Loo Опубликовано 6 августа, 2008 Поделиться Опубликовано 6 августа, 2008 Это кстати открытый раздел, может ну его от греха? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 6 августа, 2008 Поделиться Опубликовано 6 августа, 2008 Это кстати открытый раздел, может ну его от греха? OK. Исправлено Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 6 августа, 2008 Поделиться Опубликовано 6 августа, 2008 Запрос к https://al**abank.ru Ошибка при установлении защищённого соединения al**bank.ru использует недействительный сертификат безопасности. Кстати, я тут случайно наткнулся на статью с правилами безопасности интернет-банкингов на _ttp://softbroker.ru/staty/internetsecurity/ Забавно почитать. Залез поэтому и на al**bank.ru - оказывается для собственно интернет-банкинга используется другой сайт, у которого сертификат подписан Thawte. А это какой-то внутренний что ли сайт :smile13: Так что не все так плохо в данном случае. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Loo Опубликовано 6 августа, 2008 Поделиться Опубликовано 6 августа, 2008 Ой, а этот банк заплатит, если прям сейчас вытащить цепочку доверия, и указать там явные "дыры"? Там вообще любой сертификат в итоге проходит. Лишь бы был Ссылка на комментарий Поделиться на другие сайты More sharing options...
Vinni Опубликовано 6 августа, 2008 Поделиться Опубликовано 6 августа, 2008 Думаю, что нет :smile3: кстати, наткнулся на неплохую статью Б.Шнейера про MITM-атаки цитирую оттуда This is the way MITM attacks work against web-based financial systems. A bank demands authentication from the user: a password, a one-time code from a token or whatever. The attacker sitting in the middle receives the request from the bank and passes it to the user. The user responds to the attacker, who passes that response to the bank. Now the bank assumes it is talking to the legitimate user, and the attacker is free to send transactions directly to the bank. This kind of attack completely bypasses any two-factor authentication mechanisms, and is becoming a more popular identity-theft tactic. This sort of protection is embedded in SSL, although no one uses it. As it is normally used, SSL provides an encrypted communications link to whoever is at the other end: bank and phishing site alike. And the better phishing sites create valid SSL connections, so as to more effectively fool users. But if the user wanted to, he could manually check the SSL certificate to see if it was issued to "National Bank of Trustworthiness" or "Two Guys With a Computer in Nigeria." No one does, though, because you have to both remember and be willing to do the work. (The browsers could make this easier if they wanted to, but they don't seem to want to.) In the real world, you can easily tell a branch of your bank from a money changer on a street corner. But on the internet, a phishing site can be easily made to look like your bank's legitimate website. Any method of telling the two apart takes work. And that's the first step to fooling you with a MITM attack. Man-in-the-middle isn't new, and it doesn't have to be technological. But the internet makes the attacks easier and more powerful, and that's not going to change anytime soon. Checking SSL certificates: http://www.microsoft.com/protect/yourself/phishing/... Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения
Заархивировано
Эта тема находится в архиве и закрыта для дальнейших ответов.