| 1.1, yugin (?), 00:09, 26/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Если ломать будут "по крупному", то при желании покупка "правильного" сертификата думаю не такая уж проблема. А для остановки мелких кул-хацкеров, наверное подойдет.
| | |
| |
| 2.24, User294 (??), 18:40, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Если ломать будут "по крупному", то при желании покупка "правильного" сертификата думаю
>не такая уж проблема.
Проблема ровно одна - у вас имя сервера при этом будет отличаться от правильного. А это неспортивно.
| | |
|
| 1.3, Ктототаммм (?), 02:31, 26/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А "обмануть" этот "доверительный внешний сервер" разве нельзя? При этом я недумаю что этих серверов много и что у них динамический IP...
| | |
| 1.4, pavlinux (ok), 03:48, 26/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Вот к примеру что выдает официальный сайт СТРИМА
> customer.tochka.ru использует недействительный сертификат безопасности.
> Сертификат действителен только для customer.comstar-direct.ru.
> (Код ошибки: ssl_error_bad_cert_domain)
> * Это может быть проблемой с конфигурацией сервера или же кто-то пытается
> подменить нужный вам сервер другим.
> * Если в прошлом вы успешно соединялись с этим сервером, то возможно
> эта ошибка является временной. Попробуйте зайти позже.
Для домена customer.comstar-direct.ru он действителен, а для customer.tochka.ru,
куда они же ссылаются на сайте tochka.ru - хрен.
И что теперь, убивать их???
| | |
| |
| 2.5, GateKeeper (??), 09:07, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
У issa.avtlg.ru аналогичная проблема, там self-signed, но выписан на другой домен (newstat.kuban.ru). А это пользовательский интерфейс биллинга ЮТК :) И ничего, работают.
| | |
| |
| 3.27, User294 (??), 18:52, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>А это пользовательский интерфейс биллинга ЮТК :)
А SSL там для галочки?Чисто попонтоваться?
> И ничего, работают.
Функционируют.Гнать таких админов надо, ссаными тряпками и сраной метлой.Хотя-бы потому что современные браузеры с усиленной придирчивостью к SSL на данные сайты как минимум очень матерятся а то и вовсе не конектятся резонно предполагая левак (откуда ж кто знает, фишеры там с именем сервера мухлюют или криворукие админы-идиоты не в состоянии сертификат себе выдать нормальный?).Толку то от такого SSL в итоге?Он аутентификацию сайта в таком виде не обеспечивает, ну смысла в нем в итоге?
| | |
| |
| 4.29, GateKeeper (??), 13:53, 27/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Ну вот собственно, и пришлось иметь секас в 3-м фоксе с этой хренькой. А про админов... там есть, конечно, очень толковые ребята, проблема их в том, что ЮТК за специалистов не держится. Нисколько. Тем более при помощи оплаты труда.
| | |
|
|
| 2.25, User294 (??), 18:45, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>И что теперь, убивать их???
Так точно.При том с особой жестокостью.Как и админов регионального МТС, которые мало того что сроду жлобятся на подпись сертификата у верисайнов и тавте всяких, так еще мало того - не могут даже сами себе выдать новый самоподписанный сертификат.Потому что старый у этиз лабухов банально просрочился и браузер вообще верещит (FF2) или по дефолту не конектится (FF3) к такому сайту.Вот скажите, кем надо быть чтобы самому себе самоподписанный сертификат не выпустить при протухании старого?Там вообще кто админит сервера?Стадо бабуинов?
| | |
|
| 1.6, sda (??), 09:45, 26/08/2008 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Все правильно, нефиг выписывать сертификат на другое, отличное от имени сервера. Криворукие админы должны после этого пойти нахуй
| | |
| |
| 2.7, cyclope (??), 10:07, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Ну, прям-таки. Думаете, это редкость - организации, жалеющие денег на лишний сертификат для доп. домена ?
Хотя, кто мешал сделать редирект....
| | |
| |
| 3.8, anonymous (??), 10:19, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Организации, жалеющие денег на свой престиж в виде соответствующего домену сертификата, у меня не вызывают ни доверия, ни симпатий.
| | |
| |
| 4.9, gdenis (??), 10:45, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Я вынужден работать много с клиент-банками, так вот практически ни у одного из них нет нормальных сертификатов .... включая налоговую с ихним чертовым референтом кстати.
| | |
| |
| 5.12, winterheart (?), 11:20, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
А с такими банками _вообще_ работать надо запрещать - это не просто нарушение внутренних норм информационной безопасности, это их _отсутствие_. У налоговой другая проблема - она гос. орган, и должна получать сертификат от государственного сертификационного центра. Который должен уже работать лет 7 как. Ну как бы да. Не подумали еще над этим вопросом партийные деятели.
| | |
| |
| 6.14, Corvax (??), 11:49, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
 " это не просто нарушение внутренних норм информационной безопасности, это их _отсутствие_"
Почему? Вы читали эти _внутренние_ нормы каждого конкретного банка? Проверьте отпечаток ключа в сертификате совместно с банковским работником, добавьте сертификат в хранилище доверенных и работайте спокойно.
"У налоговой другая проблема - она гос. орган, и должна получать сертификат от государственного сертификационного центра"
Не уверен насчет именно "государственного сертификационного центра", но таки тот-же Таском работает с вполне себе сертифицированным гос. органами CA КриптоКом'а.
| | |
| |
| 7.15, Corvax (??), 11:50, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– | |
>с вполне себе сертифицированным гос. органами CA КриптоКом'а.
Ошибся! Следует читать КриптоПро.
| | |
| 7.21, winterheart (?), 14:54, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– | |
Если нет элементарного подтверждения третьей стороной того, что передо мной - мой банк, а не самопальный хост с фейковыми сертификатами, то о каком доверии может быть речь? Вся суть в том, нужен посредник, который подтвердит "Да, мамой клянусь, это тот, за кого он себя выдает".
Вся эта криптотехника работает (сюрприз) на собственных сертификатах, максимум на сертификатах производителя в качестве CA. Отечественного CA как не было, так и не предвидится.
| | |
| |
| 8.23, Corvax (??), 18:18, 26/08/2008 [^] [^^] [^^^] [ответить] | +/– | Никто не мешает один раз и надолго удостоверится в организации их ли это сертифи... текст свёрнут, показать | | |
|
|
|
| 5.13, GateKeeper (??), 11:32, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
Как бы банк-клиент - это услуга, при которой банк как поставщик клал с прибором на клиента. Потому что, банку эта услуга не упёрлась, трудности от ее не использования будут только и исключительно у клиента, потому как придётся каждую платёжку отвозить лично и выписки забирать лично, а потом еще и обрабатывать вручную. Потому в качестве банк-клиентов пихают всякую фигню, в том числе и унылую. Именно поэтому нет смысла пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к примеру работающий под "правильными ОС", или хотя бы исправить баги в клиенте (который к тому же у практически всех банков купленный со стороны).
| | |
| |
| 6.16, Corvax (??), 11:58, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Как бы банк-клиент - это услуга, при которой банк как поставщик клал
>с прибором на клиента. Потому что, банку эта услуга не упёрлась,
Это не так. Банку как раз эта услуга нужна не меньше, чем клиенту. Любой нормальный коммерческий банк стремится всеми силами завтоматизировать всё что только можно с целью снизить издержки и исключить фактор человеческих ошибок в такой критичной сфере человеческой деятельности, как финансовая.
>трудности от ее не использования будут только и исключительно у клиента,
>потому как придётся каждую платёжку отвозить лично и выписки забирать лично,
В соответствии с нашим законодательствам в области бухгалтерии клиент в любом случае потом
приезжает и привозит\забирает бумажные документы, которые он должен подшить к своим книгам.
>а потом еще и обрабатывать вручную. Потому в качестве банк-клиентов пихают
>всякую фигню, в том числе и унылую. Именно поэтому нет смысла
>пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к
>примеру работающий под "правильными ОС", или хотя бы исправить баги в
Смысл имеет, если есть рынок правильных, как вы выразились ОС, а такового пока не наблюдается. Ну и потом есть примеры кроссплатформенных банк-клиентов: как web-based, так и выполняющихся в JVM. Те, кому это действительно необходимо об этом знают.
| | |
| |
| |
| 8.20, Corvax (??), 14:32, 26/08/2008 [^] [^^] [^^^] [ответить] | +/– | Вы видимо что-то не поняли Очень странная у вас безопасность, я бы даже написал... текст свёрнут, показать | | |
|
| 7.18, GateKeeper (??), 14:01, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>>нет смысла
>>пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к
>>примеру работающий под "правильными ОС"
>Смысл имеет, если есть рынок правильных, как вы выразились ОС, а такового
>пока не наблюдается.
Т.е. КриптоПро под линукс есть, а рынка нет?
http://cryptocom.ru/cryptopacket.html
Особое внимание уделите списку поддерживаемых ОС.
| | |
| |
| 8.19, Corvax (??), 14:17, 26/08/2008 [^] [^^] [^^^] [ответить] | +/– | Я очень хорошо представляю себе список операционных систем поддерживаемых компан... текст свёрнут, показать | | |
|
|
|
|
|
| 3.10, Аноним (10), 10:47, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
а зачем тогда вообще нужна эта канитель с сертификатами? Любой, прочитавший ман по openssl сделает такой же за 5 минут (self-signed)
| | |
| 3.26, User294 (??), 18:47, 26/08/2008 [^] [^^] [^^^] [ответить]
| +/– |
>Ну, прям-таки. Думаете, это редкость - организации, жалеющие денег на лишний сертификат
>для доп. домена ?
В россии много дегенератов которые даже не просто жалеют денег, а даже самоподписанный сертификат валидно сгенерить не могут или не могут продлить себе протухший сертификат.Мочить таких в сортире, ибо толку с такого "secure" ровно нуль.
| | |
|
|
|
