https://opennet.me/openforum/vsluhforumID3/43506.html Для Firefox 3 представлено расширение perspectives (http://www.cs.cmu.edu/~perspectives/firefox.html), предназначенное для дополнительной проверки SSL HTTP соединений и выявления подставных SSL серверов. При соединении расширение обращается к доверительному внешнему серверу, который дополнительно запрашивает параметры SSL аутентификации открываемого сайта. После чего, независимо полученные параметры локального и внешнего запросов сверяются, что позволяет обнаружить атаки выполняемые через организацию подставного сервера-посредника.<br><br>Дополнительно, расширение помогает в работе с сайтами, на которых используются самодельные (self-signed), не заверенные внешним арбитром, сертификаты. Для таких сайтов perspectives автоматически определяет валидность сертификатов, избавляя пользователя от появления надоедливых окон с предупреждениями.<br><br>URL: http://www.cs.cmu.edu/~perspectives/firefox.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=17543<br> https://opennet.me/openforum/vsluhforumID3/43506.html#29 Wed, 27 Aug 2008 09:53:34 GMT Ну вот собственно, и пришлось иметь секас в 3-м фоксе с этой хренькой. А про админов... там есть, конечно, очень толковые ребята, проблема их в том, что ЮТК за специалистов не держится. Нисколько. Тем более при помощи оплаты труда.<br> https://opennet.me/openforum/vsluhforumID3/43506.html#28 Tue, 26 Aug 2008 14:56:01 GMT &gt;мне их процедуры проверки показались недостаточными. <br><br>Ага, а когда админы МТС в регионах мало того что сами себе подписали сертификат при том на какой-то сугубо местечковой локальной ауторити (которую вероятно сами же и создали) - так еще и не могут себе обновить сертификат.<br><br>Единственное но: FF3 и так то придира в плане SSL :) а с аддоном думаю вы вообще никуда не попадете :D<br> https://opennet.me/openforum/vsluhforumID3/43506.html#27 Tue, 26 Aug 2008 14:52:20 GMT &gt;А это пользовательский интерфейс биллинга ЮТК :)<br><br>А SSL там для галочки?Чисто попонтоваться?<br><br>&gt; И ничего, работают. <br><br>Функционируют.Гнать таких админов надо, ссаными тряпками и сраной метлой.Хотя-бы потому что современные браузеры с усиленной придирчивостью к SSL на данные сайты как минимум очень матерятся а то и вовсе не конектятся резонно предполагая левак (откуда ж кто знает, фишеры там с именем сервера мухлюют или криворукие админы-идиоты не в состоянии сертификат себе выдать нормальный?).Толку то от такого SSL в итоге?Он аутентификацию сайта в таком виде не обеспечивает, ну смысла в нем в итоге?<br> https://opennet.me/openforum/vsluhforumID3/43506.html#26 Tue, 26 Aug 2008 14:47:09 GMT &gt;Ну, прям-таки. Думаете, это редкость - организации, жалеющие денег на лишний сертификат <br>&gt;для доп. домена ? <br><br>В россии много дегенератов которые даже не просто жалеют денег, а даже самоподписанный сертификат валидно сгенерить не могут или не могут продлить себе протухший сертификат.Мочить таких в сортире, ибо толку с такого "secure" ровно нуль.<br><br> https://opennet.me/openforum/vsluhforumID3/43506.html#25 Tue, 26 Aug 2008 14:45:00 GMT &gt;И что теперь, убивать их??? <br><br>Так точно.При том с особой жестокостью.Как и админов регионального МТС, которые мало того что сроду жлобятся на подпись сертификата у верисайнов и тавте всяких, так еще мало того - не могут даже сами себе выдать новый самоподписанный сертификат.Потому что старый у этиз лабухов банально просрочился и браузер вообще верещит (FF2) или по дефолту не конектится (FF3) к такому сайту.Вот скажите, кем надо быть чтобы самому себе самоподписанный сертификат не выпустить при протухании старого?Там вообще кто админит сервера?Стадо бабуинов?<br> https://opennet.me/openforum/vsluhforumID3/43506.html#24 Tue, 26 Aug 2008 14:40:52 GMT &gt;Если ломать будут "по крупному", то при желании покупка "правильного" сертификата думаю <br>&gt;не такая уж проблема.<br><br>Проблема ровно одна - у вас имя сервера при этом будет отличаться от правильного. А это неспортивно.<br><br><br> https://opennet.me/openforum/vsluhforumID3/43506.html#23 Tue, 26 Aug 2008 14:18:20 GMT Никто не мешает один раз и надолго удостоверится в организации их ли это сертификат. Да, это гораздо менее удобно, чем если бы тот же браузер не задавал вам лишних вопросов. <br><br>Вы, например, доверяете сертификатам Thawte выданным в россии при посредничестве известной фирмы? ;-) Когда моя организация оформляла так любимые вами сертификаты, заверенные третей стороной, мне их процедуры проверки показались недостаточными.<br> https://opennet.me/openforum/vsluhforumID3/43506.html#22 Tue, 26 Aug 2008 11:11:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt;"сгенерировать ключи у себя и выслать их нам", что есть нарушение <br>&gt;&gt;моей безопасности. <br>&gt;<br>&gt;Вы видимо что-то не поняли. Очень странная у вас безопасность, я бы <br>&gt;даже написал "безопасность" -- именно так, в кавычках -- если ее <br>&gt;нарушением вы считаете генерацию ключей на своей стороне. <br>&gt;Выработка ключа на вашей стороне в данном случае совершенно естественная процедура для <br>&gt;ассиметричной криптографии. В банк требуется отправить лишь ваш открытый ключ (или <br>&gt;запрос на выпуск сертификата). <br>&gt;<br><br>Фраза была "сгенерировать у себя и выслать НАМ", т.е. сотрудник банка (называемый девочкой-секретаршей по обыкновению "программист") генерит у себя весь пакет ключей (в т.ч. и закрытых), затем отсылает нам, причём сначала пытались отправить мылом, окончательно сошлись на том, что вышлет посредством клиент-банка. И даже уже не говорю, что они вообще удивились, что мы попросили инструкцию по генерации ключей "своими силами". И тем более смешно, что инструкция не помогла - у них CA наотр https://opennet.me/openforum/vsluhforumID3/43506.html#21 Tue, 26 Aug 2008 10:54:59 GMT Если нет элементарного подтверждения третьей стороной того, что передо мной - мой банк, а не самопальный хост с фейковыми сертификатами, то о каком доверии может быть речь? Вся суть в том, нужен посредник, который подтвердит "Да, мамой клянусь, это тот, за кого он себя выдает".<br><br>Вся эта криптотехника работает (сюрприз) на собственных сертификатах, максимум на сертификатах производителя в качестве CA. Отечественного CA как не было, так и не предвидится.<br>