Torna indietro   Hardware Upgrade Forum > Hardware Upgrade > News

Hisense M2 Pro: dove lo metti, sta. Mini proiettore laser 4K per il cinema ovunque
Hisense M2 Pro: dove lo metti, sta. Mini proiettore laser 4K per il cinema ovunque
Dal salotto al giardino, il nuovo proiettore laser di Hisense promette esperienze cinematografiche in qualsiasi contesto: qualità d’immagine, semplicità d’uso, versatilità e prezzo competitivo il suo poker d'assi
Lenovo ThinkPad X1 2-in-1 G10 Aura Edition: il convertibile di classe
Lenovo ThinkPad X1 2-in-1 G10 Aura Edition: il convertibile di classe
La flessibilità di configurazione è il punto di forza di questo 2-in-1, che ripropone in un form factor alternativo tutta la tipica qualità dei prodotti Lenovo della famiglia ThinkPad. Qualità costruttiva ai vertici, ottima dotazione hardware ma costo che si presenta molto elevato.
Intervista a Stop Killing Games: distruggere videogiochi è come bruciare la musica di Mozart
Intervista a Stop Killing Games: distruggere videogiochi è come bruciare la musica di Mozart
Mentre Ubisoft vorrebbe chiedere agli utenti, all'occorrenza, di distruggere perfino le copie fisiche dei propri giochi, il movimento Stop Killing Games si sta battendo per preservare quella che l'Unione Europea ha già riconosciuto come una forma d'arte. Abbiamo avuto modo di parlare con Daniel Ondruska, portavoce dell'Iniziativa Europa volta a preservare la conservazione dei videogiochi
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 03-03-2018, 07:31   #1
Redazione di Hardware Upg
www.hwupgrade.it
 
Iscritto dal: Jul 2001
Messaggi: 75173
Link alla notizia: https://www.hwupgrade.it/news/sicure...tps_74528.html

Ben 23 mila chiavi crittografiche di altrettanti certificati TSL sono state inviate dal CEO di Trustico ad un partner, rendendole automaticamente compromesse

Click sul link per visualizzare la notizia.
Redazione di Hardware Upg è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 08:26   #2
marcram
Senior Member
 
L'Avatar di marcram
 
Iscritto dal: Jul 2008
Messaggi: 5286
Email o non email, a me pare che tutto il discorso si basi sul fatto che il venditore possiede copia delle chiavi dei clienti.
A questo punto dovremmo leggere sui siti "certificato da ABC e/o modificato da ABC"...
marcram è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 14:38   #3
mar81
Senior Member
 
L'Avatar di mar81
 
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
Ci vorrebbe una bella blockchain per creare un sistema trustless.
mar81 è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 14:42   #4
mar81
Senior Member
 
L'Avatar di mar81
 
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
L'errore è sempre umano...
mar81 è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 21:03   #5
Noir79
Senior Member
 
L'Avatar di Noir79
 
Iscritto dal: Mar 2009
Città: Londonistan
Messaggi: 9752
Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!
__________________
"If a politician is not allowed to criticize an ideology anymore this means that we are lost, and it will lead to the end of our freedom" - Geert Wilders
La mia Nuova e Possente Gloriosa Macchina da Guerra
Noir79 è offline   Rispondi citando il messaggio o parte di esso
Old 03-03-2018, 23:09   #6
Wikkle
Senior Member
 
L'Avatar di Wikkle
 
Iscritto dal: Jun 2005
Messaggi: 12639
Quote:
Originariamente inviato da Noir79 Guarda i messaggi
Ma lol, ecco perché il nostro manager IT mi ha detto che devo reinstallare i certificati SSL su tutti i siti l'altro giorno!
ma lol
__________________
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
Asus Maximus IX Hero . i7-7700 KabyLake . 32 Gb Ram . GeForce GTX 1070 Mac Mini 2.5GHz . 16 Gb Ram . SSD 500 Gb
Google Pixel 8 pro iPhone 15 plus Canon EOS 600D Sony DSC-RX100

Wikkle è offline   Rispondi citando il messaggio o parte di esso
Old 04-03-2018, 08:58   #7
zappy
Senior Member
 
L'Avatar di zappy
 
Iscritto dal: Oct 2001
Messaggi: 20025
Quote:
Originariamente inviato da mar81 Guarda i messaggi
L'errore è sempre umano...
no.
altrove si legge che trustico (venditore) voleva far revocare le chiavi a digicert (generatore), ma visto che digicert correttamente ha risposto che solo i clienti di trustico potevano far revocare i certificati, a meno che non fossero compromessi, allora per forzare la mano trustico ha mandato in chiaro le chiavi private x email (APPOSTA, non per errore, non per caso) in modo che queste dovessero per forza essere considerate compromesse da digicert.

insomma, mi pare trustico sia il top della scorrettezza nei confronti dei propri clienti. fossero idioti sarebbe una cosa, ma qui hanno compromesso APPOSTA (mandandole in giro per mail) le chiavi dei loro clienti per loro motivi commerciali.

invece non ho ben capito la frase "decisione di Google che, a sua volta, aveva denunciato la mancata adesione da parte di Symantec sulle normative che regolano il settore della sicurezza online a favore dei governi."...
ma mi sembra anche più preoccupante...
__________________
Mai discutere con un idiota. Ti trascina al suo livello e ti batte con l'esperienza (O.W.)

Ultima modifica di zappy : 04-03-2018 alle 09:01.
zappy è offline   Rispondi citando il messaggio o parte di esso
Old 04-03-2018, 11:52   #8
mar81
Senior Member
 
L'Avatar di mar81
 
Iscritto dal: Apr 2003
Città: Brescia
Messaggi: 2320
Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta
mar81 è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 10:49   #9
Davis5
Senior Member
 
Iscritto dal: Jul 2006
Messaggi: 810
di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...

e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc...

Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti...

tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto)
Davis5 è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 11:13   #10
Wikkle
Senior Member
 
L'Avatar di Wikkle
 
Iscritto dal: Jun 2005
Messaggi: 12639
Quote:
Originariamente inviato da Davis5 Guarda i messaggi
di fatto stanno costringendo tutti i possessori di domini con un minimo di traffico a spendere soldi per un SSL...

e' una presa per il c... ma occorre farla o google ti marchia come una bestia di sito NON sicuro e di declassa nel ranking seo ecc ecc...

Consiglio "comodo" come fornitore, che attraverso il suo reseller ssls.com vende certificati per andare in https:// a prezzi molto interessanti...

tra cui un Extended version a 75 euro!!! (famosa barretta verde nel titolo, oltre al solo lucchetto)
*

Hai totalmente ragione, felice che qualcuno l'abbia capito!!

L'unica cosa in cui spero è che ci sia una class action e una forte multa per questa cosa...
Perchè è veramente assurdo infondere nell'ideale popolare degli utenti, che un sito banalissimo di cui non necessita minimamente di certificato (in quanto non trasmette dati sensibili) venga considerato come sito pericoloso in quanto non c'è il lucchettino verde! Incredibile...

Ovviamente questa "imposizione" per esser gentile nel definirla... crea problemi e menate a internet provider di piccole dimensioni, web designer, web master ecc...

Quindi le zuppe per i lavoratori web e tempo perso che dovranno usare verso i loro clienti per spiegare bene le cose... ma i guadagni per google?

Secondo voi è corretto?
__________________
★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★
Asus Maximus IX Hero . i7-7700 KabyLake . 32 Gb Ram . GeForce GTX 1070 Mac Mini 2.5GHz . 16 Gb Ram . SSD 500 Gb
Google Pixel 8 pro iPhone 15 plus Canon EOS 600D Sony DSC-RX100


Ultima modifica di Wikkle : 05-03-2018 alle 11:17.
Wikkle è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 11:20   #11
!fazz
Moderatore
 
L'Avatar di !fazz
 
Iscritto dal: Nov 2006
Messaggi: 21692
Quote:
Originariamente inviato da mar81 Guarda i messaggi
Una ragione in più per basare il tutto su blockchain, completamente trustless e immutabile. Sarebbe la soluzione perfetta
non proprio occhio che la blockchain non è la panacea di tutti i mali (se no sarei andato a brevettare una blockain ai nanotubi di carbonio al grafene )

il problema non è l'immutabilità del dato il problema li è il servizio della CA (ovvero la società che associa la tua identità reale alla tua coppia di chiavi asimettriche)

certo puoi sempre inviare via raccomandata una copia della tua chiave e della tua carta di identità a 3.8 miliardi di persone (50%+1 della popolazione mondiale) così potresti usare una CA basata su blockchain al costo di una finanziaria di uno stato medio piccolo
__________________
"WS" (p280,cx750m,4790k+212evo,z97pro,4x8GB ddr3 1600c11,GTX760-DC2OC,MZ-7TE500, WD20EFRX)
Desktop (three hundred,650gq,3800x+nh-u14s ,x570 arous elite,2x16GB ddr4 3200c16, rx5600xt pulse P5 1TB)+NB: Lenovo p53 i7-9750H,64GB DDR4,2x1TB SSD, T1000
!fazz è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 11:56   #12
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 10343
Vedo che c'è un bel po' di ignoranza in merito a come si gestisce la generazione di un certificato SSL.

NON è necessario dare la propria chiave privata ai vari Comodo, Symantec & co.
Quello che si fa è generare la propria chiave privata in locale e, partendo da quella, generare un CSR (Certificate Signing Request). Nel CSR c'è la chiave pubblica, generata a partire da quella privata, e le info necessarie ad emettere il certificato.

Per i più pigri (e, soprattuto, pirla incompetenti) Trustico permetteva di generare online sia la chiave privata, sia il CSR. Per questo han potuto ottenere la chiave privata.

Infatti quel mentecatto del CEO di Trustico non ha invalidato TUTTI i certificati da loro emessi, ma solo quelli di cui possedeva la private key.

Morale della favola: LE CHIAVI PRIVATE SI GENERANO SULLE PROPRIE MACCHINE E SI GIRA IL SOLO CSR alle varie aziende che generano certificati.

PS: Se non volete spendere $$ per un certificato SSL, c'è Let's Encrypt che è free.

Ultima modifica di WarSide : 05-03-2018 alle 12:02.
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 12:05   #13
marcram
Senior Member
 
L'Avatar di marcram
 
Iscritto dal: Jul 2008
Messaggi: 5286
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Vedo che c'è un bel po' di ignoranza in merito a come si gestisce la generazione di un certificato SSL.

NON è necessario dare la propria chiave privata ai vari Comodo, Symantec & co.
Quello che si fa è generare la propria chiave privata in locale e, partendo da quella, generate un CSR (Certificate Signing Request). Nel CSR c'è la chiave pubblica, generata a partire da quella privata, e le info necessarie ad emettere il certificato.

Per i più pigri (e, soprattuto, pirla incompetenti) Trustico permetteva di generare online sia la chiave privata, sia il CSR. Per questo han potuto ottenere la chiave privata.

Infatti quel mentecatto del CEO di Trustico non ha invalidato TUTTI i certificati da loro emessi, ma solo quelli di cui possedeva la private key.

Morale della favola: LE CHIAVI PRIVATE SI GENERANO SULLE PROPRIE MACCHINE E SI GIRA IL SOLO CSR alle varie aziende che generano certificati.

PS: Se non volete spendere $$ per un certificato SSL, c'è Let's Encrypt che è free.
Ecco, era proprio quello che stavo pensando.
Non so niente di certificati SSL, ma se si tratta di un sistema a chiavi asimmetriche, la chiave privata non si crea appunto in locale?
Che bisogno c'è di comprare una chiave privata da altri? Devono solo certificare la tua chiave/firma pubblica!
marcram è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 13:27   #14
andbad
Senior Member
 
L'Avatar di andbad
 
Iscritto dal: Dec 1999
Messaggi: 5349
Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).

Poi si, avete ragione su tutto il resto, probabilmente.

By(t)e

P.S.: senza contare la rottura di cazzo di dover cambiare il certificato con 24 ore di preavviso.
__________________
Vicking73: "Arecibo è un radiotelescopio che stà in Brasile"
marzionieddu: "...stiamo cercando qualcosa nel totale silenzio cosmico..."

Ultima modifica di andbad : 05-03-2018 alle 13:38.
andbad è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 13:47   #15
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 10343
Quote:
Originariamente inviato da andbad Guarda i messaggi
Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).

Poi si, avete ragione su tutto il resto, probabilmente.

By(t)e

P.S.: senza contare la rottura di cazzo di dover cambiare il certificato con 24 ore di preavviso.
Ah beh, allora apposto. Hanno dato un certificato gratuito ai clienti che loro stessi hanno messo a rischio MITM.

Magari lo hanno anche generato in automatico assieme alla private key
WarSide è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 14:29   #16
danieleg.dg
Senior Member
 
L'Avatar di danieleg.dg
 
Iscritto dal: Jun 2011
Messaggi: 895
Quote:
Originariamente inviato da Wikkle Guarda i messaggi
Perchè è veramente assurdo infondere nell'ideale popolare degli utenti, che un sito banalissimo di cui non necessita minimamente di certificato (in quanto non trasmette dati sensibili) venga considerato come sito pericoloso in quanto non c'è il lucchettino verde! Incredibile...
È già successo che navigando attraverso il wifi di un aereo veniva iniettata pubblicità nelle pagine in http.

Quote:
Originariamente inviato da andbad Guarda i messaggi
Vorrei però sottolineare che Trustico ha dato a tutti i propri clienti impattati un nuovo certificato di durata uguale al vecchio gratis (e direi che era il minimo).
Sì, ok, ne hanno fornito uno nuovo gratis, ma dubito che la fiducia torni così facilmente.
danieleg.dg è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 15:49   #17
andbad
Senior Member
 
L'Avatar di andbad
 
Iscritto dal: Dec 1999
Messaggi: 5349
Quote:
Originariamente inviato da WarSide Guarda i messaggi
Ah beh, allora apposto. Hanno dato un certificato gratuito ai clienti che loro stessi hanno messo a rischio MITM.

Magari lo hanno anche generato in automatico assieme alla private key
Beh, se non lo avessero dato omaggio sarebbe stato peggio, no?

By(t)e
__________________
Vicking73: "Arecibo è un radiotelescopio che stà in Brasile"
marzionieddu: "...stiamo cercando qualcosa nel totale silenzio cosmico..."
andbad è offline   Rispondi citando il messaggio o parte di esso
Old 05-03-2018, 16:11   #18
WarSide
Senior Member
 
Iscritto dal: Oct 2008
Messaggi: 10343
Quote:
Originariamente inviato da andbad Guarda i messaggi
Beh, se non lo avessero dato omaggio sarebbe stato peggio, no?

By(t)e
Sono da denuncia. Altro che omaggio.
WarSide è offline   Rispondi citando il messaggio o parte di esso
 Rispondi


Hisense M2 Pro: dove lo metti, sta. Mini proiettore laser 4K per il cinema ovunque Hisense M2 Pro: dove lo metti, sta. Mini proiett...
Lenovo ThinkPad X1 2-in-1 G10 Aura Edition: il convertibile di classe Lenovo ThinkPad X1 2-in-1 G10 Aura Edition: il c...
Intervista a Stop Killing Games: distruggere videogiochi è come bruciare la musica di Mozart Intervista a Stop Killing Games: distruggere vid...
Samsung Galaxy S25 Edge: il top di gamma ultrasottile e leggerissimo. La recensione Samsung Galaxy S25 Edge: il top di gamma ultraso...
HP Elitebook Ultra G1i 14 è il notebook compatto, potente e robusto HP Elitebook Ultra G1i 14 è il notebook c...
Samsung rivaluta la fabbrica per il pack...
'La potenza di 16 core, nel palmo della ...
Windows 10 compie 10 anni, ma il cambiam...
Un altro Pixel 6a ha preso fuoco: la pro...
NVIDIA, ritorno in Cina in grande stile?...
Tutti contro Windows Recall: un altro se...
PlayStation FlexStrike: il sogno di un f...
WhatsApp sorprende tutti: ecco la nuova ...
Addio GTX 1080 Ti: la scheda che ha fatt...
Ex Ilva di Taranto, 'Teslari' contro il ...
Finalmente! Arrivano su OneNote due funz...
Fallisce il progetto segreto del pap&agr...
'Marie', l'AI che curava il cancro: la t...
Giochi per adulti bannati: i gamer in ri...
Meta avrà il suo primo smartwatch...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi

Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 14:34.


Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Served by www3v
1