The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от opennews (ok) on 25-Май-12, 14:31 
На рассмотрение в комитет IETF (Internet Engineering Task Force) внесен черновой вариант (http://tack.io/draft.html) стандарта, определяющего дополнение к протоколу TLS, предназначенное для защиты пользователей от атак MITM (Man-in-the-middle), основанных на использовании поддельных сертификатов, выданных корневыми удостоверяющими центрами. Стандарт появился в ответ на случаи взлома серверов корневых удостоверяющих центров (CA) Comodo (http://www.opennet.me/opennews/art.shtml?num=30013) и DigiNotar (http://www.opennet.me/opennews/art.shtml?num=31635) в прошлом году.

Стандарт определяет легковесное расширение TLS-протокола TACK (Trust Assertions for Certificate Keys), суть которого состоит в том, чтобы позволить браузеру "запомнить" информацию о сертификатах веб-сайта и использовать ее для блокирования соединения или информирования пользователя об угрозе в том случае если против него будет осуществлена MITM-атака с использованием поддельных сертификатов, выданных другими корневыми удостоверяющими центрами.

Благодаря TACK веб-сайты смогут подписывать свои сертификаты с помощью приватного TACK-ключа, отправляя публичный ключ браузеру при установке TLS-сессии. После того, как пользователь несколько раз зайдет на сайт, браузер установит привязку (pin) открытого ключа к доменному имени на определенный промежуток времени (до 30 дней). Если в будущем против пользователя будет осуществлена MITM-атака с использованием поддельных сертификатов, браузер сможет легко проверить подлинность сертификата с помощью TACK-ключа.

TACK позволяет организовать еще один слой защиты SSL, который гарантирует, что осуществление атаки против пользователя будет возможно только в том случае, если будут скомпрометированы и веб-сайт и центр сертификации. В целом такая схема напоминает подход, используемый в браузере Google Chrome, который имеет белый список центров сертификации, которые могут подписывать сертификаты для домена google.com, а также ряда других доменов, но обладает большей гибкостью, позволяя создавать привязки сертификатов к доменам динамически.

Поддержка TACK должна быть реализована как на стороне клиента, так и сервера, однако она не является необходимой. Клиенты, без поддержки TACK будут продолжать работать с серверами полагаясь на полное доверие к CA.

URL: http://arstechnica.com/security/2012/05/ssl-fix-flags-forged.../
Новость: http://www.opennet.me/opennews/art.shtml?num=33937

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


4. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Crazy Alex (ok) on 25-Май-12, 14:53 
Загадочно как-то. Можно просто давать сайту генерировать свой сертификат, подписанный авторизованным центром, а дальше полагаться доверять или этому сертификату сайта или сертификату, им подписанному. Ну и напрашиваются перекрёстные подписи тогда.

А уж почему 30 дней - вообще непонятно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +1 +/
Сообщение от koblin (ok) on 25-Май-12, 14:55 
какие-то костыли
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Аноним (??) on 25-Май-12, 16:01 
> какие-то костыли

Костыли. Но довольно логичные. Вообще, я не понимаю почему запоминание параметров серта + алерт при их изменении не сделали сразу. Так вообще любой rogue CA будет обнаружен и юзер словит аларм.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

46. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +2 +/
Сообщение от arisu (ok) on 26-Май-12, 03:56 
> какие-то костыли

хуже: это костыли для костылей вообще.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

20. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Аноним (??) on 25-Май-12, 16:20 
а что помешает подменить целевой сайт пока браухер ещё не совсем запомнил его?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Аноним (??) on 25-Май-12, 16:35 
> а что помешает подменить целевой сайт пока браухер ещё не совсем запомнил
> его?

Потому и костыль. Надпиленный.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

35. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от filosofem (ok) on 25-Май-12, 20:52 
Позвонить в банк/магазин/вебмастеру и попросить продиктовать фингерпринт оригинального сертификата. Или получить его распечатку при оформлении счета.
//KO

То что здесь предлагают, это что-то вроде .ssh/known_hosts, судя по описанию. Не больше и не меньше. Странно, что изначально не доперли это сделать.

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +1 +/
Сообщение от anonymous (??) on 25-Май-12, 17:05 
Этот набор костылей пропихивать как стандарт? IT деградирует.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +1 +/
Сообщение от Crazy Alex (??) on 25-Май-12, 23:43 
Можете предложить что-то лучшее? Понятной альтернативы SSl/TLS пока нет и не предвидится. Когда появится тогда (возможно) и произойдёт переход, а работать надо сейчас. Причем новое решение надо не просто придумать - оно должно стать общепринятым, то есть поддерживаться всеми основными браузерами, быть понятным и приемлемым для бизнеса (что неприемлемо для сетей доверия) и т.п.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

47. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +1 +/
Сообщение от arisu (ok) on 26-Май-12, 04:00 
> Можете предложить что-то лучшее?

конечно. а кто внедрять будет?

> быть понятным и приемлемым для бизнеса (что неприемлемо для сетей доверия) и т.п.

а вот мне положить на «бизнес». совершенно положить. это их личные проблемы. и вот нечто похожее на «сети доверия» как раз будет работать, и работать надёжней (для меня). как с этим будет работать «бизнес» — мне неинтересно. а пока что я просто заблокировал весь https по несамоподписаным сертификатам: не люблю угрюмые централизованые костыли.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

56. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от 123 (??) on 26-Май-12, 17:56 
Если Вы имеете в виду систему, которая применялась в pgp. То «сеть доверия» накроется при наличии пары дятлов. На самом деле их будет намного больше. ИМХО
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

59. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от arisu (ok) on 27-Май-12, 02:38 
> Если Вы имеете в виду систему, которая применялась в pgp. То «сеть
> доверия» накроется при наличии пары дятлов. На самом деле их будет
> намного больше. ИМХО

из принципа читаем выборочно? слова «нечто похожее» незаметны? нет, я не собираюсь сейчас разрабатывать подробную структуру — потому что это время и труд, которые уйдут в помойку. примерно я себе представляю, что и как — мне этого достаточно.

Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

62. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от Crazy Alex (??) on 27-Май-12, 04:48 
Ну в общих чертах опишите - во-первых интересно, а во-вторых - если получится прикрутить эту штуку параллельно существующему SSL то может и получится хотя бы среди гиков завести. А там смотря как дело пойдёт.
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

63. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от arisu (ok) on 27-Май-12, 04:54 
что значит «параллельно»? это в любом случае новый протокол и новые методы (чинить то, что defective by design смысла нет), их надо реализовывать и в серверах, и в браузерах. потому не вижу смысла.
Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

66. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от Crazy Alex (??) on 27-Май-12, 21:44 
В идеале "параллельно" - значит: оставляем старые серификаты, но по-другому проверяем их подлинность. Если сервер этого не умеет - используем обычный SSL - всяко лучше, чем вообще открытый канал.
Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

69. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +1 +/
Сообщение от arisu (ok) on 28-Май-12, 06:04 
это называется «делаем подпорки для костылей». как я уже говорил, то, что defective by design, не надо чинить, его надо аннигилировать. во-вторых, если оставить костыли, то ними и будут пользоваться: в силу инерции.

тут главное портерингом не стать.

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

72. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от Crazy Alex (??) on 28-Май-12, 22:43 
А чем вам сами сертификаты не угодили? Алгоритмы там можно любые использовать, поля добавлять - тоже сколько угодно, формат стандартный... Что не так? Вот инфрастуктура - дело другое.
Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

73. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от arisu (ok) on 29-Май-12, 02:50 
> А чем вам сами сертификаты не угодили?

а зачем оно? нееееет, сжигать — так сжигать. чтобы и духу не было.

Ответить | Правка | ^ к родителю #72 | Наверх | Cообщить модератору

61. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от Crazy Alex (??) on 27-Май-12, 04:46 
Заблокировать https недолго - но клиент-банк как-то работать должен, нужен доступ к закрытой зоне корпоративного сайта (своего или клиентского) и крутящимися там веб-приложениями, к гуглосервисам, без которых сейчас мало кто обходится... Так что без https полностью лично у меня жить не выйдет - хотя бы потому что рабочий trac доступен только через него.

А то, что не подходит для бизнеса, просто-напросто не окажется в браузерах и серверах. По причине отсутствия достаточного количества ресурсов на внедрение. Сеть доверия здесь точно не гдится - там принимать решение приходится массовому неквалифицированному пользователю, что, понятно дело, неприемлемо - он там надоверяет...

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

64. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от arisu (ok) on 27-Май-12, 04:59 
> клиент-банк как-то работать должен

я не использую.

> нужен доступ к закрытой зоне корпоративного сайта

самоподписаные сертификаты.

> к гуглосервисам, без которых сейчас мало кто обходится

я обхожусь. точнее, иногда использую гугломыло, smpt которого у меня и разбанен единственный. и то я его использую только когда надо где-то зарегистрироваться и не берёт mailcatch в основном.

> потому что рабочий trac доступен только через него.

самоподписаные сертификаты.

> А то, что не подходит для бизнеса, просто-напросто не окажется в браузерах
> и серверах.

поэтому я и не вижу смысла напрягаться и «доводить до ума» свои идеи.

> Сеть доверия здесь точно не гдится — там принимать решение приходится массовому
> неквалифицированному пользователю, что, понятно дело, неприемлемо — он там надоверяет…

тут не только сеть доверия, но ещё и как минимум распределённая сеть ключей, как в pgp. и ещё кое-что. неа, уточнять не хочу: будем считать, что я или балабол, или очень жадный.

Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

65. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Anonymou on 27-Май-12, 18:20 
Как одна из альтернатив - DANE, уже почти стандарт.
draft-ietf-dane-protocol-21.txt
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

67. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Crazy Alex (??) on 27-Май-12, 21:49 
Угу, и те, кто контролирует домен второго уровня, будут монополистами для всех его поддоменов. Сейчас хоть конкуренция есть. В общем, по виду - опять же костыль, да еще и с возможностью вырастить монополистов.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

37. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от umbr (ok) on 25-Май-12, 21:40 
Попытка стандартизировать защиту от дурака :)

Запасаемся попкорном и ждем нового расширения для раширения для SSL/TLS, для борьбы с новыми угрозами, возникающими по причине тупости менеджеров и криворукости админов.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от arisu (ok) on 26-Май-12, 03:52 
ребятки упорно чинят то, что defective by design. ну, их право, конечно. выкинуть-то систему нельзя: на ней Большие Люди бабки стригут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от anonimouse on 26-Май-12, 05:28 
> ребятки упорно чинят то, что defective by design. ну, их право, конечно.
> выкинуть-то систему нельзя: на ней Большие Люди бабки стригут.

РеволюЧионеры - в следующей палате!

Вот SMTP - уж его только ленивый не пинал ... но при этом _никто_ не соскочил!
Так что лай собачка, лай ... :)

Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

74. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от t28 on 30-Май-12, 16:47 
> Вот SMTP - уж его только ленивый не пинал ... но при этом _никто_ не соскочил!

Как это не соскочил? Соскочил и уже давно. Года четыре как, если не пять...

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

52. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от DevZone email(ok) on 26-Май-12, 10:10 
Костыли одни нет готового компатного кода решения...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Аноним (??) on 26-Май-12, 15:47 
На самом деле ничего нового. Боян чудовищный - распределение ключей. Точнее доверенная передача закрытого ключа. Корневые CA доверие утратили.

В итоге имеем все то же окошко для самоподписанных ключей: доверять? Y/N

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

60. "Представлено TACK, расширение SSL/TLS для борьбы с..."  +/
Сообщение от arisu (ok) on 27-Май-12, 02:51 
> В итоге имеем все то же окошко для самоподписанных ключей: доверять? Y/N

а также «круги доверия» и ещё много чего. построить распределённую систему можно, только тогда у CA не выйдет стричь бабло за воздух (а они стригут за воздух, потому что доверия им нет никакого).

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

57. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +1 +/
Сообщение от XoRe (ok) on 27-Май-12, 00:42 
Это расширение не помогает в случае, когда человек заходит на сайт в первый раз, и уже через mitm.
Например, недобросовестный провайдер может настроить ssl сниффер на какой-то банк клиент.
Те, кто будут заходить на сайт в первый раз, никак не защищены этим расширением.

Хотя ничего лучше предложить не могу.
Разве только - усугубление ответственности для CA-компаний.

Кстати, про компанию DigiNotar.
Она обанкротилась.
http://diginotar.nl/

Мне кажется, разработчикам браузеров и дистрибутивов просто нужно оперативно реагировать.
Всплыло что-то про CA-компанию - выкинуть её сертификат нафиг (добавить в crl).
Если что, сертификат можно вернуть.
В следующем обновлении.
В конце концов, CA-компании делают деньги из воздуха, за счет доверия к себе.
Пусть работают над этим доверием.
Пару компаний так наказать, остальные сразу возьмутся за ум.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

68. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от pavlinux (ok) on 28-Май-12, 00:17 
> Это расширение не помогает в случае, когда человек заходит на сайт в
> первый раз, и уже через mitm.
> Например, недобросовестный провайдер может настроить ssl сниффер
> на какой-то банк клиент.

Сейчас почти все банки используют двойную авторизацию, пароль/логин, плюс
таблица разовых ключей или сертификат, который выдают на руки, у кого-то ещё
и SMS есть.

В общем из-за этой всей мудожопии, Вебмани особо не прижилось.  

Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

70. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Аноним (??) on 28-Май-12, 14:30 
> В общем из-за этой всей мудожопии, Вебмани особо не прижилось.

Зато qiwi очень даже прижилось. Из-за широкого распространения терминалов.


Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

75. "Представлено TACK, расширение SSL/TLS для борьбы с MITM-атак..."  +/
Сообщение от Аноним (??) on 05-Дек-15, 14:00 
>> В общем из-за этой всей мудожопии, Вебмани особо не прижилось.
> Зато qiwi очень даже прижилось. Из-за широкого распространения терминалов.

Они просто откатывают не по-детски.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру