Problem z certyfikatem FunBox 2.0

j131 · ‎29-06-2021

@ketrasaArturprzeglądarki wchodząc na stronę po https domyślnie sprawdzają certyfikat. Gdzie jest ta strona nie ma żadnego znaczenia, jak niby przeglądarka miałaby to wiedzieć?

@agat13no właśnie: po co zainstalowano w modemach strony konfiguracyjne obsługiwane przez https skoro wiadomo że normalne wspieranie tego protokołu nie było przewidziane? Pytam retorycznie 🙂.

IMHO obyłoby się bez tej dyskusji gdyby żadnych certyfikatów nie było a strony konfiguracyjne były serwowane wyłacznie przez otwarte http.

W sumie to data ważności certyfikatu to tylko jeden problem - centrum certyfikacji też nie jest wiarygodne, żeby to działało bezproblemowo to trzebaby więcej niż tylko daty ważnosci pozmieniać.

Argument jakoby te certyfikaty miały finansowo operatora obciążyć ponad miarę jest, oględnie mówiąc, naciągany.

Anonim · ‎29-06-2021

@Anonimnapisał(-a)
Jest problem z certyfikatem ponieważ jest nie ważny a to jest problematyczne przy https ważność ubiegła 29 czerwca 2020 chciałbym żeby Orange to odnowiło...

Zacznę od początku... W czym nieważny certyfikat ci przeszkadza? Dostęp do konfiguracji z wewnątrz sieci LAN masz, więc nikt ci tej strony nie podmieni i wykradnie hasła, inna sprawa że jak boisz się o swoje hasło, to jest aplikacja Mój FunBox i z niej korzystaj.

Tak poza tematem gro producentów routerów też ma nieaktualne certyfikaty strony konfiguracji, mi to nie przeszkadza, ci co się boją, to są aplikacje, korzystać z nich.

Jeszcze dopiszę 😎

@ketrasaArturnapisał(-a)
@j131 tak to przecież z postów wynika, że chodzi o dostęp do FunBox-a przez www. Nie wiem tylko, czemu korzystając z wewnętrznego połączenia przeglądarki żądają aktualnego certyfikatu. Raczej widzę tu problem po stronie przeglądarek internetowych niż po stronie Orange. Certyfikat kosztuje, więc raczej nie liczę na szybką jego aktualizację.

Przeglądarka nie żąda aktualnego certyfikatu, informuje tylko o braku jego ważności, nie jest to problem przeglądarki, problem jest wtedy jak takiej strony nie otwiera.

j131 · ‎30-06-2021

@Anonimnapisał(-a)
...
jak boisz się o swoje hasło, to jest aplikacja Mój FunBox i z niej korzystaj...

To nie jest takie oczywiste bo aplikacja działa tylko i wyłącznie po WiFi FB, jeśli WiFi w FB jest wyłączone to nic w ten sposób nie zrobisz.

Anonim · ‎30-06-2021

@j131 jeśli bez wi-fi, to tylko po LAN, jest dostęp do panelu admina, tu dygresja, że duży odsetek ma admin i hasło admin, nikt nie wzmacnia ochrony, to po co aktualny certyfikat do panelu, szczerze to ja nie wiem, ba nie rozumię autora tematu, jeśli nie ma dostępu zdalnego aktywnego do panelu, to certyfikat aktualny zbędny, gro producentów routerów, dlatego go nie aktualizuje, nikt z użytkowników TP-Link nie narzeka, a obstawiam że jak ja ma certyfikat z 2020 roku, więc co tu oczekiwać w temacie?

j131 · ‎01-07-2021

@Anonim: Z całym szacunkiem, ale pozwolę sobie nie zgodzić się z Twoim punktem widzenia i oświadczyć, że rozumiem problem przedstawiony przez @Anonim. Nie o to chodzi czy użytkownik jest czy nie jest świadom potrzeby jakiegokolwiek wzmocnienia ochrony. Chodzi o to, że jeśli po prostu próbuje się wejść na stronę konfiguracyjną FB dowolną aktualną przeglądarką, normalnie przez LAN, to domyślnie przyjmowany jest protokół https. FB próbuje się dostosować i akceptuje połączenie https ale nie legitymuje się przeglądarce akceptowalnym certyfikatem. Użytkownik tego wszystkego nie musi wiedzieć. Jednak efekt jest taki, że nie wyświetla mu się panel sterowania FB tylko ostrzeżenie o zagrożeniu bezpieczeństwa. Pytasz po co jest potrzebny aktualny certyfikat? No właśnie po to żeby panel administracyjny był dostępny bez wykonywania niestandardowych działań. Mówisz że tobie to nie przeszkadza - oczywiście, przecież nie używasz tego sprzętu. Mnie również to nie przeszkadza bo wiem jak to obejść i jestem świadom kontekstu i ewentualnego ryzyka, tak jak napisałem powyżej. Ale doskonale sobie mogę wyobrazić że komuś może to przeszkadzać. Z jednej strony oczekuje się od niego wyczulenia na punkcie cyberbezpieczeństwa, a z drugiej zmusza do zaakceptowania trudnego do zrozumienia wyjątku przy trywianym wejściu na panel konfiguracyjny dzierżawionego sprzętu. W dodatku operator o takiej ewentualności nie ostrzega ani nie informuje. Na pewno nie poprawia to wizerunku operatora. Nikt Orange nie zmuszał do implementowania panelu konfiguracyjnego w protokole https, skoro już to jest zrobione to powinnna być utrzymana elementarna funkcjonalność.

PS. Domyślne hasło do panelu konfiguracyjnego FB jest całkiem nietrywialne i niemożliwe do zgadnięcia, na pewno nie "admin". IMHO odsetek Funboxów z hasłem "admin" wynosi zero. Natomiast loginu admina nie da się zmienić i faktycznie musi to być "admin".

slav72 · ‎01-07-2021

@j131napisał(-a)
Jednak efekt jest taki, że nie wyświetla mu się panel sterowania FB tylko ostrzeżenie o zagrożeniu bezpieczeństwa.

@j131 mi się wyświetla panel sterowania FB, a nie żadne ostrzeżenie o zagrożeniu bezpieczeństwa.

Ostrzeżenie jest tylko na pasku adresowym o niezabezpieczonej stronie i tylko tyle.

j131 · ‎01-07-2021

@slav72: no dobrze, trochę się zagalopowałem twierdząc że wszystkie przeglądarki tak samo zareagują i nie otworzą strony bez dodatkowej interakcji z użytkownikiem. To oczywiście zależy od domyślnej konfiguracji przeglądarki i nie mogłem wiedzieć na pewno jaka jest domyślna konfiguracja w każdym przypadku. Panel się otworzy jeśli przeglądarka dogada się z FB że jednak lepiej się im rozmawia po http. Tak się np. u mnie zachowuje Chrome. Ale już Firefox z trudem daje się przebłagać.

Kolejne wersje przeglądarek będą prawdopodobnie pod tym względem tylko coraz bardziej restrykcyjne więc IMHO problem będzie narastał.

PS. Firefox wyświetla mi coś takiego:

A chrome jeśli się uprę że ma być https:

Po http oczywiście panel otwiera się normalnie.

Anonim · ‎01-07-2021

@j131napisał(-a)

@Anonim: Z całym szacunkiem, ale pozwolę sobie nie zgodzić się z Twoim punktem widzenia i oświadczyć, że rozumiem problem przedstawiony przez @Anonim. Nie o to chodzi czy użytkownik jest czy nie jest świadom potrzeby jakiegokolwiek wzmocnienia ochrony. Chodzi o to, że jeśli po prostu próbuje się wejść na stronę konfiguracyjną FB dowolną aktualną przeglądarką, normalnie przez LAN, to domyślnie przyjmowany jest protokół https. FB próbuje się dostosować i akceptuje połączenie https ale nie legitymuje się przeglądarce akceptowalnym certyfikatem. Użytkownik tego wszystkego nie musi wiedzieć. Jednak efekt jest taki, że nie wyświetla mu się panel sterowania FB tylko ostrzeżenie o zagrożeniu bezpieczeństwa. Pytasz po co jest potrzebny aktualny certyfikat? No właśnie po to żeby panel administracyjny był dostępny bez wykonywania niestandardowych działań. Mówisz że tobie to nie przeszkadza - oczywiście, przecież nie używasz tego sprzętu. Mnie również to nie przeszkadza bo wiem jak to obejść i jestem świadom kontekstu i ewentualnego ryzyka, tak jak napisałem powyżej. Ale doskonale sobie mogę wyobrazić że komuś może to przeszkadzać. Z jednej strony oczekuje się od niego wyczulenia na punkcie cyberbezpieczeństwa, a z drugiej zmusza do zaakceptowania trudnego do zrozumienia wyjątku przy trywianym wejściu na panel konfiguracyjny dzierżawionego sprzętu. W dodatku operator o takiej ewentualności nie ostrzega ani nie informuje. Na pewno nie poprawia to wizerunku operatora. Nikt Orange nie zmuszał do implementowania panelu konfiguracyjnego w protokole https, skoro już to jest zrobione to powinnna być utrzymana elementarna funkcjonalność.

PS. Domyślne hasło do panelu konfiguracyjnego FB jest całkiem nietrywialne i niemożliwe do zgadnięcia, na pewno nie "admin". IMHO odsetek Funboxów z hasłem "admin" wynosi zero. Natomiast loginu admina nie da się zmienić i faktycznie musi to być "admin".

Nie wiem jak masz ustawioną przeglądarkę, ba OS, ale sprawdziłem u brata na FB 2.0 i normalnie panel administracyjny się otwiera, fakt że nieważny certyfikat, to nie powinno zaistnieć, ale da się z tym żyć i zagrożenia z sieci nie ma, tak na marginesie Firefox to kapryśna i awaryjna przeglądarka, korzystam z Opery i Edge, nie mam z nimi problemów, co do hasła vs panel, to instalatorzy to często upraszczają, by użytkownik bez wysiłku się zalogował, zresztą dostęp jest z wewnątrz sieci, to zagrożenie znikome, chyba że dzieciaki rodzicą zmieniają ustawienia, wtedy hasło jest silniejsze.

________________
* Wpis poddany edycji – moderator Kinga