Symantec vs Google

Nevim na ci strane je pravda, ale ikdyby mel pravdu Symantec, tak dokud budou stat zakaznici jako ty, tak vyrazne na strane Googlu, tak budou mit vsichni koho nebude mit Google rad, problem.

Co se tyka teto situace, tak je pro zakazniky Symantecu, pokud by mu verili vic nez Googlu, jednoduse resitelna tak, ze si hodi na web hlasku o nepodporovanem prohlizeci, pokud se clovek prihlasi z Chrome a odkaz na konkurencni prohlizec, ktery certifikaty podporuje.

Jenze ve skutecnosti prave webove firmy na vsechno totalne kaslou a mnohe dnes optimalizuji jen pro Firefox a Chrome a naopak drze nahazuji hlasku o nepodporovanem prohlizeci vsude jinde od Chromia a jeho klonu pocinaje, pres Pale Moon, SeaMonkey az po QupZillu a Safari.

Jeste jedna vec, tyto valky maji jeden nasledny efekt, lidi zacnou na nejake certifikaty srat. Ano, musim to napsat presne takto, protoze jestlize mi Firefox zacne u kazdyho prdu psat nezabezpecena stranka a nahazovat cervene presktnuty krizek, tak co se stane, prestanu to vnimat a budu k temto vecem slepy.

To same Microsoft, kdyz stizil aktualizace Windows, prejdou lidi na novy hardware nebo na Windows 10 a podobne? Neprejdou zacnou srat na nejake aktualizace.

Google asi jde na věc a "jde štěstíčku naproti" u své komerční CA.

https://www.theregister.co.uk/2017/01/27/google_ro ot_ca/

Takže nejprve zrušit největší konkurenci a pak začít vlastní certifikáty? Tohle mi trochu zavání nekalou soutěží, zenužitím monopolního postavení a kdoví čím ještě.

uvidíme, jak se to vyvrbí, ale pokud to dopadne takto, tak můžu říkat, že jsem vám to říkal. :D

Zalezi jestli do toho fleg a spol pujdou a u Googlu to zaregistrujou.

Pozri mne rano volal zakaznik, ze sa nevie dostat na ich firemny cloud.
Samozrejme dostat sa slo, ale musel som mu to vysvetlit v 3 mailoch, pretoze blby Chrome reve najprv, ze niekto sa pokusa ukradnut vase data, dole je malicky odkaz, ktory ta dostane na dalsiu stranku, kde je este mensim pismom ist na (ne)zabezpecny web.
Nedivim sa, ze medzi laikmi taketo chovanie browsera sposobuje paniku.
A Chrome osobne nemusim, je to jediny prehliadac, ktory nemam na nb, pretoze ho proste nemam rad;o).
Takze zhrnme tom, zakaznik chce sifrovany web, vlastny certifikat, ktory pouzivali roky predtym uz im nestaci, chcu byt pred zahranicnymi partnermi cool, takze to musi byt certifikat podpisany CA. A chce to hned.
A neboj nebude to certifikat od Googlu;o).

Tak pokud ses zakaznikovi snazil vysvetlit, ze chyba neni v certifikatu, ale v Chromakovi a ze ma pouzivat jiny prohlizec a zakaznik trval na svem, ze chce Chrome, tak je to debil, ktery si nic jineho nez oskubat nezaslouzi a to se taky stane, jakmile Google zlikviduje konkurenci.

Je nejakej web, kterej bys sem mohl napsat, kterej jeste ma ty certifikaty od Symantecu? Zajimalo by me, jestli to treba beha OK na Comodo Dragonu, coz je prohlizec postavenej na Chromiu a Comodo mimo jine je taky CA.

chyba neni v certifikatu, ale v Chromakovi a ze ma pouzivat jiny prohlizec a zakaznik trval na svem, ze chce Chrome

Svět je plný notorických uživatelů Chrome.

Toľko nepresností ako v samotnej správičke, tak aj v komentároch pod ňou, že to radšej zhrniem do jedného príspevku, ako by som mal odpovedať jednotlivo. Mimochodom, o strate dôvery Google v certifikáty Symantecu som písal v správičke pred týždňom a čosi, kedy bolo jasné, že ide o dosť veľkú vec.

V prvom rade, obvinenie zo strany Google je postavené na prostých faktoch, zatiaľ čo Symantec celú situáciu neuveriteľne zľahčuje. Problémy Symantecu sú dlhodobé a v ich biznise, kde ide predovšetkým o dôveru v CA, dosť ťažko ospravedlniteľné. Google proti nim vystúpil síce ako prvý, ale je dosť možné, že onedlho už nebude sám. Mozilla, aj keď sa zatiaľ jednoznačne nevyjadrila, už doplnila do svojej wiki zoznam pochybení zo strany Symantecu, ktorý je tiež len zoznamom prostých faktov. Tento zoznam sa môže veľmi ľahko stať oficiálnym zdôvodnením Mozilly k tomu, že sa pripojí k postoju Google.

Kroky, ktoré Google navrhol, sú dosť mierne práve preto, že certifikáty Symantecu majú cca 30% podiel. Takže ich certifikáty neprestanú platiť zo dňa na deň, ako by k tomu došlo pri menej významnej CA, ale sa bude postupne skracovať ich platnosť. Píšeš o konkrétnom zákazníkovi, ktorému prestal platiť v Chrome certifikát - vieš dať aj odkaz na konkrétnu stránku, alebo aspoň informácie o certifikáte? Zatiaľ som o zneplatňovaní certifikátov čítal iba ako o návrhu, takže by ma zaujímalo, či k nemu už aj naozaj pristúpili. Ak áno, tak od dnes by mala byť skrátená platnosť certifikátov na 33 mesiacov, čo by znamenalo, že tvoj zákazník mal kúpený trojročný certifikát, ktorý by mu do troch mesiacov aj tak vypršal.

Zákazníci Symantecu, ktorí v tomto veria viacej Symantecu ako Googlu, sú buď neinformovaní alebo blázni alebo oboje naraz. Jednoduché "riešenie" s hláškou o nepodporovanom prehliadači nebude fungovať, pretože návštevníci stránok sa kvôli neplatnému certifikátu k tej hláške ani nedostanú. Obava z toho, že by certifikáty týmto krokom zo strany Googlu strácali na svojej hodnote, je dosť krátkozraká. Ono by to bolo totiž naopak - pokiaľ by sa certifikáty vydávali tak nedbalo, ako to robil Symantec, tak by certifikáty prakticky stratili svoj význam.

Ďalšie obvinenia z nekalej súťaže, že Google si chce získať zákazníkov pre svoju CA, padajú na tom, že Google svoje certifikáty nepredáva verejne, aspoň zatiaľ. Okrem toho sú spolu s Mozillou veľkým sponzorom Let's Encrypt, ktorý umožňuje získať DV certifikáty zadarmo.

No a perlička na záver: API, ktoré poskytuje Symantec pre vydávanie certifikátov, má údajne také nedostatky, ktoré môžu viesť až k zverejneniu privátnych kľúčov. Preto milé deti, keď si generujete žiadosť o certifikát (CSR), tak neposielajte svoje privátne kľúče certifikačnej autorite, aj keď vám poskytnú tool, ktorý to všetko spraví za vás.

OK, pak je to samozrejme o necem jinem.

Zeptam se teda jeste, ty problemy, ktere Mozilla vytyka od 2014, jak je to treba u jinych CA, jestli proste to Symantec opravu nezvladal a zaslouzil si to nebo jestli je treba vic CA, ktere maji podobne problemy a jde v podstate sice o blby ale bezny stav s s certifikaty?

Doteraz to bolo tak, že pokiaľ mala nejaká CA takéto problémy, tak jednoducho skončila. Neviem o žiadnej CA, ktorá by mala toľko problémov, aby si dal niekto tú prácu a spísal celý zoznam. Hlavný problém Symantecu je v tom, ako sa stavia k riešeniu vzniknutých problémov. Už v minulosti boli doslova donútení upraviť svoj proces vydávania certifikátov tak, aby spĺňali určité požiadavky. Problémy ignorujú ako dlho to len ide a nakoniec sa bránia tým, že žiadnu reálnu škodu nezaznamenali. Google tvrdí, že nesprávne vydaných certifikátov bolo okolo 30 tisíc, ale Symantec tvrdí, že ich bolo len 127. Symantec sa jednoducho musí začať viacej snažiť, ak chce svojich zákazníkov presvedčiť, že sú naozaj dôveryhodná CA.

Dovolím si poznamenat jednu věc: Nejsem zastáncem ani Google, ani Symantecu, nemám vůči nim žádné zájmy a ani jim nějak nefandím. Symantec (ale i google) je typický korporátní dodavatel, který poskytuje služby uzpůsobené potřebám těchto firem (a věřím, že se tam i nějaké chyby najdou - to ostatně u všech takto velkých firem).

Co mně osobně přijde nebezpečné, je způsob jakým Google ovlivňuje internet - dnes totiž je G. hegemonem, který všeobecně internet ovládá, jak přes svůj vyhledávač, tak přes prohlížeč Chrome. A pokud přijde i se svou CA, je to na můj vkus příliš velká koncentrace moci, přičemž k naprostému ovládnutí internetu už chybí jen převzetí rootovských DNS serverů.

A abych se vrátil k výše uvedenému, způsob který zvolil G. v boji se Symantecem mně přijde jako ten nejhorší možný. Dále si je třeba uvědomit, že popisované problémy (nebo alespoň část z nich) se nemusí vůbec zakládat na pravdě, protože jsou jen velmi těžko ověřitelné zvenčí, popřípadě nejsou ověřitelné vůbec. Vzbuzuje to ve mně dojem (a omlouvám se za to, protože dnešní postfaktická doba dojmologii přeje), že se jedná o předem připravenou kampaň, která má výše uvedený cíl.

Nakonec bych dodal jen jeden postřeh, analogii: Kdysi, skoro už před 25 lety, uvedl MS Windows 95, jehož součástí byl MSN (Microsoft Network) a MS si sliboval, že uživatelé "zahodí" běžný internet a přejdou na MSN. Nestalo se tak, i proto, že MSN nebyl "povinný" a internet zablokovaný. Dnes, v této kauze, majoritní prohlížeč svévolně blokuje certifikáty široce používané CA, tedy lze říci, že je to analogický případ k tomu, kdy by MS v roce 1995 ve svých Windows aktivně blokoval internetová připojení a naopak "tlačil" své MSN jako jediný způsob pro připojení do světové počítačové sítě.

Mne by vazne zajimalo, jestli to blokovani je i v ramci prohlizecu postavenych na Cromiu jeko je Comodo Dragon. Comodo taky poskytuje certifikaty, tak by mohlo mit zajem tez se konkurence zbavit, jestli to ale ostatni nedalji, tak je urcite neco spatne. Minimalne to mel Google s ostatnima konzultovat a dohodnout dopredu nejaky postup. Muze mit los pravdu, zvlast kdyz Mozilla vytyka Symantecu problemy uz tri roky a Symantec se k tomu stavil laxne, na druhou stranu je fakt blby kdyz je zablokovala konkurence, to muselo byt Googlu jasne, ze to podezreni, ze se chteji zbavit neprijemneho konkurenta vyvstane, ikdyby se nezakladalo na pravde. Proste souhlasim s tim, ze takhle to resit nemeli.

Předpokládám, že CRL/disabled CA je ve všech Chrochro prohlížečích stejný, ale celkem mě to nezajímá, certifikátů Symantecu mám jen několik a tyhle žabomyšky neřeším, Chrome mě nezajímá. Mozilla (bohužel) v poslední době je "béčko" Chrome - přejímá jak vzhled, tak funkce (což si nemyslím, že je správně, ale já nejsem směroplatný). Když si ten seznam na Mozzile přečteš, půlka z něj má docela barvitý korporátní příběh skrytý mezi řádky.

Google hlavne Mozillu sponzoruje, takze skacou jak Google piska.

Spochybniť pravdivosť popisovaných problémov Symantecu bude veľmi ťažké, vzhľadom na to že sú buď zdokumentované v Bugzille alebo na Google fóre, kde sa k ním vyjadrujú aj zástupcovia zo Symantecu, alebo sú dohľadateľné priamo na stránkach Symantecu, prípadne sa dajú nájsť na webe aj výsledky auditov, ktoré tam prebiehali. Takže určite nie je pravda, že by tie pochybenia boli zvonka ťažko overiteľné. Môžeš síce zľahčovať niektoré z popísaných problémov, ale skús si dohľadať, že kvôli čomu Symantec začiatkom tohto roka ukončil svoj RA program. Dôvody, ktoré ich k tomu donútili, boli podľa mňa tou poslednou kvapkou, pri ktorej pretiekol pohár. Potom sa ti už nebude zdať prístup Googlu ako "najhorší možný", pretože Symantec sa vlastnou vinou dostal do situácie, kedy už dobré riešenia neexistujú.

Ja som naopak rád, že sa Google rozhodol problémy okolo Symantecu aktívne riešiť, pretože celá bezpečnosť komunikácie cez SSL stojí a padá na certifikačných autoritách. Myslím, že je dosť zrejmé, ako veci zvyknú dopadnúť, keď sa bezpečnosť rieši prístupom "však o nič nejde". Analógiu s MSN som nepochopil, ale reči o tom, že Google je ten zlý kvôli snahe zvyšovať bezpečnosť sprevádzajú aj ich Project Zero, v rámci ktorého upozorňujú na bezpečnostné chyby. Reakcie dotknutých spoločností alebo ich fanúšikov, ktorí potom hľadajú skrytú motiváciu, že prečo sa Google zameral práve na nich, sú potom vcelku zábavné počteníčko.

Já nezpochybňuju samotný fakt že se něco stalo, ale zpochybňuju jeho závažnost ve smyslu svévolně-záměrného a "tajeného" konání Symantecu. A právě to, že se do jednoho seznamu dají "hříšky" a velké hříchy a pak se z toho dělá velké divadlo mě vede k názoru, že to je záměrná kampaň.

A co se samotného G. týká, jeho snahy o řešení bezpečnostních problémů jsou moc pěkné, ale na druhé straně sám ani po X letech není schopen zajistit ani základní bezpečnost své mobilní platformy a tuto záležitost ponechává farizejsky na výrobcích HW. Podobně je na tom Play store.

Lenže ten zoznam je od Mozilly, nie od Googlu. A pokiaľ si všimneš, tak číslovanie nie je A,B,C,D... ale B,D,E,F..., takže by som si tipol, že to prešlo ešte aj nejakým filtrom cez právnikov. Bezpečnosť Androidu alebo Play store takpovediac nesúvisí s prípadom a ide o rovnaké odvádzanie pozornosti, o ktorom som písal vyššie.

V tomto opat raz suhlasim s tw, pretoze mam uplne rovnaky pocit. Uvidime ako sa to vyvinie.
V kazdom pripade Symantec zatial prehrava, aj ked bolo jasne, ze Mozilla sa prida casom na stranu Googlu vzhladom na financnu previazanost.

Tá finančná previazanosť spočíva presne v čom? Myslíš, že za to, že si Google zaplatil v Mozille používanie ich vyhľadávača, tak Mozilla odteraz spraví všetko, čo si Google zmyslí?

Ano, Mozilla udela co Googlu na ocich uvidi, vsak i prohlizec zacali delat ve stylu Chrome, aby se jim zalibili co mozna nejvice.

Nie vsetko, ale ked ta niekto sem tam zasponzoruje je jasne, ze to nebolo len z cisteho altruizmu.
Tw svoje podozrenia vyjadril, ja sa s nimi stotoznujem.

Ešte raz sa spýtam: Čo presne máš na mysli pod tým sem-tam zasponzorovaním? Pretože podľa mňa tu šírite bludy, že Google nejako upláca Mozillu, len to akosi neviete ničím podložiť. Máš naozaj na mysli kontrakt z roku 2011, keď Google zaplatil za to, aby bol predvoleným vyhľadávačom vo Firefoxe? Pretože ten kontrakt vypršal v roku 2014, kedy nebol predĺžený, takže naozaj neviem, či máš na mysli toto. Lebo ak áno, tak asi aj sám uznáš, že to by bolo fakt absurdné. Ešte smiešnejšie je tvrdenie, že Mozilla sa chce Googlu zapáčiť, tak preto ich napodobňuje. Neviem, kam na toto chodíte.

Su veci verejne a poblikovane a su veci neverejne, ktore mozno su a mozno nie.
Dam sem len tie verejne a publikovane.

In 2006, the Mozilla Foundation received US$66.8 million in revenues, of which US$61.5 million is attributed to "search royalties" from Google.

alebo

From 2004 to 2014, the foundation had a deal with Google to make Google Search the default in the Firefox browser search bar and hence send it search referrals; a Firefox themed Google search site was also made the default home page of Firefox

A teraz podme k domnienka.
MF podpisala nasledne kontrakt s Yahoo...ako vieme Yahoo je v likvidacii, takze od koho bude cerpat Mozilla teraz prachy? Co je opat predvolenym prehliadacom vo FF bez nejakeho okazaleho PR? Z coho vobec financuje MF vyvoj sw a celu svoju prevadzku? Z milodarov?
Trosku usmevnej konspiracie...ako cisluje FF od isteho casu verzie FF, TB...;o)? Hint - kto s tym zacal ako prvy?

Ano v 2015 odnzeli vyroky, ze my uz viac nepotrebujeme Google prachy zo strany MF, ale to neznamena, ze tam nie je prepojenie v roku 2017. Hlavne, ked si myslim, ze ich hlavny zdorj prijmov z Yahoo uz davno vyschol.

To s tým číslovaním verzií je argument na rovnakej úrovni, ako s výzorom prehliadačov. Keby si sa nad tým len trošku zamyslel, tak by si zistil, že dôvody sú čisto pragmatické.

Ale je zaujímavé, že odsudzuješ Mozillu v podstate za nič, pretože ešte ani len nezaujali stanovisko. Odkiaľ Mozilla berie financie, sa dá dohľadať na webe, Yahoo nie je ich jediný zdroj. Fakt skús použiť nejaký vyhľadávač, aj keď ten od Googlu bude určite zmanipulovaný.

Ty si jak pes obranar, ked sa jedna o G;o).
Ja MF neodsudzujem, iba som vyjadril nazor, ze Mozilla bude zobat z ruky skor G ako svojmu byvalemu(sucasnemu, ci buducemu) donatorovi a ze mi pride spravanie G trosku divne.
Mne sa tw dovody zdaju logicke, dokonca pri tebe pouzil rovnake argumenty akoby som pouzil aj ja.
Ja nie som fanda konsiparcii, ale v pripade tohoto sporu mam proste pocity, ktore tu uz zhrnul tw.

Ja mám skôr pocit, že keď počuješ Google, tak začínaš vidieť červene. Veď teraz tu celý čas pred tebou obhajujem Mozillu, nie Google. A konšpirácie ti idú.

Ja nemam nic proti G, G mi den co den pomaha v praci a ked raz bude vyhladavanie spoplatnene budem prvy, co bez reptania za moznost dostat s k tolkym informaciam zaplati.
To vsak nemeni nic na nazore, ktory som popisal vyssie.

Ad souvislost s případem (tímto to prohlašuju za OT, nicméně považuju za vhodné to dát do souvislosti, jak hodný velký bratr G. dbá na bezpečnost) - u nás se říká, že si člověk má zamést nejprve před svým vlastním prahem. Přijde mi tedy docela zábavné sledovat pinožení G. v oblasti cizích bezpečnostních problémů a přitom mít roky v portfoliu bezpečnostní megadíru jménem Android, u které autor OS tiše předpokládá, že 0-day vulnerabilities závažného charakteru bude opravovat výrobce HW. Podobně je doslova chucpe fakt, že AndroidOS může výrobce HW opatřit spywarem nebo dokonce keyloggerem. Pokud sleduješ vývoj Androidu, tak od verze 2 do dnešní doby (verze 7) došlo doslova ke kosmetickým úpravám z pohledu bezpečnosti a proces návrhu a implementace Androidu do HW vendorů, stejně jako následný patching je stále tentýž - tj. (zřejmě záměrně) z pohledu G. nekontrolovaný.

Přitom by stačilo, aby G. nutil kontrolou na svých online službách spjatých s Androidem (Play, Gmail, YT...), aby měl daný OS aktuální verzi OS - tím by donutil výrobce k akci. Jenže tam jde o byznys, o příjmy z reklamy, a tak jde bezpečnost stranou (stejně jako v případě Symantec). G. místo toho vydá upravené zdrojáky odstraňující chyby a jako Pilát Pontský si nad problémem umyje ruce. Že mu po světě běhá pár miliard neopatchovaných systémů, je mu šumák. Kauza spyware aplikací v Play store, které nikdo nekontroluje na bezpečnost (a celý tento blikavý cirkus pak ovládají mudlové, kteří umí telefon jen zapnout a používat), to je pak už jen taková trapná třešinka na dortu.

presne

Z toho, čo píšeš, skoro až vyplýva, že situácia by bola lepšia, keby sa Google hľadaniu bezpečnostných chýb vôbec nevenoval. No, nebola.

Čo sa týka Androidu, tak súčasný stav síce nie je dobrý, ale riešenie, ktoré navrhuješ, by tú platformu zabilo. Tiež keď si používateľ chce nejaký spyware nainštalovať, tak mu v tom žiaden zázračný vynález nezabráni.

Ne, to z toho nevyplývá. Vyplývá z toho jen docela jednoduchý závěr, že mají sami máslo na hlavě a vůbec jim to nevadí.

Mimochodem, zabití platformy (byznysu) je dostatečná omluva pro relaxed security? Pak ovšem měřme stejným metrem i tomu Symantecu.

Ale veď píšeš, že si majú najprv zamiesť pred vlastným prahom. Čiže ich kritizuješ za to, že hľadajú bezpečnostné chyby. A vadí ti teda konkrétne to, že oni neaktualizujú Android na zariadeniach, ktoré nemajú pod kontrolou. Ja neviem, ale vidím tam dosť zásadný rozdiel oproti Symantecu. Hrušky a jablká.

Ne, kritizuju je za to, že sami pro bezpečnost svých produktů nedělají dost, ale mají tolik volného času, aby se zabývali chybami jiných a ještě ukazovali prstem.

Čiže presne ako som písal. Keď nerobia dosť pre Android (takže nie produkty, ale jeden produkt), tak ako si môžu dovoliť robiť na niečom inom. Vysvetlenie je prosté: Google je moloch, takže ten "voľný" čas sa nájde. Tvoja kritika sa mi jednoducho zdá nepochopiteľná. Okrem toho, situácia s Androidom je dosť špecifická, keďže lepšia alternatíva zatiaľ neexistuje.

Android je přece celá sada služeb, to není jen OS. A stojím si za tím, že největší přínos pro bezpečnost by mělo zabezpečení vlastních produktů, ne kolektování cizích bezpečnostních problémů (ať je jejich závažnost jakákoli) a poukazování na ně - tohle totiž zvládnou i malé organizace, na to není třeba molochu jako je G.

A co se samotného Androidu týká, fakt, že je "specifický" na tom nic nemění, respektive ještě hůře - taková platforma by bezpečnost měla mít na prvním místě. Když to zvládala firmička jako RIM/Blackberry, nevidím důvod, aby to nezvládl daleko větší a bohatší Google.

No a tu sa práve nezhodneme. Keď chceš porovnávať prínos v bezpečnosti, tak jednoducho musíš zohľadniť aj závažnosť bezpečnostných problémov. Či to zvládne malá organizácia alebo to spraví Google, je potom už úplne irelevantné. A o tom, že zrovna toto robí Google dobre, svedčia jeho výsledky.

Rozdielov oproti BlackBerry je toľko, že to fakt nemá zmysel, aby som ti ich začal vysvetľovať. Stav bezpečnosti na Android platforme nie je dobrý, takže o tom ma presviedčať nemusíš. Ale vyvodzovať z toho záver, že Google by sa kvôli tomu nemal vôbec vyjadrovať k bezpečnosti, a už vôbec nie ju vyžadovať od niekoho iného, je scestné. Problémy so Symantecom majú bezprostredný dopad na bezpečnosť jeho prehliadača, takže už len to mu dáva právo, aby ho bolo počuť.

Ano, to se neshodneme - já to totiž vidím tak, že symantecgate je prakticky téměř zcela v rovině hypotetického útoku (viz ten SHA1, který ještě stále nebyl zcela prostřelen), kdežto u Androidu se jedná o reálné a prakticky zneužívané díry (ostatně typické rootování mnoha typů mobilů je postavené na exploitech), kterých není zrovna málo a zároveň se jedná o zásadní bezpečnostní problémy umístěné na horní části bezpečnostního měřítka, přičemž toto ohrožení je reálně projektováno na neznalé uživatele, a to s naprosto mizivou podporou výrobce OS i výrobce HW.

Rozdíly u BB samozřejmě jsou - tato platforma byla postavena už jako bezpečná, tj. se např. celý OS před bootem přepočítá, zda mu sedí kontrolní součty. Chtěl jsem tím ale jen demonstrovat, že takové řešení je možné a že existuje.

Takže když Google řeší reálnou (ne)bezpečnost jiných systémů a zároveň se nestará o uživatele svého OS a jejich reálnou bezpečnost, je to v mých očích totální farizejství, tím spíše že své zákazníky řádně neinformuje o nebezpečí (viz laxnost, s jakou se do Playstore implementovaly bezpečnostní mechanismy).

My se totiž možná nechápeme v jedné věci - dopadech. Zatím co problémy CA a certifikátů jsou problémy, které řeší admini, architekti a bezpečáci, problémy děravého OS dopadají na BFU, kteří nečtou a bezpečnost neřeší vůbec.

Hrubo podceňuješ dopady toho, o čo ide v prípade Symantecu. Fakt si pozri, čo sa tam dialo, lebo ináč nemá zmysel ďalej diskutovať. Problémy, ktoré to môže spôsobiť, nevyriešia admini, architekti a ani bezpečáci, ani keď o nich budú vedieť.

Hovoriť o farizejstve Google sa nesie v duchu kto chce psa biť, palicu si nájde - straw man. To je taký postoj, ktorý nikam nevedie.

Pokial ma Symantec take problemy ako hlasi Google a su podla teba obrovske a su tu uz podla vsetkeho dlho su zname nejake pripady zneuzitia tychto problemov v praxi?
Ci sa za cele tie roky bavime o obrovskej bezpecnostnej diere, ktorej prakticke zneuzitie nie je vobec zdokumentovane?
Ja som odkazy co si daval cital a hned na zaciatku som nadobudol postoj, co tu uz prezentoval tw...napri problem mechanizmov pri CA federalnych uradov a pod.
Btw...hovoris teraz za oboch losov, ci sa hadame len s jednym;o)?

Bavíme sa o tom, že Symantec delegoval časť svojej práce na iné spoločnosti bez toho, aby mal nad nimi dostatočný dohľad. Takže Symantec v konečnom dôsledku ani nemusí vedieť, ktoré certifikáty boli v jeho mene vydané v rozpore s pravidlami. Možností zneužitia "dôveryhodného" certifikátu je strašne veľa - neviem, čo tam chceš mať zdokumentované.

Hovoríš s jedným z losov. Druhý sa len čuduje, ako sme sa od Symantecu, z ktorého sa nakoniec stal StartCom, dostali k Androidu.

Já myslel že pracujete pro velkou společnost, protože delegace funkcí mimo firmu (a to i bezpečnostního rázu), typicky zvaná outsorcing, je v dnešní době docela častý jev.

Myšlení je matka omylu.

Google nemoze robit vsetko pre vsetok HW, preto to robi vyrobca HW. A druha vec je ze to podnecuje konkurenciu medzi vyrobcami HW a TO by malo nutit vyrobcov HW byt lepsi ako konkurencia.
Podla teba je teda lepsi windows10, kde nejaka velka firma furt ludom znefunkcnuje OS pre nejaky HW (lebo velka firma X nemoze testovat vsetky HW na svete) a neda sa to vypnut? A neni nutena vobec nic robit ptz neni konkurencia, a vymysla si co chce a uzivatelovi to nanuti aj keby ho malo porazit? Mne HW vendfor model vyhovuje omnoho lepsie, pouzivam samsungy X rokov a nemal som problem. Neinstalujem skoro ziadne app sracky nemam co riesit. Ked si niekto instaluje blbosti tak si je sam na vine.
U applu je tiez odjakziva pouzivany model ze HW vendor robi aj SW. To bolo zauzivane aj velmi davno ked este neexistoval MS :) A bolo to dobre :)

P.S. a chcel by som vidiet popis tych hnusnych 0day vulnerabilities, neni to furt len o tom ze user moze niekam kliknut a nainstalit si sam rucne sracku? jadro to ma linuxove, urcite bezpecnejsie jak nejake MS.
P.S.2. neobhajujem google, vseobecne nemam rad korporacie co sa seru do vsetkeho a zneuzivaju postavenie, ci uz to je MS alebo G alebo cokolvek.

https://blog.lookout.com/blog/2015/07/28/stagefrig ht/

Google nemůže dělat všechno, to je pravda, ale taky nedělá tolik, kolik by mohl.

No jo no tak to dopada ked dementi robia software. Ked to staty nezacnu striktne regulovat ze kto moze robit SW alebo prisne postihovat vyrobcov, tak to podla mna lepsie nebude.
Diky za link.

Takze napriklad:

Google k vyrobcum hardwaru: chcete aby na vasich telefonech a tabletech fungovaly Google Apps? OK, tak na budete do update centra dodavat ovladace pro vas hardware.

Tudiz uzivatele by tlacili vyrobce k tomu, aby ti Googlu poskytovali ovladace a ti by mohli jednoduse distribuovat updaty systemu.

---

Nebo dalsi vec, Android 4.4 vysel 3.9.2013, takze Google na nej poskytuje podporu vcetne bezpecnostnich updatu 2 roky, to jest do 3.9.2015. Mamka ma Android 4.4 na SGS3 Neo a Samsung pro nej vydal posledni bezpecnostni update 14.6.2016. Samozrejme mamka telefon nadale pouziva a doufa, ze jeste pouzivat bude. Takze Google hovada, Samsung taky, protoze mohl udelat aspon update na Android 5, ale neudelal.

Ve vysledku at jdou do hajzlu oba (Google i Samsung) a s nima i celej Android. (Ano, vim ze nic lepsiho neni, ale to je prave ta tragedie, ze v podstate jedinej pouzitelnej mobilni OS ma Apple, no kupni sila v CR neni tak velka, aby si vetsina lidi mohla dovolit vyhodit 25K za blbej telefon. )

Tohle s tim rychlym vydavanim novych verzi Androidu a zaroven nepodporou starsich je od Googlu prasarna a delaj to naschval, aby lidi furt museli kupovat novy telefony. Na vyrobce hardwaru to samozrejme plati taky. Vzdyt co skutecne noveho a pokrokoveho prinasi nove verze Androidu - hovno samozrejme, Google resi uplny kraviny, grafickej design a na skutecny problemy kasle z vysoka.

---

Omlouvam se vsem, kdo cetli prispevek, ale ja proste nemohu na tohle reagovat slusne, protoze jestli neco, tak Google se taky slusne nechova. Ale hlavne ze ma plnou hubu kecu na jiny. S touchwoodem 100% souhlasim.

Tam nejde o nejake daj mi ovladace, software neni lego. MS si sice mysli ze hej, ale neni :)
Nechapem preco by mal samsung robit nejake update telefonu z 4.4 na 5? To je presne to co nikto normalny nechce. Kupim si kuchynsky mixer tak chcem mixovat a ne updatovat si motor z verzie 4.4 na nejaku verziu 5 ktory sa trebars bude tocit naopak a nebude to potom mixovat. Naco? Preco? Mixuj a neupdatuj.

P.S. vies jake nenormalne pakarne su nutne k tomu aby Win aspon zhruba mohol bezat na roznych HW? Co za pakaren je BIOS a Acpi tabulky atd? A stejne ten Win dodnes nevie to co posraty mobil (standby v ktorom bezia app).

A k tomu apple, minule ked som bol u kamosky tak nadava ze nejde 3G usb stick na imacu a po par hodinach googlenia som zistil ze sa predtym updatol OS a odvtedy tieto 3G stciky huwaj od orange proste nefunguju. Tym chcem len povedat ze problemy su vsade, a update OS je podla mna nieco co keby som mohol tak to uplne zakazem zakonom A zodpovedny za bepecnost HW+SW ma byt vyrobca a keby ich zacali za tie diery postihovat tak by to mozno zacali robit normalne. Alebo by vsetci skrachovali.
Alebo by som urobil zakon ze za kazdu najdenu dieru milin pokuta a povinnost opravit to a dovtedy absolutny zakaz predaja vsetkych veci od toho vyrobcu. Viem boli by prazdne obchody jak za sociku

Preto milé deti, keď si generujete žiadosť o certifikát (CSR), tak neposielajte svoje privátne kľúče certifikačnej autorite, aj keď vám poskytnú tool, ktorý to všetko spraví za vás.

Posílat privátní klíče je přece nesmysl, z tohoto důvodu je nesmysl JAKÝKOLI online generátor klíčů/CSR. Kontrola nad privátním klíčem má být jednoznačně omezená.

A jen přidám ještě jednu poznámku: Byly doby, kdy procesy pro vystavování certifikátů byly opravdu složité, dlouhé a velmi rigidní - jenže také těchto certifikátů bylo jen pár. Dnes je HTTPS nepsaným standardem, který (zatím mírně) vynucují všechny prohlížeče, pokud detekují přihlašovací formulář. Problém tedy nastává v tom, že počet vydávaných certifikátů raketově roste, s tím i počet zprostředkujících CA (intermediate CA) a samozřejmě roste i celková náročnost co se týká času a zdrojů - nelze tedy očekávat, že při vystavení 1000 certifikátů týdně bude proces stejně důkladný, jako při vystavování 10 certifikátů týdně, a to i s ohledem na pokles cen za vystavení.

edit: a když se podíváš na ten seznam Mozilly, zjistíš, že půlka věcí jsou problémy s korporátními/federálními systémy, vyžadujícími "zpětnou kompatibilitu", a že se Symantec sám napráskal, že to udělal. Ono je totiž pěkné říct že třeba "odedneška SHA1 nevedeme", ale existují tisíce systémů, které fungují leta, mají dlouhou dobu implementace změn (nebo tyto změny nejsou z důvodu špatného návrhu možné, nebo jsou příliš drahé apod.) Tím opět neobhajuju Symantec, ale ukazuju, že problém je někde úplně jinde a velmi pravděpodobně by se konal i s jiným CA (velmi zřejmé to je na případě UniCredit)

Fleg, vieš ešte pozrieť, že akú platnosť mal a kým bol vydaný certifikát tvojho zákazníka, ktorý narazil na tento problém? Pretože jedným z navrhovaných opatrení mala byť aj okamžitá strata zeleného pásika, a to sa očividne zatiaľ nestalo. Takže možno to zostalo stále len v rovine návrhu a skutočná príčina problému tvojho zákazníka bude niekde inde.

Jestli jeho certifikát náhodou nebyl od WoSign.

StartCom Class 1 DV Server CA, StartCom Ltd.
15. 6. 2017 7:08:00 GMT

Tak to je už od verzie 56, ktorá vyšla koncom januára: Distrusting WoSign and StartCom Certificates. Čiže to s týmto nesúvisí a je dosť možné, že návrh Googlu ohľadne Symantecu ešte ani nebol realizovaný.

Startcom měl svých problémů dost..

A stále, díky tomu, že je koupil WoSign, a crosscertifikoval se, má.

Takže případ WoSign (viz odkazovaný článek) To je ovšem už od podzimu loňského roku.

a spor sa skončí tak,že zostanú existovať len googlofony s androidom,stolné googločítače a googlobooky s operačným googlosystémom googloindows,voziť sa budeme v ekologických googlomobiloch a googlobusoch a pozerať budeme len googlovíziu a počúvať googlorádio a na googlonternet sa budeme môcť pripojiť len googloLAN googlokáblom,poručíme větru ,dešti,symantecu a budeme googleIN,dáme si bravčo googlo zelo,uprchlíci falagooglofel a budeme žiť šťastne,kým nepomrieme....