Каморка

Vovchik писал(а):

Stanislav писал(а):

Marmot писал(а): Если использовать внутренний CA, а сертификаты генерить и ставить вручную, то такая атака так просто не пройдет

Пройдет, если клиент тупо заакцептит фейковый сертификат. Джава это, кстате, тоже умеет.

Я как то написал клиента для Веб ДавС под виндами. Ошибки при ссл соединеннии отлавливал и выкидывал опцию - стоп или вперед. Думал даже убрать опцию вперед но решил фиг с ними, пусть имеют опцию. Но ничего с сертификатом я не делал и ошибка вылетала в каждую сессию. В конце концов юзеры зеленели от злости и были вынуждены импортировать сертификаты вручную. Зато секурные аудиторы оченно любили такое поведение, я им сказал что за условный ящик вискаря я могу вообще опцию вперед отрубить нах, но они ответили что это клево но юзеры их сожрут.

WinSCP более мирная Оно просто спрашивает - доверяем этому серту: y/n? Юзверь нажимает "y" и все.
Кстате, оно даже не импортирует серт - просто хранит хэш в конфиге.

Vovchik писал(а): Извинений мы со Станиславом дождемся али как?

Я же написал "похоже"
Хотя, если CA отловят на реальных фейках, то мало им не покажется, тем более, что теперь все смотрят в СТ логи, те кто реально о безопасности заботится
Не знаю, как там наше правительство насчет этого...

Waterbyte писал(а):лёва, научите, пожалуйста, народ лечиться от ваших заразных скобок. а то мне уже приписывают то, о чём я ни ухом, ни рылом.

Это называется защита от дурака...
Умный и сам разберет кто это начирикал...

Marmot писал(а):

Vovchik писал(а): Извинений мы со Станиславом дождемся али как?

Я же написал "похоже"
Хотя, если CA отловят на реальных фейках, то мало им не покажется, тем более, что теперь все смотрят в СТ логи, те кто реально о безопасности заботится
Не знаю, как там наше правительство насчет этого...

Антиресно токма какое будет наказание для Летс Енкрипт? Общественное порицание? Акромя чистосердечного извинения - с них взять больше нечего. Коммерческую контору можно засудить, стрясти мелочевку с мелочевки и обанкротить. Ну да вона еквифакс ломанули и вроде они ажно 700 лямов отслюнявили штрафа, в америке попадалово это канкретно.
Вот ежели амерское правительство не препиралось бы по поводу стенкостроительства а занялось бы чем нибудь полезным - то приняли б они закон о лицензировании всех СА и тогда всякие яблоки, гуглы и мекомягкие будут вынуждены повыкидывать всякую шушеру из своих интернет топтунов, вот тогда могет оно и поможет против всяких русских креативных жуликов.

В какчестве заключения.
Сегодня точно узнал, что это за ребята с Лет'с Енкриптом, которым мы отчеты посылаем - это не МинФин, это другие.
И это хорошая новость.
А выяснилось это так - сегодня шухер был - нада было задизейблить их аккаунт - они все проворонили / просрали / прощелкали / профукали / прое...ли