id: Гость   вход   регистрация
текущее время 18:18 28/03/2024
Автор темы: Гость, тема открыта 27/05/2007 21:08 Печать
создать
просмотр
ссылки

FAQ по SSL


Уважаемые форумчане!


Может кто соберется со временем и составит наш грамотный и исчерпывающий FAQ по использованию SSL?


С одной стороны, технология архираспространенная. С другой – мало толковых публикаций по ее использованию. Сам по крохам собираю отрывочные данные и пытаюсь синтезировать мало-мальские тезисы для своего использования.


Пока ничего ценного, кроме как рекомендации:

Если ваш Интернет-браузер предлагает проверить SSL-сертификат, задайте себе два вопроса:

1) Я впервые захожу на этот сайт с этого компьютера?
2) Действительно ли этот сертификат – подлинный?
Если ответ на первый вопрос отрицательный, значит, вы либо не сохранили сертификат на компьютере, либо имеете дело с "человеком посередине". Как мы уже говорили, браузер не станет задавать повторные вопросы о сертификате, который уже был принят и сохранен вами. Если вас спрашивают вторично (хотя вы уже заходили на этот сайт и внесли его в "доверенный список"), возможно, на этот раз с вами "общается" совсем другой ресурс.

А ведь по использованию SSL возникает масса интересных вопросов:


– виды сертификатов
– публичные сертификаты
– плюсы и минусы самописных сертификатов
– рекомендации по использованию SSL в броузерах
– рекомендации по использованию SSL в серверах
– атаки на защищенный SSL канал и их распознавание (предотвращение)
..........................


и мало ли чего еще! Ведь мало поставить в броузере птичку "Я использую SSL" – нужно еще уметь грамотно этим воспользоваться. А вот этого как раз и нету..


Сорри, что может изложил не очень грамотно, но проблема тем не менее существует.


 
На страницу: 1, 2 След.
Комментарии
— SATtva (28/05/2007 13:10, исправлен 28/05/2007 13:12)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Может кто соберется со временем и составит наш грамотный и исчерпывающий FAQ по использованию SSL?

Может Вы и попробуете? Тогда Вам сюда. Начните, а уж другие по мере возможностей присоединятся.
— Гость (28/05/2007 13:59)   <#>
Куда уж мне... Если бы в этом разбирался – взялся. Но я обычный пользователь, которому самому нужны советы по использованию SSL.
Получается, что вроде хорошая защита, но из-за неграмотности большинства простых пользователей она не срабатывает. Например, многие ли из них знают о вышеприведенной рекомендации?
Проведите голосование, и узнаете.


PS. Господин SATtva, ваш код Тьюринга – натуральное издевательство над пользователями. Ни на одном сайте не испытывал таких трудностей. Давно бы пора заменить его на сложение, умножение и другие более современные антиботовые технологии.
— SATtva (28/05/2007 14:11)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Может сразу так? ;-)
— Гость (28/05/2007 14:18)   <#>
Не обязательно такие сложные вычисления – достаточно периодически менять формулу.
Один месяц умножать на 2, другой – на 5, и все боты отстанут :-)
— Гость (28/05/2007 15:19)   <#>
достаточно периодически менять формулу.
Один месяц умножать на 2, другой – на 5, и все боты отстанут

Что-бы отделить тех кто "в теме" от тех, кто "не в теме", имеет смысл задавать вопросы (задачи) по теме сайта. В данном случае по криптографии. Уровень сложности (да и сами задачи) может определять автор темы :)

(Следует при этом учитывать наличие систем символических вычислений, которые могут и пределы вычислять, и интегралы брать, не говоря уже об умножении на 2! :))

А кому не нравиться существующий тест Тьюринга, те могут зарегистрироваться!
— Гость (28/05/2007 15:24)   <#>
А кому не нравиться существующий тест Тьюринга, те могут зарегистрироваться!

Тогда на кой он нужен?
— nAAkWv (28/05/2007 15:55)   <#>
Например, вот интересная ссылка: http://ssl.ru/ru/certification/

Получается, что за "фирменные" сертификаты дерут от $200 до $1000 в год? :-O

Чем же тогда они так хороши по сравнению с самописными?
— Гость (28/05/2007 16:13)   <#>
Тогда на кой он нужен?

Защита от автоматической регистрации. А если кто-то начнёт исользовать свой аккаунт для спама, его легко забанить.
— Гость (28/05/2007 16:36)   <#>
Хорошо. Для тех кто в танке, объясню более доходчиво. На кой он нужен, если им так затруднительно пользоваться?!

Или сделать, чтобы не проводить по полчаса, пытаясь отправить месагу, либо убрать его нах, оставив только регистрацию.
— SATtva (28/05/2007 16:52)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
[moderator]
Обсуждение теста Тьюринга предлагаю закончить и вернуться к изначальному предмету. Если тест кому-то интересен, ищите соответствующие темы в текущем разделе форума.
[/moderator]

Получается, что за "фирменные" сертификаты дерут от $200 до $1000 в год? Чем же тогда они так хороши по сравнению с самописными?

Тем, что браузер не будет поднимать вой из-за того, что сертификат не заверен доверенным УЦ. Только это в большинстве случаев всё равно не поможет. Здесь мои соображения на этот счёт. В каком-то смысле просветительская цель, поставленная автором темы, может сыграть роль, но очень незначительную. (Дело не только в том, что посещаемость сайта 500 человек в день против 20 млн., посещающих Рунет ежедневно, сколь в том, что большинство из этих 20 млн. вообще не имеют представления о рисках SSL, PKI и в целом нюансах инфобезопасности. Здесь, как и везде: чтобы задать вопрос (задаться поиском нужной информации) нужно знать бОльшую часть ответа, т.е. быть хотя бы немного "в теме".)
— Гость (28/05/2007 17:11)   <#>
Тем, что браузер не будет поднимать вой из-за того, что сертификат не заверен доверенным УЦ.

И только? :-O За что же такие деньги за сертификаты дерут?!

просветительская цель, поставленная автором темы, может сыграть роль, но очень незначительную

Вы имеете посещаемость вашего сайта? Но если статья будет хороша, ее можно будет опубликовать на многих сайтах, и в первую очередь – на моем :-)
И такая статья на фоне тотальной SSL-безграмотности, подтверждаемой в том числе и вашей заметкой, будет иметь огромный успех.


Обсуждение теста Тьюринга предлагаю закончить

Целиком и полностью согласен. Зацепив слегка и только в благих целях этот вопрос, я не думал, что начнется такое обсуждение.
— Гость (01/06/2007 16:46)   <#>
Это все? Спасение утопающих..........
— SATtva (01/06/2007 17:09)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
На мне и без того куча материалов висит, я сейчас не смогу этим заняться просто физически. Возможно, кто-нибудь другой из участников?
— Гость (01/06/2007 22:38)   <#>
Дело в том, что по массовости SSL действительно самый востребованный ныне протокол, он широко используется для защиты контента многих тысяч сайтов, в системах электронных платежей т.д. По реальной массовости он оставляет далеко такие криптопродукты и технологии, как PGPxx, VPN, OpenVPN и т.д., которые большей частью являются специфической сферой использования избранной части Интернета – своеобразной элиты.
В то же время тотальная безграмотность в вопросах практического применения SSL среди основного населения Интернет просто поражает.

Мне кажется, г-н SATtva, что вы, равно как и другие участники данного замечательного криптосообщества, явно недооцениваете важность данной технологии, и большей частью сосредоточились на элитных вопросах аки Tor и ему подобных, занимающих более узкую нишу, проявляя определенный снобизм и обходя стороной нужды простых пользователей, которые в силу своей неграмотности даже не понимают важности данной проблемы :(
— Гость (01/06/2007 22:48)   <#>
Вы же помните, почему декабристы потерпели поражение?
-"Как страшно далеки они были от народа!...."

И в то же время – "Уроки истории учат, что уроки истории ничему не учат" :(
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3