>
Продолжаем разговор.
SSL
Обалденно нужная вещь, но мало кто представляет, что она реально из себя представляет. Мы видим сверху в браузере адрес, высвеченный зеленым и мы в безопасности.
Ага. Щаз. Аж три раза. Валидность сертификата для пользователя означает только четыре вещи:
1) Срок действия сертификата не истек
2) Сертификат или выдан доверенным СА (коих по умолчанию настроено несколько) или помещен в список доверенных.
3) Имя, на которое выписан сертификат, совпадает с именем сайта, на который пользовтель зашел.
4) Трафик между пользователем и сайтом шифруется.
«Здорово!», скажете Вы, «чего еще желать?». И будете неправы. Видно ли хоть одно указание на то, что этот сайт именно тот, на который Вы желали попасть? Чтобы было яснее, приведу пример. Допустим, купил я сертификат у какого-нибудь VerySign на имя sitybank.com (имею право? имею. А правильное имя: Citybank). Забабахал сайт один в один как у Ситибанка и… Что происходит дальше? Правильно, при попадании на мой сайт Вы обнаружите, что ССЛ обеспечит только безопасную передачу Ваших «очень важных данных» данных мне.
Ну и не стоит забывать, что даже если сайт тот, что надо и сертификат виден, то это не отменяет вероятности того, что сайт был взломан и его контента или времен или ворует данные. Но это, к счастью, происходит относительно редко.
Ссылки на публикации серии.
Часть 6: процедуры и регламенты + принцип наименьших полномочий
Часть 7: резервное копирование
Часть 8: контроль доступа и биометрия
>Саш, ты удивишься, но правильное имя CitiBank ;) citibank.ru соответственно :)
НравитсяНравится
>Кстати, наверное стоит упомянуть — если вдруг система не доверенная (например инеткафе) то в списке доверенных сертификатов вообще что угодно может быть. Например зловредный CA выдавший сертификат на citibank.ru + строчка в hosts перенаправляющая к врагам.
НравитсяНравится
>>>Саш, ты удивишься, но правильное имя CitiBank Так даже еще лучше — "вот именно так я и мог облажаться" — заголовок будущих мемуаров.>>Кстати, наверное стоит упомянуть……..Согласен, но это уже частности. Хотя, разумеется, надо осознавать, что это не ты кому-то доверяешь, а твой компьютер, который может и вовсе быть не твоим ;)
НравитсяНравится
>>> Но это, к счастью, происходит относительно редко.Не так уж и редно, если даже в IE появился антифишинг :-)
НравитсяНравится
>Ну… Наличие малваре на правильном сайте с антифишинговым модулем мало связано, да и сами эти антифишинговые модули… Я специально иногда иду по фишерским ссылкам — в 99% не ловит никто =(
НравитсяНравится