| +55 голосов |
|
Нередко технологии, направленные вроде бы на обеспечение безопасности, но приспособленные для неспециалистов, воспринимаются как скорее внушающие ложное чуство защищенности. Недавно в таком контексте мы обсуждали UAC, однако определенные претензии можно предъявить даже SSL.
SSL-сертификаты и, соответственно, HTTPS давно стали неотъемлемой частью Интернета и пользователи будут сталкиваться с ними все чаще по мере распространения в Сети коммерческих услуг. Но все ли из нас различают типы таких сертификатов, их назначение и сферы применения. Хорошо, что современные браузеры хоть научились выявлять поддельные и сомнительные:
А есть ведь и вполне легитимные, но которые могут применяться совсем не к месту - как случайно, так и умышленно:
В данном случае я говорю о так называемых domain-validated сертификатах, удостоверяющих исключительно сам домен, но никак не его владельца. Они выдаются вполне законно, дешевы (а в некоторых случаях и вовсе бесплатны) и обычно предназначаются лишь для обеспечения шифрования. При этом вся процедура проверки может состоять в обмене электронными письмами (т.е. запрашивающий должен иметь почтовый ящик в домене) или выкладывании определенного файла на веб-сервер (т.е. запрашивающий должен иметь к последнему доступ). Очевидно, что это открывает определенный простор для творчества различных злоумышлеников, в первую очередь промышляющих фишингом.
Проблема в том, что подавляющее большинство современных браузеров никак не реагируют на сертификаты, представленные на иллюстрации с желтым фоном. Хотя пользователь может сам доискаться до всей информации, вчитавшись в подробности, предоставленные браузером, очевидно, что мало кто станет это делать.
Однако, не сам же я нарисовал эту картинку? :) Таким образом на domain-validated сертификаты реагируют новый браузер Comodo Dragon, построенный на ядре Chromium. В остальном он, кажется, мало чем отличается от Google Chrome, однако разработчики специально уделили внимание таким вот специфическим моментам.
Дело в том, что Comodo, известная, кстати, неплохим бесплатным ПО для обеспечения безопасности, сама является эмитентом SSL-сертификатов, в том числе domain-validated (хотя больше всего их выпускает Go Daddy). Так что ее откровенная позиция заслуживает уважения.
Специалисты Comodo утверждают, что domain-validated сертификаты действительно нередко используются в фишинге, хотя согласно Netcraft лишь 0.3% всех поддельных и взломанных сайтов применяют HTTPS. Но даже в таком случае инициатива Comodo заслуживает похвалы и поддержки. По моему мнению, все более очевидной становится необходимость применения кардинально новых подходов к информационной безопасности, а каждая капля, как известно, камень точит.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| +55 голосов |
|
