Aktywne Wpisy
robin_caraway +142
Jak czytam tutaj, że Nawałka jest najlepszym selekcjonerem polskiej repry w ostatnich 30 latach to tylko xD Wykopki nie różnicie się od boomerów, którzy kiedyś wspominali sukcesy repry z lat 70. i 80.
Koleś na farcie przeszedł jedną rundę na euro 2016 i tylko tyle. Mundial w Rosji wyjaśnił go jako trenera.
Boniek zmarnował najlepszy potencjał jaki mieliśmy w ostatnich 40 latach zatrudniając Nawałkę, a później Brzęczka.
#pilkanozna #reprezentacja
Koleś na farcie przeszedł jedną rundę na euro 2016 i tylko tyle. Mundial w Rosji wyjaśnił go jako trenera.
Boniek zmarnował najlepszy potencjał jaki mieliśmy w ostatnich 40 latach zatrudniając Nawałkę, a później Brzęczka.
#pilkanozna #reprezentacja
git_commit +96
Otóż z tego co wiem, połączenie klient-serwer może być szyfrowane, możemy to poznać po https w adresie.
Obejrzałem pare filmików na ten temat, wszędzie tam mówią tylko tyle (przynajmniej tak zrozumiałem), że każda domena musi mieć certyfikat, który przeglądarka otrzymuje od zaufanego źródła. Ale mam kilka pytań, które mnie nurtują :)
Po 1: dlaczego nie można podszyć się pod to "zaufane źródło"? I sfałszować certyfikat? Skąd przeglądarka wie, że to co otrzymuje jest faktycznie tym, za co się podaje?
Po 2: dane z formularzy (np logowania) są podobno szyfrowane. Skąd przeglądarka zna szyfr? Wiem, że jest takie coś jak klucz publiczny, no ale skoro jest publiczny to wszyscy go znają, czyli teoretycznie można te dane odkodować.
Po 3: czy faktycznie https gwarantuje, że strona jest tym za co się podaje? Co atakujący musiałby zrobić, żeby podstawić mi sfałszowaną stronę i jednocześnie żeby przeglądarka wyświetlała https i "kłódkę"?
Ogólnie to działa tak, że szyfrowane dane może wysłać na serwer każdy (dzięki kluczowi publicznemu), ale odszyfrować je może tylko i wyłącznie ten jeden właściwy serwer, który ma klucz prywatny.
Podobnie jest z certyfikatami. Każdy może odszyfrować taki certyfikat, ale tylko wystawca może go podpisać. Ogólnie jest kliku wystawców dodanych "na sztywno", a dalej już leci tak że centrum A wystawia certyfikat
1. Ponieważ certyfikaty zaufanych źródeł są zwykle rozprowadzane razem z przeglądarką.
2. W tym wypadku klucz publiczny jest używany do szyfrowania, a do deszyfrowania jest używany klucz prywatny. Gwarantuje to, że tylko adresat wiadomości pozna jej treść.
3. Tak, ponieważ certyfikaty ułożone są w "łańcuch" - to "zaufane źródło" na samej górze może gwarantować autentyczność innych.
Ad. 1
Przeglądarka ma kilka(dziesiąt) zaufanych wystawców certyfikatów. Reszta nie pojawi Ci się jako ładna zielona ikonka. Ale ogólnie bazuje to na niejakim zaufaniu - przeglądarki ufają CA, Ty ufasz CA, więc klucz wystawiony przez CA jest
Niedawno na niebezpieczniku była nagonka na któregoś z dostawców maili (O2 i chyba wp), że nie szyfrują danych podczas korzystania z poczty w przeglądarce. Czyli haker mógłby zobaczyć treść maili które przeglądamy.
Z linka który podrzucił @11mariom wynika, że serwer przed wysłaniem
No przecież sam napisałeś:
1. Klient ma klucz publiczny.
2. Serwer ma klucz