Ciągle nie możemy się zdecydować, czy wpis ten umieścić w kategorii FunSec czy też raczej TerribleSec. Twórcy dystrybucji Linuksa Manjaro zapomnieli zaktualizować certyfikat SSL. W związku z tym, zamiast po prostu ekspresowo kupić i zainstalować nowy, wydali następującą rekomendację dla użytkowników:
Rekomendacja dla użytkowników
Tak, użytkownicy mogą rozwiązać problem przestawiając zegar systemowy. Brakuje tylko wskazówki, by wpisać to polecenie do crona.
Komentarze
TerribleSec
Śmiechłem mocno…
Zapomnieli o sudo /etc/init.d/ntp stop
Ja otrzymalem w zeszlym tygodniu od Deutsche Banku taka odpowiedz po tym, jak zglosilem, ze na stronie https://ebank.db-pbc.pl/auth/login.jsp wchodzac przez firefox-a nie mozna zweryfikowac wlasciciela certyfikatu:
„(…)
Uprzejmie informujemy, że przedstawiony przez Pana problem jest nam znany. Ponownie informujemy, że dokładamy wszelkich starań, aby nasze zabezpieczenia były zgodne z najnowszymi standardami i dostosowane do zmieniających się wersji oprogramowania przeglądarek internetowych.
Niemniej dziękujemy za czujność z Pana strony i zapewniamy, że logowanie na stronie internetowej Banku jest jak najbardziej bezpiecznie.
Jednocześnie dziękujemy Pana za uwagi dotyczące działań naszego Banku. W ten sposób dowiadujemy się od Klientów, czego od nas oczekują, przez co możemy zastanawiać się nad ulepszeniami w tych kierunkach.
W przypadku dodatkowych pytań prosimy o kontakt z całodobowym Teleserwisem pod numerem +48 12 625 80 00 lub 801 18 18 18. (…)
(…)Klienci Banku korzystający z najnowszej wersji oprogramowania przeglądarki Mozilla Firefox, mogą zetknąć się z komunikatem ostrzegającym o rzekomym niskim stopniu bezpieczeństwa połączenia ze stroną logowania do systemów bankowości elektronicznej.
Pragniemy Pana zapewnić, że w przypadku Deutsche Bank Polska wszystkie elementy serwisu bankowości elektronicznej db easyNET są szyfrowane i wysoce bezpieczne.
Dokładamy wszelkich starań, aby nasze zabezpieczenia były zgodne z najnowszymi standardami i dostosowane do zmieniających się wersji oprogramowania przeglądarek internetowych. W związku z tym w najbliższym czasie Bank wdroży kolejne, nowe certyfikaty, dzięki czemu przy logowaniu się za pomocą najnowszej wersji przeglądarki Mozilla Firefox wspomniany wcześniej komunikat nie powinien już być prezentowany.(…)
Tak banki w Polsce dbaja o bezpieczenstwo.
W tym przypadku problemem nie jest certyfikat, ale algorytm szyfrujący (RC4) jaki negocjuje serwer z przeglądarką.
Sama wymiana certyfikatu nic więc tutaj nie pomoże :-)
Bardziej chcialem pokazac jak podchodza do bezpieczenstwa i edukacji klientow… „pan sie nie martwi wszystko jest w porzadku”, to prowadzi do tego, ze kiedy strona bedzie podmieniona, to klient nie zwroci na to uwagi, bo przeciez zawsze nie bylo „klodki”
pozdrawiam
W ogóle mają (DB PBC) jakąś zakręconą konfigurację, bo włączony mają tylko TLS1 i 1.2 bez 1.1. I mają tylko jeden ciphersuite: TLS_RSA_WITH_RC4_128_SHA, więc nawet Forward secrecy nie wspierają. Nazwanie ich zapewnień bzdurami jest daleko idącą ostrożnością.
cert DV, nowy mogliby uzyskać w 20 min , dłużej pewnie zajeło im napisanie tej rekomendacji dla użytkowników
motto zobowiązuje „Manjaro Linux – Enjoy the simplicity”
linuksiarze :D
Po pierwsze, to jest wypowiedź wyrwana z kontekstu – deweloperzy napisali, że jak ktoś MUSI, to w ten sposób może chałupniczo obejść problem z (żenującą poniekąd) wpadką z certyfikatami. Po drugie, wczoraj już wszystko było w porządku. A problem wyniknął z przerwy świątecznej lub innych proceduralnych opóźnień w GlobalSign, bo deweloper odpowiedzialny za certyfikat skontaktował się z nimi na czas (23 marca) i do przedwczoraj nie mieli żadnej odpowiedzi.
Lol? Na screenie jest pełen komunikat, a załatwienie certyfikatu w dowolnej firmie to godzina roboty w najgorszym razie