Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

«Безопасность» на честном слове

Прочитали: 6525 Комментариев: 70 Рейтинг: 312

Фальшивому другу мы предпочитаем открытого врага.

Фридрих Энгельс

Если из базы данных веб-сайта утекают сведения, это представляет опасность для пользователей. При этом в «ЧаВо» многих ресурсов вы можете прочитать уверения в безопасности: пользуйтесь, беспокоиться не о чем.

В качестве аргумента обычно приводится использование SSL.

Ваши данные – в полной безопасности. На этом сайте используется криптографический протокол SSL и 128-битное шифрование, что позволяет исключить возможность злоумышленникам получить доступ к вашей информации. Ни о чем не беспокойтесь!

Использование SSL – не панацея!

Да, ваши данные, передающиеся из браузера (т. е. с вашего компьютера) на веб-сервер сайта, – в безопасности.

Более того, безопасность SSL – миф, и миф опасный. Шифрование канала никак не защитит в случае подмены сертификата на уровне провайдера в момент передачи или в случае перехвата трафика на уровне компьютера (так же с помощью подмены сертификата).

Валидный SSL-сертификат, выпущенный для атакуемого домена, позволяет провести незаметную для пользователя атаку типа «человек посередине». Для этого требуется, чтобы между атакуемым пользователем и сервером существовал управляемый атакующим узел, активно перехватывающий трафик. Этот узел представляется как легитимный сервер, предъявляя тот самый валидный сертификат.

Перехват HTTPS-соединения может быть автоматизирован – существуют специальные узлы-прокси (SSL-прокси), которые выполняют такой перехват на лету, в том числе генерируя нужные сертификаты. В такой прокси должен быть загружен сертификат и секретный ключ, позволяющие подписывать другие сертификаты (например, годится так называемый промежуточный сертификат УЦ, выпущенный для этих целей).

«Человек посередине» не работает для HTTPS при наличии некоторых дополнительных мер: например, установление TLS-соединения требует взаимной аутентификации, и перехватывающему узлу недоступен клиентский секретный ключ (либо ключи УЦ, удостоверяющего клиентский ключ); или – пользовательский браузер ведет реестр отпечатков открытых ключей сервера, которым он доверяет; или – пользователь применяет дополнительные источники сведений о разрешенных ключах и сертификатах, которые недоступны для подмены на перехватывающем узле (таким источником может служить DNS или другая база данных).

Большинство сервисов использует так называемый SSL termination: то есть пользовательский HTTPS-трафик в зашифрованном виде доходит только до пограничного прокси, где благополучно транслируется в HTTP, который дальше ходит по внутренним (в логическом, а не техническом смысле) сетям сервиса в открытом виде. Это стандартная практика, так как тотальный HTTPS, с ростом числа клиентов, быстро превращается в неподъемную, плохо масштабируемую технологию. Если система инспекции трафика находится внутри сетей сервиса, за таким пограничным SSL-прокси, то никакой HTTPS ей не мешает. Внутренний трафик распределенных сервисов с легкостью ходит между узлами и дата-центрами по арендованным у крупных операторов каналам связи в открытом виде, такой трафик может прослушиваться, хотя для пользователя он выглядит как HTTPS-соединение.

https://dxdt.ru/2013/08/02/6066/

И самое главное: если на компьютере уже работает вредоносная программа, имеющая доступ к браузеру, то HTTPS также оказывается бесполезным, поскольку данные могут перехватываться до попадания в зашифрованный канал. То же самое справедливо и со стороны сервера.

С другой стороны, предупреждения браузера о «незащищенном соединении» совершенно не обязательно означают, что вы подвергаетесь какой-то опасности.

К ошибкам в продуктах Microsoft все уже давным-давно привыкли, однако таковые, оказывается, встречаются и за их пределами. Возьмем, например, вполне официальный, весьма популярный и очень востребованный у населения сайт Microsoft.com. Откроем его в браузере, наберем любой запрос в поле поиска, чтобы обратиться к данному ресурсу по протоколу HTTPS… Ой, что это?

Используемый сайтом сертификат был сгенерирован для доменов третьего уровня, потому браузер сначала немного удивляется, а затем пугается уже окончательно и советует пользователю: «вы должны покинуть этот сайт немедленно!». А-а-а-а, бежим отсюда!

http://blogs.drweb.com/byvaet-i-takoe/

Если же вы и не собирались передавать какую-либо информацию, объективной необходимости в использовании SSL у вас вообще нет! А вот для злоумышленника, распространяющего вирусы с сервера, наличие зашифрованного канала – приятный подарок. Ведь если антивирус не может проверять зашифрованный трафик, вредоносный файл преодолеет все рубежи обороны и попадет в систему.

Компоненты Dr.Web SpIDer Mail и Dr.Web SpIDer Gate имеют возможность проверки зашифрованного трафика.

Бывает, что администрация сайта с гордостью рассказывает о каких-нибудь ежедневных автоматических веб-сканированиях.

Наш сайт ежедневно проходит проверку веб-сканером, обнаруживающим вредоносное ПО и известные уязвимости. Мы не оставили злоумышленникам ни единого шанса, но если произойдет чудо – мы узнаем об этом первыми и примем необходимые меры.

В свою очередь, сканеры вредоносного ПО, проверяющие непосредственно сайт, способны найти на нем все известные угрозы. Но если отсутствует проверка сервера, на котором размещен сайт, безопасность оказывается призрачной – ведь в наше время появляется все больше троянцев под Linux (операционной системы, в большинстве случаев использующейся для построения сайтов). А известные уязвимости – на то и известные, что, если бы ими можно было воспользоваться в автоматическом режиме, скорее всего, сайт бы уже был взломан.

Инструменты работают в умелых руках!

#проверка_трафика #шифрование #безопасность #сайт #Linux

Антивирусная правДА! рекомендует

Если вы пользователь:

  • Не принимайте уверения сайтов в безопасности ваших данных за чистую монету — многочисленные утечки персональных данных уже показали, что сайты, как и обычные ПК, тоже подвержены успешным атакам. Лучше поинтересуйтесь, проходил ли ваш любимый сервис аудит безопасности, и какой антивирус установлен на его сервере.
  • Не поддавайтесь панике при обнаружении предупреждений, советующих вам срочно перестать пользоваться каким-либо сервисом, постарайтесь разобраться в вопросе самостоятельно или с помощью специалиста.
  • Помните: вероятность того, что переданные вами в Интернет данные станут доступны третьим лицам, всегда отлична от нуля.

Если вы веб-мастер: обнаружить троянца на вашем сервере сможет только резидентный антивирус, особенно если сервер под управлением Linux!

Получайте Dr.Web-ки за участие в проекте

Каждая активность = 1 Dr.Web-ка

Оцените выпуск

Сделайте репост

Поставьте «Нравится»

Чтобы получать награды надо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

10 Dr.Web-ок за комментарий в день выхода выпуска или 1 Dr.Web-ка в любой другой день. Комментарии публикуются автоматически и постмодерируются. Правила комментирования новостей «Доктор Веб».

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей


 
На страницу: