Hola Sergio,
Entesos... però a la pràctica, quan jo entro a "lacaixa.es" ja se que
estic entrant a la caixa, o a google.com o a facebook.com... O sigui,
que no se si caldrien gaires comprovacions ni trucades telefòniques...
(ara suposo que em deixo algun furat de seguretat, oi?). Els únics
"avisos" que serien sospitosos estarien a webs petites, a on si no tinc
clar el tema, doncs surto i punt (o em prenc la molèstia de fer les
trucades, com dius...).
Si desactivo el "mode paranoic", suposo que en ser un sistema tant usat,
els principals agents de la cadena (bancs, googles, mozilles) son els
primers interessats que el sistema sigui confiable i més o menys s'ho
muntaran per gestionar bé el tema...
I d'altra banda, si el tema de la llebre siriana i aquest certificat
insegur ha sigut corregit en una setmana i poc per debian, llavors
retiro part del que he escrit i només he de reconèixer que, com a
contrapart a usar aplicacions una mica antigues (mozilla 3.5), tinc un
sistema molt robust en els aspectes de seguretat ;-)
Pd.: les actualitzacions de seguretat només afecten a l'estable, oi? No
pas a la testing (que en tot cas incorpora millores com a part del seu
procés d'actualització de paquets, oi?):
Fins ara,
Joan
Al 05/09/11 20:13, En/na Sergio Oller ha escrit:
Hola,
El 5 de setembre de 2011 19:05, Joan <[email protected]
<mailto:[email protected]>> ha escrit:
A l'Iceweasel de la estable també hi era (ja l'he tret).
La meva pregunta és:
- si la debian estable prioritza la seguretat, ens hem d'aconformar
amb una versió antiga del navegador (po fale), però, com és que la
supressió d'aquest certificat no està programada???
No sé si algú hi treballa, algú ha posat un informe d'errors?
- si esborro TOTS els certificats, perdo algo? Per què punyetes he
de tenir certificats d'empreses externes activats per defecte?
Intento explicar-ho de la manera més simple que se m'acut:
La seguretat es basa en la confiança. Si no tens cap certificat marcat
com "de confiança" i vols usar un servei (per exemple) de "banca online"
quan visitis la pàgina del teu banc et sortirà un avís: "This Connection
is Untrusted" (No es confia en la connexió) i hauràs d'afegir el
certificat a la llista manualment. Ara bé, abans d'afegir-lo, si ets una
persona responsable, aniràs a la oficina del banc -o si confies en el
telèfon trucaràs per telèfon- i els preguntaràs si la clau pública del
certificat (que hauràs imprès) és correcta o no.
Un cop et confirmin la clau, podràs afegir el certificat a la llista de
confiança amb tota tranquil·litat.
Com pots veure, això és molt pesat i no és raonable fer-ho amb cada web
(imagina que cada usuari truca a Google o Facebook!) de manera que el
banc decideix anar a *entitat de certificació* a que li signi el
certificat i l'*entitat de certificació* va al *navegador web* i diu
«sóc de fiar».
Llavors el *navegador* audita la fiabilitat de l' *entitat de
certificació* i si troba que «és de fiar», llavors l'afegeix a la llista
d'emissors de certificats de confiança que suggereixes esborrar.
Darrera de tot això acaba sortint un negoci: Si vols tenir un
certificat, paga'm 100€/any, que jo he de pagar auditories. I dels
negocis surten "interessos impurs" i tot el que vulguis.
També hi ha grups (http://www.cacert.org/) que es dediquen a fer el que
fan aquestes empreses de franc, però clar... les auditories amb
voluntaris van molt més lentes.
Jo no esborraria els certificats si no tens un bon motiu, perquè (a
Mozilla com a mínim) s'ho miren bastant pel que tinc entès.
Si la fletxa "->" vol dir "relació de confiança":
Usuari -> Navegador web -> Entitat certificadora -> Banc.
Si trenques el primer pas (Usuari -> Navegador), la cadena queda
trencada i has de revisar tots els certificats a mà.
Espero haver contestat la pregunta.
Salut i merci Hubble,
Joan Cervan
Salut,
Sergio Oller
--
Joan Cervan i Andreu
http://personal.calbasi.net
"El meu paper no és transformar el món ni l'home sinó, potser, el de ser
útil, des del meu lloc, als pocs valors sense els quals un món no val la
pena viure'l"
A. Camus
i pels que teniu fe:
"Déu no és la Veritat, la Veritat és Déu"
Gandhi
--
To UNSUBSCRIBE, email to [email protected]
with a subject of "unsubscribe". Trouble? Contact [email protected]
Archive: http://lists.debian.org/[email protected]
