понедельник, 20 октября 2008 г.

“Ну да, конечно”, или не полагайтесь на средства защиты сверх меры. Часть 4.

Продолжаем разговор.
SSL
Обалденно нужная вещь, но мало кто представляет, что она реально из себя представляет. Мы видим сверху в браузере адрес, высвеченный зеленым и мы в безопасности.


Ага. Щаз. Аж три раза. Валидность сертификата для пользователя означает только четыре вещи:
1) Срок действия сертификата не истек
2) Сертификат или выдан доверенным СА (коих по умолчанию настроено несколько) или помещен в список доверенных.
3) Имя, на которое выписан сертификат, совпадает с именем сайта, на который пользовтель зашел.
4) Трафик между пользователем и сайтом шифруется.
"Здорово!", скажете Вы, "чего еще желать?". И будете неправы. Видно ли хоть одно указание на то, что этот сайт именно тот, на который Вы желали попасть? Чтобы было яснее, приведу пример. Допустим, купил я сертификат у какого-нибудь VerySign на имя sitybank.com (имею право? имею. А правильное имя: Citybank). Забабахал сайт один в один как у Ситибанка и... Что происходит дальше? Правильно, при попадании на мой сайт Вы обнаружите, что ССЛ обеспечит только безопасную передачу Ваших "очень важных данных" данных мне.
Ну и не стоит забывать, что даже если сайт тот, что надо и сертификат виден, то это не отменяет вероятности того, что сайт был взломан и его контента или времен или ворует данные. Но это, к счастью, происходит относительно редко.

Ссылки на публикации серии.

Часть 1: вводная

Часть 2: антивирус

Часть 3: Firewall

Часть 4: SSL

Часть 5: VPN + обновления

Часть 6: процедуры и регламенты + принцип наименьших полномочий

Часть 7: резервное копирование

Часть 8: контроль доступа и биометрия

Часть 9: шифрование

Часть 10: UAC

5 комментариев:

Unknown комментирует...

Саш, ты удивишься, но правильное имя CitiBank ;) citibank.ru соответственно :)

Unknown комментирует...

Кстати, наверное стоит упомянуть - если вдруг система не доверенная (например инеткафе) то в списке доверенных сертификатов вообще что угодно может быть. Например зловредный CA выдавший сертификат на citibank.ru + строчка в hosts перенаправляющая к врагам.

Alexander Trofimov комментирует...

>>Саш, ты удивишься, но правильное имя CitiBank
Так даже еще лучше - "вот именно так я и мог облажаться" - заголовок будущих мемуаров.
>>Кстати, наверное стоит упомянуть........
Согласен, но это уже частности. Хотя, разумеется, надо осознавать, что это не ты кому-то доверяешь, а твой компьютер, который может и вовсе быть не твоим ;)

Анонимный комментирует...

>> Но это, к счастью, происходит относительно редко.

Не так уж и редно, если даже в IE появился антифишинг :-)

Alexander Trofimov комментирует...

Ну... Наличие малваре на правильном сайте с антифишинговым модулем мало связано, да и сами эти антифишинговые модули... Я специально иногда иду по фишерским ссылкам - в 99% не ловит никто =(