CODE613M

[הראל]

לק"י

שלום,

הישיבה שלי לאחרונה עברה לשימוש מנטפרי עפ"י המלצתי.
חברת הסינון הקודמת כששמעה על שנפרדים מהם אמרה שאומנם הסינון הוא אכן מוצלח מאוד.
אבל יש בעיה בשימוש בנטפרי, מאחר וכל הסיסמאות (חשבונות בנקים וכו'...) עוברים דרך המערכת,
ומאחר ומדובר ב"קוד פתוח" יש חשש גדול של אבטחה.
(נשמע לי כמו קשקוש אחד גדול אבל רציתי להיות בטוח....)

המזכיר של הישיבה בא אלי בהיסטריה ושאל אותי האם נכונים הדברים.

אנא תגובתכם.
תודה רבה וישר כוח!

הראל

[N.O]

viewtopic.php?f=10&t=1596

[mat]

נשמח לקבל הקלטה.

[A052]

גם לי אמרו, מה תעזור לכם הקלטה, תתבעו אותם על הוצאת דיבה?
הטענה שלהם היא היות ונטפרי מסננת גם תמונות בתוך אתרים מאובטחים (כגון בנקים וכדו' מה שאף חברה לא עושה) שזו הסיבה שאתם הכשרים ביותר, מהווה פרצת אבטחה שיותר קל לפרוץ לי לחשבון בנק שלי. ולאו דוקא שנטפרי עצמם יפרצו אלא יהיה יותר קל לאחרים לפרוץ.

[mat]

הסברתי כבר באשכול אחר שזה לא טענה נכונה. זה לעבוד על מי שלא מבין.
והמצב שלהם הרבה יותר מסוכן מבחינת אבטחה משל נטפרי בקטע הזה.

[מנצפך]

מעניין לראות אם אפשר להיכנס לאתר מאובטח של בנק ללא התעודה שלהם. אם אי אפשר, זה מוכיח שהם כן מנטרים את האתרים.
אני כמובן לא מדבר על בדיקה או שינוי כל-שהו, אנושי או לא, אבל קריאת המידע קיימת (אם זה באמת כך).
בכל אופן, אצלנו, לכאורה -ושוב- לכאורה- רמת האבטחה מפני פריצה חיצונית (כמובן שאין לי ספק שכלפי מערכת הסינון עצמה אין ספק של חוסר אבטחה), תהיה כמו החוליה החלשה ביותר ברשת. וזה דברים שלא תלויים כלל בנטפרי. אלא ברמת האבטחה של הספק. אני טועה?

[רמה פלוס]

אין לחברות הסינון מה לעשות מול הדבר הזה שקוראים לו "נטפרי", והם פשוט מנסים למשוך אליהם לקוחות/למנוע מלקוחותיהם מלעבור לנטפרי, ע"י טענות שאין להם כל בסיס. פשוט מקומם!

[mat]

מעניין לראות אם אפשר להיכנס לאתר מאובטח של בנק ללא התעודה שלהם. אם אי אפשר, זה מוכיח שהם כן מנטרים את האתרים.
אני כמובן לא מדבר על בדיקה או שינוי כל-שהו, אנושי או לא, אבל קריאת המידע קיימת (אם זה באמת כך).
בכל אופן, אצלנו, לכאורה -ושוב- לכאורה- רמת האבטחה מפני פריצה חיצונית (כמובן שאין לי ספק שכלפי מערכת הסינון עצמה אין ספק של חוסר אבטחה), תהיה כמו החוליה החלשה ביותר ברשת. וזה דברים שלא תלויים כלל בנטפרי. אלא ברמת האבטחה של הספק. אני טועה?

אתה טועה.

רק לסבר את האוזן. יש גם לנטפרי וגם לרימון פיסת מידע. שנקרא "מפתח פרטי". אם אני מצליח להגיע למפתח הפרטי של רימון.
אני יכול להתחבר לראוטר של השכנים. לרמות את ה ARP וככה להעביר את התעבורה אלי. ואם השכן שלי התקין את התעודה של רימון.
אני יכול טכנית לנתר לו את החשבון בנק. וזה לא קשור האם רימון מסננת את זה או לא.

לכן כל מי שיש לו גישה לשרת מנוע סינון עצמו. יכול לגשת למפתח הפרטי באיזה שהוא דרך. ולקחת אותו. ואחרי זה לעשות בו שימוש.

לכן חילקנו את זה. אנחנו משתמשים בתעודות שונות אצל כל ספק. כדי להגביר את האבטחה.

[מנצפך]

אה. הבנתי. שאם כבר יש גישה לשרת הספק, מה ההבדל אם הם מנטרים או לא. בכל מקרה אפשר לנטר.

חבל שאין איזה תקן של שתי סוגי הצפנה. אחד- לכל האתר ותעבורת הHTTP. ואת זה יהיה אפשר לנטר, אם הקליינט מתקין תעודת אבטחה.
אבל תהיה עוד הצפנה לנתונים שבאמת חשובים. בעיקר מספרים. (אשראי. מספר זהות. סיסמאות שונות). ולא תהיה הכרה (ע"י הדפדפן!) בתעודות פרטיות. וכך מה שבאמת צריך הצפנה, ובדר"כ- לא צריך אבטחה- יוכל איכשהו לעבור ניטור.
סתם. חלומות בהקיץ...Zzzz

[רחמים]

כל הדברים הגדולים התחילו מחלומות, עוד נשמע ממך בע"ה!