SSL tanúsítvány --> komolyan vesznek nélküle?
2011-08-26T14:38:23+02:00
2011-08-27T08:17:09+02:00
2022-07-19T04:53:12+02:00
  • A leggyengébb láncszem mindig a felhasználó. Ilyen alapon még a kegdrágább is túl gyenge védelem. És persze ezen tanúsítványon felül még egy sor más, együttesen jól összehangolt védelmi mechanizmus szükséges.

    A tanúsítvány igazából csak arra jó, hogy az óvatos felhasználó leellenőrizhesse, hogy valóban a portálommal kommunikál, nem egy adathalász által készített (külsőre) pontos másolattal.

    Egy második szintű védelem a titkosított kapcsolat, SSL, mellyel félúton közbeékelődött adathalász nem tudja értelmes emberi formában elolvasni a küldött és fogadott adatokat. Csakhogy egy SSL-lel titkosított oldalnál a böngészők kapásból a tanúsítvánnyal kezdik...

    A felhasználók zömének lövése sincs arról, mi az a kiszolgáló-tanúsítvány, így persze nem vizsgálják meg azt sőt, szerintem észre se veszik az URL-ben az "S" betűt a "HTTP" után. Viszont mivel a böngészők problémáznak érvénytelen tanúsítvány esetén, így ha SSL titkosítást szeretnék, akkor az olcsó (de hiteles) tanúsítvány inkább szükséges rossz, mintsem valódi védelem a phishing ellen.

    Én csak azon tétováztam, hogy eleinte is valóban szükséges-e a tanúsítvány, de beláttam, hogy igen.
    Mutasd a teljes hozzászólást!
  • Az olcsó tanúsítvány nem véd meg a phisingtől!
    Mutasd a teljes hozzászólást!
  • Értem, tehát tényleg hülyeség hiteles SSL nélkül ilyesmit elindítani. Ok, tudomásul vettem.
    Az olcsó tanúsítvány (csak domain-re, aldomain nélkül) kecsegtetően hangzik, kár, hogy nem magyar a szolgáltató...
    Mutasd a teljes hozzászólást!
  • Én az SSL hiányára céloztam.
    Bármi érzékeny adatot küldözgetsz a böngészők felé, azt csak titkosítva. Az sem 100%-os életbiztosítás, de eggyel kisebb az esélye, hogy valaki közted és a usered közt hozzáférjen fontos adatokhoz.
    Mutasd a teljes hozzászólást!
  • E-szigno?
    NetLock?

    Kik azok?

    GeoTrust esetleg.

    https://progserv.eu/owa/

    Nézd meg.

    Éves költsége 5-6000Ft körül tartható, szerintem ennyit meg megér.

    Többféle tanúsítvány van. És ennek megfelelő árazások. Én egy www nélküli csak domainre szóló SSL-t vettem. Mobilos levelezés titkosítására, az oldalam titkosítására, és még egy halom dologra megfelel.

    Viszont al domaineket ezzel nem lehet, pl a teszt.progserv.eu-t már nem tudnám.

    Ahhoz olyat kell vennem ami tudja ezt. És az drágább, nem is kicsit.

    Az itthoni titkosítással foglalkozó cégektől azért nem vásároltam, mert nagyon drágák, és nem túl rugalmasak.

    Az oldaladon ha az adatok veszélyben vannak SSL nélkül, akkor nem kérdés, hogy kell venni, mert a kutya nem fog oda menni.

    Ha meg generálsz egy sajátot, akkor a kliens programok és böngészők fognak a felhasználónak szólni, hogy húzz el innen, de nagyon gyorsan, mert nem biztonságos az oldal.
    Mutasd a teljes hozzászólást!
  • Ja, hogy arra mondtad, hogy életveszélyes hülyeség, hogy kezdetben nem akarok tanúsítványt? Én azt hittem, hogy az ötlet alatt a portál alapötletét érted, és nem a tanúsítvány hiányát.

    De végülis ez is egy vélemény. Viszont kicsit bővebben is kifejthetnéd a véleményed. Esetleg tapasztalatból ítélted hülyeségnek?
    Mutasd a teljes hozzászólást!
  • Akkor meg miért kérdezed? Nem értelek.
    Mutasd a teljes hozzászólást!
  • Nem haragszom a rövid válaszért.
    Mivel nem tudod, hogy miről szól az egész, így nem tudsz objektív véleményt alkotni még az ötletről sem. Ezért nem értem, hogy ennyi(re semmi) információból hogy sikerült ezt a megállapítást hoznod.
    Mutasd a teljes hozzászólást!
  • Ne haragudj a rövid válaszért, de életveszélyes hülyeség az ötleted.
    Mutasd a teljes hozzászólást!
  • Sziasztok!

    Olyan portálon munkálkodom, melyen a felhasználók valódi pénzt tudnak keresni. Nem csak pontokat, meg kuponokat, meg mindenféle "Nesze semmi, fogd meg jól!" ökörséget, hanem pénzt, melyet egyetlen gombnyomásra bármikor ki tudnak majd utalni maguknak.

    Hogy a felhasználók mivel tudnak pénzt keresni, az maradjon az én titkom, de egyébként sem ez most a lényeg. Topikomat azért nyitottam, hogy megkérdezzem a nagyérdeműt, hogy vajon valóban szükséges-e SSL-tanúsítványt kérnem.

    Ugyebár minden portál igyekszik adni arra, hogy a felhasználóinak adatait védje, és ez egy bizonyos látogatottság szám felett már felkelti a phishing támadók érdeklődését is. Ez ellen egyik védekezési mód az, hogy valamely hitelesítés-szolgáltatónál előfizet egy SSL szerver-tanúsítványra, mely által az érzékeny adatok titkosított kapcsolaton keresztül vándorolnak a böngészők és a kiszolgáló között méghozzá úgy, hogy közben a böngésző sem ordít vissza érvénytelen tanúsítvány miatt (igazolva a kiszolgáló valódiságát). Ilyen például a Facebook is, a Google-Mail is, stb...

    Én azon tűnődtem el, hogy ha portálomat beindítom -egyelőre- érvényes tanúsítvány nélkül (a költségek minimalizálása miatt), akkor vajon komolyan veszik-e azt? Nem közösségi site-ot csinálok (azokkal már Dunát lehet rekeszteni), hanem olyasmit, amelyen tényleg pénzt tudnak keresni a felhasználók. Egy bizonyos látogatottsági-/regisztráltsági szint alatt még nem olyan fontos ehhez a hiteles tanúsítvány, de akkor meg nem esek bele abba a csapdába, hogy emiatt nem vesznek komolyan (mégiscsak pénzügyi tranzakciókat is megvalósító portálról lenne szó)?

    Egyáltalán van valamilyen írott-, vagy íratlan szabály arra, hogy mikortól kellene előfizetnem az E-Szignónál vagy a NetLock-nál?

    Előre is köszi a véleményeket!
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd