Как стать автором
Обновить

Security Week 22: В Samba нашлась уязвимость, ShadowBrokers открыли подписку на эксплойты, фишеры массово освоили HTTPS

Время на прочтение 3 мин
Количество просмотров 9.4K
Всего голосов 16: ↑11 и ↓5 +6
Комментарии 9

Комментарии 9

НЕУЯЗВИМОМ (как всем известно) Linux

Откуда такое мнение?
Рано или поздно помощь придет со стороны технологий, ну а пока что можно посоветовали лишь «разуть глаза».

Уже несколько лет ввел в привычку на любом сайте, где я планирую авторизоваться (особенно банк клиенты), смотреть предварительно на сертификат и на всю цепочку (кто выдал, когда, какой срок длительности).
Однако и с этим способом могут быть ошибки и неожиданности.

В первый раз неожиданным было обновление Google Chrome — в котором отключили открытие сертификата по двойному нажатию мышкой (и теперь приходится нажимать F12 и переходить на закладку Security) — в общем дольше и неудобнее.
Второй раз — когда сам Google перешел на трех-месячные сертификаты.

Нужен какой то автоматизированный подход — например запоминать FingerPrint сайта с прошлого посещения и выдавать большое и красное предупреждение в случае, если с прошлого посещения он (FingerPrint сертификата) изменился. По аналогии с SSH.
Повторюсь. Мнение, что линукс неуязвим в корне ошибочно. Пингвиноводы постоянно говорят. Максимум, что может испортится — это 'хомяк'. Важно понимать, что 'хомяк' — это все документы юзера. То есть — система, да, может остаться не тронутой. Но так ли важна пользователю сама система?
что ж вы так сарказм то не различаете?
К сожалению, таких кто без шуток считает линукс неуязвимым, полно. И часть из них довольно агрессивно пытается такое мнение пропагандировать.
Стремление криптоэнтузиастов зашифровать весь интернет и все коммуникации в нем привели к появлению сервисов автоматической выдачи сертификатов, вроде Let’s Encrypt. Удостоверяющим центром это называть как-то не хочется, так как оно ничего, в общем-то, и не удостоверяет.

Let’s Encrypt удостоверяет владение отдельно взятым доменом точно так же, как это делают другие за деньги (
Скрытый текст
только цивилизованно
). Вся разница в том, что для фишингового домена теперь не нужно платить за сертификат, чтобы получить HTTPS. Но это является прямым следствием цели, которую и преследует Let’s Encrypt.
Теоретически, можно разделить сертификаты на платные и бесплатные, фильтруя сайты значками:
1. http — Небезопасно.
2. Бесплатный сертификат — обычный сайт.
3. Платный сертификат — доверенный сайт.

В таком случае сохранится рынок сертификатов, шаблон: «есть значок, значит безопасно» останется и большая часть сайтов станет защищенной.
Такое разделение есть, только проходит оно не по границе платный/бесплатный, а по типам сертификатов.
Domain Validation (DV) сертификат показывает замочек рядом со строкой адреса, как на хабре. Его можно получить бесплатно и от Let's Encrypt, и можно купить у любого СЦ, проверяется только админский доступ к сайту.
Для защиты (частичной?) от фишинга есть Organization Validation (OV) и Extended Validation (EV) сертификаты (подробнее — cabforum.org/wp-content/uploads/EV-V1_6_2.pdf), при выдаче которых ЦА проверяет регистрационные данные организации, её право владения доменом и то, что за сертификатом обратилась именно эта организация.
При посещении сайта с EV сертификатом браузер показывает не только замок, но и название организации (как на duckduckgo.com или как на упомянутом в статье www.paypal.com).
Более подробно о процедуре выдачи разных типов сертификатов: habrahabr.ru/company/1cloud/blog/334278 (статья от конкретной компании, но требования примерно одинаковые для всех)
Зарегистрируйтесь на Хабре , чтобы оставить комментарий