uneex_and_rsa

Приведу только один пример, я никогда не задумывался о том, что размещая в списке root-сертификатов чужой сертификат, фактически провожу против себя атаку, делая себя уязвимым для владельца сертификата. Почему? Да просто потому, что владелец сертификата может подписать этим сертификатом любой из критичных для вас сайтов (www.somebank.ru, www.mymoney.com или любимый докладчиком ebay...), а далее хорошо известными любому администратору (или антиадминистратору) способами, фальсифицировать этот сайт и ваш браузер (почта, клиент системы) ничего не заметит - потому что на него выписан ключ, подписанный сертификатом, которому вы доверились, не ожидая что его владелец начнет такой беспредел.

Вроде кубики все знакомые. Вроде сам бы мог это и понять. Но я смотрел на это как на удачный инструмент и никаких подвохов не ждал. А в конце семинара получил вывод докладчика: https и т.п., на который все возлагают такие надежды, вообще не дает никаких гарантий безопасности и конфиденциальности передаваемых данных. Вот что значит послушать профессионала, который этим не просто "пользуется", а это "делает".

Рассказ об официальных мерах противодействия вызвал у собравшихся и докладчика смех :). Хотя один совет все-таки можно дать: всегда сверять фингерпринт сертификата сайта с известным вам. Ну, если он вам известен, конечно.

Хотел бы я надеяться, что в моих откровениях на http://zopelada.ru и в других местах читатели находят столько же нового :). В общем, respect докладчику :) и заходите чаще на наш uneex.