Darmowe CA od Mozilli, Google, EFF https://letsencrypt.org/
On Wed, Nov 19, 2014 at 8:43 AM, viq viq@hackerspace.pl wrote:
Darmowe CA od Mozilli, Google, EFF https://letsencrypt.org/
To nie jest CA. To jest jakiś skrypt do zautomatyzowania procesu udostępnienia wersji TLS istniejącej usługi.
A nawet jeśli to będzie CA, to tego typu weryfikacja to nawet nie jest class 3, czyli nikt nie powinien mu ufać.
R.
On 11/20/2014 10:34 AM, Radoslaw Szkodzinski wrote:
A nawet jeśli to będzie CA, to tego typu weryfikacja to nawet nie jest class 3, czyli nikt nie powinien mu ufać.
Na szczęście Mozilla, Akamai, Cisco, EFF i IdenTrust mają inną opinię niż Ty.
2014-11-20 12:00 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 10:34 AM, Radoslaw Szkodzinski wrote:
A nawet jeśli to będzie CA, to tego typu weryfikacja to nawet nie jest class 3, czyli nikt nie powinien mu ufać.
Na szczęście Mozilla, Akamai, Cisco, EFF i IdenTrust mają inną opinię niż Ty.
Chyba na nieszczęście. Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi. A wszyscy wiemy, jak dobrze wspierane jest revoke w X.509.
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi. A jak byle niewiadomo jaki niezweryfikowany ktoś może dostać dobry, zaufany przez wszystkie przeglądarki certyfikat...
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
R.
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
A jak byle niewiadomo jaki niezweryfikowany ktoś może dostać dobry, zaufany przez wszystkie przeglądarki certyfikat...
Czyli tak jak jest teraz...
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
Może. A może chodzi o to, żeby dane fruwające między moją przeglądarką a serwerem Zdzisława nie latały plain-tekstem, tak, że byle Janusz może sobie je przeczytać / zmodyfikować / zrobić mi MitM bez większego problemu?
2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
Tak, ale to nie jest certyfikat class 3. Tego typu certyfikaty nie powinny mieć włączonego zaufania w przeglądarce. W sensie, CA może być rozpoznawany, ale powinien pojawiać się warning, że tożsamość strony niekoniecznie jest zweryfikowana.
To oczywiście za pierwszym razem, można sobie zapamiętać taki certyfikat na przyszłość po własnej weryfikacji.
A jak byle niewiadomo jaki niezweryfikowany ktoś może dostać dobry, zaufany przez wszystkie przeglądarki certyfikat...
Czyli tak jak jest teraz...
Nie do końca, najbardziej śmieciowe certy nie dostawały zaufania. M.in. CACert i długo najniższe StartSSL.
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
Może. A może chodzi o to, żeby dane fruwające między moją przeglądarką a serwerem Zdzisława nie latały plain-tekstem, tak, że byle Janusz może sobie je przeczytać / zmodyfikować / zrobić mi MitM bez większego problemu?
Byle Janusz nie robi MitM, tylko spear phishing lub zwykły, czasem wirusy i inne trojany.
MitM są domeną ludzi mających wjazd do ISP. A ci leją ciepłym moczem na certyfikaty, bo mogą z reguły wystawić ich sobie ile chcą, kiedy chcą. (Mowa tu o organizacjach dysponujących sporym budżetem na ataki.)
W dniu 21 listopada 2014 07:13 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
Tak, ale to nie jest certyfikat class 3.
A masz gdzieś informację, że te wystawianie w ramach tego projektu będą class 3?
Tego typu certyfikaty nie powinny mieć włączonego zaufania w przeglądarce. W sensie, CA może być rozpoznawany, ale powinien pojawiać się warning, że tożsamość strony niekoniecznie jest zweryfikowana.
To Ty tak uważasz. Przecież przeglądarki w jasny sposób wyróżniają certy EV.
To oczywiście za pierwszym razem, można sobie zapamiętać taki certyfikat na przyszłość po własnej weryfikacji.
Jeśli uważasz, że wyświetlanie ostrzeżeń jest OK, to w sumie w ogóle można sobie podpisać cert własnym CA i prosić odwiedzających o akceptację -- efekt będzie taki sam.
Czy teraz na stronce tego anegdotycznego Zdzisława podajesz wrażliwe dane? Dlaczego uważasz, że nagle ludzie zaczną to robić, kiedy uzyskanie certyfikatu DV będzie prostsze?
A jak byle niewiadomo jaki niezweryfikowany ktoś może dostać dobry, zaufany przez wszystkie przeglądarki certyfikat...
Czyli tak jak jest teraz...
Nie do końca, najbardziej śmieciowe certy nie dostawały zaufania. M.in. CACert i długo najniższe StartSSL.
Tutaj odchodzimy od tematu IMHO. Szczególnie w przypadku CACert.
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
Może. A może chodzi o to, żeby dane fruwające między moją przeglądarką a serwerem Zdzisława nie latały plain-tekstem, tak, że byle Janusz może sobie je przeczytać / zmodyfikować / zrobić mi MitM bez większego problemu?
Byle Janusz nie robi MitM, tylko spear phishing lub zwykły, czasem wirusy i inne trojany.
Ja po prostu chciałem powiedzieć, że jak coś możesz wysyłać plain-tekstem albo zaszyfrowane, to troszkę lepiej, jak zaszyfrowane... "let's encrypt" ma szansę sprawić, że stanie się to prostsze i tańsze dla przeciętnego człowieczka, który sobie np. postawił mały sklep online albo blogaska.
MitM są domeną ludzi mających wjazd do ISP. A ci leją ciepłym moczem na certyfikaty, bo mogą z reguły wystawić ich sobie ile chcą, kiedy chcą. (Mowa tu o organizacjach dysponujących sporym budżetem na ataki.)
Tak. W zasadzie możemy wrócić do telneta. Po co Ci ssh. Przecież NSA i tak Cię "zhackuje". I nieszyfrowanego IMAPa, itd.
2014-11-21 7:58 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 07:13 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
Tak, ale to nie jest certyfikat class 3.
A masz gdzieś informację, że te wystawianie w ramach tego projektu będą class 3?
Nigdzie, ale jeśli będą strzelały warningami, to chyba cele tego projektu nie będą szczególnie spełnione? Sam kit jest super, ale mogliby nie robić śmieciowego CA, tylko wysłać ludzi do odpowiednich, dobrych, już istniejących firm uruchamiających CA, oferujących certyfikaty dobrej jakości. Jest ich sporo.
Tego typu certyfikaty nie powinny mieć włączonego zaufania w przeglądarce. W sensie, CA może być rozpoznawany, ale powinien pojawiać się warning, że tożsamość strony niekoniecznie jest zweryfikowana.
To Ty tak uważasz. Przecież przeglądarki w jasny sposób wyróżniają certy EV.
Zobacz ceny certyfikatów EV i zastanów się jeszcze raz. A wystarczyłoby nie ufać domyślnie śmieciowym certyfikatom.
To oczywiście za pierwszym razem, można sobie zapamiętać taki certyfikat na przyszłość po własnej weryfikacji.
Jeśli uważasz, że wyświetlanie ostrzeżeń jest OK, to w sumie w ogóle można sobie podpisać cert własnym CA i prosić odwiedzających o akceptację -- efekt będzie taki sam.
Nie, ponieważ ludzie nie będą sprawdzać wszystkiego o certyfikacie. CA, nawet śmieciowe, jednak jest *jakąś* weryfikacją. Np. nie będziesz musiał patrzeć, czy certyfikat należy do tej domeny.
Można zatem uprościć superzłożone okienko ostrzegawcze i może ludzie nie będą przez nie przeklikiwać.
Druga rzecz, to informowanie, że certyfikat się zmienił, nawet jeśli jest zaufany. (Może za wyjątkiem EV, chyba, że firma się zmieniła.)
Czy teraz na stronce tego anegdotycznego Zdzisława podajesz wrażliwe dane?
Anegdotyczny Zdzisław prowadzi anegdotyczny sklep internetowy sprzedający koszulki z anegdotami.
Dlaczego uważasz, że nagle ludzie zaczną to robić, kiedy uzyskanie certyfikatu DV będzie prostsze?
Bo będzie prostsze. :)
Może to jest sposób na nagonienie sprzedaży certyfikatów Extended Validation.
Może. A może chodzi o to, żeby dane fruwające między moją przeglądarką a serwerem Zdzisława nie latały plain-tekstem, tak, że byle Janusz może sobie je przeczytać / zmodyfikować / zrobić mi MitM bez większego problemu?
Byle Janusz nie robi MitM, tylko spear phishing lub zwykły, czasem wirusy i inne trojany.
Ja po prostu chciałem powiedzieć, że jak coś możesz wysyłać plain-tekstem albo zaszyfrowane, to troszkę lepiej, jak zaszyfrowane...
Tak, całkowicie się z tym zgadzam.
"let's encrypt" ma szansę sprawić, że stanie się to prostsze i tańsze dla przeciętnego człowieczka, który sobie np. postawił mały sklep online albo blogaska.
Oraz dla napastnika.
MitM są domeną ludzi mających wjazd do ISP. A ci leją ciepłym moczem na certyfikaty, bo mogą z reguły wystawić ich sobie ile chcą, kiedy chcą. (Mowa tu o organizacjach dysponujących sporym budżetem na ataki.)
Tak. W zasadzie możemy wrócić do telneta. Po co Ci ssh. Przecież NSA i tak Cię "zhackuje". I nieszyfrowanego IMAPa, itd.
Nie do końca o to chodzi. Nie dysputuję, że szyfrowanie jest potrzebne, ale szyfrowanie bez uwierzytelniania jest do dupy.
hej,
W dniu 21 listopada 2014 08:12 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 7:58 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 07:13 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote: > Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże > się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków > na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi.
Ta. Chciałbyś. Nie przypominam sobie, żebym musiał jakoś specjalnie udowadniać, że nazywam się tak jak się nazywam i mieszkam gdzie mieszkam, jak rejestrowałem domenę. A do dostania certu wystarczy, że jesteś w stanie odebrać email w domenie, na którą ma być wystawiony.
Tak, ale to nie jest certyfikat class 3.
A masz gdzieś informację, że te wystawianie w ramach tego projektu będą class 3?
Nigdzie, ale jeśli będą strzelały warningami, to chyba cele tego projektu nie będą szczególnie spełnione? Sam kit jest super, ale mogliby nie robić śmieciowego CA, tylko wysłać ludzi do odpowiednich, dobrych, już istniejących firm uruchamiających CA, oferujących certyfikaty dobrej jakości. Jest ich sporo.
Tego typu certyfikaty nie powinny mieć włączonego zaufania w przeglądarce. W sensie, CA może być rozpoznawany, ale powinien pojawiać się warning, że tożsamość strony niekoniecznie jest zweryfikowana.
To Ty tak uważasz. Przecież przeglądarki w jasny sposób wyróżniają certy EV.
Zobacz ceny certyfikatów EV i zastanów się jeszcze raz. A wystarczyłoby nie ufać domyślnie śmieciowym certyfikatom.
Chodziło mi o to, że tak jak dziś DV jest odróżnialny od EV na pierwszy rzut oka, tak samo będzie jak "let's encrypt" zadziała. Nikt nikomu nie będzie za darmo rozdawał EV. Twoje pieniądze w banku są bezpieczne (powiedzmy).
To oczywiście za pierwszym razem, można sobie zapamiętać taki certyfikat na przyszłość po własnej weryfikacji.
Jeśli uważasz, że wyświetlanie ostrzeżeń jest OK, to w sumie w ogóle można sobie podpisać cert własnym CA i prosić odwiedzających o akceptację -- efekt będzie taki sam.
Nie, ponieważ ludzie nie będą sprawdzać wszystkiego o certyfikacie. CA, nawet śmieciowe, jednak jest *jakąś* weryfikacją. Np. nie będziesz musiał patrzeć, czy certyfikat należy do tej domeny.
I w ten sposób zatoczyliśmy koło. Zacząłem od tego, że Twoje obiekcje są bezzasadne, bo dzisiaj można sobie zarejestrować domenę i kupić do niej cert DV bez konieczności dowodzenia kim się jest.
Można zatem uprościć superzłożone okienko ostrzegawcze i może ludzie nie będą przez nie przeklikiwać.
Oczywiście, że będą. Tak jak teraz informacje o unijnych ciasteczkach.
(...)
Tak. W zasadzie możemy wrócić do telneta. Po co Ci ssh. Przecież NSA i tak Cię "zhackuje". I nieszyfrowanego IMAPa, itd.
Nie do końca o to chodzi. Nie dysputuję, że szyfrowanie jest potrzebne, ale szyfrowanie bez uwierzytelniania jest do dupy.
Czyli znów -- dokładnie tak jak jest teraz z rejestracja domeny i certyfikatem DV.
2014-11-21 8:45 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 08:12 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
Zobacz ceny certyfikatów EV i zastanów się jeszcze raz. A wystarczyłoby nie ufać domyślnie śmieciowym certyfikatom.
Chodziło mi o to, że tak jak dziś DV jest odróżnialny od EV na pierwszy rzut oka, tak samo będzie jak "let's encrypt" zadziała. Nikt nikomu nie będzie za darmo rozdawał EV. Twoje pieniądze w banku są bezpieczne (powiedzmy).
Ale nie są, bo byle sklepy nie mają EV i/lub nie stać ich na takie.
Wszystko jest ok, póki używają zaufanego przetwarzania płatności, ale sporo sklepów tak nie robi.
Oczywiście kwestia, komu można zawierzyć dane karty kredytowej... Dlatego mam osobnego prepaida na takie sytuacje. Ogranicza ewentualne straty. Ale rozumiem ludzi, którym się nie chce trzymać specjalnie osobnej karty kredytowej.
Można zatem uprościć superzłożone okienko ostrzegawcze i może ludzie nie będą przez nie przeklikiwać.
Oczywiście, że będą. Tak jak teraz informacje o unijnych ciasteczkach.
Nie sądzę. W odróżnieniu od ciasteczek, taka informacja jest pokazywana rzadko, bo sensowne strony mają dobre certyfikaty, i tylko raz dla tych, które mają te gorsze. Nawet może to być w formie kolorku ostrzegawczego przy kłodce i jakiegoś wysuwającego się powiadomienia.
Ale przy zmianie certyfikatu musi być solidne ostrzeżenie.
Poza tym mogliby wreszcie dawać wszędzie SNI - i tu Let's Encrypt pomoże, mam nadzieję.
Czyli znów -- dokładnie tak jak jest teraz z rejestracja domeny i certyfikatem DV.
Nie? Zarejestrować domenę to można u setek registrarów bez żadnej weryfikacji i bez poprawnego wpisu WHOIS.
Kiepski certyfikat DV jest kiepsko uwierzytelniony i powinno być wtedy ostrzeżenie. Mniej "in your face" niż self-signed może, ale i tak. Wszelka weryfikacja ograniczająca się tylko do Internetu jest kiepska. (Adres email, domena, bazy whois itd.)
Dobry certyfikat DV jest uwierzytelniony np. osobiście czy z weryfikacją danych w bazach krajowych, telefonicznie, itd.
Certyfikat EV powinien być bardzo dobrze uwierzytelniony, z potwierdzeniami osobistymi i pisemnymi od danej organizacji, plus powyższa weryfikacja.
Być może poziom zaufanej jakości powinien być ustawialny, trochę jak ten suwak w IE, *z sensownymi wartościami domyślnymi*.
Uwierzytelnienie mało się ma do faktu, że certyfikatem cośtam jest podpisywane. Podpis cyfrowy to tylko mechanizm weryfikacji uwierzytelnienia. Za prawdziwym uwierzytelnieniem stoi albo CA (w X.509), albo sieć zaufania (w GPG/PGP).
Natomiast zaufanie jest jeszcze osobną rzeczą. Chciałbym móc możliwość wyłączenia zaufania certyfikatom uwierzytelnionym przez jakieś CA z republiki bananowej. Najlepiej by to było opt-in, ale może być za ciężkie, więc sensowne defaulty w postaci zaufania dużym znanym CA i niektórym sprawdzonym rządowym CA.
Niestety przeglądarki nie mają ustawień pozwalających na sterowanie takimi rzeczami - a domyślnie ufają wszelkim CA w bazie. Można wywalić CA lub ich podklucze z bazy, ale pojedyńczo - a jest ich piekielnie dużo. Nie można na przykład ustawić "uważaj wszystko poniżej odpowiednika class 2 za kiepskie i ostrzegaj".
With the logic of Trasz, the persistence of AStorm, by your powers combined I AM CAPTAIN TROLLNET
Róbmy ten biolab by skrzyżować ich DNA! Produktem obsadzimy stanowiska w rządzie i episkopacie, w ciągu dekady opanujemy Rosję, EU, i Urugwaj! A potem już tylko do gwiazd, Czarny Obelisk będzie nam lizał stopy płaszczyzną frontalną i robił driny z limonką w koronkowych g-stringach. A w piątek jego dupa będzie w szafie.
Srsly, to się musi stać. Normalnie jak Ghost in the Shell: standalone trollplex. I WANT YOU TO MERGE.
Szkoda że nie mam macicy w której mógłbym sam nosić ich dzieci. Będzie trzeba coś kupić na Tajwanie.
Ha, ten plan jest lepszy niż wysłanie wielbłądów skażonych AIDS na bliski wschód!
W dniu 21 listopada 2014 10:33 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
2014-11-21 8:45 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 08:12 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
Zobacz ceny certyfikatów EV i zastanów się jeszcze raz. A wystarczyłoby nie ufać domyślnie śmieciowym certyfikatom.
Chodziło mi o to, że tak jak dziś DV jest odróżnialny od EV na pierwszy rzut oka, tak samo będzie jak "let's encrypt" zadziała. Nikt nikomu nie będzie za darmo rozdawał EV. Twoje pieniądze w banku są bezpieczne (powiedzmy).
Ale nie są, bo byle sklepy nie mają EV i/lub nie stać ich na takie.
Wszystko jest ok, póki używają zaufanego przetwarzania płatności, ale sporo sklepów tak nie robi.
Oczywiście kwestia, komu można zawierzyć dane karty kredytowej... Dlatego mam osobnego prepaida na takie sytuacje. Ogranicza ewentualne straty. Ale rozumiem ludzi, którym się nie chce trzymać specjalnie osobnej karty kredytowej.
Nijak się to ma do tematu dyskusji, którym jest (przypominam) nowy projekt: "Let's Encrypt". Wysokopoziomowe filozoficzne eseje o tym, jak być bezpiecznym w sieci są oczywiście cenne, jednak niewiele wnoszą tutaj.
(...)
Czyli znów -- dokładnie tak jak jest teraz z rejestracja domeny i certyfikatem DV.
Nie? Zarejestrować domenę to można u setek registrarów bez żadnej weryfikacji i bez poprawnego wpisu WHOIS.
Kiepski certyfikat DV jest kiepsko uwierzytelniony i powinno być wtedy ostrzeżenie.
Ale nie rozmawiamy o tym "co powinno być". Tylko o "Let's Encrypt". I o tym czy ew. wprowadzenie tej usługi globalnie patrząc obniża bezpieczeństwo korzystania z WWW (co twierdzisz Ty), czy jednak nie obniża (co twierdzę ja). "Jak powinien być urządzony system certyfikatów w Internecie w idealnym Świecie" to temat na zupełnie inną dyskusję.
Powtarzam - mam DV do własnej domeny, podpisany przez CA, które jest w przeglądarkach. Nikomu się żadne ostrzeżenia nie wyświetlają. Nie musiałem się spowiadać z tego kim jestem -- wystarczyło, że odebrałem email wysłany na moją domenę. I tyle.
Więc po raz ostatni: dziś bez żadnego problemu można dostać normalne DV. Nie widzę w jaki sposób "Let's Encrypt" miałoby jakoś pogorszyć tutaj sytuację.
Mniej "in your face" niż self-signed może, ale i tak. Wszelka weryfikacja ograniczająca się tylko do Internetu jest kiepska. (Adres email, domena, bazy whois itd.)
Ale tak to działa. Teraz.
Nie zrozumiałeś o co mi chodziło.
Jeśli Let's Encrypt będzie miało własne CA z takim super łatwym robieniem klucza, będzie propagować najgorszy schemat uwierzytelniania (a raczej jego braku). Do tego poparty przez duże organizacje tzn. Google, Mozilla i kto tam jeszcze.
Nie powinni tego robić i należy im to powiedzieć - inaczej dalej będą rozwalali zasadę działania TLS, a mają szansę poprawić.
hej,
W dniu 21 listopada 2014 11:24 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
Nie zrozumiałeś o co mi chodziło.
Jeśli Let's Encrypt będzie miało własne CA z takim super łatwym robieniem klucza, będzie propagować najgorszy schemat uwierzytelniania (a raczej jego braku). Do tego poparty przez duże organizacje tzn. Google, Mozilla i kto tam jeszcze.
Nie powinni tego robić i należy im to powiedzieć - inaczej dalej będą rozwalali zasadę działania TLS, a mają szansę poprawić.
O widzisz. I super. Prosto i jasno. Natomiast się z Tobą nie zgadzam ;)
Bo, moim zdaniem, wrzucasz dwie zupełnie różne rzeczy do jednego worka. DV i EV, ich cel i implikacje. Do udowodnienia, że prowadzisz legitimate business służy EV. I jego tak prosto nie dostaniesz. Ani bez Let's Encrypt ani z.
Certyfikat DV służy tylko temu, że jak gadasz z dupa.com, to wiesz, że to jest dupa.com. Tylko tyle. Nic poza tym. Jeśli do dzisiaj wierzyłeś, że DV daje coś więcej -- byłeś w błędzie. Kwestia tego, czy ufasz witrynie dupa.com, jej adminom / twórcom -- to zupełnie odrębny temat. I Let's Encrypt nie ma nic do tego.
Wydaje mi się, że tak też rozumie to reszta świata -- stąd różnica (*duża*) w sposobie prezentacji URLa przez przeglądarkę dla DV a EV.
I Let's Encrypt nic tutaj nie zmienia na minus. Jedyne co da, to że ludzie, którzy do tej pory nie mieli DV (bo pieniądze), teraz będą mieli. I będziesz mógł sobie z ich stronkami gadać po SSLu.
PS. Zawsze będziesz mógł usunąć CA Let's Encrypt z przeglądarki, jeśli uważasz, że to jest tak zły pomysł.
W dniu 21 listopada 2014 11:24 użytkownik Radoslaw Szkodzinski < astralstorm@gmail.com> napisał:
Jeśli Let's Encrypt będzie miało własne CA z takim super łatwym robieniem klucza, będzie propagować najgorszy schemat uwierzytelniania (a raczej jego braku).
Popraw mnie, jeśli jestem w błędzie, ale wydaje mi się, że potwierdzenie własności domeny przez odpalenie programu gadającego spod tej domeny nie jest wcale mniej pewnym, niż przez odebranie maila wysłanego na admin@domena.pl. A wręcz może być bardziej pewne, bo wgranie paczki apt-getem wymaga jednak trochę więcej zachodu, niż odebranie maila wysłanego na janusz@domena.pl (o czym admin@domena.pl nie musi wiedzieć). Chociaż nigdy nie rejestrowałem certa DV, więc może się okazać, że CA nie zgodzi się wysłać maila na janusz@domena.pl i wymusi wysłanie go na admin@domena.pl, to wtedy pewność jest na jednakowym poziomie. A dowolna osoba będąca w tej samej sieci WiFi nie może podsłuchać, jak gadasz z domena.pl.
(osobną kwestią jest to, że póki przeglądarki nie ostrzegają przed tym, że certyfikat się zmienił, to większą pewność, że łączysz się z właściwą stroną (od certa DV) daje chyba... cert self-signed, bo w przypadku jego zmiany przeglądarka wyrzuci jebitne ostrzeżenie...)
Tako rzecze Kuba Niewiarowski (2014-11-21, 14:28):
Chociaż nigdy nie rejestrowałem certa DV, więc może się okazać, że CA nie zgodzi się wysłać maila na janusz@domena.pl i wymusi wysłanie go na admin@domena.pl, to wtedy pewność jest na jednakowym poziomie.
Zwykle masz do wyboru kilka typowych adresów w rodzaju {admin,hostmaster,postmaster}@domena.tld. Czasem trzeba rekord jakiś do domeny dodać. Ale tak, generalnie to jest na jednakowym poziomie i takie jest założenie przedsięwzięcia i jest ono Dobre.
W dniu 21 listopada 2014 14:34 użytkownik antoszka antoni@hackerspace.pl napisał:
Tako rzecze Kuba Niewiarowski (2014-11-21, 14:28):
Chociaż nigdy nie rejestrowałem certa DV, więc może się okazać, że CA nie zgodzi się wysłać maila na janusz@domena.pl i wymusi wysłanie go na admin@domena.pl, to wtedy pewność jest na jednakowym poziomie.
Zwykle masz do wyboru kilka typowych adresów w rodzaju {admin,hostmaster,postmaster}@domena.tld. Czasem trzeba rekord jakiś do domeny dodać. Ale tak, generalnie to jest na jednakowym poziomie i takie jest założenie przedsięwzięcia i jest ono Dobre.
Dzięki. :)
2014-11-21 14:28 GMT+01:00 Kuba Niewiarowski marsjaninzmarsa@gmail.com:
Popraw mnie, jeśli jestem w błędzie, ale wydaje mi się, że potwierdzenie własności domeny przez odpalenie programu gadającego spod tej domeny nie jest wcale mniej pewnym, niż przez odebranie maila wysłanego na admin@domena.pl.
Jak sprawdzą, że program jest odpalony gdzieś tam na tej domenie przez jej administratora, a nie dowolnego rozbójnika spoofującego pakiety? Albo na przykład przez dziurawy skrypt, lub czy ktoś nie zatruł DNS. Lub <wstaw jeszcze kilka ataków, o których nie pomyślałem>.
Serio, czysto "maszynowe" weryfikacje tożsamości są słabe. Już ten email lepszy, ale też kiepski, bo wrażliwy na te same ataki, przed którymi ma chronić taki certyfikat.
On 11/21/2014 07:52 PM, Radoslaw Szkodzinski wrote:
Jak sprawdzą, że program jest odpalony gdzieś tam na tej domenie przez jej administratora, a nie dowolnego rozbójnika spoofującego pakiety? Albo na przykład przez dziurawy skrypt, lub czy ktoś nie zatruł DNS. Lub <wstaw jeszcze kilka ataków, o których nie pomyślałem>.
Doczytaj: https://letsencrypt.org/howitworks/technology/
Te Twoje „ataki” są tak samo możliwe przy obecnych metodach DV - czyli praktycznie w ogóle.
2014-11-21 20:13 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/21/2014 07:52 PM, Radoslaw Szkodzinski wrote:
Jak sprawdzą, że program jest odpalony gdzieś tam na tej domenie przez jej administratora, a nie dowolnego rozbójnika spoofującego pakiety? Albo na przykład przez dziurawy skrypt, lub czy ktoś nie zatruł DNS. Lub <wstaw jeszcze kilka ataków, o których nie pomyślałem>.
Wersja DNS jest słaba. (Czy polegają na i weryfikują DNSSEC?)
Ta wersja HTTPS jest sporo lepsza - rzeczywiście trzeba sterować domeną. Popieram te rozwiązanie.
Te Twoje „ataki” są tak samo możliwe przy obecnych metodach DV - czyli praktycznie w ogóle.
Sure. Pożyjemy zobaczymy.
Obecnie nikomu się nie opłaca atakować wystawiania certyfikatów - zamiast tego łatwiej zaatakować stronę bezpośrednio - lub administratorów. Z wyjątkiem bezpośredniego łamania słabych certyfikatów...
2014-11-21 21:27 GMT+01:00 Piotr Machała pm7 hackerspace@933x.net:
On 11/21/2014 07:52 PM, Radoslaw Szkodzinski wrote:
Już ten email lepszy, ale też kiepski, bo wrażliwy na te same ataki, przed którymi ma chronić taki certyfikat.
To w czym jest lepszy, skoro ma te same problemy, a nie jest tak zautomatyzowany jak Let's Encrypt?
No nie jest lepszy. Zautomatyzowanie ułatwia ataki.
W sumie ten ich protokół wariant HTTPS jest całkiem niezły, ale nadal jeśli uda się przejąć tymczasowo łącze do serwera (np. DNS poison), można sobie wygenerować klucz dla takiej domeny. Chyba wszystkie DV są na to wrażliwe, wliczając te potwierdzane mailowo.
On 11/21/2014 09:50 PM, Radoslaw Szkodzinski wrote:
2014-11-21 21:27 GMT+01:00 Piotr Machała pm7 hackerspace@933x.net:
On 11/21/2014 07:52 PM, Radoslaw Szkodzinski wrote:
Już ten email lepszy, ale też kiepski, bo wrażliwy na te same ataki, przed którymi ma chronić taki certyfikat.
To w czym jest lepszy, skoro ma te same problemy, a nie jest tak zautomatyzowany jak Let's Encrypt?
No nie jest lepszy. Zautomatyzowanie ułatwia ataki.
Automatyzacja ataków była możliwa już wcześniej, wystarczyło sobie przygotować skrypt pod konkretne CA. Let's Encrypt nie ułatwi, bądź ułatwi minimalnie ataki, zaś administratorom bardzo może uprościć uzyskiwanie certyfikatu. Piotr Machała pm7
---- Wł. Pt, 21 lis 2014 14:28:50 +0100 Kuba Niewiarowskimarsjaninzmarsa@gmail.com napisał(a) ----
W dniu 21 listopada 2014 11:24 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał: Jeśli Let's Encrypt będzie miało własne CA z takim super łatwym robieniem klucza, będzie propagować najgorszy schemat uwierzytelniania (a raczej jego braku).
Popraw mnie, jeśli jestem w błędzie, ale wydaje mi się, że potwierdzenie własności domeny przez odpalenie programu gadającego spod tej domeny nie jest wcale mniej pewnym, niż przez odebranie maila wysłanego na admin@domena.pl. A wręcz może być bardziej pewne, bo wgranie paczki apt-getem wymaga jednak trochę więcej zachodu, niż odebranie maila wysłanego na janusz@domena.pl (o czym admin@domena.pl nie musi wiedzieć). Chociaż nigdy nie rejestrowałem certa DV, więc może się okazać, że CA nie zgodzi się wysłać maila na janusz@domena.pl i wymusi wysłanie go na admin@domena.pl, to wtedy pewność jest na jednakowym poziomie. A dowolna osoba będąca w tej samej sieci WiFi nie może podsłuchać, jak gadasz z domena.pl.
(osobną kwestią jest to, że póki przeglądarki nie ostrzegają przed tym, że certyfikat się zmienił, to większą pewność, że łączysz się z właściwą stroną (od certa DV) daje chyba... cert self-signed, bo w przypadku jego zmiany przeglądarka wyrzuci jebitne ostrzeżenie...)
Mechanizm weryfikacji proponowany przez lets-encrypt działa inczej. Z talka na CCC wynika, że w celu udowodnienia podsiadania domeny X należy uruchomić serwer TLS na vhoście w tej domenie wystawiając odpowiedni self-signed certyfikat. Nie ma tutaj żadnych maili.
Swoją drogą to jest całkiem fajny pomysł na automatyczną weryfikację poprawnej konfiguracji TLSa na swoim serwerze, CA lets-encrypt mogłoby np. sprawdzać listę szyfrów i odmawiać wystawienia certa jeżeli ktoś zostawi włączonego DESa albo jest podatny na heartbleed.
---- Wł. Pt, 21 lis 2014 07:13:44 +0100 Radoslaw Szkodzinski napisał(a) ----
2014-11-21 7:04 GMT+01:00 Jarosław Górny jaroslaw.gorny@gmail.com:
W dniu 21 listopada 2014 06:55 użytkownik Radoslaw Szkodzinski astralstorm@gmail.com napisał:
[...]
MitM są domeną ludzi mających wjazd do ISP. A ci leją ciepłym moczem na certyfikaty, bo mogą z reguły wystawić ich sobie ile chcą, kiedy chcą. (Mowa tu o organizacjach dysponujących sporym budżetem na ataki.)
Nawet nie wiesz, jak bardzo się mylisz. Słyszałeś o arp spoofingu?
2014-11-21 20:55 GMT+01:00 enki enki@fsck.pl:
Nawet nie wiesz, jak bardzo się mylisz. Słyszałeś o arp spoofingu?
Tak, raczej musisz siedzieć na tym samym switchu lub w okolicy i gateway musi dać się na to nabrać.
Dnia piątek, 21 listopada 2014 21:45:22 Radoslaw Szkodzinski pisze:
2014-11-21 20:55 GMT+01:00 enki enki@fsck.pl:
Nawet nie wiesz, jak bardzo się mylisz. Słyszałeś o arp spoofingu?
Tak, raczej musisz siedzieć na tym samym switchu lub w okolicy i gateway musi dać się na to nabrać.
Nie gateway, tylko switch.
Dnia piątek, 21 listopada 2014 06:55:11 Radoslaw Szkodzinski pisze:
2014-11-20 12:07 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 12:04 PM, Radoslaw Szkodzinski wrote:
Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi.
W sensie kluczy, które są certyfikowane do użycia z jego własną domeną? Czyli, w sumie, tak jak może zrobić teraz?
Może, ale podpisuje się wtedy pod tym własnym nazwiskiem, prawdziwym adresem. Z wszystkimi konsekwencjami prawnymi. A jak byle niewiadomo jaki niezweryfikowany ktoś może dostać dobry, zaufany przez wszystkie przeglądarki certyfikat...
Stary! To teraz wyobraź sobie, że na PLAKATACH (i to bez żadnej weryfikacji!) można umieszczać coś, co jak się tam skieruje komórkę, to można ściągnąć jakieś gunwo! http://wo.blox.pl/2011/07/Ranking-techno-hejtu.html
A tak na serio, to: http://rys.io/pl/26
To, czy gunwo można siać po połączeniuz aszyfrowanym, czy nie, jest nieistotne. Problem z SSL/TLS jest taki, że w obecnym modelu bez sensu na siłę łączy dwie niezależne rzeczy: - uwierzytelnienie hosta - szyfrowanie transmisji
W tej chwili diabelnie potrzebujemy drugiego, dla każdego możliwego połączenia. LetsEncrypt ma potencjał dostarczenia właśnie tego.
On Sun Nov 23 2014 at 7:20:34 PM rysiek rysiek@hackerspace.pl wrote:
Problem z SSL/TLS jest taki, że w obecnym modelu bez sensu na siłę łączy dwie niezależne rzeczy:
- uwierzytelnienie hosta
- szyfrowanie transmisji
W tej chwili diabelnie potrzebujemy drugiego, dla każdego możliwego połączenia. LetsEncrypt ma potencjał dostarczenia właśnie tego.
Nawet sam chciałem coś takiego napisać, ale potem podrapałem się po głowie trochę i zaniechałem.
Szyfrowanie i uwierzytelnianie są pozornie prostopadłe, ale tak naprawdę not so much w tym kontekście. Żeby uwierzytelnić drugą stronę musisz mieć co najmniej (ale nie wyłącznie) jakąś porządnie tamper- i replay-proof komunikację. Żeby zaszyfrować dane tak, żeby tylko dany odbiorca mógł je odczytać, musisz mieć jakąś formę uwierzytelnienia czy choćby shared knowledge o *czymś*, niech to będzie public key, na przykład, a z drugiej strony - uwierzytelnie jest najłatwiejsze poprzez sprawdzenie, czy odbiorca może odczytać dane zaszyfrowane tylko do niego, co potrzebuje być jakoś zdefiniowane. Kind of.
Pozorne poczucie bezpieczeństwa nie pomaga tak strasznie dużo, a może być rzeczywiście szkodliwe. A przeglądarki na desktopach z kolorowymi kłódeczkami to tylko czubek góry lodowej, przecież miliony tępych deweloperów appek na telefony nigdy nie słyszało o certificate pinning choćby. Także to jest strasznie, strasznie delikatny system.
Ja się zgadzam z pomysłem, żeby szyfrować wszystko, let's encrypt jest jakimś krokiem w tę stronę, ale nie jedynym. Połączone z http://www.certificate-transparency.org/ może mieć niezłą moc, bo *w końcu* można będzie względnie „demokratycznie” i tanio audytować CA, potrzebujemy porządnego, darmowego i szybkiego CA - win-win.
A jak radzi sobie np z takimi dowcipnymi rzeczami jak homoglyph attack?
pozdr.
2014-11-24 19:07 GMT+01:00 Tomasz Dubrownik t.dubrownik@gmail.com:
Ja się zgadzam z pomysłem, żeby szyfrować wszystko, let's encrypt jest jakimś krokiem w tę stronę, ale nie jedynym. Połączone z http://www. certificate-transparency.org/ może mieć niezłą moc, bo *w końcu* można będzie względnie „demokratycznie” i tanio audytować CA, potrzebujemy porządnego, darmowego i szybkiego CA - win-win.
Fajne rozwiązanie. Tutaj lepszy opis niż na stronce: http://queue.acm.org/detail.cfm?id=2668154.
Pozdrawiam,
2014-11-20 12:04 GMT+01:00 Radoslaw Szkodzinski astralstorm@gmail.com:
2014-11-20 12:00 GMT+01:00 Sergiusz 'q3k' Bazański q3k@q3k.org:
On 11/20/2014 10:34 AM, Radoslaw Szkodzinski wrote:
A nawet jeśli to będzie CA, to tego typu weryfikacja to nawet nie jest class 3, czyli nikt nie powinien mu ufać.
Na szczęście Mozilla, Akamai, Cisco, EFF i IdenTrust mają inną opinię niż Ty.
Chyba na nieszczęście. Tylko czekać, aż jakiś zdzisław zrobi swoją stronkę, a następnie okaże się, że używa klucza do wrzucania wirusów, phishingu czy innych ataków na ludzi. A wszyscy wiemy, jak dobrze wspierane jest revoke w X.509.
Revoke jak revoke, ale certyfikaty mają jeszcze pola "Intended Purpose".
W dniu 20 listopada 2014 10:31 użytkownik Radoslaw Szkodzinski < astralstorm@gmail.com> napisał:
On Wed, Nov 19, 2014 at 8:43 AM, viq viq@hackerspace.pl wrote:
Darmowe CA od Mozilli, Google, EFF https://letsencrypt.org/
To nie jest CA. To jest jakiś skrypt do zautomatyzowania procesu udostępnienia wersji TLS istniejącej usługi.
Jest. https://letsencrypt.org/howitworks/
W dniu 20.11.2014 o 12:17, Kuba Niewiarowski pisze:
W dniu 20 listopada 2014 10:31 użytkownik Radoslaw Szkodzinski <astralstorm@gmail.com mailto:astralstorm@gmail.com> napisał:
On Wed, Nov 19, 2014 at 8:43 AM, viq <viq@hackerspace.pl <mailto:viq@hackerspace.pl>> wrote: > Darmowe CA od Mozilli, Google, EFF > https://letsencrypt.org/ To nie jest CA. To jest jakiś skrypt do zautomatyzowania procesu udostępnienia wersji TLS istniejącej usługi.
Z ciekawości poczytałem to... i nadal nie wiem jak to działa ;-P. Pominęli najważniejszy element w tym - jak wygląda deployment, a zamiast tego opisali dużo teorii nie wiem komu potrzebnej. Bo teraz nie mam pojęcia czy to np zadziała z moim lighttpd.
W dniu 20 listopada 2014 12:33 użytkownik Łukasz 'Cyber Killer' Korpalski < cyberkiller8@gmail.com> napisał:
teraz nie mam pojęcia czy to np zadziała z moim lighttpd.
Właśnie też się nad tym zastanawiam. Ale nawet jeśli nie z marszu, to well, wystarczy pewnie ręcznie podlinkować cert i będzie śmigać. Lighty jest wybierane raczej przez osoby bardziej świadome, które sobie z tym poradzą. :)
On Thu, Nov 20, 2014 at 12:33:40PM +0100, Łukasz 'Cyber Killer' Korpalski wrote:
W dniu 20.11.2014 o 12:17, Kuba Niewiarowski pisze:
W dniu 20 listopada 2014 10:31 użytkownik Radoslaw Szkodzinski <astralstorm@gmail.com mailto:astralstorm@gmail.com> napisał:
On Wed, Nov 19, 2014 at 8:43 AM, viq <viq@hackerspace.pl <mailto:viq@hackerspace.pl>> wrote: > Darmowe CA od Mozilli, Google, EFF > https://letsencrypt.org/ To nie jest CA. To jest jakiś skrypt do zautomatyzowania procesu udostępnienia wersji TLS istniejącej usługi.Z ciekawości poczytałem to... i nadal nie wiem jak to działa ;-P. Pominęli najważniejszy element w tym - jak wygląda deployment, a zamiast tego opisali dużo teorii nie wiem komu potrzebnej. Bo teraz nie mam pojęcia czy to np zadziała z moim lighttpd.
-- Łukasz "Cyber Killer" Korpalski
mail: cyberkiller8@gmail.com xmpp: cyber_killer@jabster.pl site: http://website.cybkil.cu.cc gpgkey: 0x72511999 @ hkp://keys.gnupg.net
//When replying to my e-mail, kindly please //write your message below the quoted text.
jest filmik z tym:
https://www.youtube.com/watch?v=Gas_sSB-5SU
morr
-
antoszka -
Daniel Horecki -
enki -
Jarosław Górny -
Kuba Niewiarowski -
Maciej Sawicki -
Piotr Machała pm7 -
Radoslaw Szkodzinski -
Robert Sebastian Gerus -
rysiek -
Sergiusz 'q3k' Bazański -
spin@hackerspace.pl -
Tomasz Dubrownik -
viq -
Łukasz 'Cyber Killer' Korpalski