Насколько безопасно SSL и HTTPS при просмотре от посторонних. Пров, СОРМ ?

Собственно вот я к примеру просматриваю почту в вебе через https, сможет ли пров или кто там за провом сидит перехватить почту?

Я законнектился с удаленным серваком через Putty опять же SSH, можно ли из трафика инфу какую вытянуть, там пароли, комманды и т.д.?

На страницу: 1, 2, 3 След.

Комментарии

—	sentaus (26/03/2010 16:25) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

Если УЦ скомпрометирован, то идея с заверенными сертификатами да, ущербна.

Правильнее помыслить шире – если у вас есть доверенный УЦ, то идея не ущербна.

—	SATtva (26/03/2010 16:31) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Нынешний де-факто стандарт реализаций таков, что единственного скомпрометированного УЦ из той сотни, чьи сертификаты поставляются с софтом, достаточно, чтобы поиметь пользователя.

—	*Гость* (26/03/2010 18:06) <#>

Весь траффик идёт через рутеры, а раз он там идёт, то рутеру можно приказать дампить весь SSL траффик на винт. А потом уже можно спокойно его расшифровать. Зачем геммороится и подменять сертификаты?

Зато я как-то общался с товарищем Ингве, который занимается вопросами безопасности данных в Opera Software и он много чего интересного рассказал. Включая то, что SSL — это не шифровка данных, такой цели у SSL нет и расшифровать поток очень легко и просто. Цель SSL — подвердить что мы общаемся с тем узлом с которым планировали общаться.

К слову сказать, Опера мягкогоизделия, развивая тему доверия к УЦам, переложило весь груз доверия на свои плечи. В режиме реального времени опера софтваре может сократить и без того не большой список УЦов, которым браузер может доверять. Впрочем как и добавить новых. Третья сторона, в отличии от других браузеров, для пользователя оперы в более единственном числе лиц. При доверии к опере и телепатическим возможностям производителей вычислять паршивых овец в стаде УЦов, идея более чем не ущербна.

—	SATtva (26/03/2010 18:42, исправлен 26/03/2010 18:43) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Сказочные цЫтаты. (В смысле, что писали их сказочники.)

—	*Гость* (27/03/2010 01:35) <#>

возможно опубликуем перевод работы Кристофера Согояна, где рассказывается, что фальшивыесертификаты раздаются ~~направо и налево~~ в специально установленном для сотрудничестве с госорганами порядке и прослушивание осуществляется.

Было бы очень кстати.

Достаточно склонить к сотрудничеству одного из более чем ста центров сертификации.

Идея с центрами сертификации ущербна, но лучшего для масс пока не придумали. Параноики могут (в т.ч. с помощью ff-плагинов) экзаминовать каждый серт по отдельности, запоминать его в браузере, и просить владельца сайта высылать им валидный отпечаток действующего сертификата.
[offtopic]

Сказочные цЫтаты.

Там ещё и не такое есть:

Если следовать этим несложным пунктам и делать работу со спокойствием слона над водами реки Ганг, без мельтешения, это будет означать, что вы обрели SATtva'у и что SATtva ответит вам взаимностью. Но «взаимность» для каждого человека разная, для одного это Лексус, для другого – пенки со всех сторон.

©. SATtva, вы имеете аккаунт на хабре? :)
[/offtopic]

—	SATtva (27/03/2010 19:53) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

SATtva, вы имеете аккаунт на хабре? :)

Не-а.

—	sentaus (20/07/2010 13:13) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

Похоже, что тем временем тихо и незаметно всплыла очередная история с левыми сертификатами.

Получив управление, вредоносная программа заражает систему, внедряя в нее два драйвера: mrxnet.sys и mrxcls.sys. Эти файлы были добавлены в антивирусные базы соответственно как Rootkit.TmpHider и SScope.Rookit.TmpHider.2. Особенность данных драйверов состоит в том, что они подписаны цифровой подписью, сертификат на которую выдан известной компании Realtek Semiconductor Corp. (www.realtek.com).

http://www.securitylab.ru/news/395885.php

—	*Гость* (20/07/2010 15:31) <#>

Это тот самый realtek, который сетевые карточки делает?

—	*Гость* (20/07/2010 20:04) <#>

Или тот, который делает чипы для встроенного звука?

—	SATtva (20/07/2010 20:36) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Тот самый. Некоторые подробности о подписи и о черве.

—	sentaus (20/07/2010 21:53) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

А, так значит не сертификаты левые, а Realtek действительно подписал сие чудо, или ключ увели. Ну что ж, наглядная демонстрация различия терминов validity и trust :)

—	SATtva (27/07/2010 18:00) профиль/связь <#> комментариев: 11558 документов: 1036 редакций: 4118

Спустя пару дней, как VeriSign аннулировал сертификат Realtek'а, внезапно появилась новая версия червя, подписанная сертификатом JMicron (другого крупнейшего производителя полупроводниковых компонентов). :)

—	sentaus (27/07/2010 22:41) профиль/связь <#> комментариев: 1060 документов: 16 редакций: 32

Заседание продолжается © :)

Может отцепить последние сообщения в новую тему? Я изначально предполагал, что будет просто сертификат, выданный "на сторону", а тут такое.

—	*Гость* (28/07/2010 03:12) <#>

Я изначально предполагал, что будет просто сертификат, выданный "на сторону", а тут такое.

Получить сертификат выданный "на сторону" могут только крутые гос. органы, а в данном случае мы имеем дело с обычными вирмейкерами укравшими сертификаты коммерческих компаний. И сделать это наверняка было не трудно, т.к. эти компании много народу принимают на работу, а меры безопасности врядли будут параноидальными.
К примеру, в сети во всю продаются исходники антивируса касперского, outpost firewall и других коммерческих программ. Думаю, стащить сертификаты было немногим сложнее, чем исходники.

—	*Гость* (28/07/2010 04:44) <#>

Думаю, стащить сертификаты было немногим сложнее, чем исходники.

Зря вы так думаете. Над сорсом работает куча народа, а делают подписи — единицы.

На страницу: 1, 2, 3 След.

Ваша оценка документа [показать результаты]