PDA

Просмотр полной версии : ssl


fury
11.07.2010, 14:07
rdot позиционируется как ресурс, на котором безопасности уделяется особое внимание.
При этом неоднократные указания на проблемы с ssl-сертификатом получали ответы, которые можно расценивать в лучшем случае как шутку:

это не являлось приоритетными задачами
Выбор новой иконки оказался более приоритетной задачей.

Проблемы твоего браузера к форуму не относятся
Похоже, что он просто забыл, какие атаки становятся возможными при использовании самоподписанных сертификатов. Списывать на браузер в данном случае неуместно - надеюсь что это невнимательность.

Укажите примерно время, в течение которого будет решена проблема с ssl.

Спасибо за внимание.

rel
11.07.2010, 14:14
Во первых сертификат(насколько я знаю)стоит денег.
Во вторых такой сертификат никак не сказывается на безопасности форума.
Гораздо более интересен var SECURITYTOKEN = который необходимо вводить всегда но..он генерируется на каждой странице(!)и может использоваться более одного раза(!!!).:confused:

fury
11.07.2010, 14:43
Во первых сертификат(насколько я знаю)стоит денег. Гораздо дешевле сервера
Во вторых такой сертификат никак не сказывается на безопасности форума Возможно вам это неизвестно, но сказывается.

Dr.TRO
11.07.2010, 15:54
fury не сказываеться, ssl сертификат для https это как у вас друг есть припустим мент, вы знаете что он мент и так, и вот валидный сертификат это как его корочка и ничего более :)

https://www.logol.ru/ssl/start/ вот цены на сертификат который нам нужен по минимуму.

fury
11.07.2010, 16:26
fury не сказываеться, ssl сертификат для https это как у вас друг есть припустим мент, вы знаете что он мент и так, и вот валидный сертификат это как его корочка и ничего более Это не так, не вводите других в заблуждение. Очевидный пример типа атаки - mitm (http://en.wikipedia.org/wiki/Man-in-the-middle_attack).

Dr.TRO
11.07.2010, 16:39
а можно пожалуйста линк на момент что с валидным сертификатом атаки такого типа не пройдут?

fury
11.07.2010, 16:53
а можно пожалуйста линк на момент что с валидным сертификатом атаки такого типа не пройдут?Выше ссылка на вики, второй абзац:A man-in-the-middle attack can succeed only when the attacker can impersonate each endpoint to the satisfaction of the other - it is an attack on mutual authentication. Most cryptographic protocols include some form of endpoint authentication specifically to prevent MITM attacks. For example, SSL authenticates the server using a mutually trusted certification authority.

tipsy
11.07.2010, 17:03
Выше ссылка на вики, второй абзац:

В свете этой статьи можно сказать, что самодельный сертификат лучше :)
http://www.schneier.com/blog/archives/2010/04/man-in-the-midd_2.html

bstract: This paper introduces a new attack, the compelled certificate creation attack, in which government agencies compel a certificate authority to issue false SSL certificates that are then used by intelligence agencies to covertly intercept and hijack individuals' secure Web-based communications. We reveal alarming evidence that suggests that this attack is in active use.

Even more scary, Soghoian and Stamm found that hardware to perform this attack is being produced and sold:

Проблемы с mitm у самодельного сертификата могут быть только на этапе обмена ключами при первом заходе на сайт, а когда самодельный сертификат уже установлен у клиента, с помощью mitm трафик прочитать нельзя, чего не скажешь о "фирменных" сертификатах.

Или я неправильно понял статью? Не моя область специализации.

fury
11.07.2010, 18:00
http://www.schneier.com/blog/archives/2010/04/man-in-the-midd_2.html
Такое возможно в любом случае, если не отслеживается изменение сертификата. Последствия обнаружения такой игры центров сертификации и правительства для них могут быть даже более печальными, чем для потенциального злоумышленника. Также ключи центра сертификации могут украсть, потерять и т. п., хотя более вероятно, что кто-то проберется в дата-центр, где находится сервер rdot'a. Но нас интересуют именно те уязвимости, которые справедливы для одного типа сертификатов, а для другого - нет. Лучше, конечно, совсем без уязвимостей - собрались всем форумом, обменялись ключами на бумажках :)

Хотелось бы увидеть комментарий со стороны представителя администрации.

POS_troi
11.07.2010, 18:27
Пожалуйста не превращайте тему в разборки.
Если вас интересует тема аттаки на самоподписные сертификаты то создайте тему в соответствующем разделе.

Укажите примерно время, в течение которого будет решена проблема с ssl.
Потерпите пожалуйста, форуму от вершка два горшка а вы прям желаете сразу все получить.
Сроков вам всеравно врятли кто скажет.

fury
11.07.2010, 18:45
Потерпите пожалуйста, форуму от вершка два горшка а вы прям желаете сразу все получить.На проекте, посвященном безопасности, обеспечение её - приоритетная задача, а иконки, дизайн - менее важны и они как раз могут подождать. Будь здесь классическая xss в поле поиска, вы же не стали бы говорить, что форум слишком недавно появился, поэтому исправлять её не надо?

POS_troi
11.07.2010, 19:09
Дам вам коммент BlackSun непосредственно относящийся к вашей теме и надеюсь что на это тролизм закончится.

Были пожелания к нам, теперь к вам - прекратите искать то, что вам не положено. Логи мы читаем очень часто и о своей безопасности подумали достаточно основательно. Не тратьте свое время и не засирайте error_log.

fury
11.07.2010, 19:30
Тип возможной атаки - mitm и причина - самоподписанный сертификат - были указаны. Не нужно называть троллингом всё то, что непонятно или неприятно. Воспринимайте это как баг-репорт.
Дам вам коммент BlackSun непосредственно относящийся к вашей теме и надеюсь что на это тролизм закончится.Очень хорошо, что о безопасности подумали основательно. Видимо этот момент просто забыли. Потому что нельзя прийти к выводу, что самоподписанный сертификат безопаснее. Постарайтесь всё же придерживаться авторитета истины, а не истины авторитета.

p(eaZ
11.07.2010, 19:52
fury, Вы правильно поступаете, поднимая данный вопрос, и я Вас полностью поддерживаю, но такие вопросы нужно обсуждать непосредственно с администрацией форума через ЛС/ICQ/Jabber/Mail, не вынося проблему на обзор публики.

oRb
13.07.2010, 20:55
fury, спасибо за заинтересованность в обеспечении безопасности форума.
SSL на данном проекте используется для защиты от банального снифа. К примеру, если вы будете заходить на rdot из открытой Wi-Fi сети. Если вы считаете, что за вас взялись серьезно, используйте vpn.
Не очень хорошо разбираюсь в mitm-атаках, но разве при подмене сертификата браузер не заорет, что используется неподписанный сертификат, которого нет в исключениях?

Если я ошибся, просьба исправить.

fury
14.07.2010, 00:01
oRb,
действительно, при появлении неподписанного сертификата, не добавленного в белый список, браузер должен показать предупреждение. К сожалению, способа узнать, что именно произошло - нет. То ли это баг браузера (допустим, слетели настройки при обновлении), то ли это вас пытаются прослушать, то ли наоборот, всё это время вас прослушивали и теперь появился настоящий сертификат rdot'a. Или один злоумышленник сменился другим.

vpn решает только часть проблемы, соединение vpn-сервер => rdot.org по-прежнему не защищено

Ответ (https://rdot.org/forum/showpost.php?p=2529&postcount=194) Jokester'a:По поводу серта уже говорили? на GODADDY За 100 бачей в год делают серт на домен.
пока останется как есть


Ещё раз спасибо, тему лучше закрыть.