Re: [vpsFree.cz: community-list] SSH - key fingerprints

Jasne no, ve finale je to docela usmevne, ale mozna bych mohl napsat, jak jsem vlastne k dotazu dosel. Zacal jsem nedavno cist VPN Illustrated, protoze ted delam v praci VPNku. Samozrejme jsem se prokousal nejakym tim uvodem pres PPP, PPTP, L2PT and stuff, kde jsem zjistil, ze situace je vlastne dost hrozna. Prakticky nic neni bezpecne tak, jak technologie puvodne zamyslely a zarucovaly. A z velke casti je to lemplovstvim bud v implementaci nebo nastaveni. No a kdyz jsem byl plny takovychto temnych myslenek a znechuceni, tak jsem si vzpomnel na to, jak jsem JA SAM potvrdil ty fingerprints na vpsFree. A najednou jsem psal email do mailing listu :D On Nov 29, 2012, at 2:44 PM, Pavel Snajdr wrote: On 11/29/2012 02:11 PM, Tomas Volf wrote: Mas pravdu Tomasi. Zbytecne si to beru moc osobne :) Na druhou stranu, to je u mne normalni. Ja se strasne nerad pretvaruju a mam za to, ze ani na mailing listech bych se nemel vydavat za nekoho, kdo nejsem - nerad pisu strojeny a oficialni odpovedi a vyjadreni k "problemu". Kdo mne trochu zna, vi, ze umim veci brat vazne, ale zaroven si z nich dost casto delam srandu. Proste to jsem ja a menit to nehodlam - komu se nelibi, nemusi se mnou komunikovat. Jenom si nekdy neuvedomuju, ze podstatny prvky komunikace, jako napr. vyraz ve tvari a intonace se v mailech ztraci - z nich je poznat, jak to kdy myslim. Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi docela normalni jev. Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny, utocnik by musel: 1. vedet, ze si clovek u nas udelal novy VPS 2. zachytit jeho IP adresu 3. nekde na trase mezi nasim rackem a obeti premostit veskerou konektivitu mezi temi body Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho delam srandu? Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci se vubec necim takovym zabyvat, je uz sama o sobe ohromne pravdepodobna. Za druhy, vetsina trasy je vcelku secure z pohledu, ze utocnik by musel mit opravdu velkou motivaci, aby se do komunikace mohl dostat jeste v datacentru (v nasi siti je to docela challenge udelat, kvuli tomu, jak funguje OpenVZ a routing nad nim), nebo nekde na trase (pristup k tem uzlum nema kdekdo a kdo ho ma, riskoval by vetsinou docela krute smluvni pokuty a navic trestni stihani). Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny wifi site - ale jestli se na VPS obet pripojuje odtamtud, tak to si myslim, ze moznost podvrzeni SSH klice je posledni, co je jeji problem. Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem jeste vubec nic neni? To by ta motivace utocnika musela bejt vylozene hodne vysoka vuci konkretni osobe obeti, ktera si myslim, ze by asi o takovym riziku vedela - pak by ale napr. Ondra nezacinal mail ve smyslu "asi jsem hodne paranoidni, ale...", nybrz by psal "potreboval bych, abychom meli..." Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle riziko berou vazne? Seriozne? :)))) Lezim na zemi. Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale nahravame falesnymu pocitu, ze je clovek u nas opravdu 100% secure. Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny, ze 100% bezpecnost se s ni zarucit neda. Pro nase pouziti bych to nazval jako "secure-enough", tedy dostatecne bezpecne, abychom si nelezli navzajem do zeli a mohli povazovat svoje data jako ulozena v bezpeci. Nad timhle vsim jsem stravil dlouhe hodiny premejsleni, nez jsme vpsfree vubec realizovali - a bude to OpenVZ dostatecne bezpecne? Na co bychom si meli dat bacha, abychom zustali dostatecne secure? A vubec, co je v nasem kontextu "dostatecne secure"? Jaka data tam budou lidi mit a jak moc potrebujeme investovat do bezpecnosti? Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na schuzi a uvidite. Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi. Mno, naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze sebe nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz transparentnost, tak transparentnost :) A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho nechci delat idiota na verejnosti. Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety fracek. Mysli si, ze mam bezpecnost u zadnice. No co, pobavili jsme se, cas se vratit k praci a delat neco uzitecnyho. S uctenym pozdravem poklonu posila Pavel Snajdr _______________________________________________ Community-list mailing list Community-list(a)lists.vpsfree.cz -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAlC3a6MACgkQdh+64ds5DabvLAD/Qn5BYkoyP9JpqnVZ6DnA550K jdWU4WQJ6mt9MBfJab8BAJIuD0BrpdcGtG1S6nwoExHKGBU2QDathS9V6tWAQ9/B =mgCq -----END PGP SIGNATURE-----