banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật ISP có thể biết gì qua một website dùng SSL?  XML
  [Question]   ISP có thể biết gì qua một website dùng SSL? 05/01/2009 19:58:39 (+0700) | #1 | 165220
rejelx
Member

[Minus]    0    [Plus]
Joined: 06/06/2008 13:52:43
Messages: 7
Offline
[Profile] [PM]
Chào mọi người,
Mình có một thắc mắc liên quan đến SSL. Nếu một website dùng SSL để bảo vệ thông tin ra vào của người dùng. Thì liệu thậm chí ISP của người dùng đó có thể nhận biết giữa máy của người dùng và máy chủ đã trao đổi những thông tin gì hay không? Mình nghĩ là không.
Nhưng còn thông tin về những trang mà người dùng truy cập trên website đó thì sao? Liệu ISP có thể nắm được hay không? Hay những gì ISP có thể biết chỉ là địa chỉ trang home của website đó mà thôi?
Cảm ơn đã để mắt và chúc mọi người năm mới vui vẻ.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 05/01/2009 21:00:25 (+0700) | #2 | 165222
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

rejelx wrote:
Chào mọi người,
Mình có một thắc mắc liên quan đến SSL. Nếu một website dùng SSL để bảo vệ thông tin ra vào của người dùng. Thì liệu thậm chí ISP của người dùng đó có thể nhận biết giữa máy của người dùng và máy chủ đã trao đổi những thông tin gì hay không? Mình nghĩ là không.
Nhưng còn thông tin về những trang mà người dùng truy cập trên website đó thì sao? Liệu ISP có thể nắm được hay không? Hay những gì ISP có thể biết chỉ là địa chỉ trang home của website đó mà thôi?
Cảm ơn đã để mắt và chúc mọi người năm mới vui vẻ. 

Tất cả những gì ISP biết được chỉ là referrer của HTTPS page thôi.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 06/01/2009 01:10:08 (+0700) | #3 | 165254
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
hình như các proxy servers của VNN chưa nhận xử lý các gói https, mới chỉ là gói http, và có thể có cả ftp. Tuy nhiên, nếu họ đã quyết định việc này, thì chẳng có khác biệt gì giữa http và https đối với họ.

[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 06/01/2009 07:25:35 (+0700) | #4 | 165299
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]

lQ wrote:
hình như các proxy servers của VNN chưa nhận xử lý các gói https, mới chỉ là gói http, và có thể có cả ftp. Tuy nhiên, nếu họ đã quyết định việc này, thì chẳng có khác biệt gì giữa http và https đối với họ. 

lQ có thể cho biết đoạn màu đỏ là như thế nào? Có phải ý lQ là ISP có thể monitor được traffic sử dụng https mà clients không biết gì? Nếu vậy thì câu trả lời là không.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 06/01/2009 08:19:32 (+0700) | #5 | 165303
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Hiện tại thì tui ko rõ các ISP có còn sử dụng Squid hay không. Và nếu có thì có bật tính năng SSL proxy hay không? Nếu có cả 02 vấn đề này thì, tham khảo FAQ của squid. Trích http://wiki.squid-cache.org/SquidFaq/AboutSquid:


Squid supports SSL, extensive access controls, and full request logging. By using the lightweight Internet Cache Protocol, Squid caches can be arranged in a hierarchy or mesh for additional bandwidth savings.
 
[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 06/01/2009 11:42:38 (+0700) | #6 | 165316
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
Hì, những gì Squid có thể làm là:
- Tạo SSL connection đến server, còn http traffic từ client sẽ bị tunneled qua SSL connection của proxy. Trong trường hợp này client sẽ nhận diện giao thức truy cập là http, và nội dung traffic có thể bị monitored.
- Tạo TCP connection đến server và relay (và có thay IP) toàn bộ traffic giữa client và server. Trong trường hợp này client sẽ nhận diện giao thức truy cập là https, và nội dung traffic không thể bị monitored.

Trong cả 2 trường hợp Squid không thể monitor được SSL connection mà client không biết gì.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 06/01/2009 23:47:22 (+0700) | #7 | 165364
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
StarGhost nói mâu thuẫn rồi. Đọc kỹ lại nhé. Tuy nhiên, Squid giờ khác xưa rồi và có thêm cái này http://wiki.squid-cache.org/Features/SslBump.

PS. Có lẽ lQ dẫn chứng từ http://wiki.squid-cache.org/SquidFaq/AboutSquid là không chính xác đối với chủ đề này.
[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 07/01/2009 00:19:39 (+0700) | #8 | 165375
StarGhost
Elite Member

[Minus]    0    [Plus]
Joined: 29/03/2005 20:34:22
Messages: 662
Location: The Queen
Offline
[Profile] [PM]
Vẫn chưa thấy mâu thuẫn ở chỗ nào. Trong trường hợp thứ nhất hiển nhiên client dùng http nên cái mà proxy monitor được là SSL connection do bản thân nó tạo ra, chứ không phải của client.

Trong trường hợp thứ hai thì client dùng https triệt để và proxy của ISP không thể monitor được gì.

Có lẽ còn thiếu trường hợp thứ 3 như trong link của lQ là proxy sử dụng certificate của chính nó để thiết lập SSL connection với client. Trong trường hợp này client dùng https và Squid có thể monitor traffic, tuy nhiên client chắc chắn sẽ nhận được cảnh báo.

Vậy kết luận: nếu mà ISP của tớ mà monitor được https traffic của tớ là tớ biết ngay.
Mind your thought.
[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 07/01/2009 00:49:47 (+0700) | #9 | 165386
[Avatar]
secmask
Elite Member

[Minus]    0    [Plus]
Joined: 29/10/2004 13:52:24
Messages: 553
Location: graveyard
Offline
[Profile] [PM] [WWW]
có cái này phía dưới cái link bác lQ đưa nè:
By default, most user agents will warn end-users about a possible man-in-the-middle attack.
[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 07/01/2009 00:52:34 (+0700) | #10 | 165389
[Avatar]
lQ
Moderator

Joined: 29/03/2005 17:06:20
Messages: 494
Offline
[Profile] [PM]
Tui nói SG mâu thuẫn vì câu "Trong cả 2 trường hợp Squid không thể monitor được SSL connection mà client không biết gì" ngược với ý trong trường hợp user sử dụng Squid SSL (trường hợp mà SG đề cập đầu tiên): "- Tạo SSL connection đến server, còn http traffic từ client sẽ bị tunneled qua SSL connection của proxy. Trong trường hợp này client sẽ nhận diện giao thức truy cập là http, và nội dung traffic có thể bị monitored.".


Vậy kết luận: nếu mà ISP của tớ mà monitor được https traffic của tớ là tớ biết ngay.
 

đó là kết luận trong trường hợp ISP muốn giở trò smilie. Mà nếu ISP làm việc này và ai đó ko muốn bị theo dõi thì chỉ có nước chuyển sang dùng dịch vụ của ISP chưa làm mà thôi.
[Up] [Print Copy]
  [Question]   Re: ISP có thể biết gì qua một website dùng SSL? 07/01/2009 03:15:54 (+0700) | #11 | 165405
protectHat
Member

[Minus]    0    [Plus]
Joined: 09/08/2008 11:02:35
Messages: 176
Location: DMZ
Offline
[Profile] [PM]

lQ wrote:
Tui nói SG mâu thuẫn vì câu "Trong cả 2 trường hợp Squid không thể monitor được SSL connection mà client không biết gì" ngược với ý trong trường hợp user sử dụng Squid SSL (trường hợp mà SG đề cập đầu tiên): "- Tạo SSL connection đến server, còn http traffic từ client sẽ bị tunneled qua SSL connection của proxy. Trong trường hợp này client sẽ nhận diện giao thức truy cập là http, và nội dung traffic có thể bị monitored.".
 

Theo em được biết thì https được thiết kế để nếu bị theo dõi thì thông tin đó đã bị mã hóa. Còn nếu như IPS mà dùng certificate của IPS rồi kết nối thì end user sẽ bị cảnh báo ngay.
Các thông tin quan trọng mà thấy http là không xong, kể cả firefox hay ie khi thấy submit một thông tin như user name hay pass mà không mã hóa thì cũng đã xuất hiện cảnh báo mà.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 08/08/2010 03:14:14 (+0700) | #12 | 217875
hungsimol
Member

[Minus]    0    [Plus]
Joined: 04/08/2010 11:15:23
Messages: 2
Offline
[Profile] [PM]
Liệu có cách nào để chống Man in the middle attack? Ngay cả SSL được coi là bảo mật nhất với cả chứng thực public key nhưng vẫn bị sniff và decrypt dễ dàng.

Chưa kể ISP cũng là con người lập ra, cũng có người quản lý. Người đó cài sniff theo dõi hết thì đố ai mà biết được. Cũng có password của nhiều thành viên cao cấp của HVA cũng bị lấy lúc nào không hay, chỉ có điều họ không tung ra thôi.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 08/08/2010 03:37:44 (+0700) | #13 | 217877
huyannet
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
[Profile] [PM]
- Cách đây hơn 4 tháng bên trường Nhất Nghệ có tổ chức buổi Semina
với chủ đề "Đánh cắp thông tin đăng nhập Yahoo/Gmail bằng kỹ thuật SSLStrip".
http://www.nhatnghe.com/forum/showthread.php?t=66913
Hôm đó bận nên không đi được, tiếc quá. Khi nào rảnh chắc phải qua đó rủ mấy ông thầy đi uống cafe 1 buổi. smilie
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 08/08/2010 04:28:17 (+0700) | #14 | 217879
huyannet
Member

[Minus]    0    [Plus]
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
[Profile] [PM]
Oài, có bài hướng dẫn ngay trên site của nhatnghe thế mà không biết:
http://www.nhatnghe.com/forum/showthread.php?t=67887
Vậy là học được skill mới rồi smilie
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 08/08/2010 08:44:37 (+0700) | #15 | 217883
[Avatar]
Jino_Hoang
Member

[Minus]    0    [Plus]
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
[Profile] [PM] [Yahoo!]
Nhân tiện cho em hỏi giao thức HTTP va HTTPs khác nhau như thế nào?
Trong HVA có sử dụng hình thức đăng nhập là HTTP và HTTPs, thông thường thì em tiện tay chọn HTTP còn HTTPs thì chưa chọn bao giờ cả. Như trên có anh nói là VN chỉ hỗ trợ giao thức HTTP thì nó có liên quan gì tới việc đăng nhập này không. EM lại nghe một số nguồn ghi rằng nếu web có sử dụng SSL thì nó sẽ hỗ trợ HTTPs. Mong anh em giải đáp dùm!
Đã Trở Lại - Ăn Hại Hơn Trước
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 08/08/2010 18:09:04 (+0700) | #16 | 217929
[Avatar]
huuloc.n
Member

[Minus]    0    [Plus]
Joined: 12/12/2008 02:25:19
Messages: 28
Location: EnHack.Net
Offline
[Profile] [PM] [WWW]

Jino_Hoang wrote:
Nhân tiện cho em hỏi giao thức HTTP va HTTPs khác nhau như thế nào?
Trong HVA có sử dụng hình thức đăng nhập là HTTP và HTTPs, thông thường thì em tiện tay chọn HTTP còn HTTPs thì chưa chọn bao giờ cả. Như trên có anh nói là VN chỉ hỗ trợ giao thức HTTP thì nó có liên quan gì tới việc đăng nhập này không. EM lại nghe một số nguồn ghi rằng nếu web có sử dụng SSL thì nó sẽ hỗ trợ HTTPs. Mong anh em giải đáp dùm! 

HTTPS là HTTP có sử dụng SSL hoặc TLS để mã hoá dữ liệu kênh truyền, cái đó là do server chứa web có hỗ trợ hay không, trình duyệt người dùng có hỗ trợ hay không (hiện nay FF, IE, GC, Opera, AS đều có hỗ trợ hết) chứ không phải do VN hỗ trợ hay không smilie
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 08/08/2010 18:52:38 (+0700) | #17 | 217931
[Avatar]
vikjava
Elite Member

[Minus]    0    [Plus]
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
[Profile] [PM]
hi anh lq

Nếu ISP sử dụng proxy để monitor hoặc thực hiện man-in-the-middle attack thì phía client sẽ nhận được WARN liền mà anh. Mô hình và luồng dữ liệu ISP xử lý về vấn đề này như thế nào vậy anh ?

@mình thấy một số bạn nên học những cái căn bản, đọc hiểu tài liệu có thể xây dựng một hệ thống tốt hơn là đi hết tất cả các diễn đàn xem các bài dạy hack này hack kia hoặc thu thập một mớ kiến thức lôn xộn chẳng áp dụng đươc vào đâu. Vài lời
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 09/08/2010 15:56:20 (+0700) | #18 | 217984
LeVuHoang
HVA Friend

Joined: 08/03/2003 16:54:07
Messages: 1155
Offline
[Profile] [PM]
Cả 2 trường hợp Squid dùng cert của nó hay "lột" ssl ra như ssltrip người dùng chỉ cần chú ý 1 chút đều có thể nhận thấy 1 cách dễ dàng.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 10/08/2010 21:24:41 (+0700) | #19 | 218085
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]
Cái bài của Nhất Nghệ là dạng Man in the middle ấy, chỉ lừa được người ko hiểu về công nghệ và dốt .. tiếng Anh thôi.
Nó thực chất là giả giạng Cert của 1 web site, trình duyệt sẽ cảnh báo ngay nếu cert đó ko được 1 CA Cert có trong trust store của nó. Các bản IE/Firefox cũ, như là IE6 hoặc Firefox 1, nó cảnh báo là cert giả mạo ngay lập tức và chỉ hỏi 1 câu là Yes/No, đa số dân dốt tiếng Anh cứ thấy hỏi gì là Yes đại, nên cert giả mới được trình duyệt chấp nhận, và SSLtrip mới qua được.
Nay, các trình duyệt mới muốn "Yes" cho cert ko được trust phức tạp hơn, người dùng sẽ phải lằng nhằng bấm nhiều nút, confirm mấy phát, click vài phát mới qua được, do đó dân dốt tiếng Anh mới ko biết cách qua, và dĩ nhiên SSLtrip sẽ giảm tác hại.

Trường Nhất Nghệ, từ ông chủ tới các giảng viên, nói chung trình độ kỹ thuật thuộc loại xoàng, nếu ko muốn nói là dốt. Cơ mà làm ăn kiếm tiền, họ bất chấp hết và quan trọng họ "lừa" được người chưa biết gì.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 10/08/2010 22:53:32 (+0700) | #20 | 218101
[Avatar]
invalid-password
Member

[Minus]    0    [Plus]
Joined: 09/03/2010 21:22:46
Messages: 161
Offline
[Profile] [PM]

myquartz wrote:
trình duyệt sẽ cảnh báo ngay nếu cert đó ko được 1 CA Cert có trong trust store của nó 

Vậy có cách nào để nó giả luôn CA hay không, để trả lời người dùng là cert đó là tin cậy ?

myquartz wrote:
Trường Nhất Nghệ, từ ông chủ tới các giảng viên, nói chung trình độ kỹ thuật thuộc loại xoàng, nếu ko muốn nói là dốt. Cơ mà làm ăn kiếm tiền, họ bất chấp hết và quan trọng họ "lừa" được người chưa biết gì. 

Nếu trình độ xoàng mà vẫn kiếm được tiền thì họ vẫn giỏi đó chứ, giỏi hơn mấy anh vì trình độ xoàng mà ... thất nghiệp smilie
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 11/08/2010 16:10:33 (+0700) | #21 | 218156
[Avatar]
xnohat
Moderator

Joined: 30/01/2005 13:59:19
Messages: 1210
Location: /dev/null
Offline
[Profile] [PM] [Email] [WWW] [Yahoo!] [MSN]

invalid-password wrote:

myquartz wrote:
trình duyệt sẽ cảnh báo ngay nếu cert đó ko được 1 CA Cert có trong trust store của nó 

Vậy có cách nào để nó giả luôn CA hay không, để trả lời người dùng là cert đó là tin cậy ?

 


câu trả lời là Không

Vì bồ không thể làm giả Signature của của Trusted CA
iJust clear, "What I need to do and how to do it"/i
br
brBox tán gẫu dời về: http://www.facebook.com/hvaonline
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 11/08/2010 20:20:03 (+0700) | #22 | 218181
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

xnohat wrote:

invalid-password wrote:

myquartz wrote:
trình duyệt sẽ cảnh báo ngay nếu cert đó ko được 1 CA Cert có trong trust store của nó 

Vậy có cách nào để nó giả luôn CA hay không, để trả lời người dùng là cert đó là tin cậy ?

 


câu trả lời là Không

Vì bồ không thể làm giả Signature của của Trusted CA 

Chính xác là hầu như là không thể, ngoại trừ một số trường hợp các trusted root CA cũ vẫn còn dùng thuật toán MD5 trong sơ đồ chữ ký của họ.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 19/08/2010 17:02:10 (+0700) | #23 | 218665
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

invalid-password wrote:

myquartz wrote:
trình duyệt sẽ cảnh báo ngay nếu cert đó ko được 1 CA Cert có trong trust store của nó 

Vậy có cách nào để nó giả luôn CA hay không, để trả lời người dùng là cert đó là tin cậy ?
 

Giả CA Cert cài sẵn trong Trust store được, thì chỉ có cách là ép user cài trình duyệt cái mà đã cho sẵn cái CA giả ấy rồi. Trong kiến thức của ngành bảo mật hiện nay người ta chưa thể "giả" được cái đó. Khả năng giả hoặc lợi dụng CA Cert cài sẵn trong Trust store thì chỉ có 2 cách: trình duyệt dùng 1 cái CA Cert đã bị compomised (tức là bị lộ, bị phá, hoặc private key yếu sinh bởi debian openssl lỗi). 2. 1 CA trong trust store cố tình làm việc đó.
Trường hợp số 2 ấy, có tranh cãi nhiều vì bạn tin trình duyệt, nghĩa là tin vào danh sách CA họ có sẵn trong đó. Nếu bạn không tin 1 cái CA trong đó, thì coi như khỏi xài trình duyệt luôn. Các bạn cũng nên chú ý là không nên cài CA Cert bậy bạ vào trust store, vì nó không chỉ chứng nhận domain của bạn muốn nó làm, mà ngoài ra domain google, yahoo,... hay bất cứ domain nào nó muốn cũng chơi được và trình duyệt của bạn ok tuốt.

invalid-password wrote:

myquartz wrote:
Trường Nhất Nghệ, từ ông chủ tới các giảng viên, nói chung trình độ kỹ thuật thuộc loại xoàng, nếu ko muốn nói là dốt. Cơ mà làm ăn kiếm tiền, họ bất chấp hết và quan trọng họ "lừa" được người chưa biết gì. 

Nếu trình độ xoàng mà vẫn kiếm được tiền thì họ vẫn giỏi đó chứ, giỏi hơn mấy anh vì trình độ xoàng mà ... thất nghiệp smilie  


hehe, đáng buồn là mấy tay giỏi thật chả có thời gian mà ... đi dạy ở mấy chỗ đó, dĩ nhiên là không thất nghiệp và tiền kiếm được không phải ít (cứ hỏi Mr.Ro, tớ có biết sơ sơ mức lương của vị trí đó, thu nhập cứ gọi là như ... mơ đấy).
Chỉ có các chuyên gia mạng, bảo mật thất nghiệp, rảnh việc, mới có thời gian đi dạy ngoài. Nói chung đứng nói hết giờ, viết hết bài mà ăn tiền buổi dạy thôi, chả tâm huyết lắm với sự nghiệp đào tạo trồng người đâu.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 19/08/2010 17:35:10 (+0700) | #24 | 218666
hvthang
Member

[Minus]    0    [Plus]
Joined: 20/07/2005 03:26:58
Messages: 187
Offline
[Profile] [PM]

myquartz wrote:

Chỉ có các chuyên gia mạng, bảo mật thất nghiệp, rảnh việc, mới có thời gian đi dạy ngoài. Nói chung đứng nói hết giờ, viết hết bài mà ăn tiền buổi dạy thôi, chả tâm huyết lắm với sự nghiệp đào tạo trồng người đâu. 

Em đọc các thảo luận của myquartz mà có liên quan đến NN thì thấy bác phê phán hơi nặng lời. Có thể bác có kinh nghiệm không hay với NN. Tuy nhiên, em nghĩ nếu bác đưa ra được các luận chứng có cơ sở chứng tỏ họ làm ăn bậy bạ, dạy dỗ không tốt thì sẽ thuyết phục hơn (mặc dù em đoán HVA forum không khuyến khích mấy nội dung kiểu đả kích phê phán như thế này - HVA forum là diễn đàn chuyên sâu về bảo mật - lời bác conmale).
Thân mến.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 19/08/2010 18:21:14 (+0700) | #25 | 218668
cafe.kfc
Member

[Minus]    0    [Plus]
Joined: 10/06/2008 19:29:28
Messages: 52
Offline
[Profile] [PM]
Tôi hỏi ngoài lề chút, ví dụ có thể mã hoá mật khẩu ở client browser, rồi gửi đoạn đã mã hoá đó lên sever. Dù bị nghe lén vẫn không sao. Tại sao họ không làm vậy?
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 19/08/2010 21:07:18 (+0700) | #26 | 218680
myquartz
Member

[Minus]    0    [Plus]
Joined: 04/01/2005 04:58:30
Messages: 563
Offline
[Profile] [PM]

hvthang wrote:

myquartz wrote:

Chỉ có các chuyên gia mạng, bảo mật thất nghiệp, rảnh việc, mới có thời gian đi dạy ngoài. Nói chung đứng nói hết giờ, viết hết bài mà ăn tiền buổi dạy thôi, chả tâm huyết lắm với sự nghiệp đào tạo trồng người đâu. 

Em đọc các thảo luận của myquartz mà có liên quan đến NN thì thấy bác phê phán hơi nặng lời. Có thể bác có kinh nghiệm không hay với NN. Tuy nhiên, em nghĩ nếu bác đưa ra được các luận chứng có cơ sở chứng tỏ họ làm ăn bậy bạ, dạy dỗ không tốt thì sẽ thuyết phục hơn (mặc dù em đoán HVA forum không khuyến khích mấy nội dung kiểu đả kích phê phán như thế này - HVA forum là diễn đàn chuyên sâu về bảo mật - lời bác conmale).
Thân mến.  


Hì, mình không có thù oán gì với NN cả. Đơn giản là ... giận cá chém thớt. Trước thì mình cũng chả để ý đến NN làm cái gì, ở đâu cả. Câu chuyện nó xuất phát từ cái link này http://vnpro.org/forum/showthread.php/27348
Bây giờ topic đó đã close. Thêm nữa cách hành xử của ông giám đốc NN làm người ta thấy dễ ... ghét. Một người làm khoa học công nghệ, không nên tránh tranh luận, có tranh luận mới biết mình sai mà sửa.

Off-topic nhiều rồi, out thôi các bạn.
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 19/08/2010 21:33:07 (+0700) | #27 | 218681
[Avatar]
tmd
Member

[Minus]    0    [Plus]
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
[Profile] [PM]
Xác nhận về vụ học trung tâm, trung tâm dạy MCXX hay CCXX ở Sài gòn đều có vấn đề về người dạy. Nếu mình biết suy diễn vấn đề theo tình huống thực tế thì sẽ không làm theo mô hình 6,7,8,9 trong link 10 mô hình đó.
PS: Lập topic kỹ thuật phân tích sẽ thấy rõ. Mô hình đó gây hiểu lầm dẫn tới gây hiểu lệch lạc về thiết kế mô hình thực tế sau này.
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ...
[Up] [Print Copy]
  [Question]   ISP có thể biết gì qua một website dùng SSL? 19/08/2010 22:14:40 (+0700) | #28 | 218686
[Avatar]
invalid-password
Member

[Minus]    0    [Plus]
Joined: 09/03/2010 21:22:46
Messages: 161
Offline
[Profile] [PM]

myquartz wrote:
hehe, đáng buồn là mấy tay giỏi thật chả có thời gian mà ... đi dạy ở mấy chỗ đó
Chỉ có các chuyên gia mạng, bảo mật thất nghiệp, rảnh việc, mới có thời gian đi dạy ngoài. Nói chung đứng nói hết giờ, viết hết bài mà ăn tiền buổi dạy thôi, chả tâm huyết lắm với sự nghiệp đào tạo trồng người đâu. 

tmd wrote:
Xác nhận về vụ học trung tâm, trung tâm dạy MCXX hay CCXX ở Sài gòn đều có vấn đề về người dạy 

Mình cũng xác nhận luôn: sau khi làm nhiều năm ở một công ty cỡ lớn, mình bắt đầu đi học MCxx & CCxx để có cái bằng lận lưng, để chuẩn bị nếu có bay nhảy và để ... đi dạy khi về già smilie thì thấy các thầy dạy hầu hết đều không có kinh nghiệm thực tế, thậm chí chưa đi làm bao giờ, hoặc chỉ đi làm ở công ty nhỏ và mới chỉ trải qua vài dự án. Ví dụ cách đây nhiều năm thậm chí đến tận bây giờ nhiều thầy dạy CCNA đến phần IP lớp A-B-C vẫn khẳng định Việt Nam ... chưa có IP lớp A nào, sau đó một số học trò lên làm thầy lại truyền lại cho thế hệ sau smilie
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|