On Friday 11 July 2008 Shachar Shemesh wrote: > Amit Aronovitch wrote: > > שמתי לב שאתר ההצבעה הוא self-signed. > > זה קצת בעייתי - מצד אחד לאלה מאיתנו שנבהלים מהודעות אזהרה של הדפדפן, > > ומצד שני ל"פרנואידים" יותר שרוצים לודא שה-certificate הזה באמת הוצא ע"י > > המקור. > > > > לפני שאני מנתח אותם, בואו נשאל את עצמינו מה אומר שהתעודה לא חתומה ע"י > מישהו מוכר? התשובה היא - אתם לא בטוחים שהגעתם לאתר "המקור", ולא לאתר אחר > שגנב לנו את ה-DNS.
לדעתי אתה מסתכל על העצים ומספספס את היער. התשובה הנכונה יותר היא: "זה אומר שאתה מקבל הודעת שגיאה מהדפדפן". ממילא מבחינה טכנית האזנה לתעבורה בין הדפדפן לאתר המקור היא לא טריביאלית, ויש דרכי התקפה אפקטיביות יותר. במקרה של הצבעה, לא ברור מה האזנה כזאת בכלל נותנת למתקיף. מה שהשימוש ב- SSL אמור לעשות זה להרגיע את המשתמש ואילו הודעת שגיאה עושה את ההיפך. > ועל כן, אני שואל את הקהל המלומד פה - מה לדעתכם כדאי לנו לעשות? שתי אפשרויות: 1. לוותר על SSL שלא ברור מה הוא נותן בהצבעה 2. להוציא תעודת SSL (בזול, בחינם, whatever כל עוד הוא יאפשר גלישה שקטה בפיירפוקס ואקספלורר). אני מצביע בעד אפשרות 2, כיוון שבעתיד יתכן ויהיו שימושים נוספים ל- SSL בעוד שהעלות היא בין "אפס" לבין "סכום אפסי" > > שחר - אבירם _______________________________________________ Discussions mailing list [email protected] http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
