Старый 11.07.2010, 18:45   #11
fury
 
Регистрация: 11.07.2010
Сообщений: 9
Репутация: 1
По умолчанию

Цитата:
Сообщение от POS_troi Посмотреть сообщение
Потерпите пожалуйста, форуму от вершка два горшка а вы прям желаете сразу все получить.
На проекте, посвященном безопасности, обеспечение её - приоритетная задача, а иконки, дизайн - менее важны и они как раз могут подождать. Будь здесь классическая xss в поле поиска, вы же не стали бы говорить, что форум слишком недавно появился, поэтому исправлять её не надо?
fury вне форума  
Старый 11.07.2010, 19:09   #12
POS_troi
 
Аватар для POS_troi
 
Регистрация: 06.07.2010
Сообщений: 98
Репутация: 35
По умолчанию

Дам вам коммент BlackSun непосредственно относящийся к вашей теме и надеюсь что на это тролизм закончится.

Цитата:
Были пожелания к нам, теперь к вам - прекратите искать то, что вам не положено. Логи мы читаем очень часто и о своей безопасности подумали достаточно основательно. Не тратьте свое время и не засирайте error_log.
POS_troi вне форума  
Старый 11.07.2010, 19:30   #13
fury
 
Регистрация: 11.07.2010
Сообщений: 9
Репутация: 1
По умолчанию

Тип возможной атаки - mitm и причина - самоподписанный сертификат - были указаны. Не нужно называть троллингом всё то, что непонятно или неприятно. Воспринимайте это как баг-репорт.
Цитата:
Дам вам коммент BlackSun непосредственно относящийся к вашей теме и надеюсь что на это тролизм закончится.
Очень хорошо, что о безопасности подумали основательно. Видимо этот момент просто забыли. Потому что нельзя прийти к выводу, что самоподписанный сертификат безопаснее. Постарайтесь всё же придерживаться авторитета истины, а не истины авторитета.
fury вне форума  
Старый 11.07.2010, 19:52   #14
p(eaZ
 
Регистрация: 07.07.2010
Сообщений: 33
Репутация: 29
По умолчанию

fury, Вы правильно поступаете, поднимая данный вопрос, и я Вас полностью поддерживаю, но такие вопросы нужно обсуждать непосредственно с администрацией форума через ЛС/ICQ/Jabber/Mail, не вынося проблему на обзор публики.
p(eaZ вне форума  
Старый 13.07.2010, 20:55   #15
oRb
 
Аватар для oRb
 
Регистрация: 01.07.2010
Сообщений: 319
Репутация: 138
По умолчанию

fury, спасибо за заинтересованность в обеспечении безопасности форума.
SSL на данном проекте используется для защиты от банального снифа. К примеру, если вы будете заходить на rdot из открытой Wi-Fi сети. Если вы считаете, что за вас взялись серьезно, используйте vpn.
Не очень хорошо разбираюсь в mitm-атаках, но разве при подмене сертификата браузер не заорет, что используется неподписанный сертификат, которого нет в исключениях?

Если я ошибся, просьба исправить.
__________________
Не оказываю никаких услуг.
I don't provide any services.
oRb вне форума  
Старый 14.07.2010, 00:01   #16
fury
 
Регистрация: 11.07.2010
Сообщений: 9
Репутация: 1
По умолчанию

oRb,
действительно, при появлении неподписанного сертификата, не добавленного в белый список, браузер должен показать предупреждение. К сожалению, способа узнать, что именно произошло - нет. То ли это баг браузера (допустим, слетели настройки при обновлении), то ли это вас пытаются прослушать, то ли наоборот, всё это время вас прослушивали и теперь появился настоящий сертификат rdot'a. Или один злоумышленник сменился другим.

vpn решает только часть проблемы, соединение vpn-сервер => rdot.org по-прежнему не защищено

Ответ Jokester'a:
Цитата:
Сообщение от Jokester
Цитата:
Сообщение от ReduKToR
По поводу серта уже говорили? на GODADDY За 100 бачей в год делают серт на домен.
пока останется как есть

Ещё раз спасибо, тему лучше закрыть.
fury вне форума  
Закрытая тема

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot