[vpsFree.cz: community-list] SSH - key fingerprints

Pavel Snajdr snajpa at snajpa.net
Thu Nov 29 14:44:42 CET 2012


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

On 11/29/2012 02:11 PM, Tomas Volf wrote:
>> 
>> Z toho, že předseda vpsfree do mailové konference píše jako 
>> patnáctiletý fracek? Ano, to se mi nelíbí. Tady už chybí jenom 
>> narážka na "ur mum"
>> 
> 
> No, mozna bysme tu "debatu" (jestli se to tak fakt da nazvat)
> mohli trosku zklidnit ne? :)


Mas pravdu Tomasi.

Zbytecne si to beru moc osobne :)
Na druhou stranu, to je u mne normalni. Ja se strasne nerad pretvaruju
a mam za to, ze ani na mailing listech bych se nemel vydavat za
nekoho, kdo nejsem - nerad pisu strojeny a oficialni odpovedi a
vyjadreni k "problemu". Kdo mne trochu zna, vi, ze umim veci brat
vazne, ale zaroven si z nich dost casto delam srandu. Proste to jsem
ja a menit to nehodlam - komu se nelibi, nemusi se mnou komunikovat.
Jenom si nekdy neuvedomuju, ze podstatny prvky komunikace, jako napr.
vyraz ve tvari a intonace se v mailech ztraci - z nich je poznat, jak
to kdy myslim.

Ze diskuze okolo bezpecnostni vyvolava emoce, to je koukam asi docela
normalni jev.

Muj pohled na vec je takovej, ze aby riziko MITM utoku bylo realny,
utocnik by musel:

1. vedet, ze si clovek u nas udelal novy VPS
2. zachytit jeho IP adresu
3. nekde na trase mezi nasim rackem a obeti premostit veskerou
konektivitu mezi temi body

Proc si myslim, ze je cela tahle diskuze blbost a proc si z toho delam
srandu?

Za prvy, situace, ze by pripadny utocnik mel dost vysokou motivaci se
vubec necim takovym zabyvat, je uz sama o sobe ohromne pravdepodobna.
Za druhy, vetsina trasy je vcelku secure z pohledu, ze utocnik by
musel mit opravdu velkou motivaci, aby se do komunikace mohl dostat
jeste v datacentru (v nasi siti je to docela challenge udelat, kvuli
tomu, jak funguje OpenVZ a routing nad nim), nebo nekde na trase
(pristup k tem uzlum nema kdekdo a kdo ho ma, riskoval by vetsinou
docela krute smluvni pokuty a navic trestni stihani).
Nejvetsi ohrozeni jsou tak ruzny nezabezpeceny wifi site - ale jestli
se na VPS obet pripojuje odtamtud, tak to si myslim, ze moznost
podvrzeni SSH klice je posledni, co je jeji problem.
Za treti, kdo ma vubec duvod navazet se do komunikace VPS, na kterem
jeste vubec nic neni? To by ta motivace utocnika musela bejt vylozene
hodne vysoka vuci konkretni osobe obeti, ktera si myslim, ze by asi o
takovym riziku vedela - pak by ale napr. Ondra nezacinal mail ve
smyslu "asi jsem hodne paranoidni, ale...", nybrz by psal "potreboval
bych, abychom meli..."

Kdo se uz pri tomhle nezacne smat, kdyz vidi, jak nekteri tohle riziko
berou vazne? Seriozne? :)))) Lezim na zemi.

Ale dobre, dejme tomu, ze je to nice-to-have feature - pak ale
nahravame falesnymu pocitu, ze je clovek u nas opravdu 100% secure.

Jenze. Kdo vi, co je kontejnerova virtualizace, musi mu bejt jasny, ze
100% bezpecnost se s ni zarucit neda.
Pro nase pouziti bych to nazval jako "secure-enough", tedy dostatecne
bezpecne, abychom si nelezli navzajem do zeli a mohli povazovat svoje
data jako ulozena v bezpeci.
Nad timhle vsim jsem stravil dlouhe hodiny premejsleni, nez jsme
vpsfree vubec realizovali - a bude to OpenVZ dostatecne bezpecne? Na
co bychom si meli dat bacha, abychom zustali dostatecne secure? A
vubec, co je v nasem kontextu "dostatecne secure"? Jaka data tam budou
lidi mit a jak moc potrebujeme investovat do bezpecnosti?

Ze na tuhle fingerprint aferku vlastne mame reseni, mi doslo az v
kontextu toho, co jsem si o tyhle srande psal s Mrkvou. Dojdete na
schuzi a uvidite.

Jo a k transparentnosti, do ktere se chudak urazeny Jirka navazi. Mno,
naivne jsem si myslel, ze to s nim vyresim off-the-list, ze ze sebe
nebudeme navzajem na verejnosti delat idioty. Ale budiz, kdyz
transparentnost, tak transparentnost :)
A ze je to opakovane? Ano, je. Opakovane ze sebe a z toho druheho
nechci delat idiota na verejnosti.

Tak si o mne, Jirko, klidne mysli, ze se chovam jako 15ti lety fracek.
Mysli si, ze mam bezpecnost u zadnice.

No co, pobavili jsme se, cas se vratit k praci a delat neco uzitecnyho.

S uctenym pozdravem poklonu posila

Pavel Snajdr

> 
> 
> 
> 
> _______________________________________________ Community-list
> mailing list Community-list at lists.vpsfree.cz 
> http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAlC3ZscACgkQdh+64ds5DaaQTAD/blH/qMwo5a0RoxSPplGGIsT9
aUX1BBJnLXf2qMs0u14A/0OKjHKwIagPibKRqZbOMkLPgTM5bc5XUTHvXkdrJ5vH
=hIlR
-----END PGP SIGNATURE-----



More information about the Community-list mailing list