אבטחת אתרים בנט פרי
-
-
ציטוט מתוך ויקיפידיה -אינטרנט רימון:(https://he.wikipedia.org/wiki/אינטרנט_רימון)
"בנוסף מתבצע סינון על תוצאות חיפוש במנועי חיפוש, וסינון באתרים מאובטחים באמצעות תיעול התעבורה המאובטחת דרך שרתי אינטרנט רימון. מאפיין זה חושף את המשתמשים להתקפת אדם בתווך ולהאזנת סתר לנתונים רגישים על ידי אינטרנט רימון."
-
דהיינו שיש יותר חשש להתקפה חיצונית, אבל בעיה זו קיימת גם באתרוג/רימון.
כשהייתי בנתיב לא זכור לי שהייתי צריך להתקין תעודת אבטחה, אז לכאורה שם אין את הבעיה הזו?
אין לי שום הו"א לחזור לנתיב, וראיתי שמישהו בפורום את המשפט הבא (כשקראתי את זה בדקתי פעמיים לראות שלא אני כתבתי את זה, חשבתי שרק אני עליתי על הפירצה שיש להם. או אולי זו פירצה נוספת):- סינון של נתיב. היה להם תקופה ארוכה תקלה שאני לא אפרט בדיוק אבל פעולה מסוימת גרמה לביטול החסימה לגמרי וכשפניתי אליהם ענו לי שאין מה לעשות ואל תעשה את הפעולה הזו. רק חבל שלא אמרו לי שאני אגלוש רק באתרים כשרים
-
@אתרוג-פלוס אמר באבטחת אתרים בנט פרי:
כשהייתי בנתיב לא זכור לי שהייתי צריך להתקין תעודת אבטחה
כשאתה מתקין תוכנה על המחשב, זה כולל הכל.
-
@אהרן היום גם בנתיב צריך להתקין תעודת אבטחה של נטצח. (מאז שהם קנו את נטצח...)
-
@clickone חבל להם לשלם פעמיים על תעודות..............
-
עיינו פה
-
תודה רבה
אני רואה שאני לא הראשון שהם מנסים למכור לו את זה, וכנראה לא האחרון.
מעניין שלי הם אמרו שאצלם אין את הבעיה, מכיון שהם מתעסקים עם החברות הגדולות עצמם (גוגל וכו'), וקונים מהם או משלמים להם משהו כדי שהסינון יעבוד בלי לפרוץ את האבטחה, ולכן הם עצמם רואים רק נקודות מוצפנות ולא את האתר. לא הבנתי בדיוק מה כוונתם, אבל מעיון באשכולות קודמים נראה שלא אמרו כך לאחרים. -
@אתרוג-פלוס רק אספר לך שלאף אחד מהעובדים בנטפרי אין אפשרות לעקוב אחרי הגלישה שלך, ולכן במידה ותיתקל בבעיה כלשהיא תצטרך לעשות הקלטת תעבורת אינטרנט אותה אתה מפעיל.
לעומת זאת בחברה מתחרה שמנסה לטעון על בעיות אבטחה בנטפרי כתב אחד מהעובדים שם בעקבות בלוג שפורסם באתר מסויים "אשכול זה נפתח בתגובה לחסימה של סרט שניסה פותח האשכול להוריד ונחסם!!!"
וכמדומני שעל דוגמא שכזו אין צורך להוסיף אף מילה. -
@אתרוג-פלוס יש לזה הסבר מאד פשוט, שייקח לך קצת זמן לעכל אותו.
שיקרו לך.
זה הכל.לא נראה לי שדיברת עם איזה מתכנת או משהו, רוב האנשים מדברים עם נציג פשוט או מישהו משימור לקוחות וכדומה.
הם לא בהכרח מבינים גדולים בנושא, והם פשוט חוזרים על מה שמלמדים אותם..
.
חיפשתי לך הסבר יפה שמצאתי פעם על תעודת אבטחה, אבל אני לא מוצא אותו. אז אני אנסה לכתוב לך מהזיכרון בשביל שיהיה מובן:
נניח שאתה נכנס לבנק. אתה רוצה להיכנס לחשבון שלך, ואז האתר אומר לך:
"רגע רגע, תזדהה, למה שאני אתן לך להציץ בפרטים האישיים של פלוני? תוכיח שזה אתה!"
אז אתה מתבקש להכניס פרטים מזהים + סיסמא.
אבל עכשיו תורך להיות חשדן:
"מי אמר שאני בתקשורת עם האתר האמיתי? אולי מישהו מרמה אותי, והפרטים שאני מכניס יעברו אליו?"
ופה נכנסת תעודת האבטחה. היא מוודאת שהאתר שרוצה ממך מידע אישי, הוא אכן האתר שהוא מתיימר להיות (במקרה שלנו - בנק)..
עד כאן באינטרנט רגיל. אבל בסינון יש בעיה:
כל עוד לא מסננים, הכל בסדר. פשוט מעבירים את הנתונים כשהם עדיין חתומים בתעודה.
אבל אם אתה רוצה לסנן, השרת של הסינון צריך לפתוח את המידע ולשנות אותו, וזה אומר שהדף שאתה מקבל הוא לא מהאתר האמיתי (מה שנכון), ומיד תקפוץ לך שגיאה שזה לא מאובטח, ואולי מישהו מרמה אותך וגונב את הנתונים!מכיוון שאנחנו יודעים שמי שפתח את ההצפנה הוא הסינון, אין לנו מה להילחץ. זה נכון שפתחו את ההצפנה, אבל זה לא אכפת לנו, כי אנחנו יודעים מי פתח.
אנחנו רק צריכים למצוא פתרון לאזהרות האבטחה האלו..
הפתרון לזה הוא:
הסינון יוצר תעודה חדשה משל עצמו, ובעצם כל פעם שאתה כביכול גולש לבנק, הסינון מקבל את הדף מהבנק (כשהוא משתמש בתעודה הרגילה), מסנן אותו (ועצם הפתיחה מורידה את אישור האבטחה), ושולח אותו אליך חתום בתעודה של הסינון.
כך גורמים שהמידע יישאר מאובטח.
אה, ובשביל שהמחשב שלך יזהה את התעודה של הסינון אתה צריך להתקין תעודת אבטחה של נטפרי.וזו דרכם של כל הסינונים כדי לסנן באתרים מאובטחים.
.
תודה לכולם על ההקשבה, ואני מוכן ומזומן לקבל הערות באם טעיתי בנתונים.
-
@dLive שיעור מעניין ומחכים
-
-
@שלו' תודה על הקישור, קראתי את החומר והוא כתוב בצורה ברורה ומקיפה.
אני מעתיק את הכתוב בקישור לכאן, כדי שכאשר אנשים יריצו חיפוש בפורום יקבלו תוצאה מהטקסט הנ"ל.
פרטיות ומידע אישי
איסוף נתונים
בנטפרי לא מתבצע אף איסוף נתוני תקשורת, גם לא באופן זמני וגם לא לצרכי תמיכה. המשתמש הוא היחיד שיכול ליזום כזו פעולה באופן זמני לצרכי תמיכה.כלומר, אם יש למשתמש בעיה או תקלה באתר מאובטח אין לנציגי השרות או למנהלים אפשרות לדעת לאן הוא גלש ואיפה הוא נתקע. אלא המשתמש עצמו יוזם את הקלטת תעבורת האינטרנט שלו, ומקבל לינק ייחודי הפרטי להקלטה זמנית זו, את הלינק הוא יכול לשלוח לתמיכה כדי לעזור בפתרון הבעיה.
אתרים מאובטחים
רקע
כל גישה למחשב מרוחק מתבצע באמצעות מערכת כללים מוגדרת מראש (פרוטוקול). שני הפרוטוקולים הנפוצים הם פרוטוקול http המשמש לתקשורת שאינה מוצפנת, ופרוטוקול https המשמש לתקשורת מוצפנת.דוגמה לתקשורת שאינה מוצפנת היא גלישה לאתר של תחזית מזג אויר. המשתמש מבקש להציג נתונים מסוימים (לדוגמה: המזג אויר הצפוי בירושלים מחר), והמחשב המרוחק מציג את התשובה באופן חזותי.
דוגמה לתקשורת מוצפנת היא גלישה לאתר של בנק. המשתמש מבקש להציג נתונים מסוימים (לדוגמה: מצב העובר ושב שלו). המחשב המרוחק מבקש לוודא שהמבקש גישה לנתונים אכן רשאי לגשת אליהם, זה מתבצע ע"י שם משתמש וסיסמה שעל המשתמש לספק. כדי למנוע ציטוט לתקשורת הזאת ע"י גורמים זרים, היא מתבצעת בפרוטוקול מאובטח המצפין את התקשורת מה שלא מאפשר לצדדים אחרים לצטט לה. בשלב הזה, המחשב המרוחק יודע שהמשתמש רשאי לצפות בנתונים אותם הוא מבקש, אבל המשתמש אינו יכול לדעת אם הוא מבקש את הנתונים מהמחשב המרוחק של הבנק, או ממחשב מרוחק המתחזה לבנק וע"י כך גונב את הסיסמה שלו. גרוע מכך, המתחזה יכול ל"תווך" בין המשתמש לבנק, ולהציץ בנתונים ואף לשנותם. כאן נכנסת לתמונה תעודת האבטחה, אשר היא מעין מדבקת הולוגרמה המודבקת על האתר ומאשרת: א. שהאתר אינו מתחזה אלא האמיתי ב. ההצפנה של הנתונים לא "נפתחה" בפני אף גורם עד להגעתם לדפדפן המשתמש.
סינון אתרים מאובטחים באופן כללי
כיום רבים מהאתרים משתמשים בפרוטוקול מוצפן, דוגמת גוגל, שירותי דואר אלקטרוני (מייל), בנקים, חברות אשראי, אתרי קניות באינטרנט ועוד רבים.
כל מערכת סינון נדרשים לפענח נתונים של תקשורות מוצפנות. פענוח של תקשורת מוצפנת מחייבת את שרת הסינון להצפין אותו מחדש עם תעודה משלו. התעודה הזו ששייכת לשירות המסנן צריכה להיות מותקנת במחשב הלקוח כדי לדעת שמדובר בגורם שניתן לתת בו אמון, אחרת הדפדפן יחסום את ההתקשרות.
התקנת תעודת אבטחה של שירות סינון אינה חושפת את התקשורת המוצפנת בפני שום גורם מלבד המערכת המסננת.
הבעיה שמערכת הסינון יכולה להיות חשופה לתכנים (ססמאות, פרטי אשראי וכדו') היא בעצם התקנת תעודת האבטחה (שזה קיים בכל החברות), וללא קשר אם חברת הסינון בוחרת לסנן את התכנים של האתר או לא. דהיינו, בכך שיש חברות שבוחרות לא לסנן אתרים מאובטחים מסוימים, זה בגלל בחירתם. ובמידה וירצו לאסוף פרטי אשראי במודע על משתמשים, הם יכולים בלחיצת כפתור לסנן ולאסוף תכנים ללא ידיעת המשתמש (משתמש מתקדם יכול לבדוק בפרטי התעודה: אם היא זו של חברת הסינון, סימן שבוצע פענוח והנתונים היו חשופים).
האם אפשר לתת אמון בחברת הסינון? אז צריך לדעת מה הסיכון. בהחלט אם ישנה חולשת אבטחה או לחלופין מורשה ברמה גבוהה יש לו כוונה זדונית, ניתן להניח יד על הנתונים. מאידך מדובר מערכת ממוחשבת שנמצאת על ספק רשמי עם כל הרגולציה שבדבר, וישנה מחויבות לתקני אבטחה מחמירים. יש לזכור גם שכל תעבורת האינטרנט הלא מוצפנת, חשופה לספק איזה שיהיה והמידע בה לפעמים הוא לא פחות רגיש מבאתרים המוצפנים.
סינון אתרים מאובטחים בנטפרי
בנטפרי כל אתר מאובטח שפתוח מוגדר האם יש בו בכלל צורך בסינון. אתרים מסוימים כמו paypal לא עוברים סינון, ולא מתבצע פיענוח והתעודה המקורית נשארת. באתרים בהם יש כן צורך בסינון אז מתבצע פענוח ואח"כ הצפנה שחתומה ע"י התעודה של נטפרי.
כדי שתעודת נטפרי לא תהווה חותמת גומי לתעודות לא תקפות, מתבצעת בדיקה של התעודה מול המאגר Mozilla CA Certificate Store שהינו הקפדני ביותר. אם התעודה תקפה, ההצפנה נעשית ע"י התעודה של נטפרי. אם התעודה לא תקפה לפי המאגר הנ"ל ההצפנה נעשית בשיטת Self-signed certificate כך שאצל הלקוח מתקבלת התרעה על תעודה לא תקפה.
-
@שלו' תודה, אבל לא לזה התכוונתי. (אני, איך נגיד, מכיר את הוויקי.)
פעם קראתי באיזה מקום חומר שהיה כתוב בצורה הרבה יותר ידידותית. -
-
@מעמד אי יודע, ב"ה אני עוד זוכר מה שאני כתבתי.
אני מדבר על משהו שקראתי באתר מסוים. -
יתכן שזה רק משהו שקשור להסכמי הבטחה בינלאומים של חברות האינטרנט ומערכות ההפעלה, אבל נמתין למבינים שיחוו כאן את דעתם.
-
אני יכול לומר לכם, אתמול מסרתי מחשב חדש ללקוח, וכשירות קפצתי למשרדו להראות לו קצת איך משתמשים במחשב (פעם ראשונה שלו...) הסינון היה של אתרוג, ומיד בגלישה לגוגל קופץ מודעה חמודה שמבשרת שאם ברצונך לגלוש בצורה חלקה גם באתרים מאובטחים לחץ כאן להתקין את התעודה שלנו בחינם!!
אתם מבינים איך עובדים היום...