NFsec Logo

Mini złodziej certyfikatów i kluczy SSL

07/02/2018 w Bezpieczeństwo, Pen Test Możliwość komentowania Mini złodziej certyfikatów i kluczy SSL została wyłączona

B

łędy popełnia każdy z nas. Zazwyczaj są to nasze błędy „autorskie”, ale często są to też błędy powielające błędy innych. Te drugie zazwyczaj wynikają z ślepej wiary w ścieżki, którymi prowadzą nas inne osoby – mówiąc prościej – podążając za tutorialami / przewodnikami z sieci zakładamy, że ich autor nie popełnił błędów, a my właśnie nie kopiujemy ich dalej. Jeśli wpiszemy w dowolną wyszukiwarkę frazy typu: „nginx ssl tutorial„, „apache ssl tutorial„, „haproxy ssl tutorial” itd. to możemy odnaleźć pewne wzory, którymi rządzą się te przewodniki…
[ czytaj całość… ]

Kilka słów o wdrożeniu SSL i TLS – cz. 1

09/02/2017 w Bezpieczeństwo Możliwość komentowania Kilka słów o wdrożeniu SSL i TLS – cz. 1 została wyłączona

S

SL / TLS jest pozornie prostą techniką zapewniającą m.in. ochronę witryn internetowych. Gwarantuje poufność transmisji danych przesyłanych przez internet, zachowując przy tym prostotę instalacji i działania – z wyjątkiem, gdy tak nie jest. Przy końcówce 2014 roku, gigant z Mountain View – Google – na swoim blogu poinformował, że strony korzystające z certyfikatów SSL, będą bardziej „lubiane” w wynikach wyszukiwania, a także chętniej indeksowane. Nie jest to jednak ostatnie słowo. Główna litera Alfabetu nie tylko tą akcją chce wprowadzić strony WWW w kolejny etap bezpiecznego internetu. Już na początku 2017 roku, rodzima przeglądarka Chrome będzie posiadała mechanizmy, które podczas łączenia z dowolną witryną jednoznacznie odpowiedzą użytkownikowi na pytanie: czy korzystanie z niej jest bezpieczne?
[ czytaj całość… ]

Darmowe certyfikaty SSL dzięki Let’s Encrypt

19/12/2015 w Administracja, Bezpieczeństwo Możliwość komentowania Darmowe certyfikaty SSL dzięki Let’s Encrypt została wyłączona

3

grudnia portal Let’s Encrypt osiągnął status beta tym samym dając możliwość wszystkim zainteresowanym użytkownikom podpisywania certyfikatów SSL za darmo. Za projektem stoją takie firmy, jak Akamai, Cisco, Electronic Frontier Foundation, Mozilla Foundation, Internet Society, IdenTrust, czy Automattic. Najważniejszą informacją jest fakt, że certyfikatom wydawanym przez portal Let’s Encrypt, w przeciwieństwie do dotychczas istniejących „darmowych” rozwiązań, ufają wszystkie liczące się na rynku Internetu przeglądarki. W dodatku cały proces wygenerowania i podpisania certyfikatu jest łatwy i można go prosto zautomatyzować.
[ czytaj całość… ]

AWS EC2 Elastic Load Balancer HTTPS Redirect

22/02/2013 w Administracja Możliwość komentowania AWS EC2 Elastic Load Balancer HTTPS Redirect została wyłączona

P

oniższe reguły mod_rewrite pozwalają na przekierowanie całego ruchu HTTP na HTTPS na serwerach Apache utworzonych w ramach AWS EC2 – wykorzystując nagłówek X-Forwarded-Proto dostarczany przez Load Balancer:

  RewriteEngine On
  RewriteCond %{HTTP:X-FORWARDED-PROTO} !https [NC]
  RewriteCond %{REQUEST_URI} !^/status\.php
  RewriteRule ^/?(.*) https://domena.pl/$1 [R=301,L]

Gdzie URL http://domena.pl/status.php jest sprawdzana przez Health Checker w celu stwierdzenia, czy dany serwer WWW jest reponsywny – dlatego została wykluczona z przepisywania.

Więcej informacji: Elastic Load Balancing Concepts and Terminologies

HTTP Strict Transport Security – wymuszamy SSL na przeglądarkach

04/11/2012 w Bezpieczeństwo 1 komentarz.

H

TTP Strict Transport Security (HSTS) jest opcjonalnym mechanizmem zabezpieczeń, w którym serwer WWW oświadcza klientowi (np. przeglądarce internetowej), że komunikacja powinna odbywać się tylko po bezpiecznym połączeniu. Oświadczenie serwera WWW odbywa się poprzez zastosowanie specjalnego nagłówka odpowiedzi HTTP: „Strict-Transport-Security„. Klient obsługujący mechanizm HSTS otrzymując ten nagłówek będzie zapobiegał wszelkiej łączności poprzez protokół HTTP w określonej domenie i starał się, aby wszystkie połączenia odbywały się przez HTTPS.
[ czytaj całość… ]

Szyfrowanie WWW w niezaszyfrowanych sieciach Wi-Fi

15/11/2010 w Bezpieczeństwo Możliwość komentowania Szyfrowanie WWW w niezaszyfrowanych sieciach Wi-Fi została wyłączona

A

ktualnie istnieje wiele otwartych sieci Wi-Fi, czyli tzw. Hotspotów. Problemem hotspotów jest częsty brak zapewnienia odpowiedniego szyfrowania i izolacji poszczególnych klientów. Dlatego w tego rodzaju sieciach najczęściej dochodzi do podsłuchiwania ruchu sieciowego, a tym samym przejęcia danych autoryzacyjnych do poczty, czy różnych serwisów społecznościowych lub bankowych, w których podczas trwania procesu uwierzytelniania – ruch między naszą przeglądarką lub klientem pocztowym, a serwerem nie zawsze jest (cały czas) szyfrowany.
[ czytaj całość… ]

Hakowanie SSL

08/08/2010 w Hakin9 & Linux+ Możliwość komentowania Hakowanie SSL została wyłączona

K

orzystając z bezpiecznego połączenia, użytkownik Internetu jest pewien, że nic nie grozi jego danym. Przy nowym ataku SSLStrip nie jest to takie oczywiste. Brak jednej literki „s” w zasobie URL może oznaczać kłopoty. Poniżej pokazujemy, że „https” czasami może okazać się tylko zwykłym „http”.
[ czytaj całość… ]

Ekstremalne środki ostrożności w sieciach publicznych

08/07/2010 w Hakin9 & Linux+ Możliwość komentowania Ekstremalne środki ostrożności w sieciach publicznych została wyłączona

P

odłączenie przenośnego komputera do nieznanej, publicznej sieci komputerowej wiąże się z ogromnym ryzykiem. Wszystkie wykonywane operacje sieciowe mogą zostać przez kogoś podsłuchane, a nasze dane przechwycone. Zagrożenia mogą jednak zostać zminimalizowane poprzez zastosowanie kompleksowej strategii obronnej.
[ czytaj całość… ]