Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
Нет. Соединение по SSL, сертификат выдан Thawte CA, так что... 13.12.07 23:07 Число просмотров: 4204
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Нет. Соединение по SSL, сертификат выдан Thawte CA, так что я ему доверяю без подтверждения. Сертификат имеет единственное назначение: Ensures the identity of a remote computer
Но это ведь имеет отношение только к соединению. Про сертификат апплета мне ничего не выскакивало.
|
|
<hacking>
|
Джава-апплет в браузере может сохранить файл на диск? 13.12.07 21:39
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Игрался с интернет-банком одного банка. Там обнаружилась возможность сохранить ключ на жёсткий диск. Делается это посредством джава-апплета. В одном поле я нажимаю кнопку "Обзор" и указываю путь на своём жестком диске. Нажимаю другую кнопку, и файл появляется там где я указал. Например в автозагрузке.
Разумеется, происходит это не через стандартное окно браузера "Загрузка файла". Никаких предупреждений безопасности браузера не вылезает. Сайт не добавлен в доверенные. Настройки безопасности по умолчанию. Пробовал на IE6 SP1 с последними обновлениями и FF 2.0.0.11.
Я так понимаю, что в теории апплет может не дожидаться пока я нажму кнопку, и сохранить, например, исполняемый файл в автозагрузку когда захочет. Допустим, в IE с недавних пор апплет не активен, пока на него не кликнешь. Что же теперь, бояться всех апплетов? А FF что же?
Вопрос: как такое вообще допустимо?
|
|
Апплет подписанный. Скорее всего, при первом запуске... 13.12.07 23:04
Автор: tatar_0x4e Статус: Member
|
Апплет подписанный. Скорее всего, при первом запуске интернет-банка броузер у тебя, или у того кто его запустил поинтересовался, доверяешь ли ты этому провайдеру? Ты нажал YES, он запомнил и больше не спрашивает. Тем самым ты разрешил этому апплету делать в своей системе все что угодно (в разумных пределах).
В Файрфоксе можно даже JavaScript подписывать. Если он подписан, он может открывать соединения на любые домены, шариться по дискам, использовать всякие прелести XUL и т.п. Никаких апплетов не нужно :)
|
| |
Соединение по SSL, сертификат выдан Thawte CA, так что я ему... 13.12.07 23:13
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Соединение по SSL, сертификат выдан Thawte CA, так что я ему доверяю без подтверждения. Сертификат имеет единственное назначение: Ensures the identity of a remote computer
Но это ведь имеет отношение только к соединению. Про сертификат апплета мне ничего не выскакивало.
Ты хочешь сказать, что если апплет подписан сертификатом, чей путь восходит до оного из Root CA, которым доверяет мой браузер по умолчанию, то я уже фактически заранее согласился на любые действия этого апплета? Насколько я знаю, получить такой сертификат совсем не сложно и не дорого.
|
| | |
SSL точно не при чем. Сертификат апплета проверяет JVM и ему... 13.12.07 23:31
Автор: tatar_0x4e Статус: Member
|
SSL точно не при чем. Сертификат апплета проверяет JVM и ему в принципе фиолетово как ты этот апплет получил.
> Ты хочешь сказать, что если апплет подписан сертификатом,
> чей путь восходит до оного из Root CA, которым доверяет мой
> браузер по умолчанию, то я уже фактически заранее
> согласился на любые действия этого апплета? Насколько я
> знаю, получить такой сертификат совсем не сложно и не
> дорого.
Знаешь, я сам слегка удивлен. Пару лет этим не занимался. Раньше всегда спрашивало, а сейчас, похоже, если апплет подписан сертификатом восходящим к правильному root CA, JVM ничего не спрашивает. По крайней мере у меня на компе и в FF и в IE warning вылетает только если пытаюсь загрузить апплеты подписанные самодельными сертификатами. Похоже на особенность JVM. Если посмотришь на ее настройки в Control Panel, то увидишь список "Trusted Certificates". Ради интереса их можно поудалять и посмотреть, что будет. Там еще есть куча интересных чекбоксов в Advanced -> Security. Подозреваю, что у тебя там что-то не отмечено.
|
| | | |
и правда 14.12.07 00:09
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
|
Удалил в настройках JVM сертификаты этого банка из доверенных, перезапустил браузер и при обращении к странице вылез запрос JVM "Доверять этому приложению?". И если нажать "детали" там действительно написано, что приложение будет запущено без всяких секурных ограничений. Там же есть галочка "Доверять этому издателю всегда". Просто хранится это не в браузере, а в настройках JVM. Это меня с толку и сбило.
|
|
и никакие слова про сертификаты хотя бы при первой загрузке не выскакивали? 13.12.07 22:57
Автор: dl <Dmitry Leonov>
|
|
|
| |
Нет. Соединение по SSL, сертификат выдан Thawte CA, так что... 13.12.07 23:07
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
|
Нет. Соединение по SSL, сертификат выдан Thawte CA, так что я ему доверяю без подтверждения. Сертификат имеет единственное назначение: Ensures the identity of a remote computer
Но это ведь имеет отношение только к соединению. Про сертификат апплета мне ничего не выскакивало.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
