Perche' non adottare tout-court https ?

[harrykar]

Salve a tutti
Facendo una ricerca con key 'https' ho visto solo alcuni indirizzi qui dentro che lo usano di solito per download ma il resto e' plain http; Non capisco la logica di chi ha deciso implementarlo cosi; posso solo fare delle ipotesi ma non riesco a ottenere una risposta sensata;
Posso chiedere il perché di tale decisione in un era ove c' e' fortemente in auge il problema privacy sopratutto , sicurezza etc? Personalmente voterei per l' adozione di https per l ' intero sito e qualcuno mi dia una spiegazione logica perché' per il download dei binari/altro si usa htpps e invece il resto il dominio ne e' sprovvisto?
Di sicuro con le macchine di oggi non c'è un problema di overhead a causa della criptazione o altro riguardante il protocollo e tutti i browser lo supportano, non sarebbe la causa del effetto sera, e volendo --con un po di buon senso e logica comune-- non costerebbe di più', insomma dove sta il problema nel adottarlo?


TIA
Harry G. K.

[brasil]

Anch'io la sicurezza prima di tutto

[harrykar]

Anch'io la sicurezza prima di tutto

Fa piacere sentire che siamo piu di uno ma piu' che la sicurezza(qui non ci stanno informazioni classificate) io focalizzerei sulla privacy prima di tutto ; spero questa sia la sez adatta per forzare la nostra tesi molto importante IMO

[Wilson]

+1

[rpadovani]

Perché i certificati SSL costano. Le parti criptate sono ospitate da Canonical che paga per i certificati.

Non esistendo ubuntu-it come associazione, non c'è modo di avere soldi per i certificati.

In ogni caso, stiamo vagliando alcune opzioni.

P.s: evitare messaggi che non portano niente alla discussione, non è il bar.

[Wilson]

Chiedo scusa.

[Janvitus]

Ci stavo pensando per il forum, il problema è che si pagano... Anche se in giro ci sono soluzioni abbastanza economiche.

[harrykar]

Perché i certificati SSL costano. Le parti criptate sono ospitate da Canonical che paga per i certificati.

Non esistendo ubuntu-it come associazione, non c'è modo di avere soldi per i certificati.

In ogni caso, stiamo vagliando alcune opzioni.

Beh dato che ubuntu-it non e' un organizzazione commerciale (ma anche se fosse non cambierebbe niente, il ragionamento e' lo stesso valido) non so dove sta la difficoltà dal fare una autocertificazione a costo 0 (e' una questione di tempo dopo un po tutta la gente che circola qui l' avra' incorporata nel suo browser e il tutto sarebbe risolto o no?) al usare certificati free di CA tradizionali; Insomma https e' importante ormai --NON E' UNA MODA-- e non c'e' necessariamente bisogno di affidarsi a cert a pagamento delle CA's tradizionali

P.s: evitare messaggi che non portano niente alla discussione, non è il bar.

Questo problema (htpps o no ) secondo te e' marginale o da bar? non l'ho capita questa


Ceers,
Harry G. K.

[harrykar]

Ci stavo pensando per il forum, il problema è che si pagano... Anche se in giro ci sono soluzioni abbastanza economiche.

Gianvito io mi riferivo solo al aspetto https qui e per qualsiasi sito(non so se parlavi in senso generale )

Ceers,
Harry

[Janvitus]

Beh dato che ubuntu-it non e' un organizzazione commerciale (ma anche se fosse non cambierebbe il ragionamento e' lo stesso valido) non so dove sta la difficoltà nel fare una autocertificazione a costo 0

Fammi capire...

[rpadovani]

Perché i certificati SSL costano. Le parti criptate sono ospitate da Canonical che paga per i certificati.

Non esistendo ubuntu-it come associazione, non c'è modo di avere soldi per i certificati.

In ogni caso, stiamo vagliando alcune opzioni.

Beh dato che ubuntu-it non e' un organizzazione commerciale (ma anche se fosse non cambierebbe il ragionamento e' lo stesso valido) non so dove sta la difficoltà nel fare una autocertificazione a costo 0 dopo un po tutta la gente che circola qui l' avra' incorporata nel suo browser e il tutto sarebbe risolto o no? Insomma https e' importante e non c'e' bisogno di affidarsi a CA's tradizionali

P.s: evitare messaggi che non portano niente alla discussione, non è il bar.

Questo problema (htpps o no ) secondo te e' marginale o da bar? non l'ho capita questa


Ceers,
Harry G. K.

L'autocertificazione non ha un gran valore, perché la prima volta devi accettarlo manualmente, e un eventuale MITM può farti accettare un altro certificato.

Inoltre, oltre al forum che usa l'autenticazione, non vedo informazioni che possano essere gravemente danneggiate.

Ora, ovvio che il certificato sia importante, ma non è prioritario e l'autocertificazione dà un falso senso di sicurezza.

Il PS era riferito a commenti tipo '+1' che nulla portano alla discussione, non ovviamente alla discussione in sé

[Wilson]

Ovviamente, salvo rinnovare le scuse, mi limiterò a leggere.

Anche perché evidentemente sono un po' fuso e pensavo la discussione fosse in "gruppo forum"

[harrykar]

Beh dato che ubuntu-it non e' un organizzazione commerciale (ma anche se fosse non cambierebbe il ragionamento e' lo stesso valido) non so dove sta la difficoltà nel fare una autocertificazione a costo 0

Fammi capire...

Se davvero ma davvero e con convinzione il target e' di adottare https si puo' anche senza spese p.e. con Self-signed certificate

Un esempio eclatante e' la rete dei XMPP servers che funziona proprio cosi, se no chi se lo permetterebbe avere un server? e stiamo parlando a livello di utente finale io tu l' altro che ha capito qualcosa sulla infosec e decide di usare un proprio server Jabber, email ecc. e non di multinazionali ok? Tutta la gente confida al valore di tale certificato per i loro server e di conseguenza tutti gli utenti finali una volta che avranno importato il certificato nei loro Xmpp clients con apposita procedura; ce ne sarebbero anche altri esempi ma credo che già' questo e' piuttosto chiarificatore

Ceers,
Harry G. K.

[Wilson]

Non credo sia praticabile per il sito istituzionale di un sistema operativo: avremmo tutti i browser che avvisano gli utenti di stare lontani da questo sito inaffidabile.
Già mi è successo di consigliare il libro di Piccardi su GNU/Linux e di sentirmi rispondere che il link che davo era "pericoloso" (appunto: certificato autofirmato) e quindi avrebbero preferito altri suggerimenti.
Già c'è gente che va in giro a diffondere frasi come "linux è un virus", se pure ci mettiamo anche noi.

Sul forum, come ho già sterilmente scritto prima, sento pure io il problema come significativo, visto che nessuno si aspetta che mandi la passwd in chiaro e le implicazioni, oltre a non essere chiare a tutti, sono difficili da arginare (la mia passwd la sa mezzo circuito di exit node TOR, oltre a una manciata di providers italiani e qualcun altro che non so: qualunque cosa scriva potrei anche non essere io...).
Però se Canonical non fornisce un certificato (non hanno una PA tutta loro?) il problema è in effetti difficile da risolvere.

[harrykar]

L'autocertificazione non ha un gran valore, perché la prima volta devi accettarlo manualmente, e un eventuale MITM può farti accettare un altro certificato.

Potrei argomentare su questa affermazione che hai fatto su un aspetto tecnico non propio banale ma ti dico subito con tutto il rispetto che non e' vero e ti rimando con link --perche' avrei ripetuto + o - le stesse cose e il wild ormai ne e' pieno di questi argomenti, grazie a Dio la situazione e' molto migliorata rispetto ai primi anni 90-00 -- invitandoti di informarti in modo più preciso -- . Se non bastassero cmq potrei intervenire

1. Is it possible to prevent man-in-the-middle attack when using self-signed certificates?
2. SSL and man-in-the-middle misunderstanding
...
3. google search

Ad ogni modo come ho detto in un altro post si potrebbe anche adottare un certificato emesso da un ente FOSS --e non commerciale come Verisign etc -- riconosciuto da tutti quanti ormai tipo la FSF o altre etc. questo e' il modo di fare per gli XMPP servers(ce ne stanno parecchie centianaia di migliaia ormai) e non c'e nessun problema di sicurezza

Inoltre, oltre al forum che usa l'autenticazione, non vedo informazioni che possano essere gravemente danneggiate.

Ok non siamo agenti segreti ma... ok lascia che ti faccia un parallelo ; secondo te per portare il casco o mettere la cintura di sicurezza uno dovrebbe essere un corridore professionista? forse agli anni 60-70 si ma oggi no, stessa cosa per l' argomento di cui parliamo

Ora, ovvio che il certificato sia importante, ma non è prioritario e l'autocertificazione dà un falso senso di sicurezza.

Una cosa importante dovrebbe essere anche prioritaria o no? Per la tua 2nda affermazione guarda piu su' e ti invito di informarti meglio e ripensare


Ceers,
Harry G. K.

[rpadovani]

L'autocertificazione non ha un gran valore, perché la prima volta devi accettarlo manualmente, e un eventuale MITM può farti accettare un altro certificato.

Potrei argomentare su questa affermazione che hai fatto su un aspetto tecnico non propio banale ma ti dico subito con tutto il rispetto che non e' vero e ti rimando con link --perche' avrei ripetuto + o - le stesse cose e il wild ormai ne e' pieno di questi argomenti-- invitandoti di informarti in modo più preciso -- . Se non bastassero cmq potrei intervenire

1. Is it possible to prevent man-in-the-middle attack when using self-signed certificates?

Questo non c'entra assolutamente nulla, perché la chiave è condivisa A PRIORI tramite canale sicuro.

Noi non abbiamo un canale sicuro a priori (ed è quello a cui serve una CA)

2. SSL and man-in-the-middle misunderstanding
...
3. google search

http://stackoverflow.com/questions/2241 ... signed-ssl

http://stackoverflow.com/questions/6580 ... ertificate

Non mi metterò a trasformare questo topic in un topic tecnico, ma i certificati selfsigned non sono sicuri se non vengono installati manualmente sul computer dopo essere trasmessi in maniera sicura (quindi non il sito stesso).

Un certificato auto firmato può essere utile in una rete locale o su un sito ad accesso limitato, dove tutti gli utenti installano il certificato a priori

Ad ogni modo come ho detto in un altro post si potrebbe anche adottare un certificato emesso da un ente FOSS --e non commerciale come Verisign etc -- riconosciuto da tutti quanti ormai tipo la FSF o altre etc. questo e' il modo di fare per gli XMPP servers(ce ne stanno parecchie centianaia di migliaia ormai) e non c'e nessun problema di sicurezza

Questa può essere una soluzione. Quali sono delle CA riconosciute che forniscono certificati gratuita mente?

Ceers,
Harry G. K.

Sigh, è cheers, con l'h

[Wilson]

Pensavo che Canonical avesse una sua CA (per i servizi cloud...), ma vedo che Lauchpad è certificato da GoDaddy, quindi mi sa che ne hanno solo una interna.

[kimj]

la cosa piu' sensibile e' la password degli utenti, che spesso e' considerata piu' privata dei dati che protegge (per il ragionamento dietro e per l'uso su piu' servizi).

visto che https costa troppo e non si puo' fare in modo che phpbb hashi la password (il problema salta fuori solo ora perche' smf non inviava in chiaro), che ne dite della proposta di supportare openid per gli utenti paranoici? alla fine non sono l'unico ad aver sollevato il problema, richiede 'solo' una mod, credo, ed ha anche altri benefici, anche ubuntuforums.org lo usa

[Janvitus]

Beh dato che ubuntu-it non e' un organizzazione commerciale (ma anche se fosse non cambierebbe il ragionamento e' lo stesso valido) non so dove sta la difficoltà nel fare una autocertificazione a costo 0

Fammi capire...

Se davvero ma davvero e con convinzione il target e' di adottare https si puo' anche senza spese p.e. con Self-signed certificate

Un esempio eclatante e' la rete dei XMPP servers che funziona proprio cosi, se no chi se permetterebbe avere un server? e stiamo parlando a livello di utente finale io tu l' altro ecc. e non di multinazionali ok? Tutta la gente confida al valore di tale certificato per i loro server e di conseguenza tutti gli utenti finali una volta che avranno importato il certificato nei loro Xmpp clients ; ce ne sarebbero anche altri esempi ma credo che già' questo e' piuttosto chiarificatore

Ceers,
Harry G. K.

Ok, pensavo ti riferissi a qualcosa di diverso...

la cosa piu' sensibile e' la password degli utenti, che spesso e' considerata piu' privata dei dati che protegge (per il ragionamento dietro e per l'uso su piu' servizi).

visto che https costa troppo e non si puo' fare in modo che phpbb hashi la password (il problema salta fuori solo ora perche' smf non inviava in chiaro), che ne dite della proposta di supportare openid per gli utenti paranoici? alla fine non sono l'unico ad aver sollevato il problema, richiede 'solo' una mod, credo, ed ha anche altri benefici, anche ubuntuforums.org lo usa

Sarebbe un po' inutile usare openid per l'autenticazione e poi impostare SSL per l'uso del forum (funzione implementata in phpbb), ed è un po' che ci stavo pensando a una delle 2 soluzioni. Nota: il mod di openid è fermo da quasi 3 anni, e da quello che ho capito è pure un po' poco sicuro, ma non mi tiro indietro se qualcuno mi presenta una soluzione in merito...

Riguardo a Ubuntuforums. usa solo openid, il problema che usa esclusivamente l'openid di ubuntu obbligando l'utente a registrarsi a launchpad, cosa molto antipatica.

Comunque, se dobbiamo discutere del forum usate la sua sezione, chi ha creato la discussione si riferiva all'uso di ssl su tutti i portali di ubuntu-it.

[kimj]

non vedo cosa ci sia di sensibile su altri siti di ubuntu-it. i certificati sono un po' una panacea, per principio non bisognerebbe inviare la password in chiaro, con o senza ssl.
stavo vedendo in debian e tra le ca c'e' roba tipo turktrust od una ca del governo cinese. e' un sistema che fa notoriamente schifo, non e' il caso di spenderci soldi. specie in certificati symantec e simili: il punto debole e' sempre la CA del menga. tanto vale comprare, se proprio volete adottare questa soluzione, un certificato dalla ca del Vanuatu, la sicurezza e' sempre quella.

cercando dicono che phpbb 3.1, correntemente in RC, dovrebbe supportare nativamente openid. usare mod di terze parti su qualcosa di simile in effetti e' una pessima idea (come penso sia stata una idea non troppo brillante faticare per passare da una board funzionante, che poteva essere aggiornata, ad una programmata da scimmie non troppo ammaestrate. se e' per la licenza, sapete benissimo che ubuntuforums usa software commerciale a pagamento...).

riguardo alla 3.1 di phpbb hanno ammesso che l'implementazione del login era molto vecchia e faceva acqua da tutte le parti, dicono di averla riscritta. chissa' se hanno risolto anche il problema delle password in chiaro nel farlo...