Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Имеет смысл обсуждать только ошибку III. Она, увы, серьёзна. 17.06.02 12:17 Число просмотров: 2242
Автор: (Не)Случайный посетитель Статус: Незарегистрированный пользователь
|
Уважаемые коллеги.
Из нарисованной Александром картины моё внимание привлекла только третья из описанных ошибок.
В первых двух случаях можно бесконечно спорить о том кто должен решать проблемы : производитель СКЗИ или банк.
Например в аттаке вследствии получения приложений по открытым каналам виновны оба (ошибк I).
Поэтому предлагаю не тратить силы и время и переходить к главной из описанных ошибок:
Возможности скрытой подмены сотрудником банка СКЗИ на заглушку с целью получения секретного пароля.
Если эта ошибка соответствует действительности и присуствовала в действующих версиях продукта банкам следует вежливо попросить клиентов перегенерировать ключи.
Также компании Бифит следует незамедлительно отозвать подпись под апплетами уязвимых версий ( если у них предсмотрен механизм для этого), если нет, то изменить протоколы передачи и формат подписываемого сообщения.
Необходимости таких мер вызвана возможностью применения устаревшего апплета.
Иначе открываются перспективы для подрыва репутации самих банков.
Всего хорошего.
P.S. Считаю бессмысленным обсуждать вопрос о номере уязвимой версии т.к. для похищения ключа может быть применён любой подписанный код.
|
|
|