?

Log in

No account? Create an account
SSL - doing it wrong - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

SSL - doing it wrong [Feb. 26th, 2010|02:41 am]
ArkanoiD
[Tags|, ]



Про то, как у веб-браузеров плохо с SSL я писал статью (будет в очередном выпуске Nobunkum), читал доклад и вообще давно уже занудствую на каждом углу. А что с остальным софтом?

Да в 90% вот так же, как у Microsoft Outlook: "нам сказали, что нужно выдавать предупреждение".



Вот такое, например, да.

Для тех, кто не в курсе, как работает SSL: цель данной проверки - определить, что сервер аутентичен, а не подменен злоумышленником. Как видим, информация, которая позволит сделать хоть какие-то выводы в диалоге тупо отсутствует, как и возможность посмотреть сомнительный сертификат. Мало того, так как процесс не вполне интерактивен, мы даже не знаем, к какому серверу относится эта диагностика. Кто-нибудь из вас, увидев такое сообщение, в состоянии сделать что-либо, кроме как нажать "Ok" с мыслями "это, наверное, какой-то глюк"? В 99.99% случаев это действительно "какой-то глюк" и вы совершенно правы.

Если кто сейчас будет тупо гыгыкать "ну это же мелкомягкие, чего вы хотели", тому я имею сказать одну вещь: Microsoft, мои красноглазые друзья, сделал для развития PKI едва ли не больше, чем кто-либо еще из крупных компаний. Поищите, у кого есть фреймворки для federated identity, кто публикует материалы на эту тему и так далее, удивитесь. Но тут у них, как у всех.
linkReply

Comments:
[User Picture]From: mcjabberwock
2010-02-26 12:17 am (UTC)
Какую-то вредную фигню вы несёте, барин.

С виндой должны уметь управляться даже домохозяйки, а им незачем засорять мозги всякой ерундой.
Почтовый сервер у аутглюка вообще должен быть один — ну зачем их больше? Естественно, лучше всего Exchange, его и настраивать юзеру не надо.

А если что не так, достаточно сказать админу, у него голова большая, как у лошади — вот пусть он и думает.

Насколько я помню, в винде процентов 95 диагностики совершенно неинформативно.
(Reply) (Thread)
[User Picture]From: vovney
2010-02-26 04:10 am (UTC)
в винде есть диагностика? 0_о
(Reply) (Parent) (Thread)
[User Picture]From: e_pipe
2010-02-26 06:50 am (UTC)
Ага. В синем экране ;-)
(Reply) (Parent) (Thread)
[User Picture]From: orleanz
2010-02-26 12:40 am (UTC)
и ФФ, и Хром показывают сертификаторов

(Reply) (Thread)
[User Picture]From: arkanoid
2010-02-26 12:43 am (UTC)
Я же специально сказал - НЕ в браузерах. К браузерам другие претензии, к хрому в первую очередь - там вообще save exception не было.
(Reply) (Parent) (Thread)
From: sa_chernomor
2010-02-26 10:38 am (UTC)
о, спасибо, подсказали, что у хрома таки можно посмотреть детали
на этой его страничке с предпреждением нет описания деталей - оказывается нужно смотреть в address bar...
(Reply) (Parent) (Thread)
[User Picture]From: kika
2010-02-26 02:28 am (UTC)
А что такое Outlook?
(Reply) (Thread)
[User Picture]From: arkanoid
2010-02-26 02:36 am (UTC)
Почтовый клиент мелкомягкий. Хочу заметить, что почтовые клиенты от Nokia и от Seven вели себя ИДЕНТИЧНО. То есть - ругались на то, что неизвестно что не соответствует неизвестно чему и считаю ли я, что это ok.
(Reply) (Parent) (Thread)
[User Picture]From: kika
2010-02-26 02:42 am (UTC)
(задумчиво) Почтовый клиент от Nokia....
А где выход обратно в подпространственную дыру, через которую я попал в эту вселенную?
(Reply) (Parent) (Thread)
[User Picture]From: lugoblin
2010-02-26 02:49 am (UTC)
Вполне закономерно, если SSL для галочки, позиции в списке features. Не проигрывать же конкуренту по каталогу? Даже если у конкурента оно тоже для галочки.

> Но тут у них, как у всех.
Гипотезу о "глупых мелкомягких" отбросим как неконструктивную. Тогда в чём дело? Рентабельность? ZOG?
(Reply) (Thread)
[User Picture]From: 3jia5l_ca6aka
2010-02-26 06:06 am (UTC)
thunderbird вообще отказывался из коробки работать с сервером с просроченным сертификатом =_=
(Reply) (Thread)
From: ex_ivlad
2010-02-26 07:55 am (UTC)
у firefox'а конкретно в этом диалоге лучше. там тебя два раза напугают, прежде чем пустят на сайт. правда, пользователь все равно такой заботы о себе не оценит.

надо б вообще не пускать - тогда всякий идиот, который web-сервер неправильно настроил, сразу это заметит - не будет трафика.
(Reply) (Thread)
[User Picture]From: viliar
2010-02-26 08:10 am (UTC)
Вобщем да, но. На самоподписанные сертификаты ff точно также ругается. Использование их, конечно, не тру, но нельзя это считать неправильной настройкой. имхо.
(Reply) (Parent) (Thread)
[User Picture]From: max630
2010-02-26 06:53 pm (UTC)
> нельзя это считать неправильной настройкой

почему нельзя, когда это и есть неправильная настройка? надо вообще без ssl делать. Безопасности столько же, а удобства больше.
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2010-02-26 08:23 pm (UTC)
_Подтвержденный_ и _сохраненный_ self-signed сертификат это частный случай вполне правильной настройки. Параноики могут сличить fingerprint.
(Reply) (Parent) (Thread)
[User Picture]From: max630
2010-02-26 10:00 pm (UTC)
так на такие и не ругается, вроде.
(Reply) (Parent) (Thread)
[User Picture]From: viliar
2010-02-27 10:10 am (UTC)
Первый раз ругается. Пока не сохранен и не подтвержден. FF. Остальным браузерам сертификат по-моему не нравится даже после подтверждения и сохранения.
(Reply) (Parent) (Thread)
[User Picture]From: rblaze
2010-03-01 03:43 pm (UTC)
Вообще-то безопасности гораздо больше. Атаки бывают не только активные, но и пассивные.
(Reply) (Parent) (Thread)
[User Picture]From: grundik
2010-02-26 03:39 pm (UTC)
Apple Mail (дефолтный макосёвый мейл-клиент) умеет показывать сертификат.
(Reply) (Thread)
[User Picture]From: arkanoid
2010-02-26 09:01 pm (UTC)
Бывает. И что это дает? Всем переходить на дефолтный макосевый мейл-клиент?
(Reply) (Parent) (Thread)
[User Picture]From: grundik
2010-02-27 03:02 am (UTC)
Я к тому, что фраза "у MS тут как у всех" не совсем верна. Ну или совсем не верна, это смотря как понимать понятие "все".
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2010-02-27 04:19 am (UTC)
Да как ни определяй, "у нашего любимого (подставить_нужное) все хорошо" на среднюю температуру по больнице почти не влияет. Это не та ситуация, где контрпримеры могут иметь значение.
(Reply) (Parent) (Thread)
[User Picture]From: grundik
2010-02-27 05:01 am (UTC)
Ну вон дальше пример из свежего MS-овского софта дали, в котором есть опция просмотра сертификата.

Так потихоньку и наберётся, если каждый расскажет про свой опыт.
(Reply) (Parent) (Thread)
[User Picture]From: dainjah
2010-02-26 10:45 pm (UTC)
Видимо, ты пользуешься слегка устаревшим ПО. Вот Outlook версии 2007:

(Reply) (Thread)
[User Picture]From: arkanoid
2010-02-27 04:22 am (UTC)
Это уже лучше, да. Что не отменяет существование over 9000 программ, которые ведут себя подобным образом.
(Reply) (Parent) (Thread)
[User Picture]From: grundik
2010-02-27 05:02 am (UTC)
over 9000 - это какие-то данные, или просто оборот речи?
(Reply) (Parent) (Thread)
[User Picture]From: easyjohn
2010-02-27 09:31 am (UTC)
(Reply) (Parent) (Thread)
[User Picture]From: irsi_ro
2010-03-04 04:20 pm (UTC)
Ожидыю функцию 4, да. Тебя это все еще удивляет? Меня - нет. Более того у меня складывается четкое убеждение что большинтво разработчиков подобных программ сами толком не понимают что такое PKI, для чего оно нужно и как работает.
(Reply) (Parent) (Thread)