Posts tagged bezpečnost

BFU vyzva: Zkuste setrit cas svuj i druhych

1

Vcera jsem se nehorazne nasral vytocil a vyustilo to v potrebu odpovedet na vsechny mejlove adresy uvedene v dotycnem mejlu a budu to delat znovu a znovu, dokud mi neco bude chodit. Text tohoto mejlu prikladm nize, treba to nekoho inspiruje. Jako takovou maturitu pro pokrocilejsi muzu jeste doporucit deset bodu – 10 Rules to Reverse the Email Spiral.

Dobry den,

jmenuji se Vaclav Balak a vubec Vas neznam. Proc Vam pisu? Protoze mi davate kontaktni informace na Vas, prestoze jsem si je vubec nevyzadal a nemam o ne zajem. Ale klidne o Vas muzou mit zajem moji klienti, kterym Vase kontaktni udaje velmi rad prodam!! A proto pisu – NAUCTE SE CHRANIT SOUKROMI SVYCH KONTAKTU!!! Kdyz uz mate potrebu preposilat mejly nadepsane „Fwd: FW: FWD:……Tohle musis videt!!!!“, zkuste udelat tu malickost a SMAZAT OBSAH ZPRAVY, nebo jej aspon upravit, at nepredavate adresy lidi, kterym to prislo pred Vami dal a dal a dal a dal, dokud je nekdo nezneuzije!! A vubec – jeden znamy na toto tema napsal pekny clanek, zkuste se na nej podivat: BFU výzva: Rádi e-mailujete? Má to však své zásady!

A proc pisu jeste? Reaguju na mejl samotny – na clanek o Kosteleckych Uzeninach. Za clanek dekuji, byl velmi zajimavy, jeste zajimavejsi vsak byla forma, v jake jsem clanek obdrzel – dokument Wordu! Proc? Pokud odmyslim fakt, ze nekdo tento program vubec nema (tudiz tento dokument ani neotevre a neprecte si jej), nemuzu pochopit, proc kopirujete clanek volne pristupny na internetu dovnitr nejakeho dokumentu? Dochazi ke ztrate informace – k puvodnimu clanku pribyl odkaz na video, pribyly k nemu nove informace… O tohle vsechno ctenari tohoto .doc dokumentu prisli! Posudte nasledujici dva zpusoby poslani informace:

Zpusob jedna:
1) Prectu si clanek, ktery se mi libi
2) zkopiruju adresu na tu stranku a
3) vlozim ji do noveho mejlu a odeslu

Zpusob dva:
1) Prectu si clanek, ktery se mi libi
2) zkopiruju cely clanek a
3) otevru word a protoze neumim vytvorit novy dokument, tak
4) otevru nejaky jiny dokument
5) dam ulozit jako a ulozim ho
6) smazu obsah toho dokumentu a (postupne oznacim vse mysi samozrejme)
7) pro jistotu ho ulozim
8 ) vlozim do tohoto prazdneho dokumentu obsah toho clanku
9) ulozim a dlouho hledam na disku, kam jsem ten dokument vubec ulozil
10) prilozim tento dokument k mejlu a odeslu

Proc proboha volite zpusob dva? Nehlede na to, ze v 90% pripadu to stejne zkopirujete blbe, takze tam polovina informaci vubec neni, nejsou tam obrazky, nejsou tam nova zjisteni, ktere autor publikoval po odeslani zmineneho souboru mejlem, ma to rozhazene formatovani… a predevsim – NENI TAM DISKUZE, kde jsou mnohdy podstatnejsi informace, nez v clanku samotnem (pokud to teda neni kopie z novinky.cz, kde se nadava na ods, nebo z idnes.cz, kde se nadava na komunisty) a navic se teda nemuzete do teto diskuze zapojit s vlastnim nazorem!!

Zkuste se nad tim prosim aspon zamyslet a pripadne tento mejl predat dal svym znamym – ovsem na zaklade vyse zminenych informaci – nemam zajem, aby moje emailova adresa kolovala svetem az do 21.12.2012.

Dekuji za cas a preji pekny den
Vaclav Balak

PS. puvodni adresa onoho clanku je
http://www.bizwiz.cz/2012/02/11/kostelecke-uzeniny-tvurce-hororovych-zazitku/

Jak se dostat na zabezpečené služby státní správy?

0

Pod mírně bulvárním názvem tohoto blogpostu nehledejte žádný návod na hákování webů státních institucí. Pouze jsem se snažil vytvořit klienta (v Javě) pro komunikaci s webovými službami nalézajícími se na serveru, který je zajištěn certifikátem vydaným certifikační autoritou PostSignum a aby to nebylo tak jednoduché, tak uživatel je autentikován na základě osobního certifikátu.

Každý slušný člověk začne nejprve googlením, kdy najde nejeden příklad navazování spojení pomocí https (řekněme HTTP over TLS), další googlení potom poodkryje další příklady, tentokrát jak použít klientský certifikát. Na tomto základě už je možné začít stavět, nejprve tedy metoda pro získání ssl socket factory, kterou použijeme pro kontrolu identity:

private SSLSocketFactory getFactory(File pKeyFile, String pKeyPassword) throws...{
    KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
    KeyStore keyStore = KeyStore.getInstance("PKCS12");
    InputStream keyInput = new FileInputStream(pKeyFile);

    keyStore.load(keyInput, pKeyPassword.toCharArray());
    keyInput.close();
    keyManagerFactory.init(keyStore, pKeyPassword.toCharArray());
    SSLContext context = SSLContext.getInstance("TLS");
    context.init(keyManagerFactory.getKeyManagers(), null, new SecureRandom());

    return context.getSocketFactory();
}

Tato factory se předá do vytvářeného zabezpečeného spojení, kdy je tímto způsobem poskytnut údaj pro autentikaci uživatele na straně serveru. Tedy metoda vracející toto spojení:

public HttpsURLConnection getConnection() throws ...{
    URL url = new URL("https://server:844/");
    HttpsURLConnection con = (HttpsURLConnection) url.openConnection();

    con.setSSLSocketFactory(getFactory(new File("cert_sign.p12"), "heslo"));

    return con;
}

Teď je možné se pomocí zavolání connect() připojit, ale protože nejsou v úložišti důvěryhodných certifikátů vložené certifikátu serveru, snaha o připojení skončí s výjimkou:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Nejprve jsem se snažil mezi důvěryhodné certifikáty importovat certifikát kořenové autority PostSignum pomocí nástroje keytool

sudo keytool -import -alias gwc.cpost.cz -keystore /etc/java-6-sun/security/cacerts -file root.pem

což však nevedlo nikam, potřeboval jsem konkrétní certifikáty konkrétního stroje a s tím mi pomohla utilitka InstallCert (zdrojový kód, takže je to důvěryhodné ;-)). Vytvořený soubor jssecacerts je vlastně původní cacerts s přidanými certifikáty požadovaného serveru, takže je možné jej nakopírovat na odpovídající místo, pomocí keytool -list se podívat, jestli je vše v pořádku a opět vyzkoušet spojení.

Spojuje se, ale to je tak celé, takže se teď zabývám následujícími odkazy:

Go to Top