Новости
Спостерігач (Реаліст) писав (а) у відповідь на:Так, можна додавати кореневий сертифікат в зоопарк браузерів цілого полчища службовців в держ.конторах і бюджетних організаціях, писати багатосторінкові інструкції для налаштування зв'язки браузер + КріптоПро (причому браузери різних вендорів і різних версій мають свої особливості).Зараз у нас в державному секторі і бюджетних організаціях має місце саме такий підхід.Головний його недолік - високі накладні витрати айтішників на настройку всього цього зоопарку.
Зробити свій велосипед (чи то пак браузер), в рамках якого будуть вирішені всі ці проблеми - це значне зменшення накладних витрат на підтримку програмного забезпечення, спрощення всіх процедур по налаштуванню і експлуатації софта на комп'ютерах кінцевих користувачів.Особисто мені такий підхід подобається більше.
Волжанин (Vladimir) писав (а) у відповідь на:Повторюся.
Для айтішників додати сертифікат в той же Хром НАБАГАТО простіше, ніж встановлювати свій кріворуконапісанний бразузерах, який до того ж не буде підтримуватися 80% сайтів.
Спостерігач (Реаліст) писав (а) у відповідь на: > Повторюся.
> Для айтішників додати сертифікат в той же Хром НАБАГАТО простіше, ніж встановлювати свій кріворуконапісанний бразузерах, який до того ж не буде підтримуватися 80% сайтів.
Ну, я ж сказав, що там крім додавання кореневого сертифіката треба ще налаштовувати зв'язку браузер + КріптоПро. Плюс потрібно зробити купу налаштувань в самому браузері.
Щоб було зрозуміліше, скільки маніпуляцій потрібно зробити айтішників, кидаю посилання на інструкцію:
Цю інструкцію потрібно виконати на кожному робочому місці. Волжанин (Vladimir) писав (а) у відповідь на:
Хм ... подивився на першу сторінку.
З незрозумілої причини сучасні протоколи TLS 1.1 і TLS 1.2 пропонується відключити, а SSL 3.0 і TLS 1.0, в яких виявлені діри, пропонують залишити.
Мене мучать сумніви, що автори цієї інструкції зацікавлені зовсім не в захисті користувачів, а скоріше навпаки)) Fackel (Fackel) писав (а) у відповідь на:
> Цікаво, ця Мир краще буде захищена?
Карта "Мир" з точки зору безпеки нічим не відрізняється від міжнародних карт Віза, Мастеркард, Юніонкард, JCB.
Для взаємодії з обладнанням для операцій по банківських картах з чіпом в картах "Мир" використовується протокол EMV. Для проведення платежів через інтернет використовується протокол 3D-Secure. Ясна річ, всі ці протоколи інтегровані з російським п / о карти.
Сама карта "Мир" може бути з російським або іноземним чіпом, але на чіпі обов'язково записана російська операційної система з можливістю мультизавантаження кількох платіжних систем (в кобейджінгових картах), з можливістю запису декількох платіжних додатків (наприклад, додаток для оплати транспорту, додаток для ідентифікації / електронний пропуск і т.д.). Спостерігач (Реаліст) писав (а) у відповідь на:
> З незрозумілої причини сучасні протоколи TLS 1.1 і TLS 1.2 пропонується відключити, а SSL 3.0 і TLS 1.0, в яких виявлені діри, пропонують залишити.
Це типова ситуація для гос.сайтов. Їх розробників не встигають оновлювати п / о під вимоги безпеки сучасних браузерів. Справа доходить до смішного - деякі сайти, наприклад сайт держзакупівель, прибиті цвяхами до IE старих неподдержвіаемих версій, а при оновленні браузера до нової версії може все відвалитися. Інші браузери не підтримуються.
Ще була проблема, що деякі сайти електронних торговельних майданчиків використовували застарілий інтерфейс плагінів NPAPI, який викинули з Chrome і замінили інтерфейсом PPAPI. Був період, коли застарілі плагіни NPAPI доводилося запускати через жопу, або забороняти оновлення хрому до нових версій.
А проблеми сумісності, коли для гос.закупок використовується тільки осел (IE), а для торговельних майданчиків він глючить (тому що стара версія), тому доводиться використовувати Chrome / Firefox з набором плагінів, - це типова ситуація. Спостерігач (Реаліст) писав (а) у відповідь на:
> Мене мучать сумніви, що автори цієї інструкції зацікавлені зовсім не в захисті користувачів, а скоріше навпаки))
Ні. Справа тут в специфіці поновлення софта. Щоб оновити, наприклад, такий складний портал як zakupki.gov.ru, потрібне держзамовлення з великими бюджетом, щоб переробити софт і організувати міграцію на нову версію. Це велике замовлення і великі Бабосов - справа не швидке. Потрібно тех.задания, техніко-економічне обґрунтування, проект, проектна кошторис, держзамовлення, визначення підрядників і виконавців, включення в план ФГД і т.д. Тільки потім почнуть писати код, після чого піде етап тестування і впровадження.
Поки вони доповзуть до впровадження TLS 1.2, його можуть оголосити застарілим і небезпечним, а на його місце прийде нова версія. Спостерігач (Реаліст) писав (а) у відповідь на:
> Повторюся.
> Для айтішників додати сертифікат в той же Хром НАБАГАТО простіше, ніж встановлювати свій кріворуконапісанний бразузерах, який до того ж не буде підтримуватися 80% сайтів.
масло масляні. ви тільки що написали що для айтішників додати в хром сертифікат легко (до речі брешете і відразу видно не добовлять і взагалі зв'язку крипто про і браузер не бачили) і тут же хром обізвали кріворукопісанним. бо хромініум це вільний відкритий хром. ви або взагалі ні чого не розумієте в айті або нахабно всім брешете. Спостерігач (Реаліст) писав (а) у відповідь на:
> З незрозумілої причини сучасні протоколи TLS 1.1 і TLS 1.2 пропонується відключити, а SSL 3.0 і TLS 1.0, в яких виявлені діри, пропонують залишити.
Зверни увагу, що всі налаштування осла виставляються таким чином, що безпеку браузера стає нижче плінтуса. Якщо ще врахувати, що використовується застаріла неоновлювані версія IE, то цим браузером взагалі не можна нікуди ходити в сучасному інтернеті крім зазначених довірених сайтів. Волжанин (Vladimir) писав (а) у відповідь на:
Досить дивна ситуація.
Є купа вільного коду, який імплементує TLS, і перейти на TLS 1.2 не повинно зайняти більше ніж кілька тижнів.
TLS 1.2 з'явився в 2008 році. І якщо за 8 років ніхто не спромігся цього зробити, то у мене немає слів. Добру справу.
Все бюджетополучатели, включаючи держмонополії і держкомпанії, повинні максимально відмовитися від витрат на імпорт. Тільки вітчизняне.
Ну а нас телевізором привчати купувати вітчизняне. Волжанин (Vladimir) писав (а) у відповідь на:
тов.Волжанін! а чим поганий в цьому ключі браузер Яндекс? у мене лінукс на ПК. і браузер Яндекс (для лінукс ос) - досить хороша зв'язка і захист. doomm (doomm) писав (а) у відповідь на:
> Тов.Волжанін! а чим поганий в цьому ключі браузер Яндекс? у мене лінукс на ПК. і браузер Яндекс (для лінукс ос) - досить хороша зв'язка і захист.
З браузером Яндекс поки не все ясно.
З одного боку:
За словами голови робочої підгрупи "Інтернет + суверенітет" при адміністрації президента Іллі Массуха Яндекс начебто веде роботи по впровадженню в свій браузер російських алгоритмів шифрування.
З іншого боку:
За словами представника "Яндекса" інформація про створення бети "яндекс.браузер" з російськими алгоритмамишифрування недостовірна, компанія "не займалася і не займається" нею.
Тобто, інфа по Яндексу суперечлива. Ланцелот (lants) писав (а) у відповідь на:
>
> А де центр випуску вітчизняних цифрових сертифікатів?
Як уже повідомляв "Комерсант" (детальніше див. Номер від 15 лютого), адміністрація президента обговорює створення російського посвідчує центру (УЦ) для видачі SSL-сертифікатів, які використовуються для шифрування даних та ідентифікації сайту при встановленні захищеного https-з'єднання. "Видавати SSl-сертифікати з російськими алгоритмамишифрування буде засвідчує центр НДІ" Схід "або хтось з інших УЦ, акредитованих Мінкомзв'язку. У російських браузерах ці УЦ будуть додані в список" довірених "", - говорить пан Массух. Він повідомив, що в першу чергу SSL-сертифікати з російськими алгоритмамишифрування від місцевого УЦ використовуватимуть сайти органів влади, портал держпослуг і, можливо, деякі банки. "Для цих цілей планується внести зміни в 8 ФЗ (" Про забезпечення доступу до інформації про діяльність держорганів ... "). У підсумку, якщо користувач буде відкривати, наприклад, портал держпослуг в браузері Chrome, у нього буде з'являтися повідомлення про те, що для користування даним сайтом йому краще встановити певну версію "Супутника" або "яндекс.браузер" ", - відзначає він.
Найбільш популярними світовими УЦ є Comodo, Symantec, GoDaddy, Geotrust, GlobalSign і ін. В Росії продажем сертифікатів цих УЦ займається безліч приватних компаній - наприклад, Ru-Center, Reg.Ru, Agava і ін. Число використовуваних SSL-сертифікатів тільки в доменній зоні .ru за підсумками 2015 року склало 124,5 тис., повідомляла Reg.Ru.
"У нас в країні є ряд криптопровайдерів, відповідних ГОСТу, тому реалізація браузера з російськими алгоритмамишифрування цілком можлива, як і використання на одному домені набору SSL-сертифікатів, серед яких був би сертифікат від російського УЦ. З точки зору національної безпеки це має сенс , хоча з боку і трохи віддає параноєю ", - говорить засновник і гендиректор Qrator Labs Олександр Лямін. При цьому, нагадує він, в теорії поява в країні свого УЦ для видачі SSL-сертифікатів може привести до зловживань і MITM-атакам (або атакам посередника) з боку структур, що мають відношення до цього УЦ. В ході MITM зловмисник перехоплює і підміняє повідомлення, якими обмінюються кореспонденти, причому жоден з останніх не здогадується про його присутності в каналі. "Подібні випадки були в Китаї, після чого Google мала намір видалити місцевий УЦ з" довірених "в Chrome", - додає він.
"З точки зору забезпечення цифрового суверенітету наявність власного центра, що засвідчує, що видає SSL-сертифікати, і браузерів, що підтримують російське шифрування, безумовно, позитивний факт. Однак треба розуміти, що якщо даний національний центр буде скомпрометований і атакуючі отримають доступ до кореневих сертифікатів, то при наявності доступу до SSL-трафіку між користувачем браузера і сайтом можна організувати MITM-атаку, розшифрувавши SSL-трафік ", - згоден гендиректор Digital Security Ілля Медведовський. Втім, подібна атака може бути з таким же успіхом здійснена і на будь-який західний засвідчує центр, що вже недавно траплялося, зокрема, з Comodo, додає він.
І як зазвичай всі мовчать як бобики, що цінник на обслуговування і комісії по картах світ буде дорожче своїх західних старших братів ... бо високі накладні витрати на виробництво, що включають імпортну складову ...... рр, "світ" вам .. .. примусовоПовернутися до списку тем
А чим поганий в цьому ключі браузер Яндекс?
А чим поганий в цьому ключі браузер Яндекс?