| |
| 2.6, Котан (?), 11:45, 05/08/2015 [^] [^^] [^^^] [ответить]
| +11 +/– | |
Но как вы догадались, Холмс?!
В новости и говорится, что это "трюк", а не баг и не уязвимость.
| | |
| 2.36, Аноним (-), 23:50, 05/08/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
"Это не баг, это фича" - пробурчал Тео, пересчитывая микрософтовские доллары.
| | |
|
| 1.2, Какаянахренразница (ok), 10:21, 05/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +15 +/– |
 А я, блин, не мог понять, как ssh определяет, который из моих ключей использовать при аутентификации. Так он, зараза, втыкает их все по очереди, пока какой-нибудь не подойдёт... Плятт.
| | |
| |
| 2.10, Аноним (-), 12:49, 05/08/2015 [^] [^^] [^^^] [ответить]
| +7 +/– |
> А я, блин, не мог понять, как ssh определяет, который из моих
> ключей использовать при аутентификации. Так он, зараза, втыкает их все по
> очереди, пока какой-нибудь не подойдёт... Плятт.
Но ведь есть ssh_config где мало того что можно всё намертво привязать, так ещё и алиасы можно делать.
| | |
| |
| 3.17, Anonimus (??), 14:13, 05/08/2015 [^] [^^] [^^^] [ответить]
| –2 +/– |
Хорошо написанная программа никогда и ничего не использует по умолчанию, а всегда ругается на не указанные настройки; здесь же, получается, по умолчанию начинает слать и перебирать ключи -- зашибись программисты там сидят, как в МС, прямо, которые рассылают по умолчанию из смартфонов пароли "друзьям" ;)
| | |
| |
| 4.19, Аноним (-), 14:31, 05/08/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
Да, имея твой открытый ключ, люди смогут разрешить тебе ходить на их серваки. Ты в опасносте.
| | |
| |
| 5.20, Аноним (-), 14:43, 05/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Таки в опасносте. Ведь кто попало может записывать и анализировать твои посещения вплоть до полной деанонимизации (через тот же Гитхаб). Мелочь, а неприятно.
| | |
| |
| 6.21, arisu (ok), 14:54, 05/08/2015 [^] [^^] [^^^] [ответить]
| +4 +/– |
 ну так заведи для дурьхаба отдельный ключ и не суй его больше никуда.
| | |
| |
| 7.28, Аноним (-), 18:20, 05/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Это не поможет. Ведь SSH при переборе подсунет мой гитхабовский ключ на, к примеру, Битбакете. И последний будет знать, что вот этот аккаунт на нем, и тот аккаунт на Гитхабе - это аккаунт одного и того же человека. Даже если ключи я генерировал для них разные.
Положим, что способ, описанный в посте, поможет. Но почему он не задан по умолчанию? Ведь об "уязвимости" еще нужно узнать, прежде чем ее исправить. А где гарантии, что разработчики других граблей по умолчанию не положили? Изучать код? Читать мануалы? Для каждой программы? Жизни не хватит - все проверять. ИМХО ПО для безопасности, рассчитанное на обывателей, должно быть безопасным по умолчанию или хотя бы большими красными буквами предупреждать о рисках.
| | |
| |
| 8.29, arisu (ok), 18:23, 05/08/2015 [^] [^^] [^^^] [ответить] | –1 +/– | обыватели ssh отличная шутка, евгений ваганович а мануалы, конечно, читать не... текст свёрнут, показать | | |
| |
| 9.31, Аноним (-), 18:42, 05/08/2015 [^] [^^] [^^^] [ответить] | –1 +/– | Никаких шуток Чтобы пользоваться ssh не обязательно быть экспертом по криптогра... текст свёрнут, показать | | |
| |
| 10.33, arisu (ok), 19:00, 05/08/2015 [^] [^^] [^^^] [ответить] | –1 +/– | видишь ли, у 171 занятых своим делом людей 187 есть специальные сотрудники, ... текст свёрнут, показать | | |
| |
| 11.37, Аноним (-), 23:58, 05/08/2015 [^] [^^] [^^^] [ответить] | +1 +/– | И тем не менее, Кэп, западло в дефолтах в программе которая по части секурити - ... текст свёрнут, показать | | |
| |
| |
| |
| 14.51, arisu (ok), 00:40, 06/08/2015 [^] [^^] [^^^] [ответить] | –1 +/– | есть мнение, что очки нужны тому, кто вместо 171 никакого западла 187 умудря... текст свёрнут, показать | | |
| 14.53, Ytch (ok), 01:58, 06/08/2015 [^] [^^] [^^^] [ответить] | +/– |  Ну, несмотря на недостатки, сколько я не обновлял ssh оно ещё ни разу не преврат... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 6.27, Crazy Alex (ok), 18:13, 05/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
 А анонимность - вообще нифига не штатный режим работы в интернете. Хочешь анонимности - настраивай.
| | |
| |
| 7.32, Аноним (-), 18:46, 05/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
Нет, всего лишь хочу, чтобы программы делали то, что заявлено без таких совершенно необязательных побочных эффектов, как этот.
| | |
| |
| |
| 9.38, Аноним (-), 23:59, 05/08/2015 [^] [^^] [^^^] [ответить] | +1 +/– | Оно делает то что нигде так по простому и громко не заявлено - шлет вообще все к... текст свёрнут, показать | | |
| |
| |
| |
| 12.50, arisu (ok), 00:38, 06/08/2015 [^] [^^] [^^^] [ответить] | +1 +/– | тогда расскажи, как ты себе представляешь механизм назначения соответствий ключу... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| 4.66, Аноним (-), 12:28, 10/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
Зашибись ты специалист. Если не знал об этом, значит никогда не запускал ссш-клиента в дебаге.
| | |
|
|
| 2.23, Anonplus (?), 17:33, 05/08/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
Что интересно, PuTTY, над которым на этом ресурсе принято потешаться, требует явного указания конкретного ключа для каждой сессии, и такой хренью, как отдача хосту всех ключей по одному, не занимается.
| | |
| |
| 3.24, arisu (ok), 17:37, 05/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
что не менее интересно — ssh тоже так умеет. но читать документацию — это же западло!
| | |
| |
| 4.39, Аноним (-), 00:05, 06/08/2015 [^] [^^] [^^^] [ответить]
| +2 +/– |
Не, вот извините. Западло - это когда программы пытаются умничать и в результате оказывают медвежью услугу. Подтерев своему обладателю зад наждачкой. С аргументом "извините, туалетной бумаги нет".
| | |
| |
| 5.40, arisu (ok), 00:17, 06/08/2015 [^] [^^] [^^^] [ответить]
| –1 +/– |
нет тут никакого западла и никаких медвежьих услуг. юзер не прочитал документацию, наложил кучу ключей? так пусть не использует консольный ssh, для него это слишком сложно.
| | |
| |
| 6.46, Аноним (-), 00:22, 06/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> нет тут никакого западла и никаких медвежьих услуг. юзер не прочитал документацию,
> наложил кучу ключей? так пусть не использует консольный ssh, для него
> это слишком сложно.
Ну окей, я подумаю над этим. Софт который без спроса отсылает пачку ключей на левые серваки - это нечто типа openssl. И тут скорее уже на грани чтения исходников. Как, не почитал исходники? Ну получи, лох! Где-то я такую логику видел. Виндой, кажется, называлось.
| | |
| 6.55, Ytch (ok), 02:36, 06/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> нет тут никакого западла и никаких медвежьих услуг. юзер не прочитал документацию,
> наложил кучу ключей? так пусть не использует консольный ssh, для него
> это слишком сложно.
Да даже без документации, вот наложив кучу ключей, как можно не задаться вопросом "а как ssh поймет куда какой совать?". А если такие вопросы не возникают (что показатель что юзер и знать этого не хочет, а хочет чтоб автоматически все как-нибудь сработало), то как можно потом ругаться что "ssh делает что-то не так", ведь он сделал именно что от него и хотели - автоматически разобрался с неопределенностью ))
| | |
| |
| 7.56, Какаянахренразница (ok), 06:31, 06/08/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> как можно не задаться вопросом "а как ssh поймет куда какой совать?".
Вопрос такой возникает. Но, если ответа на него нет (нет времени читать документацию, нет навыка править конфиг, или просто мазгов мало), то приходится полагаться на дефолт. А дефолт, как оказывается, имеет пользователя во все... то есть сует все ключи подряд во все скважины.
Обидно.
| | |
| |
| |
| |
| |
| |
| 12.62, arisu (ok), 18:13, 07/08/2015 [^] [^^] [^^^] [ответить] | +/– | это твои личные проблемы зачем ты полез туда, где наличие рабочих, невыключеных... текст свёрнут, показать | | |
| |
| |
| 14.68, arisu (ok), 19:18, 11/08/2015 [^] [^^] [^^^] [ответить] | –1 +/– | ну, устраивайте кружки безмозглых дебилов и там жалуйтесь друг другу нет потом... текст свёрнут, показать | | |
| |
| |
| 16.70, arisu (ok), 16:31, 12/08/2015 [^] [^^] [^^^] [ответить] | +/– | а вот это пока всё ещё только ваши влажные мечты я понимаю, что тебе не хочется... текст свёрнут, показать | | |
| |
| |
| 18.72, arisu (ok), 22:07, 13/08/2015 [^] [^^] [^^^] [ответить] | +/– | это опять ваша личная беда продолжайте жаловаться и крепчать, пока вас сношают ... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
| 2.13, Аноним (-), 13:49, 05/08/2015 [^] [^^] [^^^] [ответить]
| +3 +/– |
проверил. не определяет. фуфло.
> А может у тебя нет аккаунта на гитхабе? | | |
| 2.42, Аноним (-), 00:17, 06/08/2015 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> проверил. не определяет. фуфло.
Дык у тебя поди нет ключа на гитхабе. Не отменяет того факта что оно льет все ключи абы какой ремоте по дефолту, что как бы EPIC FAIL.
Представь себе картину маслом: Вася - устраивает кому-то "apt". Не тот который get. А тут как раз Петя из интересующей группы забредает на подставной сервак. Очень удобно, знаешь ли, ненавязчиво и беспаливно посмотреть - куда этот Петя доступ вообще имеет. И имеет ли смысл дальше его атаковать, или же стоит переключиться на другую мишень, более интересную. В эпоху когда могут ненавязчиво пропатчить фирмварь HDD - такие вещи уже не смотрятся безобидно.
| | |
|
| 1.8, XoRe (ok), 12:17, 05/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 $ ssh whoami.filippo.io
The authenticity of host 'whoami.filippo.io (178.32.139.168)' can't be established.
RSA key fingerprint is c8:9a:b0:9d:59:96:24:37:70:4c:ef:eb:31:47:68:40.
Are you sure you want to continue connecting (yes/no)? no
Host key verification failed.
В конце концов, в ssh не просто так спрашивают "(yes/no)?"
| | |
| |
| 2.9, Аноним (-), 12:48, 05/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
Но ведь это yes/no совсем про другое. Оно же в первый раз на любой хост спрашивает.
| | |
| |
| 3.14, XoRe (ok), 13:54, 05/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Но ведь это yes/no совсем про другое. Оно же в первый раз
> на любой хост спрашивает.
Именно.
В этот момент у пользователя есть выбор, передавать ли информацию обо всех своих публичных ключах на новый хост, на который он ни разу не заходил.
| | |
| |
| 4.44, Аноним (-), 00:18, 06/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
> В этот момент у пользователя есть выбор, передавать ли информацию обо всех
> своих публичных ключах на новый хост, на который он ни разу не заходил.
Вот только этот момент совершенно не очевиден тем кто не в курсе интимных особенностей криптографии и весьма тонких деталей реализации в openssh.
| | |
| |
| 5.54, Ytch (ok), 02:13, 06/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> В этот момент у пользователя есть выбор, передавать ли информацию обо всех
>> своих публичных ключах на новый хост, на который он ни разу не заходил.
> Вот только этот момент совершенно не очевиден тем кто не в курсе
> интимных особенностей криптографии и весьма тонких деталей реализации в openssh.
Зато это предупреждение требует от тебя явно сказать yes, после которого из громкой фразы "шлет все ключи кому попало" вычеркивайте часть про "кому попало". Вы (и только вы) приняли решение вообще попытаться подключиться к чему-то чего ssh ранее не знал, и повторно подтвердили ещё свое желание. А если из фразы убрать про кому попало, а перед словом "ключи" добавить слово "публичные", то фраза становится безобидной (хоть и неприятной из-за слова "все").
Лично я вообще не понимаю как так можно - вот ты создал специальный, отдельный ключ для работы с каким-то сервисом (уже заморочился и не поленился), как его можно взять и не прописать в конфиг? Надеясь на что? Что ssh угадает причем именно с первого раза какой из вороха ключей ему использовать?
| | |
|
| 4.73, freehck (ok), 08:51, 21/06/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > В этот момент у пользователя есть выбор, передавать ли информацию обо всех своих публичных ключах на новый хост, на который он ни разу не заходил.
А почему меня как пользователя вообще должно волновать, что я передаю кому-то свои публичные ключи? На то они ведь они и публичные.
>> Но ведь это yes/no совсем про другое.
А y/n тут про то, что ssh предлагает Вам удостовериться, что Вы подключаетесь именно к тому хосту, к которому хотите, а не к хитрожопому посреднеку.
| | |
|
|
| 2.11, Аноним (-), 13:02, 05/08/2015 [^] [^^] [^^^] [ответить]
| –3 +/– |
Для тупеньких: в твоей базе открытых ключей нет такого хоста, ssh-клиент тебя спрашивает добавить или нет. Если ключ подменят, то клиент тебе скажет, что ключ сменился.
| | |
| |
| 3.15, XoRe (ok), 13:57, 05/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Для тупеньких: в твоей базе открытых ключей нет такого хоста, ssh-клиент тебя
> спрашивает добавить или нет. Если ключ подменят, то клиент тебе скажет,
> что ключ сменился.
Просто попробуйте посмотреть дальше собственного носа.
В этот момент пользователь может остановиться и подумать, передавать ли информацию обо всех своих публичных ключах на новый хост, на который он ни разу не заходил?
Или нажать "no" и добавить в .ssh/config настройки для этого хоста.
| | |
| |
| 4.30, angra (ok), 18:24, 05/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
 А смотрящим дальше своего носа не приходила идея подумать о цели конекта еще при наборе команды?
Ну и никакого выбора насчет передачи ключей на этом вопросе нет. Это вопрос о продолжении соединения. Методы аутентификации задаются в другом месте.
| | |
| 4.49, Аноним (-), 00:38, 06/08/2015 [^] [^^] [^^^] [ответить]
| +1 +/– |
> В этот момент пользователь может остановиться и подумать, передавать ли информацию обо
> всех своих публичных ключах на новый хост,
Когда Вася конектится к гитхабу - ему совершенно не очевидно что какое-нибудь АНБ (или просто очередные хацкеры гитхаба, коих уже бывали целые полчища), поднажавшее на админов гитхаба (или просто разломав их сервак) - резвенько получит полный список ресурсов, где у Васи вообще права были. А дальше уже можно намного прицельнее атаковать наиболее интересных Вась. А не всяких скрипткидей с доступом только на свой локалхост.
| | |
| |
| 5.52, arisu (ok), 00:43, 06/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
> Когда Вася конектится к гитхабу - ему совершенно не очевидно что какое-нибудь
> АНБ (или просто очередные хацкеры гитхаба, коих уже бывали целые полчища),
> поднажавшее на админов гитхаба (или просто разломав их сервак) - резвенько
> получит полный список ресурсов, где у Васи вообще права были.
более того: это и мне не очевидно. можно полюбопытствовать, каким образом они это сделают? а‐а‐а, вася дебил, и у него один публичный ключ для всего? дак дебилов защищать бессмысленно: они любую защиту поставят раком, даже не заметив этого.
| | |
|
|
|
|
| 1.16, Аноним (-), 14:08, 05/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
у меня 14 ключей, а перебирает только первые 3. До гитхабовского ключа даже не доходит.
| | |
| |
| 2.63, ixti_логиниться_лень (?), 23:18, 07/08/2015 [^] [^^] [^^^] [ответить]
| +/– | |
Ну потому, что крикуны выше даже после отсылки в маны не стали их читать и предпочли дальше пищать про не удобные узкие штаны. SSH не посылает все ключи. Он пытается использовать вполне определённые ключи (разные алгоритмы шифрования) identity, id_dsa, ..., id_rsa
Так вот если у тебя ключ-пара .ssh/githib/id_rsa{,.pub} или .ssh/id_rsa_for_github{,.pub} то они будут использованы ТОЛЬКО при явном запросе (IdentityFile в конфиге для хоста или -i параметр командной строки)
| | |
|
| 1.22, Аноним (-), 15:32, 05/08/2015 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
парсер конфигов ssh очень фигово сделан, опции тоже не удобно моделировать и нету regexp масок.
| | |
| |
| 2.26, Аноним (-), 17:51, 05/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
> парсер конфигов ssh очень фигово сделан, опции тоже не удобно моделировать и
> нету regexp масок.
Оно открытое - усовершенствуй!
| | |
| |
| 3.45, Аноним (-), 00:19, 06/08/2015 [^] [^^] [^^^] [ответить]
| +/– | |
> Оно открытое - усовершенствуй!
Учитывая что оно течет туеву хучу информации о траффике в сессии - усовершенствовать его надо гильотиной^W rm -rf.
| | |
|
|
| |
| 2.65, Alexey (??), 22:01, 08/08/2015 [^] [^^] [^^^] [ответить]
| +/– |
Ну только низкий %% пользователей с персональными ключами SSL в веб браузерах не даст такого фифекта как с SSH. А так да, все тоже самое (даже хуже, я не помню чтото опций в браузерах по привязке ключей из стора к серерам, т.е. сливаться будут всем, по их запросу.).
| | |
|
|
