zeby nie bylo, ze tylko aliorowi admini maja problemy z certyfikatami ssl,
to teraz do ogrodka dorzucamy citi :>

http://imgbin.org/index.php?page=image&id=852

On 19 Paź, 10:31, Paweł <r...@127.0.0.1> wrote:

zeby nie bylo, ze tylko aliorowi admini maja problemy z certyfikatami ssl,
to teraz do ogrodka dorzucamy citi :>

http://imgbin.org/index.php?page=image&id=852

Ale o co chodzi?

http://imgbin.org/index.php?page=image&id=853

Tomek z Wawy wrote:

On 19 Paź, 10:31, Paweł <r...@127.0.0.1> wrote:

zeby nie bylo, ze tylko aliorowi admini maja problemy z certyfikatami
ssl, to teraz do ogrodka dorzucamy citi :>

http://imgbin.org/index.php?page=image&id=852

Ale o co chodzi?

http://imgbin.org/index.php?page=image&id=853

wejscie na 'https://online.citibank.pl' rzuca bledem,
na 'https://www.online.citibank.pl' jest ok.

Paweł pisze:

wejscie na 'https://online.citibank.pl' rzuca bledem,
na 'https://www.online.citibank.pl' jest ok.

No i? To normalne przeciez.

spammtrapp wrote:

Paweł pisze:

wejscie na 'https://online.citibank.pl' rzuca bledem,
na 'https://www.online.citibank.pl' jest ok.

No i? To normalne przeciez.

normalne?

przykladowo w eurobanku nie wejdziesz na strone www.online...
tylko na samo online i zamieszania nie ma. skoro w citi
mozna wejsc przez oba adresy, to powinni miec certyfikaty
dla obu, albo zablokowac online bez wuwy.

Paweł pisze:

normalne?

przykladowo w eurobanku nie wejdziesz na strone www.online...
tylko na samo online i zamieszania nie ma. skoro w citi
mozna wejsc przez oba adresy, to powinni miec certyfikaty
dla obu, albo zablokowac online bez wuwy.

Normalne, certyfikat został wystawiony dla adresu z www i dla adresu bez www zgłasza bład certyfikatu. Chcesz wlazic - rob to na swoje zyczenie.


Ale ja nie szukam problemĂłw tam gdzie ich nie ma.

spammtrapp wrote:

Paweł pisze:

normalne?

przykladowo w eurobanku nie wejdziesz na strone www.online...
tylko na samo online i zamieszania nie ma. skoro w citi
mozna wejsc przez oba adresy, to powinni miec certyfikaty
dla obu, albo zablokowac online bez wuwy.

Normalne, certyfikat został wystawiony dla adresu z www i dla adresu bez www zgłasza bład certyfikatu. Chcesz wlazic - rob to na swoje zyczenie.

Normalnym jest, ze jeden certyfikat wystawia sie dla adresow:

- www.domena.tld, oraz:
- domena.tld

Wlasnie zeby nietechniczny klient nie mial tego typu zagwostek.


--
Tomasz Chmielewski
http://wpkg.org

Tomasz Chmielewski wrote:

Normalnym jest, ze jeden certyfikat wystawia sie dla adresow:

- www.domena.tld, oraz:
- domena.tld

Wlasnie zeby nietechniczny klient nie mial tego typu zagwostek.

tylko co poradzisz temu nietechnicznemu klientowi jak mu przegladarka
nie obsluzy certyfikatu wildcardowego?

nie mowiac juz o bezpieczenstwie, bo utrata klucza bedzie oznaczac
problem dla wszystkich subdomen

MarcinF wrote:

Tomasz Chmielewski wrote:

Normalnym jest, ze jeden certyfikat wystawia sie dla adresow:

- www.domena.tld, oraz:
- domena.tld

Wlasnie zeby nietechniczny klient nie mial tego typu zagwostek.

tylko co poradzisz temu nietechnicznemu klientowi jak mu przegladarka
nie obsluzy certyfikatu wildcardowego?

Z ciekawosci, jaka to przegladarka nie obsluguje tego typu certyfikatow?
Mosaic? Jakas tekstowa sprzed 15 lat?

nie mowiac juz o bezpieczenstwie, bo utrata klucza bedzie oznaczac
problem dla wszystkich subdomen

Wiesz, jak ktos uzywa przegladarke sprzed 15 lat, ktora nie potrafi sobie poradzic z tego typu certyfikatami, to trudno tu dyskutowac o utracie klucza przez administratora domeny.

Poza tym, nie mowilem o certyfikacie dla wszystkich domen (wildcard SSL certificate - *.domena.tld - sa piekielnie drogie, i maja wiele wad, m.in. ta, o ktorej wspominasz), tylko o certyfikacie dla _dwoch_ domen: https://www.domena.tld i http://domena.tld.


--
Tomasz Chmielewski
http://wpkg.org

Krzysztof Halasa pisze:

MattS <MattS@ms.ms> writes:

https://www.mbank.pl przedstawia się certyfikatem wystawionym na
www.mbank.com.pl.

Powinni zrobic normalne przekierowanie HTTP (bez HTTPS, bo i po co),
zamiast tego:

$ host www.mbank.pl
www.mbank.pl has address 193.41.230.81
$ host www.mbank.com.pl
www.mbank.com.pl has address 193.41.230.81

W przypadku citibanku to powaĹźniejszy problem.
https://online.citibank.pl przedstawia się certyfikatem wystawionym
dla *.test.edgekey.net

Akamai. Dziwna sprawa - Akamai ma im robic "online"?

zdarza się i tak, tylko trzeba bardzo uważać przy developmencie i konfiguracji bo content dla danej sesji potrafi się zakeszować i serwuje potem wszystkim to samo ;)

Ra <aa@aa.com> writes:

Akamai. Dziwna sprawa - Akamai ma im robic "online"?

zdarza się i tak, tylko trzeba bardzo uważać przy developmencie i
konfiguracji bo content dla danej sesji potrafi się zakeszować i
serwuje potem wszystkim to samo ;)

Tu nie chodzi o to, co sie zdaza, a co sie nie zdaza, tylko o to, komu
klient podaje m.in. haslo itd. sluzace do dostepu do banku.
--
Krzysztof Halasa

Krzysztof Halasa pisze:

Ra <aa@aa.com> writes:

Akamai. Dziwna sprawa - Akamai ma im robic "online"?

zdarza się i tak, tylko trzeba bardzo uważać przy developmencie i
konfiguracji bo content dla danej sesji potrafi się zakeszować i
serwuje potem wszystkim to samo ;)

Tu nie chodzi o to, co sie zdaza, a co sie nie zdaza, tylko o to, komu
klient podaje m.in. haslo itd. sluzace do dostepu do banku.

zdarza się w znaczeniu "nie jest dziwne czy niespotykane że akamai ma im robić online"

Ra <aa@aa.com> writes:

zdarza się w znaczeniu "nie jest dziwne czy niespotykane że akamai ma
im robić online"

Trudno mi sie z tym zgodzic. Ale nic to.
--
Krzysztof Halasa

Krzysztof Halasa pisze:

Ra <aa@aa.com> writes:

zdarza się w znaczeniu "nie jest dziwne czy niespotykane że akamai ma
im robić online"

Trudno mi sie z tym zgodzic. Ale nic to.

chodzi tylko i wyłącznie o szybkość łączy szcz gdy serwery i klienci są na różnych kontynentach
tu jest przykład trochę z innego podwórka ale za to w ramach tego samego kraju http://www.joelonsoftware.com/items/2009/02/05.html

Ra <aa@aa.com> writes:

chodzi tylko i wyłącznie o szybkość łączy szcz gdy serwery i klienci
są na różnych kontynentach
tu jest przykład trochę z innego podwórka ale za to w ramach tego
samego kraju http://www.joelonsoftware.com/items/2009/02/05.html

Co to ma wspolnego z bankowoscia internetowa i np. z odpowiedzialnoscia
za naprawde spore pieniadze?
--
Krzysztof Halasa

MattS <MattS@ms.ms> had the courage to write:

spammtrapp wrote:

Paweł pisze:

normalne?

przykladowo w eurobanku nie wejdziesz na strone www.online...
tylko na samo online i zamieszania nie ma. skoro w citi
mozna wejsc przez oba adresy, to powinni miec certyfikaty
dla obu, albo zablokowac online bez wuwy.

Normalne, certyfikat został wystawiony dla adresu z www i dla adresu bez www zgłasza bład certyfikatu. Chcesz wlazic - rob to na swoje zyczenie.


Ale ja nie szukam problemów tam gdzie ich nie ma.

https://www.mbank.pl przedstawia się certyfikatem wystawionym na www.mbank.com.pl. To jest niechlujstwo pracowników banku. Jeśli BRE Bank jest w tak kiepskiej sytuacji, że "oszczędza" kilkaset złotych rocznie na drugi certyfikat, to niech chociaż nie pokazują, że nie potrafią utrzymać porządku ze swoimi stronami.

To nawet nie jest kwestia pieniędzy, wystarczyłoby zwykłe przekierowanie domeny (web redirect, albo nawet używając rekordów CNAME). To się nazywa niechlujstwo i/lub niekompetencja (niepotrzebne skreślić).

W przypadku citibanku to poważniejszy problem.
https://online.citibank.pl przedstawia się certyfikatem wystawionym dla *.test.edgekey.net

Gorzej: W szczegółach certyfikatu jako miejscowość podaje "London", a jako kraj "PL". (P.S. Co na to premier Wlk Brytanii?)

Wygląda to jak podręcznikowy przykład podstawienia lewej, fałszywej strony. Jeśli citibank zrobił aż taką pomyłkę, to bardzo źle o nich świadczy. Równie dobrze może się okazać, że przez pomyłkę dane klientów i ich kart wcale nie są dobrze zabezpieczone a w efekcie ileś tysięcy ich klientów starci czas i mnóstwo nerwów na wysyłanie reklamacji i udowadanianie, że nie są wielbłądami.

Och, kiedyś przez wiele lat ich wyciągi online wysyłane na email otwierało się standardowym hasłem "Citibank"...

k.

"kashmiri" <xkashmirix@gmail.com> writes:

https://www.mbank.pl przedstawia się certyfikatem wystawionym na
www.mbank.com.pl.

To nawet nie jest kwestia pieniędzy, wystarczyłoby zwykłe
przekierowanie domeny (web redirect, albo nawet używając rekordów
CNAME).

Nic z tych rzeczy, to nie wystarczy przy HTTPS (ani innym xxxxS).

Zastanow sie, jak to by moglo sensownie dzialac, jesli wystarczyloby
podstawic serwer (bez wlasciwego certyfikatu) i np. przekierowac gdzies?
--
Krzysztof Halasa

Krzysztof Halasa <khc@pm.waw.pl> had the courage to write:

"kashmiri" <xkashmirix@gmail.com> writes:

https://www.mbank.pl przedstawia się certyfikatem wystawionym na
www.mbank.com.pl.

To nawet nie jest kwestia pieniędzy, wystarczyłoby zwykłe
przekierowanie domeny (web redirect, albo nawet używając rekordów
CNAME).

Nic z tych rzeczy, to nie wystarczy przy HTTPS (ani innym xxxxS).

Zastanow sie, jak to by moglo sensownie dzialac, jesli wystarczyloby
podstawic serwer (bez wlasciwego certyfikatu) i np. przekierowac gdzies?

Ot tak:

http://www.mbank.pl ->> przekierowanie: http://www.mbank.com.pl -- >włączenie HTTPS: https://www.mbank.com.pl

Nie zadziała?

kashmiri wrote:

http://www.mbank.pl ->> przekierowanie: http://www.mbank.com.pl -- >włączenie HTTPS: https://www.mbank.com.pl

Nie zadziała?

co to jest "włączenie https"?

"kashmiri" <xkashmirix@gmail.com> writes:

Ot tak:

http://www.mbank.pl ->> przekierowanie: http://www.mbank.com.pl
-- >włączenie HTTPS: https://www.mbank.com.pl

Nie zadziała?

Oczywiscie zadziala, ale nie wtedy, gdy ktos wpisze sobie
https://www.mbank.pl.

Tyle ze nie ma powodu by to wpisywal, wiec ja bym zrobil "connection
refused" i po klopocie.
--
Krzysztof Halasa

Krzysztof Halasa wrote:

"kashmiri" <xkashmirix@gmail.com> writes:

Ot tak:

http://www.mbank.pl ->> przekierowanie: http://www.mbank.com.pl
-- >włączenie HTTPS: https://www.mbank.com.pl

Nie zadziała?

Oczywiscie zadziala, ale nie wtedy, gdy ktos wpisze sobie
https://www.mbank.pl.

Tyle ze nie ma powodu by to wpisywal, wiec ja bym zrobil "connection
refused" i po klopocie.

Typowo bardziej sie oplaci kupic dodatkowy certyfikat i przekierowac https://www.mbank.pl -> https://www.mbank.com.pl, niz odpowiadac byc moze tysiacom ludzi w roku na "nie dziala mBank / nie dzialal mBank, wiec musialem wykonac operacje przez telefon, prosze o zwrot kosztow".


--
Tomasz Chmielewski
http://wpkg.org

Użytkownik "Paweł" <root@127.0.0.1> napisał w wiadomości news:hbhae0$2kq$1nemesis.news.neostrada.pl...

przykladowo w eurobanku nie wejdziesz na strone www.online...
tylko na samo online i zamieszania nie ma. skoro w citi
mozna wejsc przez oba adresy, to powinni miec certyfikaty
dla obu, albo zablokowac online bez wuwy.

Kurcze.... https://www.mbank.pl tez blad.... To musi byc jakas grubsza afera ;).

MK

Paweł wrote:

spammtrapp wrote:

Paweł pisze:

wejscie na 'https://online.citibank.pl' rzuca bledem,
na 'https://www.online.citibank.pl' jest ok.

No i? To normalne przeciez.

normalne?

przykladowo w eurobanku nie wejdziesz na strone www.online...
tylko na samo online i zamieszania nie ma.

dorzuce jeszcze dwa banki.

alior: https://aliorbank.pl - ok, z "www." - err.
db: https://ebank.db-pbc.pl - ok, z "www." - err.

tu przynajmniej mamy spojnosc :)

On 2009-10-19, Koteczek <nie@spamowac.org> wrote:

[...]

lamerzy na posadkach. Jesli nie ma przekierowania np przez modrewrite na jeden i staly adres logowania,

A mnie się jednak wydaje, że mod_rewrite działa _po_ weryfikacji połączenia, a nie przed, bo najpierw się trzeba połączyć, a potem owy request przetwarzać
i kierować w odpowiednie miejsce.

a linki na ich stronach sa do obu adresow to certyfikat powinien byc tak zwany z gwiazdka czyli *.citibank.pl - sa takie.

A są linki na ich stronach do obu adresów?

--
Wojciech Bańcer
proteus@post.pl

Użytkownik "Wojciech Bancer" <proteus@post.pl> napisał w wiadomości news:slrnhdp1p5.75m.proteuspl-test.org...

On 2009-10-19, Koteczek <nie@spamowac.org> wrote:
[...]

lamerzy na posadkach. Jesli nie ma przekierowania np przez modrewrite
na jeden  i staly adres logowania,

A mnie się jednak wydaje, że mod_rewrite działa _po_ weryfikacji
połączenia,  a nie przed, bo najpierw się trzeba połączyć, a potem owy
request przetwarzać i kierować w odpowiednie miejsce.

    W zasadzie i tak i nie. Co prawda https jest warstwę wyżej od http i można domniemać, że dopiero po
wymianie kluczy następuje przetworzenie żądania http, a więc i ewentualne wykonanie rewrite, ale z drugiej strony nie powoduje to niemożliwości ustawienia przekierowania na właściwy adres jako choćby zwyczajny nagłówek http.

On 2009-10-20, Marcin Wasilewski <jakis@adres.pewnie.je.st> wrote:

[...]

A mnie się jednak wydaje, że mod_rewrite działa _po_ weryfikacji
połączenia,  a nie przed, bo najpierw się trzeba połączyć, a potem owy
request przetwarzać i kierować w odpowiednie miejsce.

    W zasadzie i tak i nie. Co prawda https jest warstwę wyżej od http i można domniemać, że dopiero po wymianie kluczy następuje przetworzenie żądania http, a więc i ewentualne wykonanie rewrite, ale z drugiej strony nie powoduje to niemożliwości ustawienia przekierowania na właściwy adres jako choćby zwyczajny nagłówek http.

Oczywiście. Ale to będzie wyglądać tak:
1. wchodzę na https://example.com/
2. Dostaję info, że cert jest niewłaściwy
3. Jeśli akceptuję
  - Przekierowuje mnie na właściwy adres
4. Jeśli nie, to przeglądarka blokuje jakiekolwiek dalsze przetwarzanie.

IMHO nie uda się ominąć 2.

--
Wojciech Bańcer
proteus@post.pl

Wojciech Bancer <proteus@post.pl> writes:

Oczywiście. Ale to będzie wyglądać tak:
1. wchodzę na https://example.com/
2. Dostaję info, że cert jest niewłaściwy
3. Jeśli akceptuję
  - Przekierowuje mnie na właściwy adres
4. Jeśli nie, to przeglądarka blokuje jakiekolwiek dalsze przetwarzanie.

IMHO nie uda się ominąć 2.

Jasne ze nie. Nie ma co sie bawic w rozdwajanie jazni, trzeba raz a
dobrze zrobic normalny serwis pod "kanonicznym" adresem, i po klopocie.
--
Krzysztof Halasa

Dnia Wed, 21 Oct 2009 00:23:16 +0200, Krzysztof Halasa napisał(a):

Jasne ze nie. Nie ma co sie bawic w rozdwajanie jazni, trzeba raz a
dobrze zrobic normalny serwis pod "kanonicznym" adresem, i po klopocie.

Tutaj chyba banki wychodzą z prostego założenia. Na stronie głównej zazwyczaj jest link do logowanie się do "bankowości internetowej" i tylko ten link obowiązuje. A że ktoś sobie wpisuje inaczej to już chyba raczej jego problem. Dajmy na to jeżeli Alior zrobi alior.pl i www.alior.pl to zaraz ktoś powie, że mu lepiej pasuje alior.com.pl, alior.net etc etc. IMO lepsza jest jednak jedna wersja z adresem, zarówno dla banku (oszczędność) jak i klienta (łatwiej zapamiętać).

--
xbartx

xbartx wrote:

Dnia Wed, 21 Oct 2009 00:23:16 +0200, Krzysztof Halasa napisał(a):

Jasne ze nie. Nie ma co sie bawic w rozdwajanie jazni, trzeba raz a
dobrze zrobic normalny serwis pod "kanonicznym" adresem, i po klopocie.

Tutaj chyba banki wychodzą z prostego założenia. Na stronie głównej zazwyczaj jest link do logowanie się do "bankowości internetowej" i tylko ten link obowiązuje. A że ktoś sobie wpisuje inaczej to już chyba raczej jego problem. Dajmy na to jeżeli Alior zrobi alior.pl i www.alior.pl to zaraz ktoś powie, że mu lepiej pasuje alior.com.pl, alior.net etc etc. IMO lepsza jest jednak jedna wersja z adresem, zarówno dla banku (oszczędność) jak i klienta (łatwiej zapamiętać).

Mimo wszystko www.domena.tld i domena.tld to dla wiekszosci uzytkownikow synonimy, i taka instytucja jak bank powinna zdawac sobie z tego sprawe.


--
Tomasz Chmielewski
http://wpkg.org

Dnia Wed, 21 Oct 2009 14:50:32 +0200, Tomasz Chmielewski napisał(a):

Mimo wszystko www.domena.tld i domena.tld to dla wiekszosci uzytkownikow
synonimy, i taka instytucja jak bank powinna zdawac sobie z tego sprawe.

Raczysz chyba żartować? Dla większości użytkowników to każda strona to www. i koniec, nie ma innej opcji. Poza tym tak jak pisałem wchodzisz na oficjalną stronę banku i tam jest link do logowania (zazwyczaj jeden), który masz w regulaminie, który na pewno przeczytałeś przed podpisaniem ;)

--
xbartx

xbartx <bart@hashzero.net> writes:

Tutaj chyba banki wychodzą z prostego założenia. Na stronie głównej zazwyczaj jest link do logowanie się do "bankowości internetowej" i tylko ten link obowiązuje. A że ktoś sobie wpisuje inaczej to już chyba raczej jego problem.

Tak by bylo dobrze, tyle ze tak nie jest: serwery maja po kilka nazw
i stad te efekty, bo "dzialac" (z HTTPS) moze tylko jedna (z takim
certyfikatem).

Jakby bylo tak jak piszesz, to proba wpisania jakiegos
https://www.mbank.pl itp. konczylaby sie komunikatem "host not found"
albo innym "connection refused" (jesli ma dzialac http://...), a nie
zadnymi bajkami o zlych certyfikatach, ani tym bardziej nie odpowiedzia
od Akamai.
--
Krzysztof Halasa

(20.10.2009 21:55), Wojciech Bancer wrote:

On 2009-10-20, Marcin Wasilewski <jakis@adres.pewnie.je.st> wrote:

[...]

A mnie się jednak wydaje, że mod_rewrite działa _po_ weryfikacji
połączenia,  a nie przed, bo najpierw się trzeba połączyć, a potem owy
request przetwarzać i kierować w odpowiednie miejsce.

    W zasadzie i tak i nie. Co prawda https jest warstwę wyżej od http i można domniemać, że dopiero po wymianie kluczy następuje przetworzenie żądania http, a więc i ewentualne wykonanie rewrite, ale z drugiej strony nie powoduje to niemożliwości ustawienia przekierowania na właściwy adres jako choćby zwyczajny nagłówek http.

Oczywiście. Ale to będzie wyglądać tak:
1. wchodzę na https://example.com/
2. Dostaję info, że cert jest niewłaściwy
3. Jeśli akceptuję
  - Przekierowuje mnie na właściwy adres
4. Jeśli nie, to przeglądarka blokuje jakiekolwiek dalsze przetwarzanie.

IMHO nie uda się ominąć 2.

Da się, jeżeli example.com i www.example.com będą stały na różnych ip,
każdy z odpowiednim certyfikatem.

Albo jak już ktoś wspomniał - certyfikat na domenę "www" i "bez-www".
Najtańsze certyfikaty na godaddy mają taką właściwość.

p. m.

On 2009-10-24, mvoicem <mvoicem@gmail.com> wrote:

[...]

Oczywiście. Ale to będzie wyglądać tak:
1. wchodzę na https://example.com/
2. Dostaję info, że cert jest niewłaściwy
3. Jeśli akceptuję
  - Przekierowuje mnie na właściwy adres
4. Jeśli nie, to przeglądarka blokuje jakiekolwiek dalsze przetwarzanie.

IMHO nie uda się ominąć 2.

Da się, jeżeli example.com i www.example.com będą stały na różnych ip,
każdy z odpowiednim certyfikatem.

No skoro "każdy z odpowiednim certyfikatem", to oczywiste, że pkt. 2 nie wystąpi. Zauważ, że wcześniej padały rady jak to zrobić by nie
kupować 2 certów.

Albo jak już ktoś wspomniał - certyfikat na domenę "www" i "bez-www".
Najtańsze certyfikaty na godaddy mają taką właściwość.

Już widzę jak banki kupują certyfikaty od godaddy :)

--
Wojciech Bańcer
proteus@post.pl

W dniu 2009.10.19 14:07, Koteczek pisze:

to certyfikat powinien byc tak zwany z gwiazdka czyli *.citibank.pl - sa
takie.

Są, ale:
1. nie są zalecane
2. nie każdy program je obsługuje (być może ze względu na 1.)


--
Mar