Mar. 24th, 2017

beldmit: (Программизм)
Google анонсировал поэтапное выпиливание Symantec и его дочерних УЦ из Chrome.

Мотивировка - несоблюдение операционных практик в области безопасности. Пишут про 30000 сертификатов, выпущенных без должной проверки. При этом Symantec отвечает за 42% успешных валидаций по статистике Firefox (то есть посещений защищённых сайтов, доля сертификатов при этом скорее всего ниже).

Закат Солнца будет производиться вручную, рассчитан на несколько лет. До сих пор выпиливаний такого масштаба ещё не было, все прошлые казусы были с УЦ меньшего масштаба.

Symantec пока внятных заявлений не делал, а то, которое сделал, сводится к тому, что Google неправ и проявляет безответственность.

Вообще логика проверки сертификатов на валидность становится всё сложнее и сложнее. Вместо безусловной цепочки доверия, начинаем наблюдать массу вариаций на тему "Здесь играем, здесь не играем, тут рыбу заворачивали".
beldmit: (Программизм)
Вдогонку к предыдущему посту. Это давно задуманная попытка посчитать всех, кто может вмешаться между автором контента и его потребителем в процессе доставки. Дополнения и поправки принимаются. Случаи банальной кражи пароля и завирусовывания по площадям в расчёт не берутся.

1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.

2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.

3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.

4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).

5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.

6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.

7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.

Наверняка что-то ещё я забыл.

С вами была пятничная рубрика «Как страшно жить».

Profile

beldmit: (Default)
beldmit

August 2017

S M T W T F S
  12345
678 9 101112
13 1415 1617 1819
20212223242526
2728293031  

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Aug. 21st, 2017 01:44 pm
Powered by Dreamwidth Studios