forum.opennet.ru

"Взлом аккаунта в удостоверяющем центре Comodo привёл к генер..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Заметили полезную информацию ? Пожалуйста добавьте в FAQ на WIKI.

. "Взлом аккаунта в удостоверяющем центре Comodo привёл к генер..."	+/–
Сообщение от Аноним (-), 26-Мрт-11, 12:58
> Если программа не может подтвердить легитимность сертификата то она не должна давать пользователю права совершать транзакцию Ну так вот и получается, если сторонний OCSP сервер оказался в дауне по внутренним причинам, задосили, скомпроментировали, роутер сбойнул, и т.п, то наша организация сразу атакуется толпой хомяков, теряет клиентов, а потом этой толпой атакуется OCSP сервер, если поднимется. Представьте что по этому принципу начнет работать не ноль целых хренадцать десятых, а большая часть сайтов. Далеко не всегда как вы говорите возможно организовать соответствующую архитектуру, а терять клиентов никому не хочется, по этому и сделали возможность отложенной проверки, а она повлекла возможность подлома.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Взлом аккаунта в удостоверяющем центре Comodo привёл к генер..., opennews, 24-Мрт-11, 12:11 [смотреть все]

Для защиты от подмены сертификатов есть хорошее расширение для Firefox - Certifi, Аноним, 24-Мрт-11, 12:11 (1) //
- Вы думаете народ при этом станет звонить в ЦС и уточнять правда ли у них изменил, Аноним, 24-Мрт-11, 12:32 (7) //
  - Звонить не обязательно К примеру было бы видно, что гугловский сертификат выдан, Аноним, 24-Мрт-11, 13:01 (11) //
    - Дык там же что угодно написать можно, он же не оригинальный а подмененный, челом, Аноним, 24-Мрт-11, 13:07 (13)
      - нельзя, в сертификате от комодо будет написано что он от комодо , Одмин, 25-Мрт-11, 00:33 (49)
        
        на заборе тоже много че написано, а в реальности есть косяки, читайте ниже, Аноним, 25-Мрт-11, 00:40 (50)
        
        Где именно ниже, а то уже много Ну и написанное на заборе не валидируется по п, Michael Shigorin, 25-Мрт-11, 21:14 (57)
- Будет интересней, если поломают просроченные сертификаты которые необходимы Wind, Комментатор, 24-Мрт-11, 19:01 (33)
Полезная ссылка на описание того, как люди из Tor project разбирались с этой п, Аноним, 24-Мрт-11, 12:12 (2)
Открытая децентрализованная p2p валидация Систему можно будет свалить только пр, Аноним, 24-Мрт-11, 12:15 (3) //
- соединение по изначально защищенному каналу, т е хранить на клиенте закрытый , Аноним, 24-Мрт-11, 12:42 (10) //
  - Выше отпостившим авторам и по тексту новости Вам не кажется, что немного теряетс, Анонимиус, 24-Мрт-11, 13:40 (15) //
    - Так и есть С одной стороны понятно что идеальной защиты все равно не добиться, , Аноним, 24-Мрт-11, 14:00 (18)
    - сертификаты используются не только в web-е, а и много где за пределами Так заче, Aleksey Salow, 27-Мрт-11, 23:25 (63)
Если злоумышленник в состоянии вклинится в трафик жертвы, в самом начале, когда , Аноним, 24-Мрт-11, 12:17 (4) //
- Че минусовать то Неужели не очевидно что ключи, даже открытые, надо охранять , Аноним, 24-Мрт-11, 17:12 (27) //
  - Школоло в криптографии не разбирается Откуда им знать что против mitm работают , Aleksey Salow, 27-Мрт-11, 23:23 (62)
А о скольки таких breach ах мы ещё не знаем, интересно Ведь пока один разработчи, Иван Иванович Иванов, 24-Мрт-11, 12:27 (5) //
- О многих А зачем Вам об этом знать А для специалиста или интересующихся соверш, Аноним, 24-Мрт-11, 15:24 (22)
Может кто-нибудь пояснить как сочитаются В ситуации когда злоумышленник в состо, Александр, 24-Мрт-11, 12:30 (6) //
- Смысл в усложнении, устроить злоумышленнику больший гемор, но в принципе в данно, Аноним, 24-Мрт-11, 12:38 (8) //
  - я бы даже сказал, совсем не получается , Александр, 24-Мрт-11, 12:40 (9)
- Смысл в том, что у некоторых CA OCSP-сервисы безбожно глючат и в их временной не, Аноним, 24-Мрт-11, 13:07 (12) //
  - Про предупреждение справедливости ради там ничего не сказано Да хоть и так, во , Аноним, 24-Мрт-11, 13:21 (14) //
    - То, что CRL тоже подписан ключом, которого у Тебя нет , К.О., 24-Мрт-11, 15:02 (20)
      - В том то и дело что есть, сессионный ключ которым все шифруется получается злоум, Аноним, 24-Мрт-11, 16:43 (24)
        
        Кроме подписи на CRL сертификате, которая делается секретным ключом удостоверяющ, Аноним, 24-Мрт-11, 18:54 (30)
        
        Ничего там секретным ключом не шифруется, он используется только для расшифровки, Аноним, 24-Мрт-11, 19:32 (36)
        
        Божежтымой почитайте описание TLS Там НЕСКОЛЬКО секретных ключей, сертифик, Аноним, 24-Мрт-11, 22:38 (40)
        
        Не все вшито в браузер Не может он быть сразу раскрыт, проверка в удостоверяюще, Аноним, 24-Мрт-11, 23:24 (45)
        
        Вы о чём У сервера есть его pub priv ключи и сертификат с pub ключём подписанны, Aleksey Salow, 27-Мрт-11, 23:53 (64)
  - Если OCSP-сервисы безбожно глючат, то нету никакой уверенности в достоверности с, iZEN, 24-Мрт-11, 13:44 (17) //
    - А вот интересно что мешает устроить MITM атаку при обращении к OCSP , Аноним, 24-Мрт-11, 16:31 (23)
      - Если обмен первичными ключами идет по открытому каналу то ничто не мешает А вот, Аноним, 24-Мрт-11, 16:56 (25)
        
        Получить открытый ключ что сервера, что клиента, просто и бесполезно Пакеты,, Frank, 24-Мрт-11, 18:51 (29)
        
        Приблизительно так, но проще Во первых закрытыми ключами ничего не шифруют, нет, Аноним, 24-Мрт-11, 19:12 (34)
        
        Откуда ты это выдумал Закрытый ключ используется для генерации ПОДПИСИ открытог, iZEN, 24-Мрт-11, 21:52 (37)
        
        Ничего я не выдумал, это из описания протокола, пакеты закрытым ключом не шифрую, Аноним, 24-Мрт-11, 22:36 (39)
        
        И как Вы подтвердите валидность Вашей открытой части подсунутого клиенту ключа , Аноним, 24-Мрт-11, 22:44 (41)
        
        Естественно понимаю, по этому и говорю что если открытый ключ изначально встроен, Аноним, 24-Мрт-11, 22:52 (42)
        
        В браузер встроены не публичные ключи, а сертификаты с публичными ключами Серти, iZEN, 24-Мрт-11, 23:11 (43)
        Не ключи а сертификаты, правильно Но суть то не меняется, протокол не устанавли, Аноним, 24-Мрт-11, 23:50 (46)
        
        Процедура подтверждения в удостоверяющем центре может быть заблокирована, см те, Аноним, 24-Мрт-11, 23:16 (44)
    - А теперь прикинь, OCSP сервер взял да и умер Ну, умирают вот иногда сервера Да, User294, 24-Мрт-11, 17:08 (26)
      - Предлагается что OCSP серверов будет несколько, все сразу не помрут Тут другая , Аноним, 24-Мрт-11, 17:24 (28)
        
        Вы сейчас о чём Самоподписанный сертификат по определению не верен, его проверя, Аноним, 24-Мрт-11, 19:00 (32)
        
        Какраз о том что самоподписанный сертификат небезопасен, но их используют , Аноним, 24-Мрт-11, 19:15 (35)
        
        Угу, с ауторитями что-то тоже предполагалось Что они не будут помирать, что под, User294, 25-Мрт-11, 00:25 (48)
        
        Ну както эту проблему всеравно надо решать Теоретически можно не проверять, но п, Аноним, 25-Мрт-11, 00:55 (51)
        
        Браузеры могли бы грузить в фоне блеклисты плохих сертификатов как блеклисты фиш, User294, 25-Мрт-11, 07:38 (54)
      - Не иди в кассу, там тебе фальшивок всучат монетчики под видом работников банка Н, Frank, 24-Мрт-11, 18:58 (31)
        
        А если всё-таки не всё, то тут ещё про bitcoin org подсказывают , Michael Shigorin, 25-Мрт-11, 21:20 (58)
      - OCSP сервер не может быть посторонним Он является структурообразующим PKI, веду, iZEN, 24-Мрт-11, 22:05 (38)
        
        Это в идеале, а в реальности CA ломают, сертификаты подписывают сами, вовремя не, Аноним, 25-Мрт-11, 00:18 (47)
        Есть я, клиент Есть банк, сервер Все остальные по определению посторонние Чем, User294, 25-Мрт-11, 07:32 (53)
        
        Почитай, что ли, об SSL-сертификатах и на чём держится протокол HTTPS OCSP-серве, iZEN, 25-Мрт-11, 18:06 (56)
        
        Я в курсе на чем он держится, спасибо OCSP не является обязательной частью А т, User294, 25-Мрт-11, 22:27 (59)
        
        У Mozilla это делается перевыпуском версии браузера, в которой обновляется храни, iZEN, 26-Мрт-11, 01:12 (60)
        
        Ну так вот и получается, если сторонний OCSP сервер оказался в дауне по внутренн , Аноним, 26-Мрт-11, 12:58 (61)
А Opera Я вот только сегодня товарищу, пользователю Opera, комп чистил от какой-, StrangeAttractor, 25-Мрт-11, 01:31 (52)
Статья подготовленна оперативно, но непрофессионально Причем здесь перекрестная, Аноним, 01-Май-11, 18:25 (65)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру