информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяСетевые кракеры и правда о деле ЛевинаВсе любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Сертификаты необходимы для защищенного обмена сессионными... 13.05.16 11:01  Число просмотров: 1398
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 17.05.16 14:33  Количество правок: 3
<"чистая" ссылка>
Сертификаты необходимы для защищенного обмена сессионными ключами симметричного шифрования с помощью публичного ключа асимметричного шифрования, находящегося в сертификате сайта, пара которому (приватный ключ) известна только https серверу.
Если сертификат сайта удостоверен (подписан) доверенным корневым центром сертификации, сертификат которого уже размещен в хранилище сертификатов и данные в сертификате сайта совпадают с "координатами" сайта, то такой сертификат считается доверенным. В противном случае, пользователь получит предупреждение о нарушении безопасности.
Некоторые антивирусы умеют просматривать https трафик, устанавливая на защищаемом компе свой доверенный корневой псевдоцентр сертификации, размещая его сертификат в хранилище, генерируя и подписывая налету свои собственные сертификаты для сайтов, внедряясь с их помощью в защищенный канал передачи данных между клиентом (браузером) и https сервером.
В случае с https, для осуществления mitm атаки атакующему не только необходимо полностью контролировать трафик между клиентом и сервером, но и каким-либо способом разместить в защищенном хранилище атакуемого узла сертификат своего "доверенного" центра сертификации, с помощью которого он будет подписывать генерируемые налету сертификаты https серверов, посещаемых клиентом.
<site updates>
[lj] яндексобезопасное 21.04.16 12:22  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
яндексобезопасное
http://leonov.livejournal.com/440053.html

Перевел сайты на https, гугль все это обработал прозрачно (в панели управления потом все-таки пришлось добавить адрес с https вручную, но на выдаче это никак не отразилось). Яндекс через пару недель это дело понял и сам правильно склеил зеркала, а еще через недельку обнулил ТИЦ. Да, я знаю, что это известное поведение, и потом все должно вернуться, но... "и они еще борются за звание дома высокой культуры быта", т.е. тьфу, за безопасность пользователей.


Полный текст
А зачем это делают (переводят сайты на https)? В чем смысл?... 11.05.16 23:13  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 11.05.16 23:14  Количество правок: 1
<"чистая" ссылка>
А зачем это делают (переводят сайты на https)? В чем смысл? Безопасность? Мнимая безопасность?
Защита от mitm атак? 12.05.16 09:41  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
ну да, иначе логины/пароли/id сессий в открытом виде бегают 12.05.16 13:43  
Автор: dl <Dmitry Leonov>
Отредактировано 12.05.16 13:44  Количество правок: 1
<"чистая" ссылка>
Плюс небольшой шкурный интерес - гугль https-сайты обещает ранжировать повыше, плюс включение push-извещений требует меньших танцев с бубнами.
Что—то я сомневаюсь в защите от мим атак и защите паролей... 12.05.16 23:15  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Плюс небольшой шкурный интерес - гугль https-сайты обещает
> ранжировать повыше, плюс включение push-извещений требует
> меньших танцев с бубнами.
Что—то я сомневаюсь в защите от мим атак и защите паролей. Если сертификат не установлен, то такая зашита становится бесполезной.
основной смысл сертификата - отдать браузеру публичный ключ 13.05.16 12:19  
Автор: dl <Dmitry Leonov>
Отредактировано 13.05.16 12:47  Количество правок: 2
<"чистая" ссылка>
...которым будет шифроваться сессионный, которым будет шифроваться весь трафик, включая те самые пароли/id сессии, которые иначе передаются по http в открытом виде. Плюс подтвердить, что все это действительно пришло с самого сайта.
Дополнительно устанавливать что-то на стороне браузера нужно если сертификат сайта подписан неизвестным браузеру CA (например, в случае самоподписанных, это годится для закрытых админок, домашних NAS и т.п.).

В ответе чуть ниже все описано правильно и подробней.
Сертификаты необходимы для защищенного обмена сессионными... 13.05.16 11:01  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 17.05.16 14:33  Количество правок: 3
<"чистая" ссылка>
Сертификаты необходимы для защищенного обмена сессионными ключами симметричного шифрования с помощью публичного ключа асимметричного шифрования, находящегося в сертификате сайта, пара которому (приватный ключ) известна только https серверу.
Если сертификат сайта удостоверен (подписан) доверенным корневым центром сертификации, сертификат которого уже размещен в хранилище сертификатов и данные в сертификате сайта совпадают с "координатами" сайта, то такой сертификат считается доверенным. В противном случае, пользователь получит предупреждение о нарушении безопасности.
Некоторые антивирусы умеют просматривать https трафик, устанавливая на защищаемом компе свой доверенный корневой псевдоцентр сертификации, размещая его сертификат в хранилище, генерируя и подписывая налету свои собственные сертификаты для сайтов, внедряясь с их помощью в защищенный канал передачи данных между клиентом (браузером) и https сервером.
В случае с https, для осуществления mitm атаки атакующему не только необходимо полностью контролировать трафик между клиентом и сервером, но и каким-либо способом разместить в защищенном хранилище атакуемого узла сертификат своего "доверенного" центра сертификации, с помощью которого он будет подписывать генерируемые налету сертификаты https серверов, посещаемых клиентом.
Вот! Одного протокола мало. Нужно еще обеспечить правильную сертификацию. 21.05.16 12:37  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
Всё давно придумано до нас. :) 23.05.16 09:23  
Автор: Den <Денис Т.> Статус: The Elderman
Отредактировано 23.05.16 10:46  Количество правок: 2
<"чистая" ссылка>
В форточках сертификаты на CA рассылаются обновлениями. Браузеры, использующие собственные контейнеры сертификатов, также получают CA в обновлениях.
черт, внесто ответа в редактирование попал :) //тут был вопрос про сертификаты //dl 12.05.16 15:22  
Автор: Den <Денис Т.> Статус: The Elderman
<"чистая" ссылка>
Сертификаты сейчас стоят очень по-разному, тут бесплатные.
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach