Игрался с интернет-банком одного банка. Там обнаружилась возможность сохранить ключ на жёсткий диск. Делается это посредством джава-апплета. В одном поле я нажимаю кнопку "Обзор" и указываю путь на своём жестком диске. Нажимаю другую кнопку, и файл появляется там где я указал. Например в автозагрузке.
Разумеется, происходит это не через стандартное окно браузера "Загрузка файла". Никаких предупреждений безопасности браузера не вылезает. Сайт не добавлен в доверенные. Настройки безопасности по умолчанию. Пробовал на IE6 SP1 с последними обновлениями и FF 2.0.0.11.
Я так понимаю, что в теории апплет может не дожидаться пока я нажму кнопку, и сохранить, например, исполняемый файл в автозагрузку когда захочет. Допустим, в IE с недавних пор апплет не активен, пока на него не кликнешь. Что же теперь, бояться всех апплетов? А FF что же?
Вопрос: как такое вообще допустимо?
Апплет подписанный. Скорее всего, при первом запуске...13.12.07 23:04 Автор: tatar_0x4e Статус: Member
Апплет подписанный. Скорее всего, при первом запуске интернет-банка броузер у тебя, или у того кто его запустил поинтересовался, доверяешь ли ты этому провайдеру? Ты нажал YES, он запомнил и больше не спрашивает. Тем самым ты разрешил этому апплету делать в своей системе все что угодно (в разумных пределах).
В Файрфоксе можно даже JavaScript подписывать. Если он подписан, он может открывать соединения на любые домены, шариться по дискам, использовать всякие прелести XUL и т.п. Никаких апплетов не нужно :)
Соединение по SSL, сертификат выдан Thawte CA, так что я ему...13.12.07 23:13 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Соединение по SSL, сертификат выдан Thawte CA, так что я ему доверяю без подтверждения. Сертификат имеет единственное назначение: Ensures the identity of a remote computer
Но это ведь имеет отношение только к соединению. Про сертификат апплета мне ничего не выскакивало.
Ты хочешь сказать, что если апплет подписан сертификатом, чей путь восходит до оного из Root CA, которым доверяет мой браузер по умолчанию, то я уже фактически заранее согласился на любые действия этого апплета? Насколько я знаю, получить такой сертификат совсем не сложно и не дорого.
SSL точно не при чем. Сертификат апплета проверяет JVM и ему...13.12.07 23:31 Автор: tatar_0x4e Статус: Member
SSL точно не при чем. Сертификат апплета проверяет JVM и ему в принципе фиолетово как ты этот апплет получил.
> Ты хочешь сказать, что если апплет подписан сертификатом, > чей путь восходит до оного из Root CA, которым доверяет мой > браузер по умолчанию, то я уже фактически заранее > согласился на любые действия этого апплета? Насколько я > знаю, получить такой сертификат совсем не сложно и не > дорого.
Знаешь, я сам слегка удивлен. Пару лет этим не занимался. Раньше всегда спрашивало, а сейчас, похоже, если апплет подписан сертификатом восходящим к правильному root CA, JVM ничего не спрашивает. По крайней мере у меня на компе и в FF и в IE warning вылетает только если пытаюсь загрузить апплеты подписанные самодельными сертификатами. Похоже на особенность JVM. Если посмотришь на ее настройки в Control Panel, то увидишь список "Trusted Certificates". Ради интереса их можно поудалять и посмотреть, что будет. Там еще есть куча интересных чекбоксов в Advanced -> Security. Подозреваю, что у тебя там что-то не отмечено.
и правда14.12.07 00:09 Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Удалил в настройках JVM сертификаты этого банка из доверенных, перезапустил браузер и при обращении к странице вылез запрос JVM "Доверять этому приложению?". И если нажать "детали" там действительно написано, что приложение будет запущено без всяких секурных ограничений. Там же есть галочка "Доверять этому издателю всегда". Просто хранится это не в браузере, а в настройках JVM. Это меня с толку и сбило.
и никакие слова про сертификаты хотя бы при первой загрузке не выскакивали?13.12.07 22:57 Автор: dl <Dmitry Leonov>
Нет. Соединение по SSL, сертификат выдан Thawte CA, так что я ему доверяю без подтверждения. Сертификат имеет единственное назначение: Ensures the identity of a remote computer
Но это ведь имеет отношение только к соединению. Про сертификат апплета мне ничего не выскакивало.
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
