В целом всё правда если вдруг будет время добавлю свой отчёт (полный).
Хотел бы отметить ещё один факт : система по сути открытая
т.к. клиентская часть (включая шифрование) вся написана на Java и JS.
Хотя исходных кодов апплета нигде не лежит это ничего не меняет т.к. нет защиты от интеллектуальной декомпиляции. При этом выдаётся близкий к исходному код.
Пример: процедура вычисления шифра к секретному ключу на основе пароля :
Декомпиляция JADом с последующей обработкой JntelliName
// _$p_loginStart1 - JntelliName
private byte[] _$p_loginStart1 (int i, String s, String s1) throws NoSuchAlgorithmException {
// Called from loginStart(String s, String s1) lines 14,15,17
// l4 (65536, s.toLowerCase(), s1);
// 15 (1, s.toLowerCase(), s1);
// 17 (i + 1, s.toLowerCase(), s1);
MessageDigest messagedigest = MessageDigest.getInstance(getParameter("name.messageDigest"));
String s2 = String.valueOf((new StringBuffer(String.valueOf(s))).append(s1).append(i));
messagedigest.update(s2.getBytes());
return messagedigest.digest();
}
Собственно большинство ошибок и замечаний было найдено простым просмотром открытых текстов.
---------------
"Замечаниями" я называю не ошибки, а просто решения у которых существуют более современные или стойкие аналоги. Собственно их тоже почти везде обещают устранить или уже устранили.
------------
" Недоработки в процедуре аутентификации, позволявшая отслеживать логи почты - адреса
абонентов, поля тем "
Это недоработка не клиентской части, а вообще сервера. Соответственно на стойкость самой криптозащиты она в принципе никак не влияла.
-----------
> A.V. Komlin - признанный эксперт в области защиты > информации в Интернете. Автор целого ряда статей по > вопросам уязвимостей в системах web-почты. Победитель > <HackZone'99>.
Ну на эксперта я не тяну, это с лёгкой руки Ленты.Ру пошло. До специалистов класса [Duka ], Dl, Heater'a, Волчкова и т.д. мне _очень_далеко.
Александр
|