Výpadek provozu Rozpad.cz

[bacil]

10 vteřin trvá vyjednání SSL a zdaleka to není jen Rozpad. Příčina je v tom, že už několik let jistý zahraniční dáreček zdržuje vyjednání šifrovaného spojení, no a přestalo to buď stíhat ty útoky (narostly šíleně), nebo jede v nějakém podrobnějším režimu.

[steve_michalik]

Sorry, ale to mi přijde jako blbost. Ano 10s tvá navázání spojení, jehož součástí je i SSL handshake. Ale SSL/TLS je p2p komunikace z principu, žádná třetí strana do komunikace nevstupuje, to by bylo dokonalé popření celé internetové bezpečnosti.
Tudíž pokud by to chtěl někdo úmyslně brzdit, tak by to musel dělat na úrovni poskytovatelů samotné konektivy s úmyslem zdržovaná paketů na tzv. problematický web rozpad.cz. Udělal jsem si traceroute a data tečou pouze českou sítí, takže netuším o jakém zahraničním subjektu píšeš. Já osobně žádný takto pomalý web neznám.
Vzhledem k tomu, že i po otevření spojení, trvá skoro další 2s poslání samotné stránky, bych to spíš tipl na přetížený server. Neprobíhá náhodou na rozpad.cz nějaký DDoS útok?
Jinak mé české weby s taky Let's Encrypt certifikáty jedou naprosto bez problémů.

[pracintl]

Ale SSL/TLS je p2p komunikace z principu, žádná třetí strana do komunikace nevstupuje, to by bylo dokonalé popření celé internetové bezpečnosti.

To byla pravda před pár lety, kdy SSL/TLS požívali banky a velké korporáty. Pak nastala doba, kdy Google a další začali tvrdit, že je zapotřebí šifrovat veškerý provoz, abychom ochránili svoje soukromí. A nastal veliký tlak na protlačení https, servery běžící na nešifrovaném kanálu byly označovány za nebezpečné a někdy i zakazovány. Objevilo se Let'sEncrypt a dneska většina webů jede šifrovaně. Začali se zakazovat selfsigned certifikáty, běžné v různých routerech, switchích, kamerách, ... Prohlížeč pořád vyhrožuje "spojení není bezpečné".

A zároveň se ale ukázalo, že orgány/sekuriťáci neví, co po tom https teče. A tak v současné době nastává pro změnu tlak na https inspekci. To znamená, že sice komunikujete šifrovaně, ale šifrovaný provoz končí na nějakém firewallu nebo antiviru, kde je rozšifrován, prověřen a zase zašifrován certifikátem, který sice ukazuje, že komunikujete s banka.cz, ale certifikát vydala vasefirma.cz nebo eset.cz. Někdy to můžete obejít, někdy ne. Ale nebojte se, velký bratr vás ochrání (ať chcete nebo ne).

[bacil]

Jestli si vzpomenete, tak před 20 lety se mluvilo o Internet 2.0, že to bude bezpečný a důvěryhodný paralelní korporátní "vesmír". To co máme teď, je v podstatě onen Internet 2.0 tak, jak byl zamýšlen. Prohlížeče už roky ani neumí FTP protokol, mailserver si sice doma uděláte, ale málokomu to přijde, o veřejné IPV4 adrese ani nemluvě a IPV6 je dosud bordel, který se v LANu zakazuje.

Traceroute nemusí nic poznat, je nutné použít tcptraceroute, díky kterému jsem prudil providera že tam má transparentní proxy kterou nechci (koncové IP se liší). Jenže přišlo https... Tlak na to byl hlavně kvůli tomu, že lze snadněji poznat kdo to ve skutečnosti je, než po http (TOR hlavně). Dnes nechtěná zařízení na síti ani nemusí být vidět, když jedou v promiskuitním režimu, protože už se stíhá očuchat a vyhodnotit každý paket. Ale jak bylo řečeno přede mnou, ESET je to správné klíčové slovo.

[steve_michalik]

A zároveň se ale ukázalo, že orgány/sekuriťáci neví, co po tom https teče. A tak v současné době nastává pro změnu tlak na https inspekci. To znamená, že sice komunikujete šifrovaně, ale šifrovaný provoz končí na nějakém firewallu nebo antiviru, kde je rozšifrován, prověřen a zase zašifrován certifikátem, který sice ukazuje, že komunikujete s banka.cz, ale certifikát vydala vasefirma.cz nebo eset.cz. Někdy to můžete obejít, někdy ne. Ale nebojte se, velký bratr vás ochrání (ať chcete nebo ne).

Tak to je krásný příklad MITM útoku. Ale ne všichni používají widle/eset/google chrome. Ano, pokud máš na svém PC práskací program ve převlečení za OS/antivir/web prohlížeč, který terminuje TLS, tak je to tvoje volba. Nicméně samotné TLS za to opravdu nemůže.

[steve_michalik]

... mailserver si sice doma uděláte, ale málokomu to přijde ..

Ale no tak. Ano je to vopruz to všechno nastavit, ale jde to. Sám mám jeden doma. A pak znám několik firem, které používají vlastní mail servery a ještě nezkrachovaly. Bohužel je to daň za filtraci spamu.

[bacil]

Musíš mít doménu a reverzní záznam ke svojí IP v moci

[pracintl]

Tak to je krásný příklad MITM útoku. Ale ne všichni používají widle/eset/google chrome. Ano, pokud máš na svém PC práskací program ve převlečení za OS/antivir/web prohlížeč, který terminuje TLS, tak je to tvoje volba. Nicméně samotné TLS za to opravdu nemůže.

On linux bez antiviru není vůči https inspekci imunní - záleží na tom, kdo tu inspekci dělá (ty na PC, firma na FW, poskytovatel, ...)
Na svých strojích to pochopitelně mám vypnuté, ale BFU si toho ani nevšimne.

[cipis]

Už to zase všechno trvá ...

[bivoj]

Tak dnes je to naprosto extrémně pomalé - prakticky je fórum takto nepoužitelné...