Vlákno názorů k článku Certifikáty Let‘s Encrypt validované přes proxy DNS od Proc wildcard chcete - Protoze, ak dokaze utocnik vlozit zaznam pre web.example.com,...
-
Proc wildcard chcete (neregistrovaný)
Protoze, ak dokaze utocnik vlozit zaznam pre web.example.com, tak nemusi kradnut ziadny wildcard certifikat ale moze si vygenerovat vlastny cert (aj 2x do dna) pre tu domeny cez LE. Toto sa da osetrit, iba nejakym monitoringom...
Vyhodou wildcard LE, ze nie je vidno ake subdomeny pouzivate - co je sice security by obscurdity, ale ako jedna z vrstiev security to je IMHO fajn. Ked utocnik nevie ze mam nextcloud na nextcloud.example.com, tak si to musi zistit inak aby nan mohol utocit, a (zistit) to je bez zneuzitia nejakej dalsej chyby velmi tazke.
-
[Jooky] (neregistrovaný)
Je to velmi zle mysleny pocit bezpecia ... bezne internet prehliadace a hromada beznych doplnkov posiela hostname "velkemu bratovi" a ten ich cez crawl engine zaindexuje. Potom staci spravny dotaz napr na google a clovek presne vie ake subdomeny sa schovavaju / pouzivaju. Wildcard certifikat nic nezachrani ...
... a to viem o com hovorim. Zo zaciatku na mojej wiki viac ludi editovalo, ako pozeralo obsah. Google vo vysledkoch daval edit linky namiesto view, kedze na nich ludia travili viacej casu ...
-
[Jooky] (neregistrovaný)
mediawiki zobrazi zdrojovy kod / editor len po pridani "&action=edit" na konci linku .... no a mi povedz ako na toto dat noindex ... ale nic to nemeni na veci, ze tie udaje sa proste posielaju a je len na dobrej voli crawl enginu, ze bude respektovat nastavenie robots.txt ... staci, ze to ignoruje, alebo je robots.txt chvilu nedostupny a sme na tom istom ...
... a to nemusi byt len browser. Skus niekomu poslat nejaky link napr cez skype a sledovat logy zo servra. Do max minuty si tu stranku pozrie nejaky m$ server. Podobne spravanie som videl aj pri inych chat nastrojoch ...
tl;dr; subdomena sa neda schovat len tym, ze bude cert vystaveny na *.example.com
-
Filip JirsákStříbrný podporovatelAž na to, že žádný z velkých internetových vyhledávačů neindexuje obsah, na který by se dostal z odkazů z webových prohlížečů nebo jiných klientských programů. Ten Skype se tak chová možná kvůli antivirové kontrole stránek, nebo aby udělal náhled stránky, ale rozhodně se ta stránka potom neobjeví v Bingu.
Spoléhat na „schovávání“ domén je naivní, ale stejně tak naivní je věřit pověrám o tom, že vyhledávače indexují adresy zadané do prohlížeče.
-
robo (neregistrovaný)
Mali sme raz jednu testovaciu domenu. Robil som na nej len ja. Uz od zaciatku som si vsimol ze ked do browsera napisem url tej stranky do niekolko minut tam pride server od googlu. Asi po mesiaci vyvoja sa mi zacala objavovat vo vysledkoch vyhladavania na google. Jedine miesto kam som tu url napisal bol urlbar prehliadaca.
Domena v dns vobec nebola. Server mal ale vetejnu ip. Web bezal na nestandardnom porte. Nevrav ze sa to nedeje. Deje sa to. -
Filip JirsákStříbrný podporovatel
Neděje se to. Viz např. také Does Google Use Chrome to Discover New URLs for Crawling?. Stejný test si můžete udělat sám. Ten váš „příklad“ má tu nevýhodu, že by se takto stát nemohl. Jak by se asi Google na ten webserver dostal, když by znal doménové jméno, to se ale v internetu nepřekládalo?
-
[Jooky] (neregistrovaný)
... to tomu veris len preto, ze si nasiel nejaky clanok ? ... u mna bola situacia presne rovnaka ako pisal hore robo. Vytvaral som novu stranku, ktora bola na novej subdomene. V case vytvarania nebola linkovana zo ziadneho externeho zdroja a jedine ja som na nu chodil cez chrome a ff browser. Po asi tyzdni / dvoch som si vsimol, ze je v google indexe a google crawl engine ju pravidelne navstevuje. Vo vysledkoch vyhladavania boli hore clanky, na ktorych som travil naviac casu (editovanie / kontrola). To vsetko v case, ked sa stranka stale "pripravovala" a nebola nikde spomenuta ...
... tl;dr; Deje sa to a o opaku ma nepresvedcis.
-
Filip JirsákStříbrný podporovatel
Nikoli. Věřím tomu proto, že mám několik webů, které jsou jen pro soukromé použití, a Google je nikdy neindexoval (a ty stránky nemají žádný robots.txt, protože nejsou určené pro veřejnost a pro indexování). Věřím tomu proto, že je jednoduché to chování ověřit jednoduchým pokusem, který je popsán i v tom článku, a všechny takové pokusy dopadly stejně – Google stránky neindexoval jenom na základě toho, že by je někdo otevřel v Chrome.
Naopak nikdo, kdo tvrdil, že Google indexuje stránky jenom na základě toho, že je někdo navštívil prohlížečem, to nedokázal věrohodně popsat. Není si jistý, jestli opravdu na ty stránky neexistovaly odkazy, nedokáže přesně napsat, který robot je navštěvoval, nenapíše, jestli se stránky objevovaly ve veřejných výsledích vyhledávání nebo v privátních (kde jsou např. i e-maily apod.). Vám to nepřipadá podezřelé? Že nikdo z postižených nedokáže zkopírovat z logu user-agenta a IP adresu, nedokážu udělat screenshot výsledků vyhledávání?
Ostatně i vy píšete, ž eu vás byla situace přesně stejná, jako u Roba, al eon přitom psal, že jeho doména se ani nepřekládala v internetu. Takže Google by si musel i doménu přeložit pře prohlížeč, zjistit, že vede na veřejnou IP adresu, a pak by jí mohl crawlovat. A co by zobrazil ve výsledích vyhledávání? Tu doménu, která by nikomu nefungovala? Nebo by tam dal veřejnou IP adresu a doufal, že webserver odpoví správně, i když mu prohlížeč nepošle hlavičku Host? Obě varianty jsou šílené, a kdyby se Robovi skutečně stalo to, co si tu vymýšlel, s jendou z těch variant by se ve výsledíchc vyhledávání setkal, a určitě by se ve svém popisu události podělil i o tohle („cha cha, a Google ve výsledích vyhledávání zobrazoval odkaz s doménou, která se překládala jen v naší interní síti, cha cha, to jsou ale hlupáci“).
Occamova břitva říká, že nejlepší vysvětlení je to nejjednodušší – a já se tím řídím.
-
Robo (neregistrovaný)
Hej. Hej. Ja sa tu teraz pretrhnem so screenshotovanim niekolko rokov stareho projektu a logov z neho len aby som presvedcil niekoho co ma nazval hlupakom.
Inak to je pekne pouzitie ocamovej britvy. Presne ako pises. Najjednoduchsie je zareagovat slovom hlupaci. Uz jednoduchsie nieje nic. Na to sa uz da povedat len toto: "Ále, Samozrejme pán Hrivňák. Hoci kedy! Hoci kedy." -
Filip JirsákStříbrný podporovatel
Já jsem tu nikoho za hlupáka neoznačil. Screenshoty bych si samozřejmě udělal v době, kdy bych na takové podivné chování narazil, stejně jako bych se podíval do logů. Když jste to neudělal, jsou ta vaše tvrzení jenom ničím nepodložené dohady.
Mimochodem, to, že jste měl nějaký interní web, na který neměly vést žádné odkazy z venku, samozřejmě není nijak výjimečná situace. Například existují tisíce firemních intranetů. Podle vaší teorie by je měl Google indexovat. Jak je tedy najdu?
-
Robo (neregistrovaný)
Ze vy by ste si to oscreenshotoval to este neznamena ze to robia vsetci. Musite mat doma peknu zbierku screenshotov z kazdej somariny ktoru ste kedy zbadal. Super. Gratulujem. To som teda ten chaby pokus o vtip s panom hrivnakom asi trafil. Ja som to len ukazal kolegovi a zasmiali sme sa na tom. Tak prepacte pane ze som zabudol si to zdokumentovat. Som nevedel ze to budete vyzadovat do vasej zbierky.
Ak vy ochranu intranetov zakladate na nelinkovani zvonka tak vela stastia.
-
Filip JirsákStříbrný podporovatel
Já to do žádné sbírky nevyžaduju. Jenom jsem konstatoval, že když jste neudělal ani takhle základní věci, vypovídá to o tom, že se v dané oblasti moc neorientujete a celý ten váš závěr je tudíž založený především na vašich ničím nepodložených dojmech. Jestli dovolíte, budu věřit spíš lidem, kteří se v oboru orientují a kteří to otestovali jasně popsaným a průkazným postupem, než někomu, kdo moc netuší, o co jde, a na základě bůhvíčeho získal dojem.
Nepsal jsem nic o ochraně intranetu. Celou dobu se tu bavíme o indexování neveřejných stránek, o ničem jiném.
-
Robo (neregistrovaný)
S vami musi byt este vtipnejsie sa rozpravat na zivo ako v diskusii. Prepacte ale ja nepotrebujem zrovna od vas uznanie ci a v com sa ja vyznam. Popisujem svoju skusenost a neustale ma bud zosmiesnujete alebo o mne pisete ako o hlupakovi alebo ze sa mi nieco zdalo alebo ze som si to vymyslel.
Tak pre ostatnich "Stalo sa to tak ako som pisal", pre Vas pan Jirsak "len sa mi to snivalo".
Uz Vam nebudem odpovedat.
-
Filip JirsákStříbrný podporovatel
Já vám věřím, že si myslíte, že se to stalo tak, jak popisujete. Akorát že ten popis je velmi mlhavý, podivný a někdy zjevně v rozporu s tím, co je reálné. Takže si dovoluji pochybovat o tom, že se reálně stalo to, co si myslíte, že se stalo. Že se v dané oblasti neorientujete a interpretujete chybně, co se stalo, na tom by nebylo nic divného ani špatného. Špatné je to, že si to odmítáte připustit, a že si myslíte, že vaše interpretace musí být správná, i když nemáte potřebné znalosti.
Já jsem vás nikdy nezesměšňoval ani jsem o vás nepsal jako o hlupákovi. Že vy trváte na tom, že vaše interpretace musí být správná (i když nedává smysl), tím se zesměšňujete sám.
