tag:blogger.com,1999:blog-7356544064668922882.post8142595223405578274..comments2024-02-23T20:51:49.871+02:00Comments on Bittimittari: Varmennetietojen piilottaminen karhunpalvelus tietoturvallePetteri Järvinenhttp://www.blogger.com/profile/08190899459274223616noreply@blogger.comBlogger4125tag:blogger.com,1999:blog-7356544064668922882.post-20869492687812027082017-04-21T14:59:20.046+03:002017-04-21T14:59:20.046+03:00Olisiko NSA ohjeistanut Googlea?Olisiko NSA ohjeistanut Googlea?Khttps://www.blogger.com/profile/15663030949959579879noreply@blogger.comtag:blogger.com,1999:blog-7356544064668922882.post-61819229284648320482017-04-21T14:46:21.501+03:002017-04-21T14:46:21.501+03:00Joo, tuntuu tosi oudolta. Googlen tietoturvaporukk...Joo, tuntuu tosi oudolta. Googlen tietoturvaporukka on kyllä erittäin hyvin perillä varmenteiden ongelmista. Ilmeisesti kuitenkin tämän piilottamisen suunnitelleet käyttöliittymäasiantuntijat eivät ole tietoisia näistä kysymyksistä. Ison firman tuotekehitysongelmia.Anonymousnoreply@blogger.comtag:blogger.com,1999:blog-7356544064668922882.post-41716349055998155402017-04-21T08:13:45.713+03:002017-04-21T08:13:45.713+03:00Juuri tästä syystä varmenteen tiedot pitäisi olla ...Juuri tästä syystä varmenteen tiedot pitäisi olla helposti tarkistettavissa. En voi käsittää, miksi Google on piilottanut (sanotaan suoraan näin, koska niitä ei löydä ellei tiedä mistä hakea!) tietojen näyttämisen. Petteri Järvinenhttps://www.blogger.com/profile/08190899459274223616noreply@blogger.comtag:blogger.com,1999:blog-7356544064668922882.post-68833745534143443802017-04-20T19:51:51.207+03:002017-04-20T19:51:51.207+03:00Jos käyttää työpaikalta https palveluita eli SSL&#...Jos käyttää työpaikalta https palveluita eli SSL'ää (kuten esim. pankkipalveluita), josta P.J. edellä puhuu, on mahdollista, että palomuuri avaa ja taas salaa liikenteen uudestaan etsiäkseen vaarallisia web-sivuja yms. Tämä paljastuu, jos käyttäjä pystyy tarkastamaan varmenteen myöntäjän - se on tällöin yrityksen tai palomuurivalmistajan oma juurivarmenne, joka on asennettu käyttäjän koneelle. <br /><br />Jos vierailee ulkomailla valtiossa, joka harrastaa laajaa verkkotiedustelua, ei asiaa välttämättä huomaa lainkaan. Valtiot voivat nimittäin pakottaa omalla alueellaan toimivan Certificate Authorityn (eli varmenteen myöntäjä organisaation eli yrityksen) kirjoittamaan toiset varmenteet niille verkkosivuille, joiden kävijöitä halutaan tarkkailla.<br /><br />Joitakin viikkoja sitten paljastuneissa CIA'n ohjeissa heidän viruskirjoittajilleen todetaan: 'DO NOT solely rely on SSL/TLS to secure data in transit. Numerous man-in-middle attack vectors and publicly disclosed flaws in the protocol.' Viruskirjoittajia ohjeistetaan käyttämään kahta kryptausta, joista uloin kerros on SSL. 'Because this outer layer may be decrypted by an attacker (e.g., SSL Man-in-the-Middle) any transport encryption must be used for traffic blending only and not for secrecy.' Uloin SSL kerros on siis tarkoitettu vain hämäämään tarkkailijaa, joka etsii epänormaalia verkkoliikennettä - varsinaisen salauksen tekee siis CIAn viruksen sisin salauskerros.Anonymousnoreply@blogger.com