Старый 11.07.2010, 14:07   #1
fury
 
Регистрация: 11.07.2010
Сообщений: 9
Репутация: 1
По умолчанию ssl

rdot позиционируется как ресурс, на котором безопасности уделяется особое внимание.
При этом неоднократные указания на проблемы с ssl-сертификатом получали ответы, которые можно расценивать в лучшем случае как шутку:

Цитата:
это не являлось приоритетными задачами
Выбор новой иконки оказался более приоритетной задачей.

Цитата:
Проблемы твоего браузера к форуму не относятся
Похоже, что он просто забыл, какие атаки становятся возможными при использовании самоподписанных сертификатов. Списывать на браузер в данном случае неуместно - надеюсь что это невнимательность.

Укажите примерно время, в течение которого будет решена проблема с ssl.

Спасибо за внимание.
fury вне форума  
Старый 11.07.2010, 14:14   #2
rel
Banned
 
Регистрация: 10.07.2010
Сообщений: 0
Репутация: 1
По умолчанию

Во первых сертификат(насколько я знаю)стоит денег.
Во вторых такой сертификат никак не сказывается на безопасности форума.
Гораздо более интересен var SECURITYTOKEN = который необходимо вводить всегда но..он генерируется на каждой странице(!)и может использоваться более одного раза(!!!).
rel вне форума  
Старый 11.07.2010, 14:43   #3
fury
 
Регистрация: 11.07.2010
Сообщений: 9
Репутация: 1
По умолчанию

Цитата:
Сообщение от rel Посмотреть сообщение
Во первых сертификат(насколько я знаю)стоит денег.
Гораздо дешевле сервера
Цитата:
Во вторых такой сертификат никак не сказывается на безопасности форума
Возможно вам это неизвестно, но сказывается.
fury вне форума  
Старый 11.07.2010, 15:54   #4
Dr.TRO
 
Аватар для Dr.TRO
 
Регистрация: 06.07.2010
Сообщений: 90
Репутация: 21
По умолчанию

fury не сказываеться, ssl сертификат для https это как у вас друг есть припустим мент, вы знаете что он мент и так, и вот валидный сертификат это как его корочка и ничего более

https://www.logol.ru/ssl/start/ вот цены на сертификат который нам нужен по минимуму.
__________________
http://fc01.deviantart.net/fs48/f/20...eyecixramd.png
http://img156.imageshack.us/img156/2...userbartd7.png
Цитата:
root@rdot.org ~ # perl -MAcme::BadExample
Dr.TRO вне форума  
Старый 11.07.2010, 16:26   #5
fury
 
Регистрация: 11.07.2010
Сообщений: 9
Репутация: 1
По умолчанию

Цитата:
fury не сказываеться, ssl сертификат для https это как у вас друг есть припустим мент, вы знаете что он мент и так, и вот валидный сертификат это как его корочка и ничего более
Это не так, не вводите других в заблуждение. Очевидный пример типа атаки - mitm.
fury вне форума  
Старый 11.07.2010, 16:39   #6
Dr.TRO
 
Аватар для Dr.TRO
 
Регистрация: 06.07.2010
Сообщений: 90
Репутация: 21
По умолчанию

а можно пожалуйста линк на момент что с валидным сертификатом атаки такого типа не пройдут?
__________________
http://fc01.deviantart.net/fs48/f/20...eyecixramd.png
http://img156.imageshack.us/img156/2...userbartd7.png
Цитата:
root@rdot.org ~ # perl -MAcme::BadExample
Dr.TRO вне форума  
Старый 11.07.2010, 16:53   #7
fury
 
Регистрация: 11.07.2010
Сообщений: 9
Репутация: 1
По умолчанию

Цитата:
Сообщение от Dr.TRO Посмотреть сообщение
а можно пожалуйста линк на момент что с валидным сертификатом атаки такого типа не пройдут?
Выше ссылка на вики, второй абзац:
Цитата:
A man-in-the-middle attack can succeed only when the attacker can impersonate each endpoint to the satisfaction of the other - it is an attack on mutual authentication. Most cryptographic protocols include some form of endpoint authentication specifically to prevent MITM attacks. For example, SSL authenticates the server using a mutually trusted certification authority.
fury вне форума  
Старый 11.07.2010, 17:03   #8
tipsy
 
Аватар для tipsy
 
Регистрация: 11.07.2010
Сообщений: 415
Репутация: 311
По умолчанию

Цитата:
Сообщение от fury Посмотреть сообщение
Выше ссылка на вики, второй абзац:
В свете этой статьи можно сказать, что самодельный сертификат лучше
http://www.schneier.com/blog/archives/2010/04/man-in-the-midd_2.html

Цитата:
bstract: This paper introduces a new attack, the compelled certificate creation attack, in which government agencies compel a certificate authority to issue false SSL certificates that are then used by intelligence agencies to covertly intercept and hijack individuals' secure Web-based communications. We reveal alarming evidence that suggests that this attack is in active use.
Цитата:
Even more scary, Soghoian and Stamm found that hardware to perform this attack is being produced and sold:
Проблемы с mitm у самодельного сертификата могут быть только на этапе обмена ключами при первом заходе на сайт, а когда самодельный сертификат уже установлен у клиента, с помощью mitm трафик прочитать нельзя, чего не скажешь о "фирменных" сертификатах.

Или я неправильно понял статью? Не моя область специализации.
tipsy вне форума  
Старый 11.07.2010, 18:00   #9
fury
 
Регистрация: 11.07.2010
Сообщений: 9
Репутация: 1
По умолчанию

Цитата:
http://www.schneier.com/blog/archives/2010/04/man-in-the-midd_2.html
Такое возможно в любом случае, если не отслеживается изменение сертификата. Последствия обнаружения такой игры центров сертификации и правительства для них могут быть даже более печальными, чем для потенциального злоумышленника. Также ключи центра сертификации могут украсть, потерять и т. п., хотя более вероятно, что кто-то проберется в дата-центр, где находится сервер rdot'a. Но нас интересуют именно те уязвимости, которые справедливы для одного типа сертификатов, а для другого - нет. Лучше, конечно, совсем без уязвимостей - собрались всем форумом, обменялись ключами на бумажках :)

Хотелось бы увидеть комментарий со стороны представителя администрации.
fury вне форума  
Старый 11.07.2010, 18:27   #10
POS_troi
 
Аватар для POS_troi
 
Регистрация: 06.07.2010
Сообщений: 98
Репутация: 35
По умолчанию

Пожалуйста не превращайте тему в разборки.
Если вас интересует тема аттаки на самоподписные сертификаты то создайте тему в соответствующем разделе.

Цитата:
Укажите примерно время, в течение которого будет решена проблема с ssl.
Потерпите пожалуйста, форуму от вершка два горшка а вы прям желаете сразу все получить.
Сроков вам всеравно врятли кто скажет.
POS_troi вне форума  
Закрытая тема

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot