. |
Tere talv, self-signed cert on sama mis cerdi puudumine ??? Allkirjastatud Java appleti korral võibolla peab isegi paika aga https lehe (ja muude krüpteeritud protokollide) puhul pole asi sugugi nii lihtsalt lahterdatav...
Cerdid on mõnevõrra targasti ja samas lollisti "2 in 1":
1) verifitseerivad et allkirjastaja on autenditud ja korrektne
2) https ja muude protokollide puhul krüpteerivad infot, muutes pealkuulamise võimatuks (olenemata sellest kas on self-signed või mingi CA poolt autenditud cert)!!!!
Kui mul on oma privaatne mailiserver self signed certiga ja seda kasutavad ka muud inimesed peale minu, siis vaatamata sellele et keegi CA pole certi kinnitanud, on ikkagi serveriga suhtlus turvaline ja pealtkuulamiskindel... Cerdi kinnitus CA poolt krüpteeritusele midagi otseselt juurde ei anna, peale selle et certiga saadetakse kaasa CA andmed ja kinnituse aste (extended verificationi rohelise riba jaoks).
Ilgelt tahaks aega kus krüpteerimine on identifiseerimisest eraldi tõstetud ja saab ilma suuri summasid kulutamata pakkuda veebilehe kasutajatele pealtkuulamiskindlat andmeedastust, ilma et browserid nii hullult röökima kukuksid, kuid samas saaks täiendavalt juurde pakkuda autentsuse kinnitust 
_________________
Upload.ee - eestimaine failiupload |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
4 |
|
| tagasi üles |
|
|
tanzanite
HV kasutaja
liitunud: 13.05.2006
|
|
08.06.2009 17:05:04
|
|
|
Kui sert pole usaldatav (ehk ketis on midagi mitteusaldatavat [usaldatavaks tunnistatud erandeid loeme loomulikult usaldatavaks - eeldades et usaldatavaks tunnitaja mitteusaldatavat usaldatavaks ei tunnistanud]) === plaintekst infovahetusega. Krüptimine does jack-shit nothing siinkohal. Period.
| inzinz kirjutas: |
| Kui mul on oma privaatne mailiserver self signed certiga ja seda kasutavad ka muud inimesed peale minu, siis vaatamata sellele et keegi CA pole certi kinnitanud, on ikkagi serveriga suhtlus turvaline ja pealtkuulamiskindel |
See on tõene AINULT siis kui sert on usaldatav e. ketis puuduvad mitteusaldatavad serdid.
Kuna mul hetkel kiire siis annan lingi pisut põhjalikumale selgitusele:
http://blog.johnath.com/2008/08/05/ssl-question-corner/
|
|
| tagasi üles |
|
|
inzinz
HV kasutaja
liitunud: 26.01.2005
|
|
08.06.2009 18:25:19
|
|
|
Kui ma acceptin browseris self signed certi, siis selle info (mitte ainult väljaandja ja domeeni nimi vaid ka public key) salvestatakse hoidlasse. Public key'ga võrreldakse saabunud infot, kontrollitakse kas on krüptitud korrektse privaatvõtmega (privaatvõtmega mis on ainult seal masinas, kus sa privaatvõtme ja self-signed certi tegid). Kui krüptitud on teise privaatvõtmega siis loetakse info vigaseks, kui pakutakse uut public võtit siis hoiatatakse üle et "signatuur on muutunud, kas jätkata".
Ma saan acceptida self-signed certi ühekordselt või jäädavalt ja see jäetakse meelde. Kui nüüd keegi mulle mingit muud jura vahele pritsib (kellegi enda genereeritud privaatvõtmega ja sellest tehtud self-signed certiga), siis browserid koheselt teavitavad cerdi muutusest...
Andmete krüpteering ja turvalisus säilib kuna pealtkuulajatel puudub ligi privaatvõtmele millest self-signed cert tehti, seega ei saa nad mingit infot kätte ega mingit valeinfot vahele süstida...
Krüpteeringul on suur osa privaatvõtmel, self-signed cert on kõigest avalik võti mis suudab tuvastada et andmed on krüpteeritud sellesama privaatvõtmega, mille kohta cert tehti...
EDIT: tsitaat sealtsamast lehelt
| tsitaat: |
| You add an exception, and assuming you make it permanent, Firefox will begin trusting that specific cert to identify that specific site. What's more, you'll now get the same protection as a CA signed cert - if you are attacked and someone tries to insert themselves between you and your webmail, the warning will come up again. |
Appleti allkirjastamise puhul self signed cert tõepoolest ei kinnita midagi (sellisel juhul eesmärk on isiku/allkirjastaja tuvastamiseks peamiselt). Põhimõttelise https/ssl jaoks on aga self-signed cert täiesti piisav ja krüpteeringu koha pealt sama turvaline kui CA signed cert ja jutt et self-signed cert on sama mis cerdi puudumine on lihtsalt väga laialt levinud MÜÜT.
_________________
Upload.ee - eestimaine failiupload |
|
| Kommentaarid: 4 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
4 |
|
| tagasi üles |
|
|
andrusny
Kreisi kasutaja
liitunud: 20.03.2006
|
|
| Kommentaarid: 7 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
7 |
|
| tagasi üles |
|
|
priitr
HV kasutaja
liitunud: 17.06.2004
|
|
08.06.2009 21:54:31
|
|
|
| inzinz kirjutas: |
Kui ma acceptin browseris self signed certi, siis selle info (mitte ainult väljaandja ja domeeni nimi vaid ka public key) salvestatakse hoidlasse. Public key'ga võrreldakse saabunud infot, kontrollitakse kas on krüptitud korrektse privaatvõtmega (privaatvõtmega mis on ainult seal masinas, kus sa privaatvõtme ja self-signed certi tegid). Kui krüptitud on teise privaatvõtmega siis loetakse info vigaseks, kui pakutakse uut public võtit siis hoiatatakse üle et "signatuur on muutunud, kas jätkata".
|
Nojah, eks sa siis aktsepteeridki lihtsalt veel ühe CA. Tee see siis kõigi kasutajate jaoks ära ja looda, et sa _tõepoolest_ ikka õige veebisaidi sertifikaadi salvestasid. Mida sa siis õigupoolest kurdad?
| inzinz kirjutas: |
Põhimõttelise https/ssl jaoks on aga self-signed cert täiesti piisav ja krüpteeringu koha pealt sama turvaline kui CA signed cert ja jutt et self-signed cert on sama mis cerdi puudumine on lihtsalt väga laialt levinud MÜÜT. |
Kellegi suvalise sertifikaadi korral ei saa sa kindel olla, et sinu krüptokanal ikka sinna läheb, kuhu sa mõtled teda minevat. Mõnes mõttes on suvalised sertifikaadid vähemturvalised, kui lahtine tekst - nad võivad kasutajatele luua petliku kindlustunde oma tundliku info edastamiseks sinna, kuhu see mitte ei peaks sattuma.
_________________
Tšudes ne bõvajet. |
|
| Kommentaarid: 27 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
27 |
|
| tagasi üles |
|
|
Le Inc
HV Guru
liitunud: 06.09.2002
|
|
09.06.2009 07:45:45
|
|
|
Tänud, väga ülevaatlik asi. 
|
|
| Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
54 |
|
| tagasi üles |
|
|
tanzanite
HV kasutaja
liitunud: 13.05.2006
|
|
09.06.2009 11:29:02
|
|
|
| inzinz kirjutas: |
| Kui ma acceptin browseris self signed certi, ... |
Ehk tunnistad setri usaldatavaks. Kui ei eksinud siis teeb see sama välja nagu tip-top sert - kui eksisid siis lendas kogu turvalisus prügikasti. Pole väitnud vastupidist. Need kaks varianti pole accepti ajal eristatavad ja seega cert ei anna turvalisust.
| inzinz kirjutas: |
| self-signed cert on sama mis cerdi puudumine on lihtsalt väga laialt levinud MÜÜT. |
Oeh. Self-signed or not pole probleemiks - probleemiks on usalduseketi loomine. Näiteks meil on intranetis kasutusel self-signed sert ja usalduskett luuakse läbi kasutajatoe kes arvuteid püsti pannes impordib ka serti kui seda juba polnud (kloonil on reeglina vajalik juba olemas - vähemalt minuteada). Kui mingit kaudu seda usaldusketti lehe külastusele eelnevalt loodud pole siis asi sama hea kui seda serdi jama polekski - mingit turvalisust ta ei anna.
|
|
| tagasi üles |
|
|
Le Inc
HV Guru
liitunud: 06.09.2002
|
|
09.06.2009 11:52:55
|
|
|
| Kui võtan ID kaardi autentimise ette ostab aksepteeritud serdi ära .. ~1000.- kr aastas pole hullu maksta. Ma vaatasin et mõnedes pakettides värvitakse aadressi riba ka roheliseks, aga selle eest muidugi küsitakse natuke rohkem ka.
|
|
| Kommentaarid: 56 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
54 |
|
| tagasi üles |
|
|
Vermon
Kreisi kasutaja
liitunud: 04.12.2003
|
|
| Kommentaarid: 14 loe/lisa |
Kasutajad arvavad: |
|
:: |
1 :: |
0 :: |
12 |
|
| tagasi üles |
|
|
|
:: KKK
:: otsing 
:: statistika
:: kasutajate nimekiri
:: kasutajate grupid
:: registreeri
teata moderaatorile
