47 Bình luận
  • TanNg
    Ngân hàng mà nên đi tiết kiệm chi phí mua cái SSL cetificate ấy hả
  • TanNg
    Ngân hàng mà nên đi tiết kiệm chi phí mua cái SSL cetificate ấy hả
  • SuperSliver
    Mù IT, bác nào thông não giúp cái, hôm qua đọc cái này cũng ú ớ, ở góc độ người dùng, vào trang web về bank mà k thấy xanh xanh ở góc trên bên trái là em chột dạ lắm
    • TanNg
      @SuperSliver Nãy vừa hỏi cu bảo mật bên anh. Đại loại là bảo mật tự ký, hết thời hạn. Tự ký thì không phụ thuộc ai, mình chỉ tin chính mình chức không dựa vào người khác. Rủi ro là nếu bị hack srv thì khách hàng đi viện hết, rủi ro này cao hơn nhiều so với bọn cấp chữ ký chuyên nghiệp bị hack. Còn những cái khác là tâm lý là chính, không phải lổ hổng bảo mật.
    • ntmj27
      @supersliver cert có an toàn hay không quan trọng là ở thuật toán + key size. Còn sign hay không chẳng liên quan gì. Sign chẳng qua là có 1 bên thứ 3 tin cậy nó chứng thực rằng cái cert này là của thằng A, nó chỉ dùng cho những size này của thằng A, có hạn trong thời gian này, nó đáng tin cậy và nó thu tiền làm việc này thôi, lúc đo trên web sẽ hiện cái góc xanh. Cơ bản dùng app thì chẳng cần phải có cái này, ko đáng phải tốn vài trăm $ làm gì

      Còn thằng chửi là thằng ất ơ, chém linh tinh
    • TanNg
      @ntmj27 Như bình luận ở trên là kém secure hơn tí nhé, nhưng ko quá tệ.
    • linpack08
      @supersliver cert tự ký thì phía client phải trust cái key tự tạo đó. Có 2 phương án:

      Muốn trust key thì phải :
      - Sửa danh sách trusted keys của hệ thống, cái này khó, app thông thường ít có cơ hội làm
      - Hoặc nhúng luôn trusted key trong app, riêng cái app này nó tin tưởng thôi. Nguy cơ là nếu key trong app bị sửa thì sẽ trust cái key khác. Nguy cơ app bị sửa lớn hơn nhiều so với nguy cơ danh sách trusted keys chung của hệ thống bị sửa.

      Thông thường thì app đơn lẻ bị sửa dễ hơn sửa những tham số chung của hệ thống, nên nguy cơ của phương án 2 cao hơn. Còn phương án 1, app tự sửa hệ thống hơi khó, cách dễ hơn là mua key chứng thực bởi 1 thằng thứ 3 đã được tin tưởng, root key của nó đã được tích hợp mặc định trên hầu hết các hệ thống. Chuyên nghiệp thì phải dùng phương án mua.

      Các cụ chém thuần túy về kỹ thuật mật mã thì bảo an toàn tương đương, nhưng thực tế là nguy cơ của self signed cũng lớn hơn đáng kể ạ.
    • HuyThai
      @tanng Không kém secure đâu. Về cơ bản self-signed hay third party là như nhau vì sử dụng chung cấu trúc. Khác biệt duy nhất là third party thì có tổ chức đứng ra bảo đảm là cái signature đó là mang cái tên đó

      Còn chuyện hack vào thì cũng không thể nào decode cái SSL cert được vì nó hash = RSA 2048 bit. Mà cái certificate request lúc nào cũng nằm trên server của chính chủ, ngay cả khi đó là cert mua từ third party. Chính chủ submit request + key chain lên third party verify thành cái cert thôi.
    • tutuxinhxich
      @ntmj27 self signed ở trên app lắm chuyện lắm, nhất lsf app của corporation, vì đội làm app nhiều khi là bên thé 3 outsource, hoặc đội dev ra vào liên tục. Chả phải tự nhiên nó phải cho thằng khác sign.
    • dangquang1909
      @linpack08 Trường hợp apps đã bị sửa thì dù cer nào cũng vô nghĩa. Nếu sửa được apps có thể sửa lại DNS của chính apps đấy chạy với cer vẫn valid bình thường ( chỉ trừ cer có EV thì hơi khó trong khâu đăng ký )
    • tutuxinhxich
      @dangquang1909 chuẩn mà sửa app được thì tức là khâu nhân sự bảo mật quá là tức là ko nên dùng app
    • ntvim88
      @supersliver web ngân hàng thì mỗi lần giao dịch phải để ý, ko có cái xanh thì nghỉ ngay lập tức, chứ đừng ở đó mà chột dạ.
      Còn app thì mình ko biết, đang hóng các cao nhân chém.
    • TanNg
      @HuyThai Kém ợ, vì đội vcb kém hơn đội bên kia. Kém do con người, ko phải do cấu trúc.
    • tutuxinhxich
      @ntvim88 SSL dễ mà. Dựa vào SSL mà đoán có phải phising hay ko thì ko đc. Phising site là science đấy không phải vớ vẩn đâu
    • linpack08
      @dangquang1909 lại nói về nguy cơ nhé, khi sửa app bác sửa giá trị key để sẵn trong đó em nghĩ dễ dàng hơn nhiều khi phải gọi thêm 1 vài hàm khác, sửa 1 chút về flow xác thực, chèn thêm giá trị key lẽ ra không tồn tại trong app nếu dùng CA bên thứ 3.

      Sau khi sửa được như vậy có 1 kích bản là cái app nó bị tricked bằng 1 servcie https giả mạo rằng nó đã được link với 1 số điện thoại bất kỳ nào đó, khi đó nó sẽ sinh ra token hợp lệ với 1 số điện thoại bất kỳ nào đó theo ý hacker được không ạ ?

      Kịch bản này nếu xảy ra là thảm họa cho những ai đã đăng ký SmartOTP rồi, vì app của hacker sinh OTP hợp lệ cho số đt bất kỳ.
    • pat123
      @tanng nói vậy là chủ quan thôi chứ thiếu khách quan rồi
    • HuyThai
      @tanng Dùng tool generate thôi mà, chẳng lẽ kém tới mức không biết dùng tool
    • ohaivodoi
      "Bạn em xài VCB và nghi ngờ rằng bên VCB xài raw text khi lưu password. Việc test thử được diễn ra theo kịch bản sau.

      Password được lưu dưới dạng: "1234567 " ( lưu ý là 8 ký tự và có khoảng trắng cuối cùng). Sau đó gọi điện thoại đến tổng đài và xác minh rằng password của tôi không đăng nhập được. Và được nhân viên xác nhận rằng Password có 7 ký tự ."
    • goodlink
      @tanng góc độ bảo mật không kém đâu anh, trang này là trang backend nên dùng hay không cũng không sao đâu. Bình thường VCB vẫn dùng Cert được 3rd party công nhận trên trang chủ và Ib mà
    • tinhvi
      @ohaivodoi làm mình nhớ chắc cách đây tầm 7-8 năm lúc mới đăng ký Ibanking, sau đó quên mật khảu, gọi tổng đài còn được nhân viên tổng đài gợi ý pass mình đặt ký tứ đầu là gì =)
    • dalmate
      @tanng Thật ra dùng tự kí cũng chả sao cả (bản chất của mấy ông bán kia là nó đã tham gia vào một "cộng đồng" được xác nhận, nên nhìn các chứng thư nó lúc nào cũng xanh, cũng đẹp thôi) , miễn là dùng cái độ dài 2048 bit. Tuy nhiên nó có một cái dở là nếu mà dùng trên các trình duyệt thì sẽ bị xuất hiện cảnh báo, gây nghi ngại cho người dùng + thêm một vấn đề nữa là khi lập trình, muốn kết nối vào các chú lập trình lại phải cho kết nối chui qua một fake trusted store giả.
    • TanNg
      @dalmate, @goodlink, @huythai
      Mấy chú chưa hiểu vấn đề. Tự ký thì có rủi ro là bị hack và đánh mất thông tin chữ ký. Đội VCB chắc chắn kém hơn đội làm chữ ký chuyên nghiệp --> bảo mật kém hơn về nhân sự là chỗ đó. Kiến trúc thì như nhau.
    • dalmate
      @tanng Bác lại bị nhầm rồi, tự kí hay hay chữ kí mua thì bản thân cái private key vẫn phải nằm trên server của VCB --> nếu đã bị hack và bị lấy thì chữ ký nào cũng như nhau, bị lấy tuốt bác nhé.
    • tutuxinhxich
      @dalmate bạn là dev à
    • TanNg
      @dalmate He he, ờ nhỉ. Thua.
    • dalmate
      @tutuxinhxich Vâng, sao bác lại cười
    • TanNg
      @dalmate à, thế thằng security chỗ mình nó nói thế này bạn nghĩ sao?

      "Nhưng cert tự ký mà svr có bug gì nó đập vào lấy cert là người dùng xong"
    • HuyThai
      @tanng nói bác đừng buồn chứ security mà phát biểu thế thì cho về vườn là vừa, vì cái này mới là kiến thức cơ bản, chưa phải là kiến thức security
    • TanNg
      @HuyThai he he, không cho về vườn được vì đây là tay cao thủ có hạng
    • dalmate
      @tanng Trời ơi, bác ơi, em đã bảo rồi, dù là hàng tự ký hay hàng đi mua thì cái đống đó nó đều nằm trên server của mình --> nếu server có bug để ông nào mò vào được thì nó ôm cả đi được luôn ấy chứ.
      Nói túm lại nó như này: mọi cert đều do một phần mềm nào đó sinh ra, thường là OpenSSL chẳng hạn, và độ dài của key thì tùy mình đặt khi tiến hành sinh(giờ là 2048 bit). Và sau đó bác đem cái cert đó cài lên web cho mình, như bọn tomcat, jetty,... chúng nó sẽ cài vào một reporitories riêng. Như vậy, bản chất thì private key đó sẽ được đặt trên server --> nếu đã bị lấy thì thằng nào cũng bị lấy cả.
      Còn sự khác nhau của cert tự sinh và cert đi mua chỉ là:
      - Thằng cert đi mua sẽ được tin tưởng hơn do nơi bán được công nhận chính thức --> ví dụ bác vào web thì thằng cert đi mua sẽ được các trình duyệt báo rõ ràng còn thằng cert tự sinh sẽ bị cảnh báo "có khả năng là trang web giả mạo"
    • dalmate
      @tanng Đây em tặng bác cái này để bác tham khảo:
      https://ltus.me/Mq5
      -- Em nghĩ nếu cao thủ đó phát biểu như thế thì nên kiểm tra lại xem bác này là chém gió cho vui hay kiến thức có vấn đề (just for fun thôi, chứ bác đừng đuổi việc bác đó thật)
    • TanNg
      @dalmate Nó là cao thủ hàng top rồi, nên dù không ngoại trừ là nó nhầm, nhưng khả năng là anh với chú chưa hiểu đúng ý nó muốn nói gì. Trừ phi chú cũng cao thủ hàng top security
    • hoangdang223
      @tutuxinhxich thật hả bác? fake được cái đó luôn á?
    • dalmate
      @tanng Trong trường hợp này em rất muốn biết ý bạn ấy bác ạ. Có thể nó sẽ gợi ra một ý gì mới. Theo ý của em thì có lẽ bác ấy đang nói tới cái thư viện SSL trên hệ thống thôi.
    • goodlink
      @tanng em biết cao thủ chỗ bác là ai mà?
  • QCTT68
    Và sau khi tiết kiệm chi phí ko mua SSL, có chuyện xảy ra là lỗi của khách hàng
    • pat123
      @qctt68 cái này thì mua hay tự làm chả liên quan gì tới bảo mật. Pháp luật VN cũng chỉ bắt buộc phải mua chứng chỉ cao cấp nhất dùng trên trình duyệt thôi, chứ app không có quy định bắt buộc. Nên cái này ko phải là cái dùng để bắt bẻ, chê trách gì VCB đc.
  • Tmhung
    Nhiều trường hợp, nội bộ self signed cũng dc mà phải ko ta?
    • TKM
      @Tmhung nếu bác tin tưởng mọi người dùng nội bộ, thì không vấn đề gì. Nhưng nói chung là vẫn không nên.
    • Tmhung
      @tkm à, tại mình ko rành cái này, nhưng kiểu dùng nội bộ thì mình nghĩ là cũng ok ) nhưng công ty thì cũng nên mua.
    • TKM
      @tmhung Bác có thể dùng thằng free, như letsencypt chẳng hạn, cho những chỗ ít quan trọng. Nó an toàn hơn selfsigned rất nhiều, nhưng ko bằng hàng xịn .
    • Tmhung
      @tkm Bên mình có để SSL ev, chủ yếu vì khoái đẹp
  • pat123
    Hình như mọi người chỉ đọc title mà ko xem nội dung admin handheld nói
  • thanhmo
    Cert thời gian gần đây có vẻ ko quan trọng bằng thư viện SSL, nếu dùng OpenSSL mà ko update cũng dễ bị by pass thôi
  • thinker
    Tiếng Anh mà có toefl toeic nó certify thì người ta có lý do để tin hơn là tôi tự certify, dù ko biết thực ra ai giỏi tiếng anh hơn.

    Tự làm còn có rủi ro là kiến thức hoặc kinh nghiệm chưa đủ vững có sai sót.
  • _pH_
    Dùng self-signed key không chống dc man-in-the-middle attack.
    Mọi người tham khảo thêm: https://ltus.me/O2n
  • leotidus
    Có vẻ như đây là 1 vấn đề gồm nhiều khâu nhưng mọi người bàn luận mỗi ng 1 khâu khác nhau. Thế này theo mình là chuẩn này https://ltus.me/RDF
Website liên kết