URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 80055
[ Назад ]

Исходное сообщение
"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."

Отправлено opennews , 31-Авг-11 13:41 
Выпущены внеплановые обновления web-браузеров Chrome 13.0.782.218 (http://googlechromereleases.blogspot.com/2011/08/stable-upda...), Firefox 6.0.1 (https://developer.mozilla.org/devnews/index.php/2011/08/30/f.../), 3.6.21 (http://www.mozilla.com/firefox/all-older.html) и SeaMonkey 2.3.2 (http://www.seamonkey-project.org/), в которых осуществлено удаление корневого сертификата скомпрометированного центра сертификации DigiNotar.


Напомним, что вторжение в инфраструктуру Certificate Authority (CA) DigiNotar было зафиксировано 19 июля, в результате чего атакующим удалось сгенерировать поддельные сертификаты для ряда доменов, включая google.com. Компания DigiNotar заявила, что все сгенерированные в результате инцидента SSL-сертификаты были сразу отозваны из обращения, но вчера в сети был зафиксирован (https://www.opennet.ru/opennews/art.shtml?num=31635) случай атаки с использованием неотозванного обманного SSL-сертификата для ...

URL: https://developer.mozilla.org/devnews/index.php/2011/08/30/f.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=31639


Содержание

Сообщения в этом обсуждении
"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Аноним , 31-Авг-11 13:41 
> было принято решение удалить корневой сертификат DigiNotar

Ну они сами на это нарвались. После таких фортелей они точно не trusted authority.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено emg81 , 31-Авг-11 13:46 
вопрос знатокам: а нельзя этот корневой сертификат удалить БЕЗ обновления браузера? просто если более отличий никаких нет, то смысла обновляться немного.

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено V , 31-Авг-11 13:55 
Preferences -> Privacy & Security -> Certificates -> Manage Certificates -> Authorities -> DigiNotar -> ... -> delete

at least in SeaMonkey 2.1


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено emg81 , 31-Авг-11 14:17 
спасибо.
в FF 6.0 нашёл в:
Настройки - Дополнительные - Шифрование - Просмотр сертификатов.
удалил DigiNotar без проблем

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и..."
Отправлено anonymous , 31-Авг-11 14:35 
> вопрос знатокам: а нельзя этот корневой сертификат удалить БЕЗ обновления браузера?

и о какой security вообще речь? вот пример: пользователь, и, подозреваю, довольно квалифицированый, с сертификатами работать не умеет. и это не потому, что пользователь — дурак, как хочется думать господам разработчикам, а потому что сама концепция кривая и user-hostile.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и..."
Отправлено emg81 , 31-Авг-11 14:58 
>> вопрос знатокам: а нельзя этот корневой сертификат удалить БЕЗ обновления браузера?
> и о какой security вообще речь? вот пример: пользователь, и, подозреваю, довольно
> квалифицированый, с сертификатами работать не умеет. и это не потому, что
> пользователь — дурак, как хочется думать господам разработчикам, а потому что
> сама концепция кривая и user-hostile.

так оно всё до необходимости: если нужно, то придётся быстро разобраться, если нет необходимости, то многие и не узнают, что такое сертификаты :)


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и..."
Отправлено anonymous , 31-Авг-11 15:05 
> так оно всё до необходимости: если нужно, то придётся быстро разобраться, если
> нет необходимости, то многие и не узнают, что такое сертификаты :)

штука в том, что оно таки почти всем нужно. но сделано настолько проктологически, что проще не трогать даже длинной палкой. не будет обычный юзер, который пошёл купить билет на балет, читать невнятные буквы от проверки сертификатов. он видит только, что если не нажать «принимаю», то билет на балет накрывается медным тазом. и потому он примет что угодно, не читая.

а ставить обновление, потому что какие-то там «сертификаты не такие» — это точно не будет. «нафига? я этими сертификатами и не пользовался никогда, даже не знаю, что это. ну его.»


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и..."
Отправлено emg81 , 31-Авг-11 15:12 
тогда что Вы предлагаете, пан anonymous?
или где-то уже реализована система, правильная, с Вашей точки зрения?

всё же, если говорить о безопасности, то, как мне кажется, её основа в правильном обслуживании и настройке системы, которой должен заниматься квалифицированный работник: помнить и про уязвимости, и про права и т.д.
а пользователь должен оплачивать труд такого настройщика.

ведь можно самому привернуть муфту на кране, например. но если нет опыта/инструмента/времени - можно только накосячить. поэтому порой проще вызвать сантехника, у которого и инструмент, и детали, и опыт есть. и оплатить ему его труд.

так и тут с ПО и компутерами. имхо.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и..."
Отправлено anonymous , 31-Авг-11 15:18 
> тогда что Вы предлагаете, пан anonymous?

я много чего имею предложить, но не стану. потому что реализовывать, как я писал ниже, это никто не будет, а мне и вообще плевать, по гамбургскому счёту.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Ботэ , 31-Авг-11 13:50 
а опера ? ех опять отстает старушка....

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено WhereWolf , 31-Авг-11 14:35 
А в опере ихнего сертификата и не было. Опера не отстает, опера наоборот всех на шаг опережает - два десятка корневых сертификатов действительно известных и проверенных СА - и всё. Остальным после этого случая еще только предстоит расчищать свои завалы.

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Аноним , 31-Авг-11 14:53 
> А в опере ихнего сертификата и не было.

Дезинформация. Единственное отличие Opera в том, что если не удается проверить отозван сертификат или нет, Opera считает соединение небезопасным. Если сертификат не отозван, никто и не заметит подмены.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено WhereWolf , 31-Авг-11 15:32 
Настройки > Безопасность > Управление сертификатами > Издатели
Никакого DigiNotar там нет.

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Аноним , 31-Авг-11 15:41 
А какого тогда http://my.opera.com/desktopteam/blog/2011/08/30/opera-11-51-... написан?!

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено WhereWolf , 31-Авг-11 15:45 
translate.google.com

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено n , 31-Авг-11 14:36 
http://my.opera.com/desktopteam/blog/2011/08/30/opera-11-51-...

This security update comes right after the Diginotar certificate breach, but Opera does not require a fix for this issue. Opera always verifies that certificates are not revoked, and unlike other browsers Opera does not display sites as secure if access to revocation servers has been blocked by an attacker.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Аноним , 31-Авг-11 14:51 
Иными словами, в  Opera не удалили корневой сертификат Diginotar и она по прежнему не защищена от наличия неотозванных обманных сертификатов этого CA ?

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и..."
Отправлено anonymous , 31-Авг-11 14:58 
> Иными словами, в  Opera не удалили корневой сертификат Diginotar и она
> по прежнему не защищена от наличия неотозванных обманных сертификатов этого CA
> ?

даже захотелось было проверить, а потом вспомнил, что у меня все так называемые «довереные центры сертификации» удалены.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Pegas , 31-Авг-11 13:50 
Можно запросто с списка корневых сертификатов.

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено luckym , 31-Авг-11 13:51 
Для тех кто не в теме: можете более подробно разъяснить - о чём идёт речь? Насколько приблизительно много сайтов используют подобные сертификаты, какие самые известные из них?

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Ботэ , 31-Авг-11 13:57 
ttp://www.opennet.ru/opennews/art.shtml?num=31635

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено luckym , 31-Авг-11 14:03 
Там нет информации на поставленный мною вопрос. Я уже читал эту новость. Сложно представить глобальность проблемы.

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено WhereWolf , 31-Авг-11 14:39 
Поставь ненадолго на компе другую дату - например, 31.08.2010. Браузер тут же начнет ругаться на просроченные сертификаты при посещении сайтов типа google.com, yandex.ru, nvidia.com и т.д. Масштаб проблемы сам увидишь :)

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено luckym , 31-Авг-11 15:10 
Да, но какая доля DigiNotar среди этих сертификатов?

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Аноним , 31-Авг-11 14:55 
> Для тех кто не в теме: можете более подробно разъяснить - о
> чём идёт речь? Насколько приблизительно много сайтов используют подобные сертификаты,
> какие самые известные из них?

Любой центр сертификации может создать сертификат для _любого_ сайта и HTTPS-соединение к левому хосту с использованием этого сертификата будет выглядеть для пользователя валидным, пока этот сертификат не отозван. В Chrome перестраховались и прописали от каких CA могут приниматься сертификаты Google и некоторых других сайтов.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено strah4 , 31-Авг-11 13:57 
Вчера вроде писали, что хром сертефикаты онлайн сверяет с базой гугла и в обновлении не нуждается.

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Аноним , 31-Авг-11 14:27 
Хром может сверяять только сертификаты гугла. А в обновлении снесли нахрен весь корень DigiNotar.

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено arka , 31-Авг-11 14:02 
Удаление одного корневого сертификата тянет за собой двухметровое обновление.
Может что-нибудь в консерватории поменять (с)

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и..."
Отправлено anonymous , 31-Авг-11 14:37 
> Может что-нибудь в консерватории поменять (с)

угу. например, выкинуть всю систему сертификатов, как ненадёжное УГ.


"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Sergey722 , 31-Авг-11 14:15 
Сегодня перешёл на ФФ бета (7-ка). Т.ч., спасибо, что написали как снести сертификат!

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено centosuser , 31-Авг-11 15:14 
В Chrome не удалили.
Version:13.0.782.218
DigiNotar как был в списке так и остался.

"Обновление Chrome 13.0.782.218, Firefox 6.0.1, 3.6.21 и SeaM..."
Отправлено Аноним , 05-Сен-11 20:43 
13.0.782.220 — тоже не удалили. Я давно ещё галки все убрал с него, кнопка "удалить" неактивна, удивляюсь новости.