老鳳:上連登無裝VPN俾警察起底捉到,仲有冇資格做IT人??點解唔裝VPN???

239 回覆
193 Like 23 Dislike
2022-08-06 19:42:54
正常大公司都有做ssl interception啦
公司機種晒root cert
你用公司機+公司network係冇私隱可言
就算係淨係講IT security, 都可以分network, application security, ...
CISSP都分8大domain
細公司未必樣樣有做 大公司要做都分工好仔細
就算cs出身做IT狗都未必會識得晒
仲有最on9嘅social engineering先係毒撚工程師最易中嘅伏
2022-08-06 20:00:28
所以公同私一定要分清楚
2022-08-06 20:34:41
2022-08-06 23:11:37
2022-08-07 00:22:15
簡單d講
你見到https上連登
就以為係你部電腦同連登用緊ssl溝通

但其實係中間隻router同緊你部電腦同連登ssl緊
所以隻router一樣會知你地講緊咩,即使係用緊ssl

好似係
2022-08-07 00:37:22
即係只要用公用WIFI,VPN都無乜用?
2022-08-07 00:55:32
睇你用咩野vpn protocol 同幾大effort去搞你
有d一早已經俾人破到既唔應該再用
好似pptp l2tp依d其實理論上係可以知道你內容
2022-08-07 14:51:41
push
2022-08-07 15:01:56
學到野
2022-08-07 15:07:15
好多公司會解左原本張ssl cert check完再用自己公司張cert再加密返


其實我唔係好明
呢度點解你講到佢好似可以話解就解?

我都唔係好care嗰啲會唔會彈warning
但係會解到啲ssl睇到入面啲資料
咁ssl仲係咪安全

「原本張ssl cert」
呢張cert係邊度黎?
2022-08-07 15:08:00
最新嗰隻wireguard點睇?
吹到好行
2022-08-07 15:12:57
因為你以為見緊真大佬a但一直其實都係同緊內鬼大佬b溝通
咁內鬼梗係知道哂你d野
而網站亦都只係服務緊個內鬼而唔係直接服務你

原本個張cert 係網站負責申請入會做靚,即係上面跟左a大佬張cert

https://zh.wikipedia.org/wiki/%E4%B8%AD%E9%97%B4%E4%BA%BA%E6%94%BB%E5%87%BB
2022-08-07 15:22:28
你講MITM我開始明明地你講乜

不如你直接講「大佬」同「靚」既英文term我可能會易明少少同埋易搵資料

真大佬a即係Certificate Authority?
內鬼大佬b係公司自己build個Certificate Authority server?
咁靚又係咩mirror?
2022-08-07 15:24:08
相對舊個d安全
暫時未有d公開方法有效咁知道你加密既內容
不過isp有心查係知你用緊vpn

Security 第一堂已經講依個世界無野係100%「安全」
差在要用幾多心機/時間去搞你
2022-08-07 15:28:13
大佬係Certificate authority/佢下面d分銷商而電腦個list係trusted
網站用既係ca 發出既certificate 證明佢係信得過既靚
2022-08-07 15:48:09
我唔知有無理解錯

憑證的內容包括:電子簽證機關的資訊、公鑰使用者資訊、公鑰、權威機構的簽字和有效期等等。


即係我部電腦send出個網站既資料
係用網站發出既憑證入面既公鑰做加密?

而中間人攻擊(公司server)即係將張憑證轉左做公司張憑證(因為係公司電腦,俾佢改到咁)
所以我send出去既資料係用公司張cert做加密?
所以公司可以開到我send出去既資料黎睇?
之後佢又用返嗰個網站既憑證去加密返已解密既資料,再send出去個網站?

sorry一直都唔係好明啲cert同public key點分
2022-08-07 15:55:00
明白

原來巴打讀security
巴打知唔知Ed25519定RSA好
有咩分別
2022-08-07 15:56:47

網站send返俾你就只係次序調轉
2022-08-07 16:05:23
讀過姐雖然都有d唔記得
平時做野同security 無咩關係

兩套唔同既數學理論
RSA 係同質數有關
Ec係同cyclic group有關
https://zh.wikipedia.org/wiki/%E6%A4%AD%E5%9C%86%E6%9B%B2%E7%BA%BF%E5%AF%86%E7%A0%81%E5%AD%A6
其實都係睇你要點取捨要支援舊野定想快少少
反正handshake 完佢實際都係用symmetric key做encryption
2022-08-07 16:52:18
難得係連登見到有人講SSL inspection 同CISSP 8 domains
2022-08-07 16:56:12
2020年後RP五毛全完進駐晒連登
唔係批鬥就分化POST先推得起
2022-08-07 18:49:13
2022-08-07 22:12:48
吹水台自選台熱 門最 新手機台時事台政事台World體育台娛樂台動漫台Apps台遊戲台影視台講故台健康台感情台潮流台上班台財經台房屋台飲食台旅遊台學術台校園台汽車台音樂台創意台硬件台攝影台玩具台寵物台軟件台活動台電訊台直播台站務台成人台黑 洞