Piratpartiets mötesplattform


 
 
Ämnesverktyg Sök i det här ämnet Visningsalternativ
  (#1) Gammal
rost Inte uppkopplad
 
Inlägg: 79
Reg.datum: Jul 2009
Standard Röstkodsystemet - 2010-10-31, 14:15

Hej!

Är inte röstkodsystemet rätt så exponerat för MITM-attacker, då dessa koder inte går över ett krypterat protokoll?

http://vbulletin.piratpartiet.se/ind...ey2=getPollKey
   
  (#2) Gammal
Johan mlg Karlsson Inte uppkopplad
 
Johan mlg Karlssons avatar
 
Inlägg: 1 426
Reg.datum: Mar 2009

Länk: #244318
Standard Sv: Röstkodsystemet - 2010-10-31, 14:48

Som så mycket annat, jo.

Tyvärr kan vi enbart jobba med dom verktyg som finns och partiledningen har ansett att det inte behövs något SSL-cert på burken som kör forumet.


Det här är min signatur. Its my sig.
   
  (#3) Gammal
rost Inte uppkopplad
 
Inlägg: 79
Reg.datum: Jul 2009

Länk: #244332
Standard Sv: Röstkodsystemet - 2010-10-31, 15:11

Eller ännu värre, att MITM:a någons cookie-session och rösta i hans/hennes namn... förkastligt.
Men man har lagt ner krut på att skapa en 40-bitars röstkod... till ingen nytta alls.
   
  (#4) Gammal
Johan mlg Karlsson Inte uppkopplad
 
Johan mlg Karlssons avatar
 
Inlägg: 1 426
Reg.datum: Mar 2009

Länk: #244352
Standard Sv: Röstkodsystemet - 2010-10-31, 16:08

Citat:
Ursprungligen postat av rost Visa inlägg
Eller ännu värre, att MITM:a någons cookie-session och rösta i hans/hennes namn... förkastligt.
Men man har lagt ner krut på att skapa en 40-bitars röstkod... till ingen nytta alls.
Det går inte att hijacka någons session bara genom att sno kakorna.

Röstverifieringssystemet är för övrigt inte alls meningslöst. Ja, det stämmer att det finns en liten risk att någon får reda på koderna genom en MITM-attack, men risken att någon får reda på dom genom att spionera över axeln är betydligt högre.

Dessutom så GÖR det jobbet; det är möjligt att verifiera att alla röster räknats och att inga röster lagts till.


Det här är min signatur. Its my sig.
   
  (#5) Gammal
rost Inte uppkopplad
 
Inlägg: 79
Reg.datum: Jul 2009

Länk: #244356
Standard Sv: Röstkodsystemet - 2010-10-31, 16:22

Citat:
Ursprungligen postat av Johan mlg Karlsson Visa inlägg
Det går inte att hijacka någons session bara genom att sno kakorna.

Röstverifieringssystemet är för övrigt inte alls meningslöst. Ja, det stämmer att det finns en liten risk att någon får reda på koderna genom en MITM-attack, men risken att någon får reda på dom genom att spionera över axeln är betydligt högre.

Dessutom så GÖR det jobbet; det är möjligt att verifiera att alla röster räknats och att inga röster lagts till.
Sno kakor gör man oftast genom att ta sig in i någons nätverk (t.ex. okrypterat/krypterat WLAN). Detta betyder att man även har samma IP-adress utåt som han/hon som initierat kakorna hade. Vad mer för kontroller har forumet än att kakorna och IP-adressen är på sin plats?

Sedan anser jag att i dagens osäkra samhälle så är inte risken så otroligt mycket högre att bli över-axeln-tittad än att bli "tittad på" via en MITM-attack, om nu det är så att någon verkligen vill ta reda på röstkoden. De flesta över-axeln-tittningarna är rena misstag bara.

Så länge det finns säkerhetsbrister av sådana kaliber, så tycker jag att röstkoderna gör mer skada än nytta, då dessa ger en falsk säkerhetsbild för de som inte är insatta.
   
  (#6) Gammal
Johan mlg Karlsson Inte uppkopplad
 
Johan mlg Karlssons avatar
 
Inlägg: 1 426
Reg.datum: Mar 2009

Länk: #244368
Standard Sv: Röstkodsystemet - 2010-10-31, 16:52

Sitter man och jobbar över ett öppet nätverk så hjälper det inte att skicka datat över https, det är ändå fullt möjligt att plocka kakorna. Det är inte partiets uppgift att se till att man har en säker anslutning i sin ände.

Vidare så är röstverifieringslistorna en försäkring mot just att ingen ska kunna hijacka din röst eftersom du med hjälp av dom faktiskt kan kontrollera att din röst räknades som den skulle.


Det här är min signatur. Its my sig.
   
  (#7) Gammal
rost Inte uppkopplad
 
Inlägg: 79
Reg.datum: Jul 2009

Länk: #244386
Standard Sv: Röstkodsystemet - 2010-10-31, 17:56

Citat:
Ursprungligen postat av Johan mlg Karlsson Visa inlägg
Sitter man och jobbar över ett öppet nätverk så hjälper det inte att skicka datat över https, det är ändå fullt möjligt att plocka kakorna. Det är inte partiets uppgift att se till att man har en säker anslutning i sin ände.

Vidare så är röstverifieringslistorna en försäkring mot just att ingen ska kunna hijacka din röst eftersom du med hjälp av dom faktiskt kan kontrollera att din röst räknades som den skulle.
Inte riktigt rätt där. Det hjälper visst med end to end krypto. Sessionskakorna blir ju då krypterade och man kan inte sniffa åt sig dessa. I ett sådant fall behöver man hacka sig in i någons dator, inte bara nätverk. Att hacka någons dator är otroligt mycket svårare.

När det gäller röstkoderna så syns ju inte det att man röstat förrän man själv aktivt klickar på länken till koderna. Röstar man inte så klickar man inte heller, vilket kan leda till att dessa går obemärkt förbi under en väldigt lång tid.
   
 

Ämnesverktyg Sök i det här ämnet
Sök i det här ämnet:

Avancerad sökning
Visningsalternativ

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
vBulletin Skin developed by: vBStyles.com