Wis Certifikát Tak jsem přemýšlel, proč vlastně FIT (na jiných fakultách neznám podmínky) má self-signed certifikát (prakticky jej podepisuje "nedůvěryhodná" certifikační autorita). Nevypadá divně, když první, co student musí udělat, je přidat vyjímku do prohlížeče? Proč má fakulta *informačních technologií* být prezentována tak, že sice se v několika předmětech o bezpečnosti webové komunikace učíme, ale následně je nevyužíváme naplno? Nemluvě o tom, že osobně s tím mám na svém telefonu Lumia a prohlížeči Edge problémy (ano, zde se mi dá vysmát, ale normálně ověřený certifikát problémy nedělá). Nebylo by tedy vhodné využít nějaké ověřené certifikační autority? Či to školu stojí moc peněz?.. PS: Omlouvám se, pokud bych měl spíše zařadit do Teambuildingu a též za některé možné nepřesnosti.
Není self-signed, je od ca.vutbr.cz. I do windows phone lze nahrát kořenový certifikát a bude pokoj.
Což je ve výsledku self-signed.. Ve smyslu, že ca.vutbr.cz není důvěryhodná certifikační autorita, pro většinu prohlížečů, bez importu certifikátu
Když už chci rýpat do bezpečnosti, tak bych měl rozlišovat self-signed a podepsaný CA, která není ve většině systémů z výroby důvěryhodná ;)
Tak jasný, nepřesnosti říkám budou no :) řeším hlavně výsledek, terminologii nechme stranou.. Neb, tbh, bezpečnost nikdy nebyla moje silná stránka
například cesnet vydává důvěryhodný certifikáty pro univerzitní účely (projekty na fakultách atp.) zadarmo, takže by určitě nebyl problém pro FIT si nějakej opatřit taky... ale tak nějak to zapadá do toho jak to na FITu chodí
I kdyby ten certifikát dříve kupovali, tak to není hrozná částka. Teď tu máme Let's encrypt a to už je naprostá pohoda.
:D taky jsem nad tim vzdy premyslel... chce to zjistit
To řešení je poměrně staré a nejspíš podle zásady "Nehrabej do něčeho, co funguje" se s tím už dlouho nic nedělalo. Nicméně výsledek je důležitý - spojení je bezpečně šifrované.
Zobrazit všechny odpovědi (4)
Není bezpečně šifrované, protože úplně každý koho znám je naučen u fitu u všeho odklikávat výjimky a to pak můžeš ukázkově dělat man-in-the-middle
man in the middle, ti je k ničemu pokud nepoužiješ ssl strip... jinak jsou data stejně nečitelná. navíc jak by si mohl být man in the middle na školní síti pokud se nedostaneš ke switchy který propojuje ty AP na učebnách.
na serveru si vygeneruju self-signed certifikat, necham ho naslouchat na dana domenova jmena a bude jen zaznamenavat http hlavicky, request pak preposle na servery fitu a odpoved vrati uzivateli. Nemusi to byt nutne utok pres vut ap, ale kdekoliv jinde. Na firewallu nastavi prepis originalni ip na svou a tu by pokud se nepletu nemelo zabranit dnssec, protoze klient si mysli ze komunikuje s originalni ip. Tohle pak muze v urcitem rozsahu udelat nekdo kdo ziska pristup k sitovym prvkum kdekoliv. I treba kdybych chtel, tak to muzu v praci behem 15 minut nahrat do desitek (uz asi stovek) wifi ap v hospodach, kavarnach, hotelich i vs
Alexej Ivanovič Skål: Nesnaž se mít za každou cenu pravdu. Jakékoliv šifrování na světě je k ničemu, když ti uživatel klikne na "Přidat vyjímku". Že jsou fiťáci většinou špatně líní a něž by za dvě minuty přidali certifikát, tak raději pět let klikají denně na "Ano, povolit vyjímku" nebo hůř "přidat trvale", to nemá s bezpečností šifrovaného spojení nic společného. Tvůj druhý argument v jednom souvětí: "Když se dostaneš s právy roota na všechny bezpečnostní fičury na serverech FITu, můžeš odchytávat provoz připojených studentů." A návodů na podobné útoky jsou plné přednášky IPK a ISA. Ani nemusíme vynalézat kolo.
Za měsíc ten aktuální "vyprší", tak možná by nebylo špatně se zkusit zeptat oficiální cestou :)
Logicky vzato, fakulta a teda nie tak obycajna ale IT fakulta je myslim si celkom doveryhodne uz samo o sebe z pohladu ludskeho uvazenia. To ze ten certifikat nie je overeny nejakou globalnou/velkou autoritou nie je az take dolezite (jedine velke riziko by mohlo byt smerujuce zvnutra = podvrhnutie certifikatu zverejnenim, comu neverim ze by sa na FITe stalo) a jedina nevyhoda toho celeho je to otravne odklikavanie povolenia certifikatu. Nemyslim si ze tu nieco velmi hrozi a este som ani nepocul ze by nejake akcie typu MITM sa niekedy aj uspesne uskutocnili.
Zobrazit všechny odpovědi (8)
Mozna nesu spatne zpravy, ale staci jedno male MITM a zabezpeceni jde do kelu. Dokonce i kdyz se tomu budu snazit vyhnout a nainstaluju si certifikat CA VUT, tak nemam nic jiste, protoze jedina cesta, jak jej ziskat, je pres nezabezpecene HTTP.
Nebo pred odkliknutim kontrolujes, jestli ten certifikat neni podvrzeny?
MITM nie je vobec jednoduche urobit. Na skole to nedas reps uspesnost na pocet zariadeni by bola asi dost slaba ku "korenom" siete sa nedostanes a na kolejich tiez nie. MITM si vyzaduje aby si mal ultra rychle zariadenie a robil rychlejsie odpovede ako skutocne alebo realne obet odizolujes a v podstate si nieco ako router co je podla mna v tomto pripade takmer nemozne. A s tym rychlym zariadenim no pozrel by som si kde by si take zohnal co by konkurovalo tym masinam co su na kolejich alebo na skole. A nie nikto nekontroluje nic este som nevidel ze by niekto co i len otvoril popis certifikatu dobrovolne :D Ja medzi nich patrim tiez
Najdi si napr. wifi pineapple. Utoci na to, ze spousta zarizeni kolem sebe hulaka "neni tady nahodou sit KFC? McDonalds?" a Pineapple rekne "ano, pripoj se ke mne". V tu chvili jde cely provoz pres tebe a muzes si delat co chces. Jednoduse uskutecnitelne kdekoliv, i na FITu.
J ale asi by ti to nepreslo, dosli by ti nato velmi rychlo neviem si predstavit ako by si takymto sposobom odizoloval tych co uz certifikat maju od tych co ho este nemaju. Stale toto je utok potencialne uspesny iba na obetiach ktore certifikat este nemaju a to nie je 100% v skutocnom prostredi nikdy.
Ja nepotrebuju, aby meli muj korenovy certifikat. Staci jim podvrhnout jakykoliv pri pristupu na konkretni stranku, vsak tu vyzvu odkliknou bez cteni. Spousta lidi by to byla schopna odkliknout i na google.com
No a preto sa odporuca vsade kde su loginy aby si ludia pridali nie certifikat ale CA napriamo do trusted. Mac to napr robi automaticky nemusim nic stahovat proste sa ma opyta je toto trusted dam ano vybavene. Na win a mozno aj dalsich platformach je to o trochu tazsie. Kazdopadne netvrdim ze cesta nie je len si nemyslim ze aj keby bola tak by tym v nasom pripade konkretne niekto nieco ziskal. To by bol uz tento problem davno rieseny
A samozrejme ze ak si niekto prida CA a napriek tomu mu vyhodi ze je neplatny certifikat tak to uz sa bavime na IT skole asi trosku o ignoracii az nevedomosti.
IW1 Certifikát Neví někdo, jak to s tím je? Na internetech jaksi nemůžu najít žádné info, co kdy jak proč a jestli vůbec můžu zajištovat... :)
máš to na wiki IW1 http://www.fit.vutbr.cz/study/courses/IW1/public/info/doku.php?id=mcp
jo, to jsem viděl...můžu rát, že je to aktuální info? přecejenom je tam "uznávané MCP zkoušky pro akademický rok 2013/2014"
tak nahoře je poznámka kdo to zastřešuje od 1.1.2015, na přednáškách říkal že ty MCP 70-687 a 70-688 by měli brát že se nic nezměnilo... kdybys to chtěl na jistotu tak napiš mail Fiedorovi, určitě ti řekne víc...
no já a přednášky...no... :D díky moc :D ... má tu s tím někdo zkušenosti? jak ej to složité na zařízení, jaký je výběr co se týče termínů a tak? :D
k termínům : pc dir ti umožnuje třeba jenom středy ... :) MCP na 687 není tak těžký, ale je třeba se připravit, a i na to co sis na cvikách nevyzkoušel
registrace pod personVUE se dá i navázat na LIVE account jinak odkaz tu : http://www.fit.vutbr.cz/study/courses/IW1/public/info/lib/exe/fetch.php?media=mcp:postup_registrace_na_studentskou_mcp_zkousku_u_pearson_vue.pdf
jak Fiedor, tak cvičící často opakují, že je lehčí jak normální zkouška
tak to bych třeba netvrdil ... :) jsou tam dost zákeřný otázky na hyper-v třeba a kompatibilitu
CERTIFIKÁT MAC Ahojte :), je tu někdo, kdo používá Mac a dostane se ze Safari na cas.fit.vutbr.cz? ;) Já mám problém s certifikátem a vůbec mě to tam nepustí.. Stránka prý používá zastaralé šifrování. Dělá vám to taky? :) //Školní certifikát mám, wis funguje bez problému a když odkaz otevřu v chromu, tak to jde.
http://cas.fit.vutbr.cz/
jo mne to tiež nejde
Tak se mi to nějak podařilo. Otevři klíčenku (Keychain Access.app) a smaž "http://cas.fit.vutbt.cz/" (druh: předvolba identity). Jdi na cas.fit.vutbr.cz a u tohodle dialogu: http://i.imgur.com/dhTEONF.png klikej vždy na ZRUŠIT (budeš muset vždy po restartu Safari). Ještě se zobrazuje jeden dialog - http://i.imgur.com/iWX65Rd.png. Tam klikni na "Zobrazit certifikát", zaškrtni "Vždy důvěřovat..." a dej pokračovat. Druhá možnost je nepoužívat Safari :)
Marek Remmy Radošinský Díky :), ale když u druhýho certifikátu zaškrknu vždy důvěřovat, přidá se do klíčenky, ale na stránky už mě nepustí... :/ :D Hold by by Safari.. :( :D
Zdravím, ted jsem řešil tento problém taky. Na těchto stránkách jsem našel odpověd. http://support.zcu.cz/index.php/Přihlášen%C3%AD_ke_službám_ZČU_v_Safari
Mne to nejde vobec židným spôsobom. Chodím tam cez chrome
certifikát Ahoj, nevíte někdo jak a kde si nechat uznat certifikát z AJ? Psal jsem si s panem Essysletem ale moc jsem to nepochopil :/ Díky
Napis mail na baumgara@feec.vutbr.cz ze kedy to mozes ist odovzdat. A "musíte mít ověřený certifikát a předvyplněnou, vytištěnou žádost(stránky FIT, ing.Eysselt)"
Pan Ess píše krásně, pokaždé si s ním krásně popovídám... ale ve skutečnosti se nikdy nic nedozvím :D
vedel mi niekto poradit kde najdem tu ziadost?, akosi ju na stranke ing. Eysselta nevidim :/...
Pošlu Ti to ;)
Karel Jiránek mozes to poslat aj mne? dik
Prosim ta, poslal by si aj mne, lebo akurat Essysletova stranka nefunguje...
asi by jsi to měl postnout sem... :D
http://www.stud.fit.vutbr.cz/~xbenom01/files.html Edit: dával som to tam pred rokom hádam sa to nezmenilo
certifikat Kto si z vas uz bol uznat certifikat z anglictiny? Pripadne neviete ci niekde nie je vzor ziadosti o uznanie cerifikatu? Pretoze ked som mailoval Pani Baugartnerova ma odkazala na nekonkretnu smernicu...
kdyz si v tehle skupine kliknes na soubory, je tam
diky moc :)
erste jedna oztazka :D treba tam doplnit ze: predmet z drivejsiho studia na, tam mam dat nieco ako British Council alebo Camebridge University? :D a ked tam mam dopnit tych par udajov o predmete, je to zas to iste, nebol nejaky predmet z inej skoly, jednoducho som si spravil certifikat, co ste tam davali vy?
jo, tak to by me taky zajimalo... mam vysvedceni a teda nevim, co tam psat na misto poctu kreditu, nebo garanta.. napis to tam tak, jak si myslis, ze by to melo byt a kdyztak ti rekne, at s tim prijdes znovu =|
no skusit to mozem