Для Firefox 3 представлено расширение perspectives (http://www.cs.cmu.edu/~perspectives/firefox.html), предназначенное для дополнительной проверки SSL HTTP соединений и выявления подставных SSL серверов. При соединении расширение обращается к доверительному внешнему серверу, который дополнительно запрашивает параметры SSL аутентификации открываемого сайта. После чего, независимо полученные параметры локального и внешнего запросов сверяются, что позволяет обнаружить атаки выполняемые через организацию подставного сервера-посредника.Дополнительно, расширение помогает в работе с сайтами, на которых используются самодельные (self-signed), не заверенные внешним арбитром, сертификаты. Для таких сайтов perspectives автоматически определяет валидность сертификатов, избавляя пользователя от появления надоедливых окон с предупреждениями.
URL: http://www.cs.cmu.edu/~perspectives/firefox.html
Новость: http://www.opennet.me/opennews/art.shtml?num=17543
Если ломать будут "по крупному", то при желании покупка "правильного" сертификата думаю не такая уж проблема. А для остановки мелких кул-хацкеров, наверное подойдет.
>Если ломать будут "по крупному", то при желании покупка "правильного" сертификата думаю
>не такая уж проблема.Проблема ровно одна - у вас имя сервера при этом будет отличаться от правильного. А это неспортивно.
А "обмануть" этот "доверительный внешний сервер" разве нельзя? При этом я недумаю что этих серверов много и что у них динамический IP...
Вот к примеру что выдает официальный сайт СТРИМА> customer.tochka.ru использует недействительный сертификат безопасности.
> Сертификат действителен только для customer.comstar-direct.ru.
> (Код ошибки: ssl_error_bad_cert_domain)
> * Это может быть проблемой с конфигурацией сервера или же кто-то пытается
> подменить нужный вам сервер другим.
> * Если в прошлом вы успешно соединялись с этим сервером, то возможно
> эта ошибка является временной. Попробуйте зайти позже.Для домена customer.comstar-direct.ru он действителен, а для customer.tochka.ru,
куда они же ссылаются на сайте tochka.ru - хрен.И что теперь, убивать их???
У issa.avtlg.ru аналогичная проблема, там self-signed, но выписан на другой домен (newstat.kuban.ru). А это пользовательский интерфейс биллинга ЮТК :) И ничего, работают.
>А это пользовательский интерфейс биллинга ЮТК :)А SSL там для галочки?Чисто попонтоваться?
> И ничего, работают.
Функционируют.Гнать таких админов надо, ссаными тряпками и сраной метлой.Хотя-бы потому что современные браузеры с усиленной придирчивостью к SSL на данные сайты как минимум очень матерятся а то и вовсе не конектятся резонно предполагая левак (откуда ж кто знает, фишеры там с именем сервера мухлюют или криворукие админы-идиоты не в состоянии сертификат себе выдать нормальный?).Толку то от такого SSL в итоге?Он аутентификацию сайта в таком виде не обеспечивает, ну смысла в нем в итоге?
Ну вот собственно, и пришлось иметь секас в 3-м фоксе с этой хренькой. А про админов... там есть, конечно, очень толковые ребята, проблема их в том, что ЮТК за специалистов не держится. Нисколько. Тем более при помощи оплаты труда.
ибо нехрен на разные сайты один серт пихать
>И что теперь, убивать их???Так точно.При том с особой жестокостью.Как и админов регионального МТС, которые мало того что сроду жлобятся на подпись сертификата у верисайнов и тавте всяких, так еще мало того - не могут даже сами себе выдать новый самоподписанный сертификат.Потому что старый у этиз лабухов банально просрочился и браузер вообще верещит (FF2) или по дефолту не конектится (FF3) к такому сайту.Вот скажите, кем надо быть чтобы самому себе самоподписанный сертификат не выпустить при протухании старого?Там вообще кто админит сервера?Стадо бабуинов?
Все правильно, нефиг выписывать сертификат на другое, отличное от имени сервера. Криворукие админы должны после этого пойти нахуй
Ну, прям-таки. Думаете, это редкость - организации, жалеющие денег на лишний сертификат для доп. домена ?
Хотя, кто мешал сделать редирект....
Организации, жалеющие денег на свой престиж в виде соответствующего домену сертификата, у меня не вызывают ни доверия, ни симпатий.
Я вынужден работать много с клиент-банками, так вот практически ни у одного из них нет нормальных сертификатов .... включая налоговую с ихним чертовым референтом кстати.
А с такими банками _вообще_ работать надо запрещать - это не просто нарушение внутренних норм информационной безопасности, это их _отсутствие_. У налоговой другая проблема - она гос. орган, и должна получать сертификат от государственного сертификационного центра. Который должен уже работать лет 7 как. Ну как бы да. Не подумали еще над этим вопросом партийные деятели.
" это не просто нарушение внутренних норм информационной безопасности, это их _отсутствие_"Почему? Вы читали эти _внутренние_ нормы каждого конкретного банка? Проверьте отпечаток ключа в сертификате совместно с банковским работником, добавьте сертификат в хранилище доверенных и работайте спокойно.
"У налоговой другая проблема - она гос. орган, и должна получать сертификат от государственного сертификационного центра"Не уверен насчет именно "государственного сертификационного центра", но таки тот-же Таском работает с вполне себе сертифицированным гос. органами CA КриптоКом'а.
>с вполне себе сертифицированным гос. органами CA КриптоКом'а.Ошибся! Следует читать КриптоПро.
Если нет элементарного подтверждения третьей стороной того, что передо мной - мой банк, а не самопальный хост с фейковыми сертификатами, то о каком доверии может быть речь? Вся суть в том, нужен посредник, который подтвердит "Да, мамой клянусь, это тот, за кого он себя выдает".Вся эта криптотехника работает (сюрприз) на собственных сертификатах, максимум на сертификатах производителя в качестве CA. Отечественного CA как не было, так и не предвидится.
Никто не мешает один раз и надолго удостоверится в организации их ли это сертификат. Да, это гораздо менее удобно, чем если бы тот же браузер не задавал вам лишних вопросов.Вы, например, доверяете сертификатам Thawte выданным в россии при посредничестве известной фирмы? ;-) Когда моя организация оформляла так любимые вами сертификаты, заверенные третей стороной, мне их процедуры проверки показались недостаточными.
>мне их процедуры проверки показались недостаточными.Ага, а когда админы МТС в регионах мало того что сами себе подписали сертификат при том на какой-то сугубо местечковой локальной ауторити (которую вероятно сами же и создали) - так еще и не могут себе обновить сертификат.
Единственное но: FF3 и так то придира в плане SSL :) а с аддоном думаю вы вообще никуда не попадете :D
Как бы банк-клиент - это услуга, при которой банк как поставщик клал с прибором на клиента. Потому что, банку эта услуга не упёрлась, трудности от ее не использования будут только и исключительно у клиента, потому как придётся каждую платёжку отвозить лично и выписки забирать лично, а потом еще и обрабатывать вручную. Потому в качестве банк-клиентов пихают всякую фигню, в том числе и унылую. Именно поэтому нет смысла пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к примеру работающий под "правильными ОС", или хотя бы исправить баги в клиенте (который к тому же у практически всех банков купленный со стороны).
>Как бы банк-клиент - это услуга, при которой банк как поставщик клал
>с прибором на клиента. Потому что, банку эта услуга не упёрлась,Это не так. Банку как раз эта услуга нужна не меньше, чем клиенту. Любой нормальный коммерческий банк стремится всеми силами завтоматизировать всё что только можно с целью снизить издержки и исключить фактор человеческих ошибок в такой критичной сфере человеческой деятельности, как финансовая.
>трудности от ее не использования будут только и исключительно у клиента,
>потому как придётся каждую платёжку отвозить лично и выписки забирать лично,В соответствии с нашим законодательствам в области бухгалтерии клиент в любом случае потом
приезжает и привозит\забирает бумажные документы, которые он должен подшить к своим книгам.
>а потом еще и обрабатывать вручную. Потому в качестве банк-клиентов пихают
>всякую фигню, в том числе и унылую. Именно поэтому нет смысла
>пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к
>примеру работающий под "правильными ОС", или хотя бы исправить баги вСмысл имеет, если есть рынок правильных, как вы выразились ОС, а такового пока не наблюдается. Ну и потом есть примеры кроссплатформенных банк-клиентов: как web-based, так и выполняющихся в JVM. Те, кому это действительно необходимо об этом знают.
>>Как бы банк-клиент - это услуга, при которой банк как поставщик клал
>>с прибором на клиента. Потому что, банку эта услуга не упёрлась,
>
>Это не так. Банку как раз эта услуга нужна не меньше, чем
>клиенту. Любой нормальный коммерческий банк стремится всеми силами завтоматизировать всё что
>только можно с целью снизить издержки и исключить фактор человеческих ошибок
>в такой критичной сфере человеческой деятельности, как финансовая.Перебрали (не по моей инициативе) порядка 10 банков, некоторые "толкают" BSS - процедура генерации ключей там настолько неописана, что банк предлагает в итоге "сгенерировать ключи у себя и выслать их нам", что есть нарушение моей безопасности.
У некоторых была веб-морда, даже с явой. И использовался при этом полный букет всевозможных ActiveX и прочих COM. Т.е. лучше бы не заморачивались, а ставили тот же BSS.
>
>
>>трудности от ее не использования будут только и исключительно у клиента,
>>потому как придётся каждую платёжку отвозить лично и выписки забирать лично,
>
>В соответствии с нашим законодательствам в области бухгалтерии клиент в любом случае
>потом
>приезжает и привозит\забирает бумажные документы, которые он должен подшить к своим книгам.
>Только делает это раз в месяц, а не раз в 5 минут при ежедневных разнонаправленных платежах в количестве 50-100 штук.
>[оверквотинг удален]
>
>>а потом еще и обрабатывать вручную. Потому в качестве банк-клиентов пихают
>>всякую фигню, в том числе и унылую. Именно поэтому нет смысла
>>пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к
>>примеру работающий под "правильными ОС", или хотя бы исправить баги в
>
>Смысл имеет, если есть рынок правильных, как вы выразились ОС, а такового
>пока не наблюдается. Ну и потом есть примеры кроссплатформенных банк-клиентов: как
>web-based, так и выполняющихся в JVM. Те, кому это действительно необходимо
>об этом знают.Знают, но выбирает банк не сисадмин, а ген. дир/ЗГД по финансам/Нач. фин/Глав. бух. А выбранные банки, как уже я писал, плевать хотели на наши неудобства с их банк-клиентами.
>Перебрали (не по моей инициативе) порядка 10 банков, некоторые "толкают" BSS -
>процедура генерации ключей там настолько неописана, что банк предлагает в итоге
>"сгенерировать ключи у себя и выслать их нам", что есть нарушение
>моей безопасности.Вы видимо что-то не поняли. Очень странная у вас безопасность, я бы даже написал "безопасность" -- именно так, в кавычках -- если ее нарушением вы считаете генерацию ключей на своей стороне.
Выработка ключа на вашей стороне в данном случае совершенно естественная процедура для ассиметричной криптографии. В банк требуется отправить лишь ваш открытый ключ (или запрос на выпуск сертификата).>
>У некоторых была веб-морда, даже с явой. И использовался при этом полный
>букет всевозможных ActiveX и прочих COM. Т.е. лучше бы не заморачивались,
>а ставили тот же BSS.А у некоторых есть продукт iBank2 (www.bifit.ru), который в последнее время сильно популярен во многих, в том числе и крупных, банках и который работает в Linux.
>Знают, но выбирает банк не сисадмин, а ген. дир/ЗГД по финансам/Нач. фин/Глав.
>бух. А выбранные банки, как уже я писал, плевать хотели на
>наши неудобства с их банк-клиентами.И, поверьте, хорошо, что каждый занимается своим делом, директор выбирает банк, а системный администратор "воюет" с ПО. Наше дело доложить руководству, что представляемый банком сервис дистанционного обслуживания не будет работать на имеющихся на предприятии технических средствах и предложить варианты решения. Мне видятся сходу два: а) Купить ОС, которую поддерживает конкретный банк-клиент; б) предложить директору выбрать иной банк ;-))
>[оверквотинг удален]
>>"сгенерировать ключи у себя и выслать их нам", что есть нарушение
>>моей безопасности.
>
>Вы видимо что-то не поняли. Очень странная у вас безопасность, я бы
>даже написал "безопасность" -- именно так, в кавычках -- если ее
>нарушением вы считаете генерацию ключей на своей стороне.
>Выработка ключа на вашей стороне в данном случае совершенно естественная процедура для
>ассиметричной криптографии. В банк требуется отправить лишь ваш открытый ключ (или
>запрос на выпуск сертификата).
>Фраза была "сгенерировать у себя и выслать НАМ", т.е. сотрудник банка (называемый девочкой-секретаршей по обыкновению "программист") генерит у себя весь пакет ключей (в т.ч. и закрытых), затем отсылает нам, причём сначала пытались отправить мылом, окончательно сошлись на том, что вышлет посредством клиент-банка. И даже уже не говорю, что они вообще удивились, что мы попросили инструкцию по генерации ключей "своими силами". И тем более смешно, что инструкция не помогла - у них CA наотрез отказывался подписывать сгенерированное нами. И проблема была в том, что "надо было срочно" - они решили сменить алгоритм, времени действительно было в обрез.
>А у некоторых есть продукт iBank2 (www.bifit.ru), который в последнее время сильно
>популярен во многих, в том числе и крупных, банках и который
>работает в Linux.Видел, потому написал "почти все банки". Даже пользовались таким. Но не помогает в силу того, что помимо этого несколько банков с BSS, несколько с ActiveX-веб-мордой. Ну, до кучи, уже упоминавшийся тут "Контур-Экстерн", насквозь ActiveX'овый.
>И, поверьте, хорошо, что каждый занимается своим делом, директор выбирает банк, а
>системный администратор "воюет" с ПО. Наше дело доложить руководству, что представляемый
>банком сервис дистанционного обслуживания не будет работать на имеющихся на предприятии
>технических средствах и предложить варианты решения. Мне видятся сходу два: а)
>Купить ОС, которую поддерживает конкретный банк-клиент; б) предложить директору выбрать иной
>банк ;-))Банки часто выбирать не приходится: Российский рынок электроэнергии тому пример. Ну а ОС - ее, конечно, купили, куда деваться.
>>нет смысла
>>пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к
>>примеру работающий под "правильными ОС"
>Смысл имеет, если есть рынок правильных, как вы выразились ОС, а такового
>пока не наблюдается.Т.е. КриптоПро под линукс есть, а рынка нет?
http://cryptocom.ru/cryptopacket.htmlОсобое внимание уделите списку поддерживаемых ОС.
Я очень хорошо представляю себе список операционных систем поддерживаемых компанией КриптоПро без ссылок :-)
Для банков рынка в виде клиентов с ОС, отличных от MS Windows не виден. Он может быть даже есть, только что-то никак не проявляет себя. Специально интересовался, ни одного запроса на систему банк-клиент для Linux не было.
а зачем тогда вообще нужна эта канитель с сертификатами? Любой, прочитавший ман по openssl сделает такой же за 5 минут (self-signed)
>Ну, прям-таки. Думаете, это редкость - организации, жалеющие денег на лишний сертификат
>для доп. домена ?В россии много дегенератов которые даже не просто жалеют денег, а даже самоподписанный сертификат валидно сгенерить не могут или не могут продлить себе протухший сертификат.Мочить таких в сортире, ибо толку с такого "secure" ровно нуль.