The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Расширение к Firefox 3 для проверки SSL HTTP соеди..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"OpenNews: Расширение к Firefox 3 для проверки SSL HTTP соеди..."  
Сообщение от opennews on 26-Авг-08, 00:09 
Для Firefox 3 представлено расширение perspectives (http://www.cs.cmu.edu/~perspectives/firefox.html), предназначенное для дополнительной проверки SSL HTTP соединений и выявления подставных SSL серверов. При соединении расширение обращается к доверительному внешнему серверу, который дополнительно запрашивает параметры SSL аутентификации открываемого сайта. После чего, независимо полученные параметры локального и внешнего запросов сверяются, что позволяет обнаружить атаки выполняемые через организацию подставного сервера-посредника.

Дополнительно, расширение помогает в работе с сайтами, на которых используются самодельные (self-signed), не заверенные внешним арбитром, сертификаты. Для таких сайтов  perspectives автоматически определяет валидность сертификатов, избавляя пользователя от появления надоедливых окон с предупреждениями.

URL: http://www.cs.cmu.edu/~perspectives/firefox.html
Новость: http://www.opennet.me/opennews/art.shtml?num=17543

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от yugin email on 26-Авг-08, 00:09 
Если ломать будут "по крупному", то при желании покупка "правильного" сертификата думаю не такая уж проблема. А для остановки мелких кул-хацкеров, наверное подойдет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от User294 (??) on 26-Авг-08, 18:40 
>Если ломать будут "по крупному", то при желании покупка "правильного" сертификата думаю
>не такая уж проблема.

Проблема ровно одна - у вас имя сервера при этом будет отличаться от правильного. А это неспортивно.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от Ктототаммм on 26-Авг-08, 02:31 
А "обмануть" этот "доверительный внешний сервер" разве нельзя? При этом я недумаю что этих серверов много и что у них динамический IP...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от pavlinux (ok) on 26-Авг-08, 03:48 
Вот к примеру что выдает официальный сайт СТРИМА

> customer.tochka.ru использует недействительный сертификат безопасности.
> Сертификат действителен только для customer.comstar-direct.ru.
> (Код ошибки: ssl_error_bad_cert_domain)
> *   Это может быть проблемой с конфигурацией сервера или же кто-то пытается
> подменить нужный вам сервер другим.
> *   Если в прошлом вы успешно соединялись с этим сервером, то возможно
> эта ошибка является временной. Попробуйте зайти позже.

Для домена customer.comstar-direct.ru он действителен, а для customer.tochka.ru,
куда они же ссылаются на сайте tochka.ru - хрен.

И что теперь, убивать их???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от GateKeeper (??) on 26-Авг-08, 09:07 
У issa.avtlg.ru аналогичная проблема, там self-signed, но выписан на другой домен (newstat.kuban.ru). А это пользовательский интерфейс биллинга ЮТК :) И ничего, работают.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от User294 (??) on 26-Авг-08, 18:52 
>А это пользовательский интерфейс биллинга ЮТК :)

А SSL там для галочки?Чисто попонтоваться?

>  И ничего, работают.

Функционируют.Гнать таких админов надо, ссаными тряпками и сраной метлой.Хотя-бы потому что современные браузеры с усиленной придирчивостью к SSL на данные сайты как минимум очень матерятся а то и вовсе не конектятся резонно предполагая левак (откуда ж кто знает, фишеры там с именем сервера мухлюют или криворукие админы-идиоты не в состоянии сертификат себе выдать нормальный?).Толку то от такого SSL в итоге?Он аутентификацию сайта в таком виде не обеспечивает, ну смысла в нем в итоге?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от GateKeeper (??) on 27-Авг-08, 13:53 
Ну вот собственно, и пришлось иметь секас в 3-м фоксе с этой хренькой. А про админов... там есть, конечно, очень толковые ребята, проблема их в том, что ЮТК за специалистов не держится. Нисколько. Тем более при помощи оплаты труда.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от just_another_anonymous on 26-Авг-08, 10:57 
ибо нехрен на разные сайты один серт пихать
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от User294 (??) on 26-Авг-08, 18:45 
>И что теперь, убивать их???

Так точно.При том с особой жестокостью.Как и админов регионального МТС, которые мало того что сроду жлобятся на подпись сертификата у верисайнов и тавте всяких, так еще мало того - не могут даже сами себе выдать новый самоподписанный сертификат.Потому что старый у этиз лабухов банально просрочился и браузер вообще верещит (FF2) или по дефолту не конектится (FF3) к такому сайту.Вот скажите, кем надо быть чтобы самому себе самоподписанный сертификат не выпустить при протухании старого?Там вообще кто админит сервера?Стадо бабуинов?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от sda email(??) on 26-Авг-08, 09:45 
Все правильно, нефиг выписывать сертификат на другое, отличное от имени сервера. Криворукие админы должны после этого пойти нахуй
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от cyclope (??) on 26-Авг-08, 10:07 
Ну, прям-таки. Думаете, это редкость - организации, жалеющие денег на лишний сертификат для доп. домена ?
Хотя, кто мешал сделать редирект....
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от anonymous (??) on 26-Авг-08, 10:19 
Организации, жалеющие денег на свой престиж в виде соответствующего домену сертификата, у меня не вызывают ни доверия, ни симпатий.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от gdenis (??) on 26-Авг-08, 10:45 
Я вынужден работать много с клиент-банками, так вот практически ни у одного из них нет нормальных сертификатов .... включая налоговую с ихним чертовым референтом кстати.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от winterheart on 26-Авг-08, 11:20 
А с такими банками _вообще_ работать надо запрещать - это не просто нарушение внутренних норм информационной безопасности, это их _отсутствие_. У налоговой другая проблема - она гос. орган, и должна получать сертификат от государственного сертификационного центра. Который должен уже работать лет 7 как. Ну как бы да. Не подумали еще над этим вопросом партийные деятели.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от Corvax email(??) on 26-Авг-08, 11:49 
" это не просто нарушение внутренних норм информационной безопасности, это их _отсутствие_"

Почему? Вы читали эти _внутренние_ нормы каждого конкретного банка? Проверьте отпечаток ключа в сертификате совместно с банковским работником, добавьте сертификат в хранилище доверенных и работайте спокойно.


"У налоговой другая проблема - она гос. орган, и должна получать сертификат от государственного сертификационного центра"

Не уверен насчет именно "государственного сертификационного центра", но таки тот-же Таском работает с вполне себе сертифицированным гос. органами CA КриптоКом'а.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от Corvax email(??) on 26-Авг-08, 11:50 
>с вполне себе сертифицированным гос. органами CA КриптоКом'а.

Ошибся! Следует читать КриптоПро.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от winterheart on 26-Авг-08, 14:54 
Если нет элементарного подтверждения третьей стороной того, что передо мной - мой банк, а не самопальный хост с фейковыми сертификатами, то о каком доверии может быть речь? Вся суть в том, нужен посредник, который подтвердит "Да, мамой клянусь, это тот, за кого он себя выдает".

Вся эта криптотехника работает (сюрприз) на собственных сертификатах, максимум на сертификатах производителя в качестве CA. Отечественного CA как не было, так и не предвидится.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от Corvax email(??) on 26-Авг-08, 18:18 
Никто не мешает один раз и надолго удостоверится в организации их ли это сертификат. Да, это гораздо менее удобно, чем если бы тот же браузер не задавал вам лишних вопросов.

Вы, например, доверяете сертификатам Thawte выданным в россии при посредничестве известной фирмы? ;-) Когда моя организация оформляла так любимые вами сертификаты, заверенные третей стороной, мне их процедуры проверки показались недостаточными.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от User294 (??) on 26-Авг-08, 18:56 
>мне их процедуры проверки показались недостаточными.

Ага, а когда админы МТС в регионах мало того что сами себе подписали сертификат при том на какой-то сугубо местечковой локальной ауторити (которую вероятно сами же и создали) - так еще и не могут себе обновить сертификат.

Единственное но: FF3 и так то придира в плане SSL :) а с аддоном думаю вы вообще никуда не попадете :D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от GateKeeper (??) on 26-Авг-08, 11:32 
Как бы банк-клиент - это услуга, при которой банк как поставщик клал с прибором на клиента. Потому что, банку эта услуга не упёрлась, трудности от ее не использования будут только и исключительно у клиента, потому как придётся каждую платёжку отвозить лично и выписки забирать лично, а потом еще и обрабатывать вручную. Потому в качестве банк-клиентов пихают всякую фигню, в том числе и унылую. Именно поэтому нет смысла пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к примеру работающий под "правильными ОС", или хотя бы исправить баги в клиенте (который к тому же у практически всех банков купленный со стороны).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от Corvax email(??) on 26-Авг-08, 11:58 
>Как бы банк-клиент - это услуга, при которой банк как поставщик клал
>с прибором на клиента. Потому что, банку эта услуга не упёрлась,

Это не так. Банку как раз эта услуга нужна не меньше, чем клиенту. Любой нормальный коммерческий банк стремится всеми силами завтоматизировать всё что только можно с целью снизить издержки и исключить фактор человеческих ошибок в такой критичной сфере человеческой деятельности, как финансовая.


>трудности от ее не использования будут только и исключительно у клиента,
>потому как придётся каждую платёжку отвозить лично и выписки забирать лично,

В соответствии с нашим законодательствам в области бухгалтерии клиент в любом случае потом
приезжает и привозит\забирает бумажные документы, которые он должен подшить к своим книгам.


>а потом еще и обрабатывать вручную. Потому в качестве банк-клиентов пихают
>всякую фигню, в том числе и унылую. Именно поэтому нет смысла
>пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к
>примеру работающий под "правильными ОС", или хотя бы исправить баги в

Смысл имеет, если есть рынок правильных, как вы выразились ОС, а такового пока не наблюдается. Ну и потом есть примеры кроссплатформенных банк-клиентов: как web-based, так и выполняющихся в JVM. Те, кому это действительно необходимо об этом знают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от GateKeeper (??) on 26-Авг-08, 12:43 
>>Как бы банк-клиент - это услуга, при которой банк как поставщик клал
>>с прибором на клиента. Потому что, банку эта услуга не упёрлась,
>
>Это не так. Банку как раз эта услуга нужна не меньше, чем
>клиенту. Любой нормальный коммерческий банк стремится всеми силами завтоматизировать всё что
>только можно с целью снизить издержки и исключить фактор человеческих ошибок
>в такой критичной сфере человеческой деятельности, как финансовая.

Перебрали (не по моей инициативе) порядка 10 банков, некоторые "толкают" BSS - процедура генерации ключей там настолько неописана, что банк предлагает в итоге "сгенерировать ключи у себя и выслать их нам", что есть нарушение моей безопасности.

У некоторых была веб-морда, даже с явой. И использовался при этом полный букет всевозможных ActiveX и прочих COM. Т.е. лучше бы не заморачивались, а ставили тот же BSS.

>
>
>>трудности от ее не использования будут только и исключительно у клиента,
>>потому как придётся каждую платёжку отвозить лично и выписки забирать лично,
>
>В соответствии с нашим законодательствам в области бухгалтерии клиент в любом случае
>потом
>приезжает и привозит\забирает бумажные документы, которые он должен подшить к своим книгам.
>

Только делает это раз в месяц, а не раз в 5 минут при ежедневных разнонаправленных платежах в количестве 50-100 штук.

>[оверквотинг удален]
>
>>а потом еще и обрабатывать вручную. Потому в качестве банк-клиентов пихают
>>всякую фигню, в том числе и унылую. Именно поэтому нет смысла
>>пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к
>>примеру работающий под "правильными ОС", или хотя бы исправить баги в
>
>Смысл имеет, если есть рынок правильных, как вы выразились ОС, а такового
>пока не наблюдается. Ну и потом есть примеры кроссплатформенных банк-клиентов: как
>web-based, так и выполняющихся в JVM. Те, кому это действительно необходимо
>об этом знают.

Знают, но выбирает банк не сисадмин, а ген. дир/ЗГД по финансам/Нач. фин/Глав. бух. А выбранные банки, как уже я писал, плевать хотели на наши неудобства с их банк-клиентами.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от Corvax email(??) on 26-Авг-08, 14:32 
>Перебрали (не по моей инициативе) порядка 10 банков, некоторые "толкают" BSS -
>процедура генерации ключей там настолько неописана, что банк предлагает в итоге
>"сгенерировать ключи у себя и выслать их нам", что есть нарушение
>моей безопасности.

Вы видимо что-то не поняли. Очень странная у вас безопасность, я бы даже написал "безопасность" -- именно так, в кавычках -- если ее нарушением вы считаете генерацию ключей на своей стороне.
Выработка ключа на вашей стороне в данном случае совершенно естественная процедура для ассиметричной криптографии. В банк требуется отправить лишь ваш открытый ключ (или запрос на выпуск сертификата).

>
>У некоторых была веб-морда, даже с явой. И использовался при этом полный
>букет всевозможных ActiveX и прочих COM. Т.е. лучше бы не заморачивались,
>а ставили тот же BSS.

А у некоторых есть продукт iBank2 (www.bifit.ru), который в последнее время сильно популярен во многих, в том числе и крупных, банках и который работает в Linux.

>Знают, но выбирает банк не сисадмин, а ген. дир/ЗГД по финансам/Нач. фин/Глав.
>бух. А выбранные банки, как уже я писал, плевать хотели на
>наши неудобства с их банк-клиентами.

И, поверьте, хорошо, что каждый занимается своим делом, директор выбирает банк, а системный администратор "воюет" с ПО. Наше дело доложить руководству, что представляемый банком сервис дистанционного обслуживания не будет работать на имеющихся на предприятии технических средствах и предложить варианты решения. Мне видятся сходу два: а) Купить ОС, которую поддерживает конкретный банк-клиент; б) предложить директору выбрать иной банк ;-))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от GateKeeper (??) on 26-Авг-08, 15:11 
>[оверквотинг удален]
>>"сгенерировать ключи у себя и выслать их нам", что есть нарушение
>>моей безопасности.
>
>Вы видимо что-то не поняли. Очень странная у вас безопасность, я бы
>даже написал "безопасность" -- именно так, в кавычках -- если ее
>нарушением вы считаете генерацию ключей на своей стороне.
>Выработка ключа на вашей стороне в данном случае совершенно естественная процедура для
>ассиметричной криптографии. В банк требуется отправить лишь ваш открытый ключ (или
>запрос на выпуск сертификата).
>

Фраза была "сгенерировать у себя и выслать НАМ", т.е. сотрудник банка (называемый девочкой-секретаршей по обыкновению "программист") генерит у себя весь пакет ключей (в т.ч. и закрытых), затем отсылает нам, причём сначала пытались отправить мылом, окончательно сошлись на том, что вышлет посредством клиент-банка. И даже уже не говорю, что они вообще удивились, что мы попросили инструкцию по генерации ключей "своими силами". И тем более смешно, что инструкция не помогла - у них CA наотрез отказывался подписывать сгенерированное нами. И проблема была в том, что "надо было срочно" - они решили сменить алгоритм, времени действительно было в обрез.

>А у некоторых есть продукт iBank2 (www.bifit.ru), который в последнее время сильно
>популярен во многих, в том числе и крупных, банках и который
>работает в Linux.

Видел, потому написал "почти все банки". Даже пользовались таким. Но не помогает в силу того, что помимо этого несколько банков с BSS, несколько с ActiveX-веб-мордой. Ну, до кучи, уже упоминавшийся тут "Контур-Экстерн", насквозь ActiveX'овый.


>И, поверьте, хорошо, что каждый занимается своим делом, директор выбирает банк, а
>системный администратор "воюет" с ПО. Наше дело доложить руководству, что представляемый
>банком сервис дистанционного обслуживания не будет работать на имеющихся на предприятии
>технических средствах и предложить варианты решения. Мне видятся сходу два: а)
>Купить ОС, которую поддерживает конкретный банк-клиент; б) предложить директору выбрать иной
>банк ;-))

Банки часто выбирать не приходится: Российский рынок электроэнергии тому пример. Ну а ОС - ее, конечно, купили, куда деваться.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от GateKeeper (??) on 26-Авг-08, 14:01 
>>нет смысла
>>пытаться надавить на банкиров с тем, чтобы они предоставили банк-клиент, к
>>примеру работающий под "правильными ОС"
>Смысл имеет, если есть рынок правильных, как вы выразились ОС, а такового
>пока не наблюдается.

Т.е. КриптоПро под линукс есть, а рынка нет?
http://cryptocom.ru/cryptopacket.html

Особое внимание уделите списку поддерживаемых ОС.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от Corvax email(??) on 26-Авг-08, 14:17 
Я очень хорошо представляю себе список операционных систем поддерживаемых компанией КриптоПро без ссылок :-)
Для банков рынка в виде клиентов с ОС, отличных от MS Windows не виден. Он может быть даже есть, только что-то никак не проявляет себя. Специально интересовался, ни одного запроса на систему банк-клиент для Linux не было.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от Аноним (??) on 26-Авг-08, 10:47 
а зачем тогда вообще нужна эта канитель с сертификатами? Любой, прочитавший ман по openssl сделает такой же за 5 минут (self-signed)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Расширение к Firefox 3 для проверки SSL HTTP соединений"  
Сообщение от User294 (??) on 26-Авг-08, 18:47 
>Ну, прям-таки. Думаете, это редкость - организации, жалеющие денег на лишний сертификат
>для доп. домена ?

В россии много дегенератов которые даже не просто жалеют денег, а даже самоподписанный сертификат валидно сгенерить не могут или не могут продлить себе протухший сертификат.Мочить таких в сортире, ибо толку с такого "secure" ровно нуль.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру