>>Зачем же доверять всем кто по SSL зашёл? >>Смысл SSL в том, что ни кто не видит трафика, а пароль >>всё равно вводить надо. >>Ну или ID сессии проверять и нет проблем. > >Во-первых, речь обычно идёт как раз об обратном: чтобы тот, кто подключается >к серверу, был уверен, что подключился туда, куда надо. >Он-то и останется уверен - уязвимость позволяет от имени клиента отправлять данные на сервер, а не наоборот, насколько я понимаю. >Во-вторых, при использовании белого списка пользовательских сертификатов, действительно, можно и аутентификацию проводить. >
Это да, это проблема.
|