The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В Chrome планируют отказаться от онлайн-проверки сертификатов. В Firefox намерены блокировать Trustwave CA

08.02.2012 23:04

Адам Лэнгли (Adam Langley) из компании Google сообщил о планах отказаться от использования OCSP и CRL проверок сертификатов на актуальность в режиме онлайн (Revocation checking) в следующих версиях Chrome. Как известно, при подключении по протоколу HTTPS к любому сайту браузер делает запрос в центр сертификации (Certificate Authorities) на предмет того, не отозван ли сертификат, предъявленный сервером.

Лэнгли считает этот подход в современных условиях крайне неэффективным. Так, доверенный центр сертификации может быть не доступен браузеру. Например, такая ситуация возникает при web-аутентификации доступа в Интернет, используемой в беспроводных сетях (hotspots) - портал доступа (captive portal) блокирует все ресурсы (в том числе и запросы к CA-серверам), кроме собственного HTTPS-сайта с формой ввода учетных данных. При недоступности сервиса проверки сертификата большинство браузеров игнорируют сбой и продолжают считать сертификат валидным. При совершении атаки злоумышленники могут воспользоваться данной особенностью и блокировать доступ пользователя к online-службам проверки сертификатов.

Другой проблемой является то, что OCSP/CRL проверки даже при доступности сервиса занимают достаточно много времени, что приводит к ощутимым задержкам при открытии сайта (до 1 секунды). Кроме того, такие проверки негативно отражаются на приватности, так как раскрывают третьей стороне факт открытия определённого сайта (CA получает IP пользователя и имя домена).

В качестве выхода разработчики Chrome предлагают использовать периодически обновляемый статический список отозванных сертификатов, встроенный в браузер. Обновление списка отозванных сертификатов может осуществляться совместно с обновлением других компонентов браузера, что не внесет существенные риски в безопасность, но сможет повысить комфортность работы в Интернет для простых пользователей. В Google разрабатывают механизм обновления списка отозванных сертификатов без необходимости перезапуска Chrome.

Дополнительно, стоит отметить связанную с SSL-сертификатами инициативу Mozilla. В настоящее время обсуждается вопрос об исключении из бразуера Firefox и других продуктов Mozilla корневого сертификата удостоверяющего центра Trustwave. Компания Trustwave продала вторичный корневой сертификат стороннему лицу, соответственно данная посторонняя организация получила возможность производить неограниченное количество SSL-сертификатов для любых доменов. Подобный шаг противоречит политике построения цепочки доверия, принятой в Mozilla и может угрожать информационной безопасности пользователей. Список доверенных сертификатов Mozilla используется также в других продуктах (например, в Perl-модуле Net::SSLeay).

Представители Trustwave не видят в этой ситуации ничего выходящего за рамки обычной практики и приводят в качестве примера покупку компанией Symantec центра сертификации VeriSign. Тем не менее, в случае VeriSign имело место полная продажа бизнеса CA, в то время как Trustwave продала сертификат с целью обеспечения работы системы корпоративного мониторинга утечек данных (сертификат будет использоваться для организации перехвата SSL-сессий в режиме man-in-middle, путём генерации на лету валидных сертификатов для анализируемых сессий).

  1. Главная ссылка к новости (http://www.imperialviolet.org/...)
  2. OpenNews: Обнаружен обманный SSL-сертификат для сервисов Google (дополнение: осуществлен взлом CA)
  3. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  4. OpenNews: Опубликован полный список обманных SSL-сертификатов. В списке ЦРУ и МИ-6
  5. OpenNews: Раскрыты данные о взломах инфраструктуры VeriSign в 2010 году
  6. OpenNews: Релиз библиотеки OpenSSL 1.0.0 и обновление 0.9.8n с устранением уязвимости
Автор новости: write2net
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/33034-chrome
Ключевые слова: chrome, ca, trustwave, mozilla
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (66) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Dmitriy.trt (ok), 01:27, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +31 +/
    Trustwave продали корневой сертификат для прослушки шифрованного трафика??!!! Потрясающе!
     
     
  • 2.4, Аноним (-), 01:35, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Похоже у них это на поток поставлено и такие сертификаты они продают направо и н... большой текст свёрнут, показать
     
     
  • 3.54, Аноним (-), 19:23, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > "The ability to monitor encrypted Web sessions has become a priority as
    > organizations increase their reliance on the Internet to conduct day-to-day business.

    The ability to remove certificates of dumb f#$ks has become a priority to safely browse the web.

     
  • 2.12, A (?), 03:47, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Написали бы понятно, какой сертификат в Firefox нужно удалить, я бы не стал дожитаться решения Мозилловцев.
     
     
  • 3.20, Аноним (-), 06:50, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Написали бы понятно, какой сертификат в Firefox нужно удалить, я бы не
    > стал дожитаться решения Мозилловцев.

    Отсортировать по названию конторы и прибить все. Конторам с такой политикой лично я не доверяю по вилдкарду, априори. Так, на всякий случай :)

     
     
  • 4.24, seleko (?), 08:28, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +7 +/
    SecureTrust CA
     
     
  • 5.52, A (?), 19:06, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Зашел на сайт trustwave, посмотрел, что указано в их сертификате, удалил оба builtin object от организации Secure Trust Corporation. Теперь у меня сертификат сайта trustwave является недостоверным.

    P.S. Пусть продолжают продавать свой бизнес по частям.

     
     
  • 6.53, Аноним (-), 19:21, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Another one bites the dust! В смысле, выпилил нафиг этих торгашей доверием. Таким - не доверяем.
     
  • 6.62, Pilat (ok), 02:28, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Зашел на сайт trustwave, посмотрел, что указано в их сертификате, удалил оба
    > builtin object от организации Secure Trust Corporation. Теперь у меня сертификат
    > сайта trustwave является недостоверным.

    Из телефона тоже удалил? Из всех программ удалил?


     
  • 5.59, Аноним (-), 23:13, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > SecureTrust CA

    Deleted, thanks. Небольшое разминирование.

     
  • 4.64, arisu (ok), 03:26, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Отсортировать по названию конторы и прибить все.

    причём совершенно все. можно даже и не сортировать, просто сразу прибить.

     

  • 1.2, Аноним (-), 01:27, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    > Представители Trustwave не видят в этой ситуации ничего выходящего за рамки обычной практики и приводят в качестве примера покупку компанией Symantec центра сертификации VeriSign.

    А это часом не тот VeriSign, который в позапрошлом году несколько раз взламывали? Хорошенький получается пример.

     
  • 1.3, evgeny_t (ok), 01:33, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    то то этот https вечно кажется тормознутым
     
  • 1.5, dimqua (ok), 01:36, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Хорошая инициатива; надеюсь, Firefox вслед за ним откажется.
     
     
  • 2.7, iZEN (ok), 01:45, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В Firefox по умолчанию отключена on-line проверка сертификатов в CA. Вернее, если сервер CA недоступен, то ранее полученный сертификат не считается недействительным.

    Меню Настройка -> Дополнительно -> Шифрование: [Настройки OCSP]

     
     
  • 3.8, Xasd (ok), 02:06, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Вернее, если сервер CA недоступен

    а если он доступен то (поумолчанию) -- мой ip и сертификат-целевого-сайта -- утекают внутрь "глобального надзирательного ока"

    ...нетуж мне такая настройка поумолчанию както неочень нра :-(

     
     
  • 4.19, Аноним (-), 06:49, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > ...нетуж мне такая настройка поумолчанию както неочень нра :-(

    Да SSL вообще очень криво сделан. Защита довольно декоративная, есть вот такой зонд, полузаконный MITM вон в новости засветился. Красота!

     
  • 4.22, iZEN (ok), 07:24, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > мой ip и сертификат-целевого-сайта -- утекают внутрь "глобального надзирательного ока"

    Сертификаты никуда не перетекают. Прочитайте, как работает протокол OSCP. Если проверка валидности сертификатов и доступности сервера CA, который может её подтвердить, включена, то это улучшает безопасность и взломщику почти невозможно будет реализовать задуманное. А когда "подтверждения" хранятся в локальном списке, то здесь уже будет сразу несколько способов компрометации пользовательской системы от хака на механизм обновления списка до откровенной подделки доверенных сертификатов, помещения их в хранилище сертификатов браузера.

    В любом случае отключение проверки того, что сервер CA в сети является угрозой безопасности. В Firefox по умолчанию эта опция именно отключена, наверно, чтобы часто не срывать защищённые транзакции.

     
     
  • 5.34, Аноним (-), 12:52, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Сертификаты никуда не перетекают.

    Зато отчитаться что я сходил на сайт банка - запросто. Вот круто то, аж два раза. Не, я уж лучше получу от вендора браузера блеклист раз в пару дней чем буду всем вокруг отчитываться щелкая каблуками - "а вот я в банк сходил", "а вот ебэй", "а вот пэйпэл", а вот, а вот, а фиг вам в рот!

     
     
  • 6.42, онаним (?), 16:40, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >Зато отчитаться что я сходил на сайт банка - запросто.

    Пользуетесь безналичными финансовыми средствами? Хм, тогда даже смешно слышать от вас о зондах. ;)

     
     
  • 7.45, Аноним (-), 18:34, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Пользуетесь безналичными финансовыми средствами? Хм, тогда даже смешно слышать от вас о зондах. ;)

    Предложи более-менее внятный способ купить что-то в США/европе за наличные не ездя туда лично? Как бы если банк знает о том что я там был и делал транзакции постольку поскольку, то это еще не значит что хочу проинформировать о том же и какой-то совершенно посторонний сервак (третий - лишний!)

     
     
  • 8.56, онаним (?), 19:57, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Верно, записи в мировой платежной системе вполне достаточно ... текст свёрнут, показать
     
     
  • 9.58, Аноним (-), 23:06, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Смотря для чего и от чего защищаемся Если от большого брата - так это, чтобы по... текст свёрнут, показать
     
  • 2.55, Аноним (-), 19:24, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Хорошая инициатива; надеюсь, Firefox вслед за ним откажется.

    А оно там и не включено по дефолту. Если ты это включил - ССЗБ.

     

  • 1.9, Xasd (ok), 02:10, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    > В Chrome планируют отказаться от онлайн-проверки сертификатов.

    зато в соседней новости -- Chrome(17) будет отправлять URL с exe-файлами на проверку гугло-серверу :-D

    вобщем вынули один зонд и вставили другой :)

     
     
  • 2.14, Аноним (-), 04:45, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • –5 +/
    > вобщем вынули один зонд и вставили другой :)

    А вы не включайте эту опцию, и не будет у вас зонда.

     
     
  • 3.18, Аноним (-), 06:47, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > А вы не включайте эту опцию, и не будет у вас зонда.

    Ага, не забудьте разминировать браузер до начала использования.
    С уважением, Гугл.

    (в темноте раздается звучное ба-бах, видимо кто-то все-таки забыл)

     
  • 2.26, develop7 (ok), 11:26, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    c .exe же. зондом больше, зондом меньше — какая разница.
     
     
  • 3.31, Аноним (-), 12:34, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > c .exe же. зондом больше, зондом меньше — какая разница.

    Ты прав. Сидя в борделе, о девственности рыдать не след.

     
  • 2.74, L0rda (?), 04:37, 11/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    MS так давно делает, smartscreen называется. с ие7 вроде пошло, в 8 и тп точно есть, заходишь на урл, следом туда заходит их бот
     

  • 1.10, Аноним (-), 03:01, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    все эти проверки наглое набивание карманы баблом, не вылетали бы 100 окон при самодельных сертификатах - никто бы и не парился
     
     
  • 2.17, Аноним (-), 06:46, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > все эти проверки наглое набивание карманы баблом, не вылетали бы 100 окон
    > при самодельных сертификатах - никто бы и не парился

    Ага. А хакер попросит установить его CA сертификат и потом подпишет себе что он - гугл, яху, мозилла, скайп и еще много других сайтов :). Вот замечательно то.

     
     
  • 3.32, Аноним (-), 12:35, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >> все эти проверки наглое набивание карманы баблом, не вылетали бы 100 окон
    >> при самодельных сертификатах - никто бы и не парился
    > Ага. А хакер попросит установить его CA сертификат и потом подпишет себе
    > что он - гугл, яху, мозилла, скайп и еще много других
    > сайтов :). Вот замечательно то.

    Нехрен было с радостными воплями - за неимением альтернативы - кидаться на эту так называемую "технологию".

     
     
  • 4.46, Аноним (-), 18:36, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Нехрен было с радостными воплями - за неимением альтернативы - кидаться на
    > эту так называемую "технологию".

    Эм, а что вы предлагаете? Слать параметры карты и пинкод плейнтекстом? Кардеры одобряют :)

     

  • 1.16, Аноним (-), 06:42, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > сертификат будет использоваться для организации перехвата SSL-сессий в режиме man-in-middle

    О, зашибись, т.е. они будут делать SSL окончательно декоративным, а мы им за это должны доверять. Волшебно. Пошел удалять сертификаты этих умников из всех хранилищ где дотянусь.

     
     
  • 2.30, Аноним (-), 12:34, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +4 +/
    >> сертификат будет использоваться для организации перехвата SSL-сессий в режиме man-in-middle
    > О, зашибись, т.е. они будут делать SSL окончательно декоративным, а мы им
    > за это должны доверять. Волшебно. Пошел удалять сертификаты этих умников из
    > всех хранилищ где дотянусь.

    SSL изначально был декоративным. О чем Шнайер и говорил Ндцать лет назад. Только ты же его сроду не читал, верно?

     
     
  • 3.47, Аноним (-), 18:37, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > SSL изначально был декоративным. О чем Шнайер и говорил Ндцать лет назад.
    > Только ты же его сроду не читал, верно?

    Я его читал, но во первых позже чем следовало бы. А во вторых - так это, что предлагается в качестве реальной альтернативы?

     
     
  • 4.60, коксюзер (?), 00:27, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    >> SSL изначально был декоративным. О чем Шнайер и говорил Ндцать лет назад.
    >> Только ты же его сроду не читал, верно?
    > Я его читал, но во первых позже чем следовало бы. А во
    > вторых - так это, что предлагается в качестве реальной альтернативы?

    Альтернатива или даже дополнение - развитие идей, воплощённых в Convergence: http://www.youtube.com/watch?v=Z7Wl2FW2TcA

     
     
  • 5.61, коксюзер (?), 00:34, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, слегка доработав протокол, можно обязать сервер периодически загружать по OCSP (или как-либо иначе) свежие данные о валидности его сертификата и передавать эти данные клиентам на этапе согласования параметров сессии. Но проблему слабой PKI это, конечно, не решит.
     

  • 1.21, Docent (??), 07:16, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Любые средства безопасности вносят дискомфорт и тормоза.
    Так давайте вообще все средства защиты отключим, все станет посто летать.
     
     
  • 2.23, Google (?), 08:01, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Так Google этим и занимается, с каждой новой версией. Или вы думаете, что можно достичь превосходства в скорости над другими иначе?
     
     
  • 3.27, szh (ok), 11:40, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ты наивный конспиролог
     
     
  • 4.28, Аноним (-), 12:32, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • –2 +/
    При чем здесь конспирология? Это вы тут все наивные, считаете, что зонды разложены на виду специально, чтобы вы их нашли.

    Великий Тео де Раадт, десять лет пырившийся в исходный код собственной системы, прохлопал бэкдор, услужливо подложенный ему АНБ.

    Вы все тут считаете, что, имея (и не читая их!) исходники, вы убережете себя от хорошо скрытого зонда? Ага, щаз.

    Читать код мало. Нехилтон бы еще понимать его смысл. Кто-то потрудился изучить код строка за строкой? Или 10 миллионов обезьянок ждут, пока это сделает другая? Ну-ну, ждите дальше.

     
     
  • 5.37, A (?), 13:35, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > прохлопал бэкдор, услужливо подложенный ему АНБ.

    Небыло такого.

     
     
  • 6.38, Аноним (-), 14:05, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Докажи, что не было. Прямо тут, на опеннете. Поиском находится. А, ну да, ну да, я ж свечку не держал. И в хандройде нету никаких анальных зондов. Я что ли тут пыль поднимаю о зондах?
     
     
  • 7.41, Crazy Alex (??), 15:01, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Находятся сказки о том, что где-то что-то было. А реального кода что-тоне видно, хотя аудитили. Не, я, конечно, допускаю, что ANB что-то гениальное надумало - но как-то маловероятно. Тем более OpenBSD, по большому счёту, никому не нужна, так что профит с этого вряд ли какой-то был бы.
     
  • 7.66, arisu (ok), 03:30, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Докажи, что не было.

    я понимаю, что вам в школе ещё этого не рассказывали. ну так я расскажу, бесплатно: кто орёт «было» — тот и доказывает. пока что у крикунов с доказательствами не складывается. ну совсем никак.

     
  • 5.48, Аноним (-), 18:39, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Великий Тео де Раадт, десять лет пырившийся в исходный код собственной системы,
    > прохлопал бэкдор, услужливо подложенный ему АНБ.

    Не скажу за великого Тео, а вот линуксоиды в свое время задетектили попытку вброса довольно безобидного на вид бэкдора замаскированного под опечатку (= вместо == в сравнении, классика).

     
  • 2.65, arisu (ok), 03:29, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Любые средства безопасности вносят дискомфорт и тормоза.

    а некоторые из них ещё и ни разу не являются средствами безопасности, но очень громко себя так называют. вот их надо отключать в первую очередь.

     

  • 1.25, Аноним (-), 10:00, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а в фф можно как нибудь эту проверку отключить? я хожу только по 10-20 сайтам все время.
     
     
  • 2.29, Аноним (-), 12:33, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > а в фф можно как нибудь эту проверку отключить? я хожу только
    > по 10-20 сайтам все время.

    Маны почитать уже не судьба? Или проблемы с пониманием написанного и надо рукой указать?

     
     
  • 3.50, Аноним (-), 18:40, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > Маны почитать уже не судьба? Или проблемы с пониманием написанного и надо рукой указать?

    Издеваетесь? Какие маны, достаточно в настройки сунуться. Этак скоро будет ман по использованию ложки и вилки.

     
  • 2.36, mine (ok), 13:16, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Tools > Options > Advanced > Encryption > Validation
     
     
  • 3.57, Аноним (-), 22:30, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    спасибо) реактивный фф стал еще реактивнее
     
  • 2.49, Аноним (-), 18:39, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > а в фф можно как нибудь эту проверку отключить?

    Она по дефолту и не включена там, для начала.

     

  • 1.35, Аноним (-), 13:12, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Читаешь аргументы типа "задержка открытия сайта 1 секунда" и удивляешься, какие у людей проблемы.... Когда сидишь на йоте с пингами по 1.5-10 секунд или на мегафоне, где сайт открывается существенно различно по времени в зависимости от времени суток и время его открытия далеко от секунды, то и говорить о таких временных интервалах странно...
     
     
  • 2.40, Crazy Alex (??), 14:10, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Вам можно посочувствовать, но обычно сейчас интернет побыстрее. И лишняя секундная задержка перед открытием страницы - дело непривычное и неприятное
     
  • 2.43, dss (?), 17:37, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    при таких пингах у тебя и лишняя проверка будет занимать не секунду, а десять…
     
  • 2.51, Аноним (-), 18:41, 09/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > то и говорить о таких временных интервалах странно...

    Ну так ты и будешь открывать сайт не 10 секунд а 20. А ты как хотел? :)

     

  • 1.44, Аноним (-), 17:48, 09/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А децентралиованные аналоги SSL уже существуют? Что-нибудь на основе сетей доверия, как в PGP, например.
     
     
  • 2.71, Аноним (-), 18:38, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Почему именно на основе сетей доверия?
    SSL как раз потому возник, что ввиду незащищенности канала неизвестно, какой информации доверять.
     
     
  • 3.72, arisu (ok), 18:44, 10/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    > SSL как раз потому возник, что ввиду незащищенности канала неизвестно, какой информации
    > доверять.

    как показала практика, защищённость SSL-канала особо вероятность факапа не понижает. а сети доверия, например, позволяют удостовериться, что на том конце именно тот, кто должен быть, используя при этом несколько источников для проверки. конечно, проблема «первого секретного ключа» никуда не девается, но когда сеть немного вырастает, «вклиниться» туда становится весьма сложно.

     

  • 1.63, arisu (ok), 03:24, 10/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    (пожимает плечами) интересно, сколько ещё факапов должно произойти, чтобы люди наконец поняли: ssl is defective by design?

    впрочем, я верю в то, что глупость человеческая не имеет границ.

     
     
  • 2.78, Кирилл (??), 11:21, 15/02/2012 [^] [^^] [^^^] [ответить]  
  • +/
    Это давно понятно всем более-менее знакомым с ситуацией. Но толку то. Мелкое воровство с транзакций воспринимается сейчас, как своеобразный налог на удобство.
     

  • 1.76, Анон (?), 13:22, 12/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну и чудно, в нашем i2p все эти дополнительные средства шифрования не нужны :3
     
  • 1.77, Аноним (-), 09:19, 15/02/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Кроме того, такие проверки негативно отражаются на приватности, так как раскрывают третьей стороне факт открытия определённого сайта

    Заявил представитель компании Google, продвигающей свой Google Analytics и Google Public DNS...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру