החרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים
-
@נטפריס אמר
שום אדם בעולם לא יכול לגשת לתעבורה של נטפרי, היחידים שתיאורטית יכולים זה מנהל נטפרי והספק.
עדיין
מנהל זה פונקציה של הרשאות, לא של רצון טוב.
תסכים איתי שיש היתכנות כלשהיא שההרשאות יגנבו
הכי בטוח זה ששהמידע יישאר מוצפן על ידי תעודת האבטחה המקורית
וסתם שאלה האם ההצפנה של נטפרי היא אותה רמת הצפנה של תעודת האבטחה המקורית? -
@FiveFour סתם מסקרן אותי, אם באמת תהיה כזו אופציה להחריג לגמרי אתרים רגישים, האם זה יספק אותך? הרי עדיין נשאר האופציה לבעל הרשאות במערכת נטפרי לעקוף את ההגדרה ולסנן בכל זאת, מה תאמר, שתבדוק את התעודה, נו באמת, אתה מכיר מישהו שבודק את התעודה בכלל, ועוד בכל כניסה וכניסה לאתר???
לעצם הענין, אני סבור שאתה לוקח את הדברים רחוק מדי. כמו ש@נטפריס ציין, הסמכות לעשות שינויים כאלו במערכת נמצא ביד המנהל בלבד, לעובדים אין שום גישה לאזורים רגישים. האם האבטחה היא ברמת סיווג בטחוני של תחנת כח גרעיני? אולי לא... אבל זה סיכון (אם בכלל אפשר לקרוא לזה סיכון) שסביר לקחת כדי לקבל את היתרונות שנטפרי מספקים.
@בן-עזאי אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
וסתם שאלה האם ההצפנה של נטפרי היא אותה רמת הצפנה של תעודת האבטחה המקורית?
ההצפנה שבינך לשרתי נטפרי היא לגמרי באותה רמה. וגם התעבורה משרתי נטפרי לאתר היעד. הנידון פה הוא על זה שנטפרי שנמצאים באמצע יכולים לפענח אותה.
-
@יעקב-ישראל אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@FiveFour אז למה אתה לא מפחד שהספק שלך יוכל לקרוא את המידע שלך
אתה 100% צודק, זה בדיוק העניין, תעודות אבטחה נמצאות להגן עליי ועליך מפני הספק ועל כל הספקים הנוספים בדרך לאתר(הרבה), אתה אמור להניח שיש עובד אצל הספק שיכול לקרוא את המידע.
אהה כי הוא חברה גדולה ומוכרת וגם זה יסבך אותו חוקית
אז אני חושב אותו דבר על נטפרי רק שהתווסף לי נתון בשונה מהספק ששם אם לא הפחד מהחוק ואיבוד הלקוחות מי יודע מה היה, בנטפרי יש בן אדם שגם בלי החוק לא היה עושה כלום כי הוא משלנו ויש לו מעל החוק אלוקיםנטפרי יקר ללבי. האינטרס שלהם שלא יהיה להם גישה למידע שיכול לגרום להם אחריות מיותרת
אז הנתונים לטובת נטפרי
ואם אתה חושש שיפרצו לנטפרי אז תחשוב שאם פורצים לנטפרי פורצים גם לספק כי זה מגיע ביחד
אין ספק שמוגן 100% בפני פריצות, תעודת האבטחה מונפק ע"י הבנק להגן על הלקוח מפני הספק.
אה ואת זה הספק אמור לבדוק היטב
בקיצור אם אתה לא סומך לך תזרע ותקצור ותטחן כדי שלא ירעילו אותך (לא.. זה סתם הגזמה אבל זה הכיוון)מסכים, אם אין פיתרון לבעיה שהעליתי - אז אחיה עם הסיכון, זה רק הצעה לשיפור.
-
סתם מסקרן אותי, אם באמת תהיה כזו אופציה להחריג לגמרי אתרים רגישים, האם זה יספק אותך? הרי עדיין נשאר האופציה לבעל הרשאות במערכת נטפרי לעקוף את ההגדרה ולסנן בכל זאת, מה תאמר, שתבדוק את התעודה, נו באמת, אתה מכיר מישהו שבודק את התעודה בכלל, ועוד בכל כניסה וכניסה לאתר???
תודה שהערת את הנקודה החשובה הזאת. תקן האבטחה של התעודות (X509)מאפשר חריגות מובנות - מבחינה טכנית ישנם מספר בעיות כמו בכל יישום, הם פתירים - אם הנושא חשוב.
-
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
תקן האבטחה של התעודות (X509)מאפשר חריגות מובנות
כנראה אתה מתכוון לזה. לא הכרתי, מעניין. אבל זה פתרון בעייתי מכיון שרשימת המוחרגים עלולה להשתנות בתדירות יחסית.
-
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@נטפריס
נכון, אבל העניין הוא שכמו שמנהל נטפרי יכול לגשת, תמיד יש אפשרות (גם אם אולי רחוקה) למישהוא נוסף לגשת.לא. אין. אין אפילו אפשרות רחוקה. אין בכלל בכלל.
-
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
תודה שהערת את הנקודה החשובה הזאת. תקן האבטחה של התעודות (X509)מאפשר חריגות מובנות - מבחינה טכנית ישנם מספר בעיות כמו בכל יישום, הם פתירים - אם הנושא חשוב.
שיחקת אותה...
פתירים... אתה תדאג לזה בכל מחשב שתהיה בו, אהה? -
@יעקב-ישראל אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
הם בהחלט יכולים אבל בד"כ התעבורה מוצפנת
לא רק הם יכולים, יש עוד אפשריות לדוג תעבורה
ובדיוק בשביל זה יש תעודה, בשביל להצפין את התעבורה מפני כל הגורמים לאורך הדרך.והרשיון שניתן לספקים זה אולי שהם לא ישחקו עם הBGP להפנות התעבורה למקמות אחרים.
אבל לא שמישהו סומך עליהם שלא יציצו בתעבורה. -
@נטפריס אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@נטפריס
נכון, אבל העניין הוא שכמו שמנהל נטפרי יכול לגשת, תמיד יש אפשרות (גם אם אולי רחוקה) למישהוא נוסף לגשת.לא. אין. אין אפילו אפשרות רחוקה. אין בכלל בכלל.
זה קצת מרחיק לכת לקבוע את זה בכזו נחרצות...
יש כלל וותיק שאומר שכל מה שאפשר לחסום אפשר גם לפרוץ...
כדי לסתור את הכלל הזה צריך לספק הסברים קצת יותר טובים מ'אין בכלל בכלל'
אבל האמת שנטפרי זה מעל הטבע, אז אולי זה לא תופס עליהם...@יעקב-ישראל אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@FiveFour אז למה אתה לא מפחד שהספק שלך יוכל לקרוא את המידע שלך
הוא לא יכול לקרוא, (כל עוד הוא לא פרץ את הSSL). יש הצפנה בין הלקוח לבין השרת, וזה כל העניין של התעודות הבטחה בנטפרי, כדי שהם כן יוכלו לראות ולסנן.
-
@FiveFour
אתרים רגישים שאנחנו בטוחים שהם נקיים אין לנו בעיה לפתוח בלי פיענוח. והרבה פעמים עושים את זה.
הבעיה שברשימה שהזכרת אין אתרים נקיים. במיוחד בקופות חולים. -
- בנקים הם מן הסתם הכי רגישים - בגלל המוטבציה.
- האם התוכן הבעייתי (בקופ"ח) כוונתך לתמונות? אם כן אז הם בקבצים נפרדים. התוכן הרגיש בד"כ HTML או PDF מצורף, ואותם להחריג.
-
בקופות חולים הרבה פעמים יש תוכן לא ראוי ולא רק תמונות
-
@ר-חיים אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
בקופות חולים הרבה פעמים יש תוכן לא ראוי ולא רק תמונות
זה יותר בדפי מידע
לא באיזור האישי הכולל מידע חסוי שעליו הדיון -
@magicode אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@FiveFour
אתרים רגישים שאנחנו בטוחים שהם נקיים אין לנו בעיה לפתוח בלי פיענוח. והרבה פעמים עושים את זה.
הבעיה שברשימה שהזכרת אין אתרים נקיים. במיוחד בקופות חולים.יש אתר של קופ"ח מכבי שמותאם לציבור החרדי. https://go.maccabi4u.co.il/
-
@נטפריס
המצב כרגע הוא שnetfree מתקינה (בין השאר) על כל מחשב מסונן תעודת אבטחה ROOT CA של נטפרי בכדי לחתום על כל הדפים שהיא פתחה והצפינה שוב.
מציע שבגרסא החדשה של הCA יוחרגו רשימת אתרים - מי שיעדכן יעדכן ועם הזמן יעברו כולם לגרסא חדשה. זה תהליך מקובל בעדכוני תוכנה.---אבל ברשותך אני מעדיף להתמקד בשאלה האם זה חשוב, רק הבאתי דוגמא שהבעיה פתירה. אשמח לשמוע עוד רעיונות מוצלחים יותר לפתרון---
-
לא. אין. אין אפילו אפשרות רחוקה. אין בכלל בכלל.
מה כוונתך ? איזה פרוצדרות קיימות למנוע זאת, אשמח אם ניתן להרחיב.
-
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@נטפריס
המצב כרגע הוא שnetfree מתקינה (בין השאר) על כל מחשב מסונן תעודת אבטחה ROOT CA של נטפרי בכדי לחתום על כל הדפים שהיא פתחה והצפינה שוב.
מציע שבגרסא החדשה של הCA יוחרגו רשימת אתרים - מי שיעדכן יעדכן ועם הזמן יעברו כולם לגרסא חדשה. זה תהליך מקובל בעדכוני תוכנה.צודק, ההצעה שלך מטיבה עם נטפרי, היא תישא בפחות אחריות.
אבל לא תהיה כל אפשרות לדינמיות והמציאות היא שרשימת האתרים שמוחרגים היא דינמית לשני הכיוונים, מה שיעורר קשיים. -
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
האם התוכן הבעייתי (בקופ"ח) כוונתך לתמונות? אם כן אז הם בקבצים נפרדים. התוכן הרגיש בד"כ HTML או PDF מצורף, ואותם להחריג.
אי אפשר גם להחריג דומיין וגם לסנן פרמטרים בבקשות URL
-
@someuser אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
האם התוכן הבעייתי (בקופ"ח) כוונתך לתמונות? אם כן אז הם בקבצים נפרדים. התוכן הרגיש בד"כ HTML או PDF מצורף, ואותם להחריג.
אי אפשר גם להחריג דומיין וגם לסנן פרמטרים בבקשות URL
לא בטוח שהבנתי.
התמונות מגיעות בפניה נפרדת - ולפעמים אפילו מאתר אחר.
תוכל להרחיב? -
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@someuser אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
@FiveFour אמר בהחרגת בנקים ומוסדות רגישים מהסינון (אם הם נקיים)- למען הפרטיות של המשתמשים:
האם התוכן הבעייתי (בקופ"ח) כוונתך לתמונות? אם כן אז הם בקבצים נפרדים. התוכן הרגיש בד"כ HTML או PDF מצורף, ואותם להחריג.
אי אפשר גם להחריג דומיין וגם לסנן פרמטרים בבקשות URL
לא בטוח שהבנתי.
התמונות מגיעות בפניה נפרדת - ולפעמים אפילו מאתר אחר.
תוכל להרחיב?בתעבורה מוצפנת רק השם של הדומיין חשוף, שאר הפרמטרים של הבקשה מוצפנים, לכן רק אם התמונות נמצאות תחת סאב דומיין אחר אפשר להבדיל ביניהם, במקרה הקלאסי שהתמונות יושבות תחת תיקית משנה של הדומיין הראשי, המצותת לא יוכל לדעת האם הבקשה הזו מקבלת HTML או תמונה אלא אם כן הוא יפענח את התעבורה
