Re: [Ninux-Wireless] Coniglio
Tutto compilato. E' impensabile installare su tali device restano circa 400K disponibilie. Ciao Il 31 agosto 2011 08:57, ZioPRoTo (Saverio Proto) ziopr...@gmail.com ha scritto: Cavolo quanto pesano le libopenssl. su device 4Mb pesano. ma 4MB installandole al momento della compilazione del firmare o installando successivamente con opkg ? Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Tutto compilato. E' impensabile installare su tali device restano circa 400K disponibilie. quale è il problema di avere 400K in Flash disponibile ? Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
che con openssl e altri 2/3 pacchetti lo spazio si riduce a 0 e openwrt non crea l'immagine per il dispositivo incriminato. Il 01 settembre 2011 14:49, ZioPRoTo (Saverio Proto) ziopr...@gmail.com ha scritto: Tutto compilato. E' impensabile installare su tali device restano circa 400K disponibilie. quale è il problema di avere 400K in Flash disponibile ? Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Cavolo quanto pesano le libopenssl. su device 4Mb pesano. ma 4MB installandole al momento della compilazione del firmare o installando successivamente con opkg ? Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Cavolo quanto pesano le libopenssl. su device 4Mb pesano. 2011/8/26 Antonio Quartulli or...@autistici.org: On Fri, Aug 26, 2011 at 09:18:29 +0200, ZioPRoTo (Saverio Proto) wrote: cmq si tutto il payload TCP è cifrato. si in effetti hai pienamente ragione..mea culpa! ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il contenuto che invece viene criptato. Per questo motivo potresti passare il MAC in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. il MAC di livello due è visibile, ma è il mac in riferimento al pezzetto di livello due dove l'attaccante sniffa. Ma se parliamo di scrivere il MAC del dispositivo nel payload della GET HTTP allora quello non è visibile. anche il fatto che l'URL è visibile NON E' VERO stiamo parlando di HTTPS, quindi in socket SSL. Tutto il payload di TCP viene cifrato. Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Il 26 agosto 2011 08:16, ZioPRoTo (Saverio Proto) ziopr...@gmail.com ha scritto: Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il contenuto che invece viene criptato. Per questo motivo potresti passare il MAC in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. Ma invece di usare https + wget/curl e dover installare altri pacchetti non ti conviene usare ssh con una serie di chiavi precondivise? anche il fatto che l'URL è visibile NON E' VERO stiamo parlando di HTTPS, quindi in socket SSL. Tutto il payload di TCP viene cifrato. Sei sicuro Saverio che anche l'url sia criptato? Su server con virtualhost il client deve fornire l'hostname prima che il server possa fornire il certificato relativo a quell'url. ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Non è più così FYsI: Multiple (different) SSL certificates on one IP is brought to you by the magic of TLS Upgrading. It works with newer Apache servers (2.2.x) and reasonably recent browsers (don't know versions off the top of my head). RFC 2187 has the gory details, but basically it works for a lot of people (if not the majority). You can reproduce the old funky behavior with openssl's s_client command (or any old enough browser) though. 2011/8/26 Claudio claudyu...@gmail.com Il 26 agosto 2011 08:16, ZioPRoTo (Saverio Proto) ziopr...@gmail.com ha scritto: Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il contenuto che invece viene criptato. Per questo motivo potresti passare il MAC in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. Ma invece di usare https + wget/curl e dover installare altri pacchetti non ti conviene usare ssh con una serie di chiavi precondivise? anche il fatto che l'URL è visibile NON E' VERO stiamo parlando di HTTPS, quindi in socket SSL. Tutto il payload di TCP viene cifrato. Sei sicuro Saverio che anche l'url sia criptato? Su server con virtualhost il client deve fornire l'hostname prima che il server possa fornire il certificato relativo a quell'url. ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Sei sicuro Saverio che anche l'url sia criptato? Su server con virtualhost il client deve fornire l'hostname prima che il server possa fornire il certificato relativo a quell'url. infatti se vuoi fare https devi avere un IP dedicato per ogni nome, altrimenti ti da un problema col certificato, perché il server ha un certificato di default e non può scegliere quello giusto relativo al nome prima di tirare su il socket. ora mi vado a vedere questa cosa che ha postato Pierluigi che non conoscevo, cmq si tutto il payload TCP è cifrato. cmq guarda qui: http://en.wikipedia.org/wiki/Transport_Layer_Security alla sezione: Support for name-based virtual servers Saverio ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
[Ninux-Wireless] Coniglio
Ciao raga, come va? ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. Ho realizzato un piccolo script che passatogli un file che contiene istruzioni uci le applica. Una sorta di meccanismo per automatizzare la configurazione di alcuni nodi tramite wget ad un url. Il tutto funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente per mantenere un minimo di sicurezza. Più che altro vorrei sapere se quando faccio una wget passando il mac del dispositivo in post ad una pagina ssl è possibile vedere appunto il mac che ho inviato? Cioè non vorrei che qualche pirla con wireshark legga il mac e riesca a risalire alla configurazione del nodo. Scusate per la domanda sciocca e se avete suggerimenti su come rendere la cose robusta ma allo stesso tempo semplice o se sto sbagliando qualcosa. Ciao e grazi -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: Ciao raga, come va? ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. Ho realizzato un piccolo script che passatogli un file che contiene istruzioni uci le applica. Una sorta di meccanismo per automatizzare la configurazione di alcuni nodi tramite wget ad un url. Il tutto funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente per mantenere un minimo di sicurezza. Più che altro vorrei sapere se quando faccio una wget passando il mac del dispositivo in post ad una pagina ssl è possibile vedere appunto il mac che ho inviato? Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il contenuto che invece viene criptato. Per questo motivo potresti passare il MAC in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente il certificato SSL del server sui vari nodi, un eventuale attaccante che vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non riuscirebbe nel suo intento. p.s. sia wget che curl hanno opzioni per passare le variabili in post! ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
Ciao, non sono esperto in configurazioni ma so per certo che le informazioni scambiate in SSL sono cifrate quindi anche se riesce ad intercettare qualcosa non può riuscire a decifrare... in tempi utili :-). Il 26/08/2011 0.03, Filippo Sallemi ha scritto: Ciao raga, come va? ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. Ho realizzato un piccolo script che passatogli un file che contiene istruzioni uci le applica. Una sorta di meccanismo per automatizzare la configurazione di alcuni nodi tramite wget ad un url. Il tutto funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente per mantenere un minimo di sicurezza. Più che altro vorrei sapere se quando faccio una wget passando il mac del dispositivo in post ad una pagina ssl è possibile vedere appunto il mac che ho inviato? Cioè non vorrei che qualche pirla con wireshark legga il mac e riesca a risalire alla configurazione del nodo. Scusate per la domanda sciocca e se avete suggerimenti su come rendere la cose robusta ma allo stesso tempo semplice o se sto sbagliando qualcosa. Ciao e grazi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
On Fri, Aug 26, 2011 at 12:13:19AM +0200, Filippo Sallemi wrote: Grazie Antonio, sei stato chiarissimo e se ho capito bene tu consigli inoltre di mettere il certificato del server su ogni nodo in modo da rendere il più ermetico possibile il tutto. E' corretto? esatto e poi dovresti dire a wget/curl di fallire in caso di mismatching del certificato. In questo modo se qualcuno si finge server (per esempio facendo un po' di dns/arp poisoning), il tuo nodo si rifiuterebbe si scaricare i dati perchè il controllo sul certificato andrebbe a fallire! Ciau Ciao Il 26 agosto 2011 00:10, Antonio Quartulli or...@autistici.org ha scritto: On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: Ciao raga, come va? ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. Ho realizzato un piccolo script che passatogli un file che contiene istruzioni uci le applica. Una sorta di meccanismo per automatizzare la configurazione di alcuni nodi tramite wget ad un url. Il tutto funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente per mantenere un minimo di sicurezza. Più che altro vorrei sapere se quando faccio una wget passando il mac del dispositivo in post ad una pagina ssl è possibile vedere appunto il mac che ho inviato? Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il contenuto che invece viene criptato. Per questo motivo potresti passare il MAC in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente il certificato SSL del server sui vari nodi, un eventuale attaccante che vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non riuscirebbe nel suo intento. p.s. sia wget che curl hanno opzioni per passare le variabili in post! ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
Re: [Ninux-Wireless] Coniglio
ok sei stato chiarissimo ma adesso mii viene da chiedere un'altra cosa. Al momento sto usando wget-matrixssl in quanto riesco a non occupare troppo spazio sul device. Sinceramente parlando non mi dispiacerebbe usare cURL al posto di wget ma mi resta il problema che in alcuni device (es. tl-wr741nd con 4MB di flash) userei uno spazio spropositato per una semplice richiesta wget/curl in ssl. Ecco perchè avevo pensato di usare mcrypt tra php e il nodo e di avere una password comune ma anche questa soluzione non è che mi piaccia molto. Ho visto che ci sono altre implementazioni di ssl per dispositivi embedded e mi chiedevo se ci fosse qualche versione di curl/wget ufficiale che usi queste lib oppure un buon motivo per utilizzare le libopenssl a prescindere. Grazie Ciao Il 26 agosto 2011 00:18, Antonio Quartulli or...@autistici.org ha scritto: On Fri, Aug 26, 2011 at 12:13:19AM +0200, Filippo Sallemi wrote: Grazie Antonio, sei stato chiarissimo e se ho capito bene tu consigli inoltre di mettere il certificato del server su ogni nodo in modo da rendere il più ermetico possibile il tutto. E' corretto? esatto e poi dovresti dire a wget/curl di fallire in caso di mismatching del certificato. In questo modo se qualcuno si finge server (per esempio facendo un po' di dns/arp poisoning), il tuo nodo si rifiuterebbe si scaricare i dati perchè il controllo sul certificato andrebbe a fallire! Ciau Ciao Il 26 agosto 2011 00:10, Antonio Quartulli or...@autistici.org ha scritto: On Fri, Aug 26, 2011 at 12:03:30AM +0200, Filippo Sallemi wrote: Ciao raga, come va? ho bisogno di un consiglio e vorrei avere il vostro prezioso parere in merito. Ho realizzato un piccolo script che passatogli un file che contiene istruzioni uci le applica. Una sorta di meccanismo per automatizzare la configurazione di alcuni nodi tramite wget ad un url. Il tutto funziona correttamente ma mi chiedevo se usare ssl fosse sufficiente per mantenere un minimo di sicurezza. Più che altro vorrei sapere se quando faccio una wget passando il mac del dispositivo in post ad una pagina ssl è possibile vedere appunto il mac che ho inviato? Si. Se la richiesta HTTPS avviene mediante GET, il MAX sarà visibile. Questo perchè quando fai una GET (sia http che ahttps) l'url è sempre visibile. è il contenuto che invece viene criptato. Per questo motivo potresti passare il MAC in POST invece che in GET. A questo punto SSL renderà invisibile tale valore. Comunque io credo che usare SSL sia cosa buona perchè se copi staticamente il certificato SSL del server sui vari nodi, un eventuale attaccante che vorrebbe fungersi da server e far scaricare ai nodi istruzioni malevole non riuscirebbe nel suo intento. p.s. sia wget che curl hanno opzioni per passare le variabili in post! ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless -- Filippo Sallemi ___ Wireless mailing list Wireless@ml.ninux.org http://ml.ninux.org/mailman/listinfo/wireless
