Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

«Безопасность» на честном слове

Прочитали: 6694 Комментариев: 70 Рейтинг: 313

3 октября 2016

Фальшивому другу мы предпочитаем открытого врага.

Фридрих Энгельс

Если из базы данных веб-сайта утекают сведения, это представляет опасность для пользователей. При этом в «ЧаВо» многих ресурсов вы можете прочитать уверения в безопасности: пользуйтесь, беспокоиться не о чем.

В качестве аргумента обычно приводится использование SSL.

Ваши данные – в полной безопасности. На этом сайте используется криптографический протокол SSL и 128-битное шифрование, что позволяет исключить возможность злоумышленникам получить доступ к вашей информации. Ни о чем не беспокойтесь!

Использование SSL – не панацея!

Да, ваши данные, передающиеся из браузера (т. е. с вашего компьютера) на веб-сервер сайта, – в безопасности.

Более того, безопасность SSL – миф, и миф опасный. Шифрование канала никак не защитит в случае подмены сертификата на уровне провайдера в момент передачи или в случае перехвата трафика на уровне компьютера (так же с помощью подмены сертификата).

Валидный SSL-сертификат, выпущенный для атакуемого домена, позволяет провести незаметную для пользователя атаку типа «человек посередине». Для этого требуется, чтобы между атакуемым пользователем и сервером существовал управляемый атакующим узел, активно перехватывающий трафик. Этот узел представляется как легитимный сервер, предъявляя тот самый валидный сертификат.

Перехват HTTPS-соединения может быть автоматизирован – существуют специальные узлы-прокси (SSL-прокси), которые выполняют такой перехват на лету, в том числе генерируя нужные сертификаты. В такой прокси должен быть загружен сертификат и секретный ключ, позволяющие подписывать другие сертификаты (например, годится так называемый промежуточный сертификат УЦ, выпущенный для этих целей).

«Человек посередине» не работает для HTTPS при наличии некоторых дополнительных мер: например, установление TLS-соединения требует взаимной аутентификации, и перехватывающему узлу недоступен клиентский секретный ключ (либо ключи УЦ, удостоверяющего клиентский ключ); или – пользовательский браузер ведет реестр отпечатков открытых ключей сервера, которым он доверяет; или – пользователь применяет дополнительные источники сведений о разрешенных ключах и сертификатах, которые недоступны для подмены на перехватывающем узле (таким источником может служить DNS или другая база данных).

Большинство сервисов использует так называемый SSL termination: то есть пользовательский HTTPS-трафик в зашифрованном виде доходит только до пограничного прокси, где благополучно транслируется в HTTP, который дальше ходит по внутренним (в логическом, а не техническом смысле) сетям сервиса в открытом виде. Это стандартная практика, так как тотальный HTTPS, с ростом числа клиентов, быстро превращается в неподъемную, плохо масштабируемую технологию. Если система инспекции трафика находится внутри сетей сервиса, за таким пограничным SSL-прокси, то никакой HTTPS ей не мешает. Внутренний трафик распределенных сервисов с легкостью ходит между узлами и дата-центрами по арендованным у крупных операторов каналам связи в открытом виде, такой трафик может прослушиваться, хотя для пользователя он выглядит как HTTPS-соединение.

https://dxdt.ru/2013/08/02/6066/

И самое главное: если на компьютере уже работает вредоносная программа, имеющая доступ к браузеру, то HTTPS также оказывается бесполезным, поскольку данные могут перехватываться до попадания в зашифрованный канал. То же самое справедливо и со стороны сервера.

С другой стороны, предупреждения браузера о «незащищенном соединении» совершенно не обязательно означают, что вы подвергаетесь какой-то опасности.

К ошибкам в продуктах Microsoft все уже давным-давно привыкли, однако таковые, оказывается, встречаются и за их пределами. Возьмем, например, вполне официальный, весьма популярный и очень востребованный у населения сайт Microsoft.com. Откроем его в браузере, наберем любой запрос в поле поиска, чтобы обратиться к данному ресурсу по протоколу HTTPS… Ой, что это?

Используемый сайтом сертификат был сгенерирован для доменов третьего уровня, потому браузер сначала немного удивляется, а затем пугается уже окончательно и советует пользователю: «вы должны покинуть этот сайт немедленно!». А-а-а-а, бежим отсюда!

http://blogs.drweb.com/byvaet-i-takoe/

Если же вы и не собирались передавать какую-либо информацию, объективной необходимости в использовании SSL у вас вообще нет! А вот для злоумышленника, распространяющего вирусы с сервера, наличие зашифрованного канала – приятный подарок. Ведь если антивирус не может проверять зашифрованный трафик, вредоносный файл преодолеет все рубежи обороны и попадет в систему.

Компоненты Dr.Web SpIDer Mail и Dr.Web SpIDer Gate имеют возможность проверки зашифрованного трафика.

Бывает, что администрация сайта с гордостью рассказывает о каких-нибудь ежедневных автоматических веб-сканированиях.

Наш сайт ежедневно проходит проверку веб-сканером, обнаруживающим вредоносное ПО и известные уязвимости. Мы не оставили злоумышленникам ни единого шанса, но если произойдет чудо – мы узнаем об этом первыми и примем необходимые меры.

В свою очередь, сканеры вредоносного ПО, проверяющие непосредственно сайт, способны найти на нем все известные угрозы. Но если отсутствует проверка сервера, на котором размещен сайт, безопасность оказывается призрачной – ведь в наше время появляется все больше троянцев под Linux (операционной системы, в большинстве случаев использующейся для построения сайтов). А известные уязвимости – на то и известные, что, если бы ими можно было воспользоваться в автоматическом режиме, скорее всего, сайт бы уже был взломан.

Инструменты работают в умелых руках!

#проверка_трафика #шифрование #безопасность #сайт #Linux

Антивирусная правДА! рекомендует

Если вы пользователь:

  • Не принимайте уверения сайтов в безопасности ваших данных за чистую монету — многочисленные утечки персональных данных уже показали, что сайты, как и обычные ПК, тоже подвержены успешным атакам. Лучше поинтересуйтесь, проходил ли ваш любимый сервис аудит безопасности, и какой антивирус установлен на его сервере.
  • Не поддавайтесь панике при обнаружении предупреждений, советующих вам срочно перестать пользоваться каким-либо сервисом, постарайтесь разобраться в вопросе самостоятельно или с помощью специалиста.
  • Помните: вероятность того, что переданные вами в Интернет данные станут доступны третьим лицам, всегда отлична от нуля.

Если вы веб-мастер: обнаружить троянца на вашем сервере сможет только резидентный антивирус, особенно если сервер под управлением Linux!

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: