ugrás a tartalomhoz

Biztonságos kapcsolaton a Weblabor

Joó Ádám · 2015. Nov. 21. (Szo), 17.11

Egy soron következő, nagyobb léptékű előzetes előtt néhány rövidebb bejegyzésben szeretnénk bemutatni, mi változott az év eleje óta eltelt időszakban a Weblabor fejlesztés alatt álló új rendszerében.

A közelmúlt lehallgatási botrányai egyértelművé tették, hogy egy olyan világban, ahol a világháló a kommunikáció elsődleges eszközévé vált, a politikai szabadság, gazdasági érdekek és a magánszféra védelmének egyetlen útja a nyilvános adatforgalom egészének titkosítása.

Ugyan szolgáltatásai jellegéből fakadóan a Weblabor nem kezel érzékeny adatokat, a fenti elv jegyében, és mert úgy gondoljuk, felelősségünk a hazai fejlesztői közösségben a figyelem felhívása, a jövőben a Weblabor is biztonságos kapcsolaton lesz elérhető.

A titkosítást hagyományosan költséges eljárásként tartottuk számon, mind a szükséges számítási kapacitás, mind a tanúsítványok árából kifolyólag. A hardverek fejlődésével azonban a titkosításból fakadó processzorterhelés már évek óta elhanyagolható, mostantól pedig a tanúsítvány megszerzése sem akadály többé.

A Weblabor a Let’s Encrypt zártkörű béta programja keretében szerzett tanúsítványt, a nyilvános tesztelés azonban néhány napon belül elindul. A Let’s Encrypt a Mozilla, az EFF és Michigani Egyetem közös kezdeményezése, melynek keretében a tanúsítványok szabadon, térítésmentsen hozzáférhetővé válnak bárki számára.

A paraméterek megválasztásakor a legmagasabb biztonsági követelményeknek való megfelelésre törekedtünk, az SSL Labs szerver tesztjén A+ besorolást kaptunk. Privát kulcsunk 4096 bites RSA (később 521 bites ECDSA) SHA256-os aláírással, a kulcsegyeztetés algoritmusa ECDHE 384 bites görbén. A titkosítás GCM (régebbi klienseknek CBC) módú AES SHA384-gyel (régebbi klienseknek SHA1-gyel), 256 bites szimmetrikus kulcsokkal, TLS 1.2 (régebbi kliensekkel 1.0 vagy 1.1) felett. Az első csatlakozást követően szigorú átviteli biztonság irányelv vonatkozik a kérésekre, tartománynevünkhöz pedig hozzátűzzük nyilvános kulcsunkat.

Miközben a tragédiákat kihasználva a kormányzatok újult erővel igyekeznek hozzáférést szerezni minden kommunikációs csatornához, arra ösztönözzük olvasóinkat, hogy válaszképp titkosítsák végponttól végpontig mindegyiket.

 
1

Hurra

janoszen · 2015. Nov. 21. (Szo), 23.52
Namostaztan adtunk neki de jol. Sikerult felkonfiguralni egy webszervert ugy, hogy ne hisztizzen ra az SSL Labs tesztje es loni egy ingyenes certet. Ezt mar evekkel ezelott meg lehetett volna lepni, sztem lett volna aki zsebbe nyul erte.

De erdemi tartalom mar evek ota nincs az oldalon, mert akkora szenvedes az engineben barmit csinalni, hogy senki nem all le vele veszodni. Lehet inkabb azzal kene foglalkozni.
2

Sajnálom, hogy ilyen

Joó Ádám · 2015. Nov. 22. (V), 00.12
Sajnálom, hogy ilyen indulatokat kavart benned a bejegyzésem. Átgondolom a terveimet, miszerint sűrűbben írok a fejlesztéssel kapcsolatban. A világért sem szeretnék zavarni senkit.
3

Hááát, én másfél éve

webproghu · 2015. Nov. 22. (V), 23.33
Hááát, én másfél éve indítottam itt egy topicot a Weblabor agóniájával kapcsolatban, és hogy mi az oka, hogy az oldal jelenlegi tulajdonosa nem tesz ez ellen semmit. Idézem a válaszodat:

"Jeleztem már máshol is, hogy de igen, úgy gondolom, hogy átfogó változtatásokra van szükség, és ha ez nem is látszik, de dolgozom az ügyön."

Még akkor júliusban indult is egy Weblabor seregszemle nevű kezdeményezés, ami:

"A találkozóra egy későbbi időpontban kerül majd sor."

Nem került rá sor.

Idén februárban jött az "Így készül a Weblabor", ahol is egy redesign koncepciót lehetett elérni két(?) napig. Amiből persze nem lett semmi.

Tehát konkrétan másfél év alatt nem történt semmi, és már előtte is voltak akik próbálták felhívni a problémára a figyelmet, sőt, rengetegen ajánlották fel a segítségüket is.

Namármost másfél év alatt a legnagyobb eredmény, hogy be lett állítva egy ingyenes cert és elköltözött a Weblabor egy másik tárhelyre.
4

Szeretném, ha nem kellene

Joó Ádám · 2015. Nov. 23. (H), 01.23
Szeretném, ha nem kellene minden az egyébként a Weblabor fejlesztésével kapcsolatos bejegyzés alatt ezeket a köröket lefutni, ezért csak néhány meglátás:

1. Akármilyen kényelmetlen is a fentiekhez hasonló megszólalások retorikája szempontjából, de a lap működik. Minden, eddig megjelent tartalom elérhető, a beérkező tartalmak megjelennek, adott a lehetőség a kommentelésre.

2. Akármilyen meglepően hangzik, egy webhely nem üzemel magától. Ez csak úgy lehetséges, hogy valaki hónapról hónapra kifizeti a szerverköltséget, és nap mint nap telepíti a biztonsági frissítéseket, törli a robotokat, adminisztrálja a hirdetéseket, figyeli és, ha kell, moderálja a fórumot, megválaszolja a leveleket. A megjelenő írások – akármennyi is – sem szerkesztik meg magukat.

3. A weblapok nem rozsdásodnak. Semmivel sem rosszabb a szájt állapota ma, mint hét évvel ezelőtt. Ha akkor alkalmas volt a feladatára, akkor ma is az.

4. Az előző pontnak a technológia vagy dizájn fejlődésére hivatkozással történő megkérdőjelezésére megelőlegezve a választ szeretnék rámutatni például a Hacker News kifinomult funkcionalitására és esztétikai kivitelezésére, ami láthatóan előfeltétele a színvonalas tartalomnak, a pezsgő közösségnek és a világhírnek.

5. Ennek ellenére cél az, hogy mind funkcionalitásában, mind megjelenésében megújuljon az oldal, ahogy az újra és újra le van szögezve. Ha ez a szándék nem őszinte, vajon mi lehet erre mégis az indíték? És ha nincs ilyen szándék, akkor mégis ki lenne az a hülye, aki nap mint nap rászánna egy darabot az életéből erre a kilátástalan projektre, és magyarázkodna nem csak hálátlan, de számonkérésre semmilyen alappal nem rendelkező emberek előtt?

6. Az, hogy nincs közzétéve félkész munka, nem jelenti, hogy nem zajlik munka. Amikor azonban valami közzé van téve, akkor se a munka folytatására, se a nyitottabb kommunikációra nem ösztönöz az elégedetlenkedés.

7. A segítségre vonatkozó felajánlásokat nagyra értékeljük. Nap mint nap jelennek meg fontos hírek, amiknek a blogmarkok közt a helye, és rengeteg technológia van, amit egy-egy cikk keretei közt átfogó jelleggel kellene tárgyalni, így akit a szavakon túl is érdekel a lap és a közösség sorsa, az minden bizonnyal megtalálja a módját annak, hogy tegyen érte.

Ha csak nem feltétlen szükséges, nem szeretném folytatni ezt a témát, mert ez nem az a típusú társalgás, ami különösebben motiváló a munkát tekintve.
5

"Ha csak nem feltétlen

webproghu · 2015. Nov. 23. (H), 02.01
"Ha csak nem feltétlen szükséges, nem szeretném folytatni ezt a témát, mert ez nem az a típusú társalgás, ami különösebben motiváló a munkát tekintve."

Rendben, tiszteletben tartom a kérésed. Ettől függetlenül csak jelezni szeretném, hogy abszolút rossz oldalról közelíted meg a dolgot: senki nem arra panaszkodik, hogy milyen az oldal, hanem, hogy nincs minőségi content (nem, a blogmark nem az). És ezen lehetne segíteni minimális erőráfordítással, egy sor kódot sem kell írni.
6

Mikorra

Poetro · 2015. Nov. 23. (H), 02.03
És mikorra írod meg azt a minőségi tartalmat?
7

Érzem a kioktatni vágyó

webproghu · 2015. Nov. 23. (H), 08.18
Érzem a kioktatni vágyó felhangot a hozzászólásodból, de el kell keserítselek: írtam már jópár cikket ide, csak más usernév alatt. Viszont ha az oldal gazdái ilyen jellegű passzivitást mutatnak, akkor én ugyan miért is öljek órákat egy-egy cikk megírásába?
10

Van

janoszen · 2015. Nov. 23. (H), 11.45
Ha emlekszel, egy ideig foglalkoztam tartalom gyartassal. Ma is hajlando lennek, de ha vagy be kell tordelni HTML-ben kezzel hogy ertelmesen nezzen ki, vagy varni kell arra, hogy az egy szem szerkeszto betordelje, egy kicsit kiolte belolem a vagyat arra hogy a Weblaborra irjak. Irok helyette mashova.
12

Tördelni

Poetro · 2015. Nov. 23. (H), 16.59
Én egyetlen cikkemet sem tördeltem be HTML-be. Mindet Markdown-ban adtam oda.
13

Legutobb

janoszen · 2015. Nov. 23. (H), 17.05
Legutobb amikor en kuldtem be cikket, akkor ez tema volt. Nem tudom, hogy most mi a helyzet, de a gyanum az, hogy ezeket is Adam tordelte be.
14

Nem igazán értem, hogy mi a

Max Logan · 2015. Nov. 23. (H), 19.03
Nem igazán értem, hogy mi a probléma. Ha a cikket megírod markdown formátumban, akkor abból lehet HTML-t csinálni. Másrészt pedig nem úgy tűnik, hogy agysebészi magasságokba kellene emelkedni a Weblaboros cikkek HTML kódja kapcsán. De lehet, hogy én látom rosszul a problémakört.
15

Nemakarásnak nyögés a vége :

Hidvégi Gábor · 2015. Nov. 23. (H), 23.47
Nemakarásnak nyögés a vége : ) Vannak gondok, de szerintem nem ez.
8

Hány ember működteti az

pp · 2015. Nov. 23. (H), 09.58
Hány ember működteti az oldalt?

"2. Akármilyen meglepően hangzik, egy webhely nem üzemel magától..."

Csak az látszik, hogy elég sokan vagytok egy ilyen oldal működtetéséhez:

http://weblabor.hu/weblabor/impresszum

pp
9

Plusz

janoszen · 2015. Nov. 23. (H), 11.43
Ha jol tudom, csak Adam foglalkozik vele, de:

1. BARMIKOR szol hogy kell vas vagy uzemeltetni kell, van ra keret es eroforras. Fizetos SSL certre is van.

2. Barmikor probal valaki segiteni a Weblabor mukodeseben, mindig az a valasz jon Adam reszerol, hogy "csinalom, van koncepcio, majd". Igy nehez segiteni.
11

Barmikor probal valaki

inf3rno · 2015. Nov. 23. (H), 16.00
Barmikor probal valaki segiteni a Weblabor mukodeseben, mindig az a valasz jon Adam reszerol, hogy "csinalom, van koncepcio, majd". Igy nehez segiteni.


Már pont elégszer felajánlottuk a segítségünket, hogy tisztában legyen azzal, hogy megkapja, ha kéri. Nincs szüksége rá, megoldja egyedül a szabadidejében, ennyi. Felesleges ezen pörögni, rá kell hagyni.
16

egy vicc jutott eszembe

Gixx · 2015. Nov. 30. (H), 12.06
- Mi a baj, kisfiam? Miért vagy szomorú?
- Mert Rambónak csúfolnak az oviban.
- Na majd akkor bemegyek, és elbeszélgetek az óvónénivel.
- Ne anya! Ezt a harcot egyedül kell megvívnom...
17

:D

inf3rno · 2015. Nov. 30. (H), 17.14
:D
20

Elég volna ha csak azt írod:

Meredith · 2015. Dec. 29. (K), 02.03
Elég volna ha csak azt írod: Szarok én már az oldalba, jó van ez így, így marad :D
18

Csak egy kérdés

Gixx · 2015. Dec. 1. (K), 11.40
Ez miért így van megcsinálva?

#header h1 a {
    text-indent: -800px;
}
Thunderbolt displayen ott díszeleg a szürke hátteren egy bordó Weblabor link :D
19

Valószínűleg azért, mert így

Joó Ádám · 2015. Dec. 1. (K), 19.25
Valószínűleg azért, mert így sokkal könnyebb volt, mint tisztességesen. Az új frontenden már nincs ilyen.
21

Valaki nem mond igazat

Hidvégi Gábor · 2016. Már. 24. (Cs), 10.33
Múlt héten én is elvégeztem egy csomó beállítást a szervereinken, az SSL Labs tesztjén A+ van mindenhol, az igy.keszul.a.weblabor.hu meg még jobb, majdnem 100%-os, mert tud HKPK-t.

Erre most megnéztem egy szimpla Chrome 47-ben az így készült, hogy mit ír a lakatra kattintva:
"A(z) igy.keszul.a.weblabor.hu domainnel való kapcsolata elavult kriptográfiával van titkosítva.

A kapcsolat a következőt használja: TLS 1.2.

A kapcsolat a(z) AES_256_CBC használatával lett kódolva, HMAC-SHA1 algoritmussal az üzenethitelesítéshez és ECDHE_RSA algoritmussal a kulcscserélő folyamathoz."

Most akkor kinek lehet hinni? A Chrome legfeljebb fél éves, ennyit változott azóta a világ? Az SHA1 gyanús, azt az SSLtest miért nem veszi észre?
22

Nem minden teszt működik

inf3rno · 2016. Már. 24. (Cs), 11.59
Nem minden teszt működik tökéletesen. Nekem pl mkb netbankáros oldalra írta egy addon, hogy nem elég biztonságos, úgyhogy utánakérdeztem a banknál. Küldtek egy részletes tesztet, ami viszont már biztonságosnak mutatta. Érdekes módon a tesztet ugyanannak a cégnek az oldala csinálta, mint ami az addon-t is gyártotta. Szóval szerintem már senkinek nem lehet hinni. :D
23

Úgy tűnik a "modern"

MadBence · 2016. Már. 24. (Cs), 12.28
Úgy tűnik a "modern" kriptográfia kritériumai ezek. Ez persze nem jelenti azt, hogy ha nem ilyen paraméterekkel rendelkezik a szerver, akkor az feltétlenül egy sérülékenység.

(egyéként a HMAC-SHA1 teljesen biztonságos, attól függetlenül, hogy maga az SHA1 már "broken")
24

A komplexitás a biztonság legnagyobb ellensége

Hidvégi Gábor · 2016. Már. 24. (Cs), 13.35
Ha igaz, amit a linkelt szövegben írnak, és jól is értelmezem, akkor a weblabor titkosításában pont a legfontosabb komponens, a rejtjelezés a gyenge.

Dühítő ez az egész, hogy az internet eldugott bugyraiból kell összevadászni az értékes információkat. Túlságosan el lett bonyolítva ez a titkosításosdi, így nem csoda, hogy egyre sűrűbben derülnek ki a komolyabbnál komolyabb biztonsági hibák.
25

Ezen elég jól átment:

inf3rno · 2016. Már. 24. (Cs), 14.40
Ezen elég jól átment: https://www.ssllabs.com/ssltest/analyze.html?d=igy.keszul.a.weblabor.hu

Mi a gyanús a SHA1-ben?
26

Az SHA1-et már nem szabad

Hidvégi Gábor · 2016. Már. 25. (P), 00.43
Az SHA1-et már nem szabad használni, de itt valószínűleg valami másról van szó.
27

Ha jól értem a HMAC-SHA1 a

inf3rno · 2016. Már. 25. (P), 05.41
Ha jól értem a HMAC-SHA1 a sima SHA1től csak annyiban különbözik, hogy rendesen megsózzák az üzenetet hash készítéskor, és ezért túl számításigényes feltörni (minden kulcshoz külön szivárványtábla kellene). Aztán lehet, hogy én néztem be valamit, 2 percnél nem szántam többet rá. Jelszó titkosításra ha jól tudom bluefish meg hasonló lassú, erőforrás igényes algoritmusok az ajánlottak, hogy ne lehessen brute forcolni.
29

A HMAC egy szimmetrikus

Joó Ádám · 2016. Már. 25. (P), 08.05
A HMAC egy szimmetrikus kulccsal fésüli össze az üzenetet a hashelés előtt. Az adott hash gyengeségei nem jelentenek automatikusan gyengeséget a HMAC-ben.
28

A werkszájton három rejtjel

Joó Ádám · 2016. Már. 25. (P), 07.51
A werkszájton három rejtjel csomagot támogatunk:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Mindhárom 256-bites titkosítást használ, mivel ez az elérhető legerősebb, és széleskörűen támogatott, de GCM és CBC mód is választható, mert sok régebbi kliens csak az utóbbit támogatja.

A két mód közül a CBC a régebbi, és bár önmagában biztonságos, az algoritmus sajátosságaiból fakadóan könnyű hibásan implementálni. A GCM újabb és robusztusabb.

A Chrome GCM-et akar használni, de érthetetlen módon GCM-ből nem támogatja a 256-bitest, csak a 128-ast, így a CBC-t választja és hisztizik.
30

Gyenge

Hidvégi Gábor · 2016. Már. 25. (P), 23.20
Akkor, ha jól értem, a kliens választhat 128 bites, könnyebben törhető titkosítást? Ha valaki Chrome-mal nézi meg a weblabort, akkor lehallgathatják az adatfolyamot?
31

Nem. A 128 bites titkosítás

MadBence · 2016. Már. 26. (Szo), 00.42
Nem. A 128 bites titkosítás ugyanolyan biztonságos gyakorlati szempontból.
32

A 256...

vbence · 2016. Már. 26. (Szo), 16.34
... meg összehasonlíthatatlanul biztonságosabb ;)