Legfrissebb anyagok

IT café témák

PROHARDVER! témák

Mobilarena témák

GAMEPOD.hu témák

LOGOUT.hu témák

Keresés

Új hozzászólás Aktív témák

#19 #82729984 törölt tag azbest #17

Új Válasz 2015-06-16 17:41:12 #19
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

#82729984

törölt tag

válasz azbest #17 üzenetére

A saját tanúsítvány nem igazán old meg semmit ez ügyben. Ha nem vagy elég nagy ahhoz hogy célponttá válj, akkor kvázi tökmindegy hogy hitelesíted magad, ha meg célpont vagy, akkor szélsőséges esetben akár ellopják a ca kulcsát lásd ezt az esetet.
Az én meglátásom szerint két fő probléma van:
az első egy univerzális probléma, miszerint az internetes vadnyugaton mára elértük azt az állapotot hogy senki nem képes magát megvédeni egy betöréssel szemben. Ennek megfelelően a biztonságtechnikai szoftvereknek is mára már kb. arra változott a szlogenjük hogy "nem az a kérdés hogy feltörtek-e a hálózatod, hanem hogy tudsz-e róla..." Mert az utóbbi pár évek tapasztalata az, hogy nem csak hogy nem képesek megvédeni a hálózatot, de az ügyfél még csak arról sem tud hogy már évek óta átjáróház a rendszere...
A másik pedig maga az ssl implementációja, és különösképpen a hitelesítés. A mai napig nincs egységes, kidolgozott, automata rendszer a tanúsítványok globális visszavonására vagy épp terjesztésére vagy lecserélésére. Kb. ha biztosra akarsz menni akkor fejben kéne tartanod a tanúsítványokok fingerprintjét...
És akkor még nem is beszéltünk a konkrét implementációkról, mint pl. az openssl amin a fél világ biztonsága alapszik és amit kb. 4-5 fejlesztő csinál hobbyból...
#23 #82729984 törölt tag azbest #20

Új Válasz 2015-06-16 19:58:27 #23
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

#82729984

törölt tag

válasz azbest #20 üzenetére

Ez oké, de a te ügyfeleid számára ez csak annyit jelent hogy nem a verisign titkolja el az esetleges lopást hanem te.
És ugyanigy ha elég "nagy" vagy akkor majd hozzád is odamennek a megfelelő állami hivatalok a megfelelő visszautasíthatatlan kérésükkel. Lehet nem az amerikai hanem majd a magyar az meg továbbadja az amcsinak.
Magyarországon az is elég ha párszor rádküldik a navot meg picit zárolják a céged számláját ha nem vagy együttmüködő.
Szóval amig kis cég vagy és csak pár ügyfeled van addig kvázi azt csinálsz amit akarsz, ha meg nagy vagy több millió ügyféllel, akkor majd ugyanugy kopogtatnak az állami szervek meg a hackerek felváltva és tökmindegy ki és hol állítja elő a tanúsítványokat.