Názory k článku Certifikáty Let‘s Encrypt validované přes proxy DNS
-
Proc wildcard chcete (neregistrovaný)
Protoze, ak dokaze utocnik vlozit zaznam pre web.example.com, tak nemusi kradnut ziadny wildcard certifikat ale moze si vygenerovat vlastny cert (aj 2x do dna) pre tu domeny cez LE. Toto sa da osetrit, iba nejakym monitoringom...
Vyhodou wildcard LE, ze nie je vidno ake subdomeny pouzivate - co je sice security by obscurdity, ale ako jedna z vrstiev security to je IMHO fajn. Ked utocnik nevie ze mam nextcloud na nextcloud.example.com, tak si to musi zistit inak aby nan mohol utocit, a (zistit) to je bez zneuzitia nejakej dalsej chyby velmi tazke.
-
[Jooky] (neregistrovaný)
Je to velmi zle mysleny pocit bezpecia ... bezne internet prehliadace a hromada beznych doplnkov posiela hostname "velkemu bratovi" a ten ich cez crawl engine zaindexuje. Potom staci spravny dotaz napr na google a clovek presne vie ake subdomeny sa schovavaju / pouzivaju. Wildcard certifikat nic nezachrani ...
... a to viem o com hovorim. Zo zaciatku na mojej wiki viac ludi editovalo, ako pozeralo obsah. Google vo vysledkoch daval edit linky namiesto view, kedze na nich ludia travili viacej casu ...
-
[Jooky] (neregistrovaný)
mediawiki zobrazi zdrojovy kod / editor len po pridani "&action=edit" na konci linku .... no a mi povedz ako na toto dat noindex ... ale nic to nemeni na veci, ze tie udaje sa proste posielaju a je len na dobrej voli crawl enginu, ze bude respektovat nastavenie robots.txt ... staci, ze to ignoruje, alebo je robots.txt chvilu nedostupny a sme na tom istom ...
... a to nemusi byt len browser. Skus niekomu poslat nejaky link napr cez skype a sledovat logy zo servra. Do max minuty si tu stranku pozrie nejaky m$ server. Podobne spravanie som videl aj pri inych chat nastrojoch ...
tl;dr; subdomena sa neda schovat len tym, ze bude cert vystaveny na *.example.com
-
Filip JirsákStříbrný podporovatelAž na to, že žádný z velkých internetových vyhledávačů neindexuje obsah, na který by se dostal z odkazů z webových prohlížečů nebo jiných klientských programů. Ten Skype se tak chová možná kvůli antivirové kontrole stránek, nebo aby udělal náhled stránky, ale rozhodně se ta stránka potom neobjeví v Bingu.
Spoléhat na „schovávání“ domén je naivní, ale stejně tak naivní je věřit pověrám o tom, že vyhledávače indexují adresy zadané do prohlížeče.
-
robo (neregistrovaný)
Mali sme raz jednu testovaciu domenu. Robil som na nej len ja. Uz od zaciatku som si vsimol ze ked do browsera napisem url tej stranky do niekolko minut tam pride server od googlu. Asi po mesiaci vyvoja sa mi zacala objavovat vo vysledkoch vyhladavania na google. Jedine miesto kam som tu url napisal bol urlbar prehliadaca.
Domena v dns vobec nebola. Server mal ale vetejnu ip. Web bezal na nestandardnom porte. Nevrav ze sa to nedeje. Deje sa to. -
Filip JirsákStříbrný podporovatel
Neděje se to. Viz např. také Does Google Use Chrome to Discover New URLs for Crawling?. Stejný test si můžete udělat sám. Ten váš „příklad“ má tu nevýhodu, že by se takto stát nemohl. Jak by se asi Google na ten webserver dostal, když by znal doménové jméno, to se ale v internetu nepřekládalo?
-
[Jooky] (neregistrovaný)
... to tomu veris len preto, ze si nasiel nejaky clanok ? ... u mna bola situacia presne rovnaka ako pisal hore robo. Vytvaral som novu stranku, ktora bola na novej subdomene. V case vytvarania nebola linkovana zo ziadneho externeho zdroja a jedine ja som na nu chodil cez chrome a ff browser. Po asi tyzdni / dvoch som si vsimol, ze je v google indexe a google crawl engine ju pravidelne navstevuje. Vo vysledkoch vyhladavania boli hore clanky, na ktorych som travil naviac casu (editovanie / kontrola). To vsetko v case, ked sa stranka stale "pripravovala" a nebola nikde spomenuta ...
... tl;dr; Deje sa to a o opaku ma nepresvedcis.
-
Filip JirsákStříbrný podporovatel
Nikoli. Věřím tomu proto, že mám několik webů, které jsou jen pro soukromé použití, a Google je nikdy neindexoval (a ty stránky nemají žádný robots.txt, protože nejsou určené pro veřejnost a pro indexování). Věřím tomu proto, že je jednoduché to chování ověřit jednoduchým pokusem, který je popsán i v tom článku, a všechny takové pokusy dopadly stejně – Google stránky neindexoval jenom na základě toho, že by je někdo otevřel v Chrome.
Naopak nikdo, kdo tvrdil, že Google indexuje stránky jenom na základě toho, že je někdo navštívil prohlížečem, to nedokázal věrohodně popsat. Není si jistý, jestli opravdu na ty stránky neexistovaly odkazy, nedokáže přesně napsat, který robot je navštěvoval, nenapíše, jestli se stránky objevovaly ve veřejných výsledích vyhledávání nebo v privátních (kde jsou např. i e-maily apod.). Vám to nepřipadá podezřelé? Že nikdo z postižených nedokáže zkopírovat z logu user-agenta a IP adresu, nedokážu udělat screenshot výsledků vyhledávání?
Ostatně i vy píšete, ž eu vás byla situace přesně stejná, jako u Roba, al eon přitom psal, že jeho doména se ani nepřekládala v internetu. Takže Google by si musel i doménu přeložit pře prohlížeč, zjistit, že vede na veřejnou IP adresu, a pak by jí mohl crawlovat. A co by zobrazil ve výsledích vyhledávání? Tu doménu, která by nikomu nefungovala? Nebo by tam dal veřejnou IP adresu a doufal, že webserver odpoví správně, i když mu prohlížeč nepošle hlavičku Host? Obě varianty jsou šílené, a kdyby se Robovi skutečně stalo to, co si tu vymýšlel, s jendou z těch variant by se ve výsledíchc vyhledávání setkal, a určitě by se ve svém popisu události podělil i o tohle („cha cha, a Google ve výsledích vyhledávání zobrazoval odkaz s doménou, která se překládala jen v naší interní síti, cha cha, to jsou ale hlupáci“).
Occamova břitva říká, že nejlepší vysvětlení je to nejjednodušší – a já se tím řídím.
-
Robo (neregistrovaný)
Hej. Hej. Ja sa tu teraz pretrhnem so screenshotovanim niekolko rokov stareho projektu a logov z neho len aby som presvedcil niekoho co ma nazval hlupakom.
Inak to je pekne pouzitie ocamovej britvy. Presne ako pises. Najjednoduchsie je zareagovat slovom hlupaci. Uz jednoduchsie nieje nic. Na to sa uz da povedat len toto: "Ále, Samozrejme pán Hrivňák. Hoci kedy! Hoci kedy." -
Filip JirsákStříbrný podporovatel
Já jsem tu nikoho za hlupáka neoznačil. Screenshoty bych si samozřejmě udělal v době, kdy bych na takové podivné chování narazil, stejně jako bych se podíval do logů. Když jste to neudělal, jsou ta vaše tvrzení jenom ničím nepodložené dohady.
Mimochodem, to, že jste měl nějaký interní web, na který neměly vést žádné odkazy z venku, samozřejmě není nijak výjimečná situace. Například existují tisíce firemních intranetů. Podle vaší teorie by je měl Google indexovat. Jak je tedy najdu?
-
Robo (neregistrovaný)
Ze vy by ste si to oscreenshotoval to este neznamena ze to robia vsetci. Musite mat doma peknu zbierku screenshotov z kazdej somariny ktoru ste kedy zbadal. Super. Gratulujem. To som teda ten chaby pokus o vtip s panom hrivnakom asi trafil. Ja som to len ukazal kolegovi a zasmiali sme sa na tom. Tak prepacte pane ze som zabudol si to zdokumentovat. Som nevedel ze to budete vyzadovat do vasej zbierky.
Ak vy ochranu intranetov zakladate na nelinkovani zvonka tak vela stastia.
-
Filip JirsákStříbrný podporovatel
Já to do žádné sbírky nevyžaduju. Jenom jsem konstatoval, že když jste neudělal ani takhle základní věci, vypovídá to o tom, že se v dané oblasti moc neorientujete a celý ten váš závěr je tudíž založený především na vašich ničím nepodložených dojmech. Jestli dovolíte, budu věřit spíš lidem, kteří se v oboru orientují a kteří to otestovali jasně popsaným a průkazným postupem, než někomu, kdo moc netuší, o co jde, a na základě bůhvíčeho získal dojem.
Nepsal jsem nic o ochraně intranetu. Celou dobu se tu bavíme o indexování neveřejných stránek, o ničem jiném.
-
Robo (neregistrovaný)
S vami musi byt este vtipnejsie sa rozpravat na zivo ako v diskusii. Prepacte ale ja nepotrebujem zrovna od vas uznanie ci a v com sa ja vyznam. Popisujem svoju skusenost a neustale ma bud zosmiesnujete alebo o mne pisete ako o hlupakovi alebo ze sa mi nieco zdalo alebo ze som si to vymyslel.
Tak pre ostatnich "Stalo sa to tak ako som pisal", pre Vas pan Jirsak "len sa mi to snivalo".
Uz Vam nebudem odpovedat.
-
Filip JirsákStříbrný podporovatel
Já vám věřím, že si myslíte, že se to stalo tak, jak popisujete. Akorát že ten popis je velmi mlhavý, podivný a někdy zjevně v rozporu s tím, co je reálné. Takže si dovoluji pochybovat o tom, že se reálně stalo to, co si myslíte, že se stalo. Že se v dané oblasti neorientujete a interpretujete chybně, co se stalo, na tom by nebylo nic divného ani špatného. Špatné je to, že si to odmítáte připustit, a že si myslíte, že vaše interpretace musí být správná, i když nemáte potřebné znalosti.
Já jsem vás nikdy nezesměšňoval ani jsem o vás nepsal jako o hlupákovi. Že vy trváte na tom, že vaše interpretace musí být správná (i když nedává smysl), tím se zesměšňujete sám.
-
lol2 (neregistrovaný)
dehydrated (predtym letsencypt.sh) a DNS-01 s Bernsteinovym tinydns pouzivam od zaciatku. Dovodom je pythoni bordel a teda jeho absencia na serveroch. Nepochopim naco kodili aplikaciu v Pythone ked sa da napisat v bashi. Tie hooky sa IMHO daju sklbit s akymkolvek systemom, ked nic ine tak screenscraping nejakej remote sluzby
-
Ondřej CaletkaZlatý podporovatelNepochopim naco kodili aplikaciu v Pythone ked sa da napisat v bashi.
Protože parsování JOSE+JSON řetězců sérií sedů a grepů je prasárna*, která určitě určitě selže v některých okrajových případech. Na zpracovávání takto komplexních protokolů je je jenom správné používat dedikovanou a prověřenou knihovnu, která bude fungovat za všech okolností a bude správně reagovat napřáklad i na nevalidní vstup.
Ostatně, žádost o certifikát by taky určitě šlo vyrobit v bashi. Nepochopím, proč se někdo kódil s openssl. ;)
*) To nic nemění na tom, že v roli ACME klienta to funguje překvapivě dobře a vzhledem k zásadním omezením certbota jde často o jediné rozumně použitelné řešení.
-
lol2 (neregistrovaný)
Ked ide o parsovanie JSONu tak pochopim pouzitie jq (https://stedolan.github.io/jq/) a nie mastodonti jazyk, ktory ma problem jedna verzia od druhej, co sa plata cez rozne virtualne environmenty...
-
Ondřej CaletkaZlatý podporovatel
Aha, takže prostě nemáte rád Python. To jste měl říct rovnou a nepoužívat nesmyslnou argumentaci „když to jde napsat v bashi, nechápu, proč to psali v něčem jiném.“ Bash je turingovsky kompletní, takže cokoliv jde napsat v Bashi a podle této logiky by tedy žádný jiný jazyk nejspíš neměl existovat.
-
Python je na to naopak docela vhodny. Perl by byl jeste vhodnejsi (ve "strict" rezimu objevi uz pri "kompilaci" vyrazne vice chyb nez python), ale ma mene uzivatelu, a ma spatnou povest, protoze dava programatorum svobodu. Ale na skripty ktere maji byt bezpecne (coz by rozhodne skript na manipulaci s certifikaty mel byt) by to urcite chtelo jazyk, ktery odhali pri kompilaci i preklepy v atributech objektu/klicich pole. Bohuzel jsem jeste nenarazil na takovy, ktery by byl zaroven natolik rozsireny, ze by mu nechybela siroka baze kvalitnich knihoven. (Python mel problemy s kvalitou knihoven, to se teprve posledni roky zlepsuje. Perl mel knihovny kvalitni, ale dnes jiz budou stare.)
-
lol2 (neregistrovaný)
Na PERLe som vyrastol, ale ani v nom by som to nevidel radsej nez v Pythone. Veci ako spamassassin vyuzivajuce silnu stranku PERLu - regularne vyrazy a ich integraciu do jazyka su exemplarnym prikladom logickeho uvazovania.
ACEM klient ale nic take nerobi. Jeho jedina funkcia je robit requesty (curl) a pracovat so subormi.
Ked uz nie bash, tak to mali napisat v cpp. Bolo by to bezpecne a pri kompilacii by sa odhalili vsetky preklepy. Je sice pekne ze si viem pozriet zdrojak ktory spustam, ale v tom pythonom bordeli nie je sanca najst par riadkov ktore tam nepatria a kludne mozu preposielat privatne kluce mimo serveru. Kto to pouziva a overuje checksum pred kazdym spustenim?
Ale koncim to s tym, ze nech si kazdy pouziva co chce, dehydrated mi uplne vyhovuje
-
Ondřej CaletkaZlatý podporovatel
poukazujem na to aby sa nepouzivali programovace jazyky na to na co sa evidentne nehodia
Bash se evidentně nehodí na parsování a sestavování JOSE+JSON, což je přesně to, co každý ACME klient dělá. Tedy napsat ACME klienta v bashi je podobné jako psát moduly do jádra v PHP.
-
No name (neregistrovaný)
I am using jq in bash as is it needs and possible. It is not true that bash is obsolete or bad. Still is more faster and useful for lot of short scripts and utilities. And in general - is everywhere.. Someone can blame me but for part of “us” it can be view of daily “Linux” life.
-
Lieselotte (neregistrovaný)
To neděláte dobře. Otírat se na tomto serveru o takové jazyky obvykle dobře nekončí. Jinak pochopitelně máte pravdu, což ovšem v diskusi na rootu vždy předchází průšvihu. Já bych opravdu chtěla vidět odvážlivce, který ten jejich skript spustí. Pochopitelně s root právy, protože jinak to nejde. Zjistit z kodu co to dělá je fakt pythomně dlouhý příběh, navíc šance, že to něco rozbije, je značná. Existuje jiné řešení, sice také v pythomci, ale bez root práv. LE ho má na webu. Bohužel bez patchnutí jste v IPv6 prostředí v háji. Prošla jsem tím a zkusila to. Ovšem nejlepší na tom celém je, že jediné, co LE ověřuje, je to, že na webserver umístíte nějaký soubor. Jen jednou a proběhne to v předvídatelném čase. Proč si někdo myslí, že útočník dokáže přesměrovat na sebe náhodný traffic pro několik uživatelů, ale nedokáže to udělat pro JEDINÝ předvídatelný request z LE? Hm? Asi trochu přebujelé ego. Ale to se tady také říkat nesmí. Ach ano, máme tu ještě ty Mikrotiky...
