看板 Soft_Job 關於我們 聯絡資訊
作者ggg12345 (ggg)
看板Soft_Job
標題Re: [轉]谷歌警告稱存在一個未經授權的証書危害所有操作
時間Sun Apr 5 10:11:40 2015
: → Lordaeron: 美國政府就一堆ROOT CERT 在BROWSER中了, 如何? 04/04 22:05 : 推 x000032001: 通篇就只提CN 跟US的根憑證有甚麼關係 04/04 22:16 : → ggg12345: 私人企業對員工通信有其監聽需求,跨國企業可在防火牆作 04/04 22:42 : → ggg12345: 中間人的合法監聽.中間人的位置若是第三方代理服務,那就 04/04 22:45 : → ggg12345: 涉及是否可用動態ip及行動裝置.這需求與供應免不了要有! 04/04 22:48 : 推 liddle: 傳媒,Google都在美國手上就是區別。沒有Snowten誰知道這 04/04 23:00 : → liddle: 些?也沒人知道Google已經屈服,Apple在老嬉皮死後也屈服 04/04 23:00 : → liddle: 。 04/04 23:00 : → lovdkkkk: http://goo.gl/bPmdh1 04/04 23:50 : → lovdkkkk: 向中國開戰!Google將移除對CNNIC的信任驗證 04/04 23:50 : → Lordaeron: 這就是,產品是他的,他想如何就如何. 04/05 00:11 : 推 CGary: US的root cert目前至少還沒光明正大被抓到,程式放後門被抓 04/05 00:52 : → CGary: 包後 中國政府也「名正言順」要求美商交付source code... 04/05 00:52 : → CGary: CNNIC他們內部管理也是一團亂,也該整頓一下了... 04/05 00:53 : → CGary: 認真說我不信甚麼「開戰不開戰」的 美國公司屈服交資料給美 04/05 00:54 : → CGary: 國政府的多的是 反正就套Eric Schmidt那句話 上網就預期被 04/05 00:54 : → CGary: 看到吧...雖然他有很多安全性機制 但是只要社交工程做得好, 04/05 00:55 : → CGary: 一樣有很多後門可走:P 04/05 00:55 : → CGary: 我基本上是一定會砍掉CNNIC的憑證的 因為他們的「歷史」實 04/05 00:56 : → CGary: 在是太多了 簡單來說太蠢了 隨便就抓到他們的問題... 04/05 00:56 : 推 pttworld: 個人操作應該不用太擔心的。但感覺不甚好就是了。 04/05 00:59 : → Lordaeron: 高人,US的root cert還沒光明正大被抓到? 真高人. 04/05 07:14 ===================== 當程式出錯或出問題時(有bug), 現在的作法是趕快在網路出個patch 或頒布新版 程式, 要求趕快更新. 跟CNNIC有關的是 DNS server. 最早傳出美國攻擊伊拉克時, 依拉克的通信癱渙, Internet 全部失效或連接亂連. 歐洲傳出的消息是美國掌管的 DNS root server 作怪. 隨後掌管的 DNS 程式的 VeriSign 要求更新版本. Client 端要連server 先是用server Domain Name 向local DNS 查詢server IP, 全世界的DNS 軟體都是同一個來源, 一般的country NIC 不會run 成 root. 但 local DNS 開機時一定先向root 查問各個自治負責區的 name server ip 做成 快速查詢的 cache. 如果 root 給錯了, 那就相當於讓 client 端連到釣魚網站 去了. 這是 root server 才會有的特異功能, 沒經營的當然是不知道. 歐盟各國當然是對著老美鬧這個 老美獨佔root server 這件事, CNNIC 是最早鬧 muliple root owner 的國家之一. 防火牆在各個私人企業裡也會使用, 內部僱員連到競爭對手那裡祕密連通洩漏自身 機密是常有的. 這個root 有此特異功能就被拿來將競爭對手的server 阻擋也是一 種需求. 微軟的 DNS root 程式就是保留了這個bug讓商業用戶利用. 所以世界上 事實存在多個private root DNS server ! 網關(firewall)與DNS(目的位置查詢)構成攔截, 轉向接續到特定網站的特殊需要. DNS server 有 recursive query 的代理查詢並提供快取的功能. 如果有個非法的 Name Server "能"向其他Name server 提供錯誤訊息, 依靠DNS server 做ip 位置 查詢的所有服務就可能亂了套. 為此, VeriSign 就祭起必須向其註冊認證並發給證明通行的 certification 老招, 今天的 DNS server 通信來往是用 CA 身份認證與 非對稱key 對訊息加解密的方式 來往. 老美總是佔據這個查詢查證的 root server 位置. 以前是免費提供使用, 現在則是要繳錢加入"不得做怪"的會員才能使用 name server 軟體. 有漏洞, 必須自行修正補陋, 可能被宣傳為 "還沒光明正大被逮個正著". -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.37.66.80 ※ 文章網址: https://www.ptt.cc/bbs/Soft_Job/M.1428199903.A.DAB.html