C.G.B. Spender -> debian-russian @ Sun, 07 Feb 2010 08:12:29 +0500: CS> Справедливости ради, стоит отметить тот факт, что не всё так идеально с CS> этими сертификатами:
CS> http://www.pgpru.com/novosti/2009/vprotokolahssltlsnajjdenakriticheskajaujazvimostj CS> Цитата: "теоретически злоумышленник может под прикрытием обычной CS> активности пользователя совершить угодные атакующему действия на CS> сервере, при этом пользователь будет уверен, что совершает легитимные CS> операции в рамках защищенного соединения". CS> Хотя использовать эту уязвимость и сложнее, чем перехват/подмена CS> кукисов/трафика, тем не менее проблема пока до конца не решена. CS> Из этого следует, что авторизация с использованием сертификатов менее CS> безопасна, чем обычная веб-формочка или basic auth, digest auth, e.t.c., CS> поверх SSL/TLS, без использования клиентских сертификатов. "Не все идеально" не с клиентскими сертификатами, а с прикладным использованием TLS. И, соответственно, с самим TLS в части его идеи, что прикладное использование его должно быть максимально прозрачным. А с клиентскими сертификатами как раз все хорошо. -- Greenspun's Tenth Rule of Programming: any sufficiently complicated C or Fortran program contains an ad hoc informally-specified bug-ridden slow implementation of half of Common Lisp. -- Phil Greenspun "Including Common Lisp." -- Robert Morris -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected]
