Hello, Valaki, akinek van kedve felsötétítené őket?! Valami adatközlő programvackuk FAQ-jából részlet: Q: A szervezet nem engedélyezi a HTTPS protokoll használatát, egyéb okok (pl. tartalomszűrés) miatt. A: A KSH a szervezetek adatainak biztonságos kezelése érdekében - akárcsak az internetes banki szolgáltatások túlnyomó többsége - ragaszkodik a HTTPS protokoll (és a 128 bites SSL) használatához. Ennek hiányában nem tudjuk garantálni a szervezetek által szolgáltatott adatok biztonságát. Amennyiben valóban tartalomszűrés miatt nem engedélyezett a HTTPS protokoll, akkor a firewall/proxy konfigurálását oly módon kell elvégezni, hogy a HTTPS protokollal ( KSH-kiszolgálóban 18180-as port ) kizárólag az asp.ksh.hu:18180 legyen elérhető. (Innen másfelé nem lehet eljutni ezen a porton erre a célra dedikált szerverprocess figyel, ezt a tartalmat tartalomszűrni nem kell, hiszen kizárólag a Hivatal által terített alkalmazás kommunikál rajta) Q: A szervezet a HTTPS protokollt nem kívánja az alapértelmezett 443-as mellett más porton is engedélyezni. A: A kifelé irányuló forgalom engedélyezése 1024-nél magasabb portszámon (itt: 18180) biztonsági szempontból semmilyen hátránnyal nem jár kizárólag kifelé irányuló 18180-ás portot kell megnyitni. Minden esetben a csatornanyitást a szervezet kezdeményezi a KSH felé, és a kommunikáció a már megnyitott (és az adott üzenetváltásra nyitva tartott) csatornán történik. Így - a HTTPS és a 128 bites SSL használatával - mindkét irányban ellenőrzött, biztonságos kommunikáció jön létre. Üdv, Slapic
On Tue, Feb 17, 2004 at 06:54:05PM +0100, Czako Krisztian wrote:
Valaki, akinek van kedve felsötétítené őket?!
Valami adatközlő programvackuk FAQ-jából részlet:
Ez meglehetosen offtopic ezen a listan, de elarulod, hogy mirol kellene felvilagositani oket? Az, hogy egy szolgaltato hova (melyik portra) teszi a webszerveret, ahhoz kinek mi koze? -- Udvozlettel Zsiga
Sziasztok. Elkövettem egy dist-upgrade-t (sarge-ra) és a következő a hibaüzenetem: zorp version 2.0.8 starting up (noname/nosession): Error parsing policy file; filename='/etc/zorp/policy.py' (noname/nosession): Error booting & parsing policy; (Log thread): ImportError: No module named ExtensionClass (noname/nosession): Error loading initial policy, exiting; zorp version 2.0.8 going down. Mit tegyek???? Regards/Tisztelettel: Barina Tamás +36 70 380 0080 ------------------------------------- Time Corner Group Kft. 1114 Budapest, Orlay utca 4. Tel.: +36 1 386 2913 Fax: +36 1 385 3113
Hi! On 2004 Feb 17, Barina Tamas wrote:
(Log thread): ImportError: No module named ExtensionClass
Nezd meg, hogy milyen verzioju python(ok) vannak fonn. Ha tobb van, nezd meg, hogy melyik indul el a /usr/bin/python-ra. Tedd fel az ehhez tartozo python-extclass-t. Ennek meg kellene oldania. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/
Köszi. Itt volt a trükk. 1.2-es kellett neki. Csak hát a Zorp erről egy árva szót sem szólt nekem Regards/Tisztelettel: Barina Tamás +36 70 380 0080 ------------------------------------- Time Corner Group Kft. 1114 Budapest, Orlay utca 4. Tel.: +36 1 386 2913 Fax: +36 1 385 3113 -----Original Message----- From: zorp-hu-admin@lists.balabit.hu [mailto:zorp-hu-admin@lists.balabit.hu] On Behalf Of SZALAY Attila Sent: Thursday, February 19, 2004 11:51 AM To: zorp-hu@lists.balabit.hu Subject: Re: [zorp-hu] Upgrade utan... :-( Hi! On 2004 Feb 17, Barina Tamas wrote:
(Log thread): ImportError: No module named ExtensionClass
Nezd meg, hogy milyen verzioju python(ok) vannak fonn. Ha tobb van, nezd meg, hogy melyik indul el a /usr/bin/python-ra. Tedd fel az ehhez tartozo python-extclass-t. Ennek meg kellene oldania. -- Szalay Attila BalaBit IT Biztonságtechnikai Kft. tel:(36-1)-371-05-40 1116 Bp. Csurgoi ut 20/b fax:(36-1)-208-08-75 http://www.balabit.hu/ _______________________________________________ zorp-hu mailing list zorp-hu@lists.balabit.hu https://lists.balabit.hu/mailman/listinfo/zorp-hu
2004. február 17. 20.26 dátummal Kosa Attila ezt írta:
On Tue, Feb 17, 2004 at 06:54:05PM +0100, Czako Krisztian wrote:
Valaki, akinek van kedve felsötétítené őket?!
Valami adatközlő programvackuk FAQ-jából részlet:
Ez meglehetosen offtopic ezen a listan, de elarulod, hogy mirol kellene felvilagositani oket? Az, hogy egy szolgaltato hova (melyik portra) teszi a webszerveret, ahhoz kinek mi koze? Alapvetően arról van szó, hogy a közszférában a https-t nem akarják engedni, mert biztonsági lyuknak vélik: információ szivárgás lehetősége (a házon belüli szoftver rendőrség nem tudja elolvasni).
Arról kellene valakinek felvilágosítani őket, hogy a https biztonságos. Másrészt kifejezetten tűzfal kezelési téma. Más kérdés, hogy tudtommal ők nem Zorpot használnak. -- Hazai Géza MÁK inf. szakértő <geza.hazai@inf.ahh.gov.hu>
On Wed, Feb 18, 2004 at 08:25:43AM +0100, G. J. Hazai wrote:
2004. február 17. 20.26 dátummal Kosa Attila ezt írta:
On Tue, Feb 17, 2004 at 06:54:05PM +0100, Czako Krisztian wrote:
Valaki, akinek van kedve felsötétítené őket?!
Valami adatközlő programvackuk FAQ-jából részlet:
Ez meglehetosen offtopic ezen a listan, de elarulod, hogy mirol kellene felvilagositani oket? Az, hogy egy szolgaltato hova (melyik portra) teszi a webszerveret, ahhoz kinek mi koze? Alapvetően arról van szó, hogy a közszférában a https-t nem akarják engedni, mert biztonsági lyuknak vélik: információ szivárgás lehetősége (a házon belüli szoftver rendőrség nem tudja elolvasni).
Errol hol volt szo ebben a faq reszletben? Mivel ez egy faq (reszlet), ezert vannak benne kerdesek es valaszok. A Q-val jelolt kerdeseket a userek tettek fel, az A-val jeloltek pedig a KSH valaszai. Igy nezve ezt a faq reszletet, szerintem szo nincs olyasmirol, mint amiket allitotok...
Arról kellene valakinek felvilágosítani őket, hogy a https biztonságos.
Ok is ezt irtak szerintem...
Így - a HTTPS és a 128 bites SSL használatával - mindkét irányban ellenőrzött, biztonságos kommunikáció jön létre."
-- Udvozlettel Zsiga
2004. február 18. 09.40 dátummal Kosa Attila ezt írta:
Errol hol volt szo ebben a faq reszletben? Mivel ez egy faq (reszlet), ezert vannak benne kerdesek es valaszok. A Q-val jelolt kerdeseket a userek tettek fel, az A-val jeloltek pedig a KSH valaszai. Igy nezve ezt a faq reszletet, szerintem szo nincs olyasmirol, mint amiket allitotok...
Zsiga! Unom már, hogy magadon kívül mindenkit hülyének nézel! Magyarázatot adtam egy viselkedésre. Ha ezt nem értetted meg - sajnálom.
Arról kellene valakinek felvilágosítani őket, hogy a https biztonságos.
Ok is ezt irtak szerintem...
Így - a HTTPS és a 128 bites SSL használatával - mindkét irányban ellenőrzött, biztonságos kommunikáció jön létre."
Mégegyszer: ez a bajuk. Annyira biztonságos, hogy hiába sniffelnek, csak szőnyegmintát kapnak. Ahogy leírtam eredeti levelemben. -- Hazai Géza MÁK inf. szakértő <geza.hazai@inf.ahh.gov.hu>
Hello! Elnezest, az utolso levelem ebben a threadben. On Wed, Feb 18, 2004 at 09:46:18AM +0100, G. J. Hazai wrote:
2004. február 18. 09.40 dátummal Kosa Attila ezt írta:
Magyarázatot adtam egy viselkedésre. Ha ezt nem értetted meg - sajnálom.
En meg szajbaragosan elmagyaraztam, hogy olyat nem irtak a faq-ban, amirol ti beszeltek. Sajnalom, hogy te nem ertetted meg, es itt is elkezdtel szemelyeskedni. Ha valami bajod van, akkor nyugodtan irhatsz maganlevelet, ez a lista abszolut nem erre valo.
Arról kellene valakinek felvilágosítani őket, hogy a https biztonságos.
Ok is ezt irtak szerintem...
Így - a HTTPS és a 128 bites SSL használatával - mindkét irányban ellenőrzött, biztonságos kommunikáció jön létre." Mégegyszer: ez a bajuk. Annyira biztonságos, hogy hiába sniffelnek, csak szőnyegmintát kapnak. Ahogy leírtam eredeti levelemben.
De a KSH faq-jaban nem szerepel olyan, hogy nem tudjak sniffelni a https-t, es ezert ez nem biztonsagos. A faq-ban azt irjak, hogy a KSH ragaszkodik a https-hez, hogy biztonsagban legyenek a szervezetek altal szolgaltatott adatok, es az adatszolgaltatasra szolgalo szervert a szokasos 443-as port helyett a 18180-as portra helyeztek; valamint leirja, hogy az, hogy nem a 443-as porton van, semmit sem csokkent annak a biztonsagan, aki kiengedi a nevezett gep nevezett portjara a https forgalmat. Innentol kezdve nem ertem, hogy Slapic kit es mirol szeretne felvilagositani. -- Udvozlettel Zsiga
A levelezőm azt hiszi, hogy G. J. Hazai a következőeket írta:
Alapvetően arról van szó, hogy a közszférában a https-t nem akarják engedni, mert biztonsági lyuknak vélik: információ szivárgás lehetősége (a házon belüli szoftver rendőrség nem tudja elolvasni).
... kivéve, ha jól bekonfigolja a Zorpját. [Csak hogy legyen ontopic részlet is a threadben.] -- GNU GPL: csak tiszta forrásból
On Wed, Feb 18, 2004 at 11:34:03AM +0000, Magosányi Árpád wrote:
... kivéve, ha jól bekonfigolja a Zorpját.
[Csak hogy legyen ontopic részlet is a threadben.]
Jo, legyunk ontopic-ok egy kicsit :) Ha megnezzuk az emlitett cimet, akkor lathato, hogy sajat maguknak krealtak egy certificate-et, ami asp1 nevre van kiallitva, mikozben a site neve asp.ksh.hu. Tudnal mutatni egy olyan konfigot, amely ehhez az esethez jol van beallitva? -- Udvozlettel Zsiga
Kosa Attila <atkosa@chello.hu> irta:
Ha megnezzuk az emlitett cimet, akkor lathato, hogy sajat maguknak krealtak egy certificate-et, ami asp1 nevre van kiallitva, mikozben a site neve asp.ksh.hu. Tudnal mutatni egy olyan konfigot, amely ehhez az esethez jol van beallitva? regexp match?
üdv, Ago ----------- Deim Ágoston LSC Linux Support Center Kft. e-mail: deim.agoston@lsc.hu Tel/fax:06-1/341-0457
On Wed, Feb 18, 2004 at 12:55:00PM +0100, Deim Agoston wrote:
Kosa Attila <atkosa@chello.hu> irta:
Ha megnezzuk az emlitett cimet, akkor lathato, hogy sajat maguknak krealtak egy certificate-et, ami asp1 nevre van kiallitva, mikozben a site neve asp.ksh.hu. Tudnal mutatni egy olyan konfigot, amely ehhez az esethez jol van beallitva? regexp match?
Konkretabban? -- Udvozlettel Zsiga
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
Jo, legyunk ontopic-ok egy kicsit :)
Ha megnezzuk az emlitett cimet, akkor lathato, hogy sajat maguknak krealtak egy certificate-et, ami asp1 nevre van kiallitva, mikozben a site neve asp.ksh.hu. Tudnal mutatni egy olyan konfigot, amely ehhez az esethez jol van beallitva?
Először is lássuk be, hogy valamely szervezettel vagy emberrel kapcsolatos -akár jogos- ellenszenved kiélésére nem ez a lista való. A kérdésedet ontopic módon így tudom értelmezni: """ Van egy saját gyártmányú certem, ami "asp1" névre van kiállítva. Valamiért szeretném ha a szerveren ugyanez a cert maradna, ugyanakkor a külvilág számára szeretnék egy korrekt certet mutatni. """ Mint mindannyian tudjuk, ebben az esetben a pssl használata, és a korrekt certtel való átkulcsolás a megoldás. class MyHttpsProxy(PsslProxy): def config(self): # both side need ssl self.server_need_ssl = TRUE self.client_need_ssl = TRUE # correct secret key and cert generated by openssl self.client_cert = '/etc/zorp/myhttps.crt' self.client_key = '/etc/zorp/myhttps.key' # do check clients certificates in behalf of the server self.client_verify_type = SSL_VERIFY_REQUIRED_TRUSTED # strict check of https server certs self.server_verify_type = SSL_VERIFY_REQUIRED_TRUSTED # put the allowed CAs' certs into this directory, so # only the good servers will be allowed, for instance # if you only put verysign CA cert here, only those # servers will be allowed, which owns VS certs # WARNING: never allow sef singed certs;-)))) # you can gain CA certs form apache-ssl deb package # put here the cert of the CA which signed the server # key, or set server_verify_type to NONE self.server_ca_directory = '/etc/zorp/ca.d/' # you want to shutdown each way Read and Write) # separately. self.shutdown_soft = TRUE # now I stack Http Proxy with the previous # URI filtering into the SSL proxy, so sex.com # cannot be visited neither via HTTP and HTTPS... self.stack_proxy = MyHttpProxy Ha a levél végén lévő patchet alkalmazod (emlékezetből írtam, lehet hogy nem is fordul, a következő unoff zorpban benne lesz tesztelve), akkor a MyHttpProxyban a pssl client_cert attribútuma alapján eldöntheted, hogy egyáltalán odaengeded-e józsit a szerverhez. Sajnos nem találtam olyan kérdést, amelyik a te kérdésedhez közelebb lenne és ontopic. M modules/zorp-module-pssl-2.0.0/pssl.c * modified files --- orig/modules/zorp-module-pssl-2.0.0/pssl.c +++ mod/modules/zorp-module-pssl-2.0.0/pssl.c @@ -72,6 +72,7 @@ SSL_CTX *client_ctx, *server_ctx; int verify_type[EP_MAX]; int verify_depth[EP_MAX]; + GString *client_name; } PsslProxy; #define ENABLE_PKT_STATS 1 @@ -100,6 +101,7 @@ self->poll = z_poll_new(); self->client_keyfile = g_string_sized_new(32); + self->client_name = g_string_sized_new(0); self->client_certfile = g_string_sized_new(32); self->client_ca_dir = g_string_sized_new(0); @@ -178,6 +180,10 @@ "client_key_file", Z_VAR_GET | Z_VAR_SET_CONFIG | Z_VAR_TYPE_STRING, self->client_keyfile); + z_proxy_var_new(&self->super, + "client_name", + Z_VAR_GET | Z_VAR_TYPE_STRING, + self->client_name); z_proxy_var_new(&self->super, "client_cert_file", @@ -356,6 +362,7 @@ X509_NAME_oneline(X509_get_subject_name(peercert), tmp, sizeof(tmp) - 1); X509_free(peercert); + self->client_name = g_string_assign(self->client_name,tmp); z_proxy_log(self, PSSL_DEBUG, 4, "Identified peer on the client side; peer='%s'", tmp); } -- GNU GPL: csak tiszta forrásból
On Wed, Feb 18, 2004 at 12:35:45PM +0000, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy Kosa Attila a következőeket írta:
Ha megnezzuk az emlitett cimet, akkor lathato, hogy sajat maguknak krealtak egy certificate-et, ami asp1 nevre van kiallitva, mikozben a site neve asp.ksh.hu. Tudnal mutatni egy olyan konfigot, amely ehhez az esethez jol van beallitva?
Először is lássuk be, hogy valamely szervezettel vagy emberrel kapcsolatos -akár jogos- ellenszenved kiélésére nem ez a lista való.
Nem tudom es nem is ertem, hogy mirol beszelsz. Orulnek neki, ha megvilagitanad - akar maganban is -, hogy mire gondoltal.
A kérdésedet ontopic módon így tudom értelmezni: """ Van egy saját gyártmányú certem, ami "asp1" névre van kiállítva. Valamiért szeretném ha a szerveren ugyanez a cert maradna, ugyanakkor a külvilág számára szeretnék egy korrekt certet mutatni. """
Megprobalom ujra leirni a kerdesemet: a ksh-nak van egy https szervere, amely az asp.ksh.hu:18180 cimen figyel. Ha megnezed, akkor latni fogod, hogy asp1 neve kiallitott, altaluk "gyartott" certificate-je van. En nem tudok helyettuk mas certificate-et mutatni a vilagnak, viszont biztositanom kell, hogy az en tuzfalam mogott ulok biztonsagosan elerhessek az asp.ksh.hu:18180 cimen levo https szervert. Mikeppen konfiguralod ehhez a tuzfaladat?
Mint mindannyian tudjuk, ebben az esetben a pssl használata, és a korrekt certtel való átkulcsolás a megoldás.
Nekem az a feladatom, hogy ellenorizzem az asp.ksh.hu altal mutatott certificate-et, nem akarok atkulcsolni semmit. Az ettol szerintem teljesen fuggetlen kerdes, hogy a tuzfal mogott ulo usereim nem az asp.ksh.hu altal mutatott certificate-et fogjak latni, hanem azt, amit en (mint tuzfal) mutatok nekik.
# put the allowed CAs' certs into this directory, so # only the good servers will be allowed, for instance # if you only put verysign CA cert here, only those # servers will be allowed, which owns VS certs # WARNING: never allow sef singed certs;-)))) # you can gain CA certs form apache-ssl deb package # put here the cert of the CA which signed the server # key, or set server_verify_type to NONE self.server_ca_directory = '/etc/zorp/ca.d/'
Szoval ugy valositanad meg, hogy a certjet bemasolod a /etc/zorp/ca.d/ konyvtarba.
Ha a levél végén lévő patchet alkalmazod (emlékezetből írtam, lehet
Kulonbozo okok miatt nem all modomban patchelni.
hogy nem is fordul, a következő unoff zorpban benne lesz tesztelve), akkor a MyHttpProxyban a pssl client_cert attribútuma alapján eldöntheted, hogy egyáltalán odaengeded-e józsit a szerverhez.
Nem ertetted a kerdest. Oda kell engednem a usereket a ksh szerverehez, de ellenorizni szeretnem a kapcsolatot. -- Udvozlettel Zsiga
On Wed, Feb 18, 2004 at 02:30:44PM +0100, Kosa Attila wrote:
Nem ertetted a kerdest. Oda kell engednem a usereket a ksh szerverehez, de ellenorizni szeretnem a kapcsolatot.
Ha a kapcsolat nem plug-on megy (pontosabban, ha kibontod az ssl-t), akkor a kliensek fele mindenkepp egy a tuzfalon levo cert-et mutatsz. Ami lehet egy altalanos, az ssl kapcsolatokra, amiben megbiznak, vagy lehet egy olyan, amit direkt a ksh site-nak gyartasz le, de semmikepp sem az eredeti certet fogjak latni. (Ha ez vilagos volt, akkor nem ertem, mit nem ertesz Mag leveleben) Gyula
On Wed, Feb 18, 2004 at 02:44:45PM +0100, Kerekes Gyula wrote:
On Wed, Feb 18, 2004 at 02:30:44PM +0100, Kosa Attila wrote:
Nem ertetted a kerdest. Oda kell engednem a usereket a ksh szerverehez, de ellenorizni szeretnem a kapcsolatot.
Ha a kapcsolat nem plug-on megy (pontosabban, ha kibontod az ssl-t), akkor a kliensek fele mindenkepp egy a tuzfalon levo cert-et mutatsz. Ami lehet egy altalanos, az ssl kapcsolatokra, amiben megbiznak, vagy lehet egy olyan, amit direkt a ksh site-nak gyartasz le, de semmikepp sem az eredeti certet fogjak latni. (Ha ez vilagos volt, akkor nem ertem, mit nem ertesz Mag leveleben)
Termeszetesen ez vilagos (mikent le is irtam a levelemben), de ez fuggetlen a kerdesemtol. Mikeppen ellenorzod a ksh certificate-jet, hogy a megfelelo IP cimu gep adja a kerdeses cert-et? Termeszetesen a certificate egyeb jellemzoit (peldaul lejarati ido) is ellenorizni kell. -- Udvozlettel Zsiga
2004-02-18, sze keltezéssel 14:55-kor Kosa Attila ezt írta:
Termeszetesen ez vilagos (mikent le is irtam a levelemben), de ez fuggetlen a kerdesemtol. Mikeppen ellenorzod a ksh certificate-jet, hogy a megfelelo IP cimu gep adja a kerdeses cert-et? Termeszetesen a certificate egyeb jellemzoit (peldaul lejarati ido) is ellenorizni kell.
ezt ugy tudod megtenni, hogy az adott gep certjet az IP cimehez kotod, azaz erre az adott IP-re elfogadod azt a hackelt certet, amit ok gyartottak. erre annak idejen emlekezetem szerint kuldtem policy reszletet, bar az csak kereskedelmi pssl-lel megy. -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
On Thu, Feb 19, 2004 at 07:03:23AM +0100, Balazs Scheidler wrote:
2004-02-18, sze keltezéssel 14:55-kor Kosa Attila ezt írta:
Termeszetesen ez vilagos (mikent le is irtam a levelemben), de ez fuggetlen a kerdesemtol. Mikeppen ellenorzod a ksh certificate-jet, hogy a megfelelo IP cimu gep adja a kerdeses cert-et? Termeszetesen a certificate egyeb jellemzoit (peldaul lejarati ido) is ellenorizni kell.
ezt ugy tudod megtenni, hogy az adott gep certjet az IP cimehez kotod, azaz erre az adott IP-re elfogadod azt a hackelt certet, amit ok gyartottak.
erre annak idejen emlekezetem szerint kuldtem policy reszletet, bar az csak kereskedelmi pssl-lel megy.
Ezt ertem, es igy is van, kuldtel. Mukodik is, csak az az apro hibaja, hogy amelyik certet megetetem vele, azt elfogadja minden tovabbi ellenorzes nelkul. Ami eddig mar elojott vele kapcsolatban az az, hogy a cert lejarati idejet nem ellenorzi. Ezert lettem volna kivancsi, hogy mas hogyan oldja meg a nem hiteles szolgaltato altal alairt certificate-ek kezelesenek problemajat. Elnezest, ha nem fogalmaztam eddig erthetoen, remelem, hogy ezutan erthetobb a kerdesem, es senki sem fogja kotekedesnek venni. -- Udvozlettel Zsiga
2004-02-19, cs keltezéssel 08:34-kor Kosa Attila ezt írta:
On Thu, Feb 19, 2004 at 07:03:23AM +0100, Balazs Scheidler wrote:
2004-02-18, sze keltezéssel 14:55-kor Kosa Attila ezt írta:
Ezt ertem, es igy is van, kuldtel. Mukodik is, csak az az apro hibaja, hogy amelyik certet megetetem vele, azt elfogadja minden tovabbi ellenorzes nelkul. Ami eddig mar elojott vele kapcsolatban az az, hogy a cert lejarati idejet nem ellenorzi.
ez igaz, bar IMHO ha valaki sajat maganak gyart certet, akkor altalaban azzal se foglalkozik tulzottan, hogy lejart-e a certje. szoval ez inkabb feature, mint bug. :) -- Bazsi PGP info: KeyID 9AF8D0A9 Fingerprint CD27 CFB0 802C 0944 9CFD 804E C82C 8EB1
2004-02-19, cs keltezéssel 08:53-kor Balazs Scheidler ezt írta:
2004-02-19, cs keltezéssel 08:34-kor Kosa Attila ezt írta:
On Thu, Feb 19, 2004 at 07:03:23AM +0100, Balazs Scheidler wrote:
2004-02-18, sze keltezéssel 14:55-kor Kosa Attila ezt írta:
Ezt ertem, es igy is van, kuldtel. Mukodik is, csak az az apro hibaja, hogy amelyik certet megetetem vele, azt elfogadja minden tovabbi ellenorzes nelkul. Ami eddig mar elojott vele kapcsolatban az az, hogy a cert lejarati idejet nem ellenorzi.
ez igaz, bar IMHO ha valaki sajat maganak gyart certet, akkor altalaban azzal se foglalkozik tulzottan, hogy lejart-e a certje.
lásd https://lists.linux.hu, mint kiemelkedő példa :) Elnézést az off-topicért, inkább a security-l-re kellett volna... Azt viszont, amiért beküldtem úgylátom senki sem vette észre: Amennyiben valóban tartalomszűrés miatt nem engedélyezett a HTTPS protokoll, akkor a firewall/proxy konfigurálását oly módon kell elvégezni, hogy a HTTPS protokollal ( KSH-kiszolgálóban 18180-as port) kizárólag az asp.ksh.hu:18180 legyen elérhető. (Innen másfelé nem lehet eljutni ezen a porton erre a célra dedikált szerverprocess figyel, ezt a tartalmat tartalomszűrni nem kell, hiszen kizárólag a Hivatal által terített alkalmazás kommunikál rajta) Különösen az utolsó, zárójeles rész. Amiben az én értelmezésem szerint azt állítják, hogy teljes anyagi és elkörcsi felelősséget vállalnak azért, hogy ezen a kommunikáción keresztül sem befelé, sem kifelé nem fog nem kívánatos tartalom haladni. Ha mégsem jól értem, és a felelősségvállalás nem olvasható ki ilyen módon, akkor pedig a hamis biztonságérzet keltése fejezet. Slapic
On Thu, Feb 19, 2004 at 02:55:45PM +0100, Czako Krisztian wrote:
Azt viszont, amiért beküldtem úgylátom senki sem vette észre:
Amennyiben valóban tartalomszűrés miatt nem engedélyezett a HTTPS protokoll, akkor a firewall/proxy konfigurálását oly módon kell elvégezni, hogy a HTTPS protokollal ( KSH-kiszolgálóban 18180-as port) kizárólag az asp.ksh.hu:18180 legyen elérhető. (Innen másfelé nem lehet eljutni ezen a porton erre a célra dedikált szerverprocess figyel, ezt a tartalmat tartalomszűrni nem kell, hiszen kizárólag a Hivatal által terített alkalmazás kommunikál rajta)
Különösen az utolsó, zárójeles rész. Amiben az én értelmezésem szerint azt állítják, hogy teljes anyagi és elkörcsi felelősséget vállalnak azért, hogy ezen a kommunikáción keresztül sem befelé, sem kifelé nem fog nem kívánatos tartalom haladni. Ha mégsem jól értem, és a felelősségvállalás nem olvasható ki ilyen módon, akkor pedig a hamis biztonságérzet keltése fejezet.
Akkor most mar igazan elarulhatnad, hogy szerinted mirol kellene felvilagositani a ksh-t... Mert ugye ki mit ert tartalomszures alatt. -- Udvozlettel Zsiga
On Wed, Feb 18, 2004 at 11:34:03AM +0000, Magosányi Árpád wrote:
A levelezőm azt hiszi, hogy G. J. Hazai a következőeket írta:
Alapvetően arról van szó, hogy a közszférában a https-t nem akarják engedni, mert biztonsági lyuknak vélik: információ szivárgás lehetősége (a házon belüli szoftver rendőrség nem tudja elolvasni).
... kivéve, ha jól bekonfigolja a Zorpját.
Az emlitett cimen Tomcat 4.0.4 van. 22 January 2004 - Tomcat 5.0.18 Stable released :) Mintha kicsit regi lenne... -- Udvozlettel Zsiga
participants (9)
-
Balazs Scheidler
-
Barina Tamas
-
Czako Krisztian
-
Deim Agoston
-
G. J. Hazai
-
Kerekes Gyula
-
Kosa Attila
-
Magosányi Árpád
-
SZALAY Attila