Mar. 24th, 2017

beldmit: (Программизм)
Google анонсировал поэтапное выпиливание Symantec и его дочерних УЦ из Chrome.

Мотивировка - несоблюдение операционных практик в области безопасности. Пишут про 30000 сертификатов, выпущенных без должной проверки. При этом Symantec отвечает за 42% успешных валидаций по статистике Firefox (то есть посещений защищённых сайтов, доля сертификатов при этом скорее всего ниже).

Закат Солнца будет производиться вручную, рассчитан на несколько лет. До сих пор выпиливаний такого масштаба ещё не было, все прошлые казусы были с УЦ меньшего масштаба.

Symantec пока внятных заявлений не делал, а то, которое сделал, сводится к тому, что Google неправ и проявляет безответственность.

Вообще логика проверки сертификатов на валидность становится всё сложнее и сложнее. Вместо безусловной цепочки доверия, начинаем наблюдать массу вариаций на тему "Здесь играем, здесь не играем, тут рыбу заворачивали".
beldmit: (Программизм)
Вдогонку к предыдущему посту. Это давно задуманная попытка посчитать всех, кто может вмешаться между автором контента и его потребителем в процессе доставки. Дополнения и поправки принимаются. Случаи банальной кражи пароля и завирусовывания по площадям в расчёт не берутся.

1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.

2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.

3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.

4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).

5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.

6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.

7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.

Наверняка что-то ещё я забыл.

С вами была пятничная рубрика «Как страшно жить».

Profile

beldmit: (Default)
beldmit

June 2017

S M T W T F S
    123
45678910
111213141516 17
18192021 222324
252627282930 

Most Popular Tags

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 24th, 2017 05:21 am
Powered by Dreamwidth Studios