2. Fórumok
  3. Infotech
  4. Durva dolog derült ki az új kémprogramról
Keresés

Új hozzászólás Aktív témák

  • #17 azbest félisten
    Új Válasz #17
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    azbest

    félisten

    Nocsak, a VeriSign-nek volt már korábban is biztonsági problémája.

    VeriSign Hacked: What We Don't Know Might Hurt Us [link]

    Key Internet operator VeriSign hit by hackers [link]

    Ahogy olvasom még 2010-ben volt az icidens és jól titkolták egy ideig, 2012-es cikkek vannak róla. Érdekes egybeesés, hogy 2010-es CA-val aláírt tanúsítvány van a képen, ami 2012-től érvényes. Elég kellemetlen, ha bármilyen tanúsítványt létre tudnak hozni az ő aláírásukkal. Lehet nem ártana visszavonni azokat és újat kiadni.

    Ezzel is tovább erősödik bennem, hogy komoly esetben, ahol lehetséges, ott saját tanúsítványt kell használni. Az pedig hozzáadható a hitelesnek elfogadottak listájához. Szóval ha egy alkalmazás a saját szolgáltatásához saját szerverre kapcsolódik, akkor saját maga tudja kezelni, hogy saját kulccsal hitelesítsen, ne támaszkodjon harmadik fél láncára.

    [ Szerkesztve ]

  • #20 azbest félisten #82729984 #19
    Új Válasz #20
    Új hozzászólás
    Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
    Privát üzenet küldése

    azbest

    félisten

    válasz #82729984 #19 üzenetére

    A konkrét ügyben persze, hogy nem old meg semmit, mert csak meghatározott tanúsítvány kiállítók certjét fogadja el a windows.

    Ellenben, ha saját kliens-szerver alapú megoldást használsz, akkor tudsz saját kulcsokkal hitelesíteni, amelyiket nem lehet megszerezni egy harmadik féltől. Ha ellopják, azt tőlem kell ellopják, nem pedig egy külső cégtől, aki esetleg eltitkolja. Szerk: az egyértelműség kedvéért, teljesen saját kulcsról van szó, ami nem származik egyik cégtől vásárolható "megbízható" kulcsból sem.

    A kíváncsi védelmi hivatalok sem kérhetnek nevemre szóló kamucertet tőlem, amit viszont a "megbízható" kiállító az ottani törvények szerint esetleg kiadhat nekik. (Volt az a titkosított levelezős cég, amelyik inkább bezárt, mert nem volt hajlandó átadni a kulcsokat.) Saját cert publikus kulcsát oda lehet tenni az alkalmazáshoz, hogy azt hitelesnek fogadja el. Lényegében ez történik a megbízható kiállítók publikus kulcs gyűjteményével is, csak alapból ott vannak az oprendszer vagy a környezet részeként

    A fingerprintek kapcsán: a megbízhatóak kapcsán túl nagy a bizalom, de a böngészőbe felvett saját certnél régebben szólt, ha változott.

    [ Szerkesztve ]

Új hozzászólás Aktív témák