Vinnaren i pepparkakshustävlingen!
  • 1
  • 2
2010-04-20, 18:25
  #1
Medlem
Hur "säkert" är det at posta på Flachback ?

Jag vet att ni anvndr. https, men kan användr. lätt identefieras av utenförståande ?
2010-04-20, 18:30
  #2
Medlem
AfternoonDelights avatar
Citat:
Hur "säkert" är det at posta på Flachback ?

Jag vet att ni anvndr. https, men kan användr. lätt identefieras av utenförståande ?

Det är gnska. skrt. at. post. på flshbk. frm.
2010-04-20, 18:44
  #3
Medlem
Maye faires avatar
https dvs ssl det ska vra gnsk. säkrt.. msslr äggvsp

datersäkorhet <3
2010-04-20, 18:57
  #4
Medlem
Morgonrodnads avatar
Med tillräckligt mycket trafikdata i kombination med att du inte valt "surfa osynligt" borde det inte vara särskilt svårt.
2010-04-20, 19:26
  #5
Medlem
Citat:
Ursprungligen postat av Morgonrodnad
Med tillräckligt mycket trafikdata i kombination med att du inte valt "surfa osynligt" borde det inte vara särskilt svårt.

HTTP-Tunnel (surfa osynligt) + Https = Borde väl vara OK
2010-04-21, 00:15
  #6
Avstängd
Går genom flashbacks egna VPN, eller anonine (beroende på vilken datorn väljer), flashback kommer ALDRIG att ge ut någon information bakom en användare, det är liksom hela grejen. Men för dig själv så är VPN säkrast, med en VPN-tunnel ser inte din ISP vad du gör. (och nej du kan inte portscanna eller ddosa från dig med VPN, det förstår dom (ja, det finns idioter som provar))
2010-04-21, 01:52
  #7
Medlem
Citat:
Ursprungligen postat av Dr.ErikH
Hur "säkert" är det at posta på Flachback ?

Jag vet att ni anvndr. https, men kan användr. lätt identefieras av utenförståande ?

vd rlg frkrtnngr d nvndr...
2010-04-21, 18:27
  #8
Medlem
det talas ju en del om säkerheten på FB, https och allt det där.

jag läste häromdagen om följande grunka: "Law enforcement appliance subverts SSL"

http://gizmodo.com/5501346/law-enfor...+%28Gizmodo%29

kan någon förklara för mig vad det där är för nåt och varför "law enforcement" ska behöva kunna omvandla SSL, o.s.v? tydligen något säkerhetsföretag som heter "Packet forensic" som har tagit fram den, man kan inte ens läsa om alla deras produkter på hemsidan utan får kontakta dem: http://www.packetforensics.com/products.safe
2010-04-21, 20:22
  #9
Medlem
Citat:
Ursprungligen postat av al-hemar
det talas ju en del om säkerheten på FB, https och allt det där.

jag läste häromdagen om följande grunka: "Law enforcement appliance subverts SSL"

http://gizmodo.com/5501346/law-enfor...+%28Gizmodo%29

kan någon förklara för mig vad det där är för nåt och varför "law enforcement" ska behöva kunna omvandla SSL, o.s.v? tydligen något säkerhetsföretag som heter "Packet forensic" som har tagit fram den, man kan inte ens läsa om alla deras produkter på hemsidan utan får kontakta dem: http://www.packetforensics.com/products.safe
Det som det hela handlar om är just avlyssning. De lyssnar av all din trafik som skickas osv.
Men vid HTTPS skickas trafiken krypterad mellan dig och servern du besöker. Det jag just skriver skickas krypterat till Flashbacks server och någon som avlyssnar vad jag skriver ser aldrig det.

Det som myndigheter vill göra är att kunna avlyssna krypterad (ssl) trafik också, det går att göras om de "byter ut" certifikatet du förväntat dig med ett de själva har eller har ett signerat som ej ger en varning. Om du besöker en hemsida som laddar HTTP:// data så kommer Firefox inte anse sidan som säker. Men om en hemsida BARA laddar HTTPS:// data (tex bilder osv) anses den säker och krypterad. Igenom riktlinjerna för SSL så ska inga andra kunna läsa informationen under SSL utan den ska gå direkt till servern. Med avlyssningen dom kör idag märker du aldrig av det på HTTP:// sidor men om dom är efterblivna (vilket de inte är) så kan man märka av det. Men oftast avlyssnar dom trafiken du skickar igenom din internetleverantör som ger myndigheten tillgång till all trafik du skickar till dem. Dom analyserar det då och kan därav "se" vad du gör. De kan inte se vad du gör på en HTTPS:// anslutning dock (om inte krypterings nycklarna är otroligt låga eller md5.. vilket ej stöds längre egentligen..). Flashback i fråga använder sig utav den starkaste krypteringsformen ute just nu, Camellia 256-bit. Men det kommer hela tiden nya som Hellfire finns även WHIRLPOOL, Skein (nya SHA-3 standarden) och SHA-512/384. Oftast krypteras allt som SHA-1 hasher och skickas till servern, servern håller i en nyckel som din webbläsare och servern har kommit överens om och servern kan därav läsa av datan du skickar medans andra som ej har nyckeln kan inte läsa din data. Det funkar även så tillbaka när du får svaret av servern. Av intresse kan vara att NSA (National Security Agency) har skapat SHA-krypterings formen, och därav borde de veta rätt mycket om den.

Du kan även läsa om ett förslag på att myndigheter förfalskar SSL certifikat för att kunna läsa av;
http://www.eff.org/deeplinks/2010/03...ments-fake-ssl
Därav göra en man-in-the-middle attack och få all information du skickar Det finns också mängder med verktyg för att försöka avlyssna SSL eller hitta sårbarheter. De tänker jag inte ta upp här.

Men att myndigheter skulle kunna spåra dig är möjligt, om Flashback gav ut din IP skulle de veta vem du var direkt, eller om du länkar till t.ex dina egna hemsidor. Men igenom att vara "anonym" på flashback, posta över SSL (HTTPS) och inte outa dig själv klassas som säkert. Du kan ju ställa dig frågan; Hur säker är jag när jag betalar med mitt VISA? Det är mycket farligare att använda sitt VISA än att använda Flashback. VISA bygger också på kryptering, därav brukar korten "skimmas" via fakade paneler, avläsare osv så de får din kod. Ungefär samma sätt fungerar HTTPS här, de måste få tag på din "kod(nyckel)" för att kunna läsa av sessionen. Hoppas du har fått lite ljus i det hela, det är relativt enkelt skrivet och mycket "generelt", man kan gå mycket djupare. Att tillägga är: Så länge de som avlyssnar dig har ett signerat certifikat av en "betrodd" utgivare, kommer du aldrig märka av dom såvida du inte är expert på wireshark eller har stenkoll på din utgående trafik. Men det är överkurs och just du har inget att oroa dig för

Ha de gött!
__________________
Senast redigerad av ponki 2010-04-21 kl. 20:35.
2010-09-07, 15:04
  #10
Medlem
Wickermans avatar
Kan arbetsgivaren se vad jag gör på Flashback när det går via https, eller ser han bara att jag är på flashback och sedan är resten krypterat? Finns en respektabel IT-avdelning här skall tilläggas.

Sparas något som går via https i cachar eller liknande?
2010-09-11, 21:32
  #11
Medlem
Wickermans avatar
Funderar fortfarande på detta, tyckte det var onödigt att starta ny tråd så om någon kunnig människa kan hjälpa vore jag tacksam. (Se posten ovan)
2010-09-11, 23:49
  #12
Medlem
Callmebabas avatar
Jo dt é säkrt att posta på flashbac.
  • 1
  • 2

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback