> > > Да. Но в общем-то "защищенное соединение" это вообще абсолютно > > > нетехническая штука. Вопрос не в технике, техника нынче вещь > > > тривилаьная, > > > > Не скажи. В SSL 2, если я правильно ошибаюсь, находили очень толстую > > дыру. С SSL 3 и TLS 1.0 лучше, но даже в последнем дыру находили. Чисто > > техническую. При том, что протокол уже достаточно сложный, и в RFC есть > > отдельная глава, обсуждающая ряд включенных в него защит от _технических_ > > атак. > > Своевеременный апгрейд на новвые версии в том числе и протоколов я отношу > к разделу > организационных мер. А с техническими проблемами пусть разбирается > соответствующий комитет IETF, а также разработчики криптософта, > включенного в дистрибутив (к которым мы с тобой одно время относились, а > автор вопроса - не относится). >
Справа ты прав. А слева между моментом обнаружения уязвимости и моментом ее затыкания проходит время, в которое можно втиснуть атаку, и зачастую не одну. Хотя атаковать в организационные дыры, конечно, проще, но массированную атаку удобнее делать на технических. Я не к тому, что из-за технических дыр защищенных соединений вообще не бывает. Но относиться к технической стороне как к тривиальной - организационная :) ошибка. З.Ы. Я вообще считаю, что "технический специалист владеет технической информацией" - это со стороны технического специалиста техническая сторона. Организационная она со стороны его руководства. -- Praemonitus premunitus -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/87haz9aapj.wl%[email protected]
