[Techinfo] SEC_ERROR_BAD_SIGNATURE

Bakos Gabor bakosgab at gmail.com
2016. Aug. 24., Sze, 16:28:30 CEST


2016.08.24. 13:05 keltezéssel, Hambuch Gabor írta:
> Igen köszönöm, ezt közben megtettem és működik, kérdés, hogy ez nem
>> csökkenti-e a biztonságot!
>
> Erről igen sokat lehet beszélgetni.
>
> A modern víruskeresők többsége ajánl olyan szolgáltatást, hogy 
> ellenőrzik az ssl-lel titkosított forgalmakat, amilyen a https is. A 
> https lényege az lenne, hogy a két végpont (böngésző és a webszerver) 
> között egy olyan titkosított csatornát hoz létre, amibe külső fél nem 
> tud belehallgatni, nem tudja megismerni a forgalmazott adatokat. A 
> víruskereső ezt az elvet megsérti azzal, hogy mégiscsak 
> belehallgatózik a titkosított forgalomba, visszafejti és elemzi azt. 
> Ezt ugyanazzal a technikával teszi, mint amivel a rossz szándékú 
> emberek is támadnak hasonló esetekben - tehát beékelődik a böngésző és 
> a webszerver közé, visszafejti a forgalmazott adatokat, majd újra 
> titkosítja a saját ssl certjével (amit persze a művelet előtt a 
> böngészővel elfogadtatott, mint hiteles root cert).
> Ebből látható, hogy nincs olyan https-sel titkosított oldal, amivel 
> úgy tudna kommunikálni a böngésző, hogy azt a víruskereső ne legyen 
> képes bármilyen jelzés nélkül visszafejteni. Persze ez jó dolog is 
> lehet, ha azt nézzük, hogy https-sel titkosított oldalról is 
> beszedhetünk kártevőket. De elgondolkodtató is abból a szempontból, 
> hogy feltétlen bizalmat kell szavaztunk az adott víruskeresőnek. Mert 
> mi van akkor, ha nem védi kellőképpen a saját titkosító kulcsát a 
> kereső, és azt egy külső, rosszindulatú szoftver meg tudja szerezni? 
> Jobb nem is belegondolni.
> Ez az egész valamennyire rávilágít a mostani ssl tanúsítvány rendszer 
> azon sérülékenységére is, hogy elég egy, a böngészők többsége által 
> megbízhatónak elfogadott gyökértanúsítvány titkosító kulcsának rossz 
> kezekbe kerülnie, és máris katasztrofális következményekkel lehet 
> számolni (a legkisebb túlzás nélkül).
>
> Szóval a kérdésedre válaszolva, hogy csökkenti-e a biztonságot, ha 
> kikapcsolod a https ellenőrzést, szerintem nincs egyértelmű igen vagy 
> nem válasz. Ha maximálisan bízol a víruskeresődben, akkor használd a 
> szűrőt. Ha nem bízol benne, akkor kapcsold ki a szűrést, és ne engedd 
> teleülni a hozzá tartozó böngésző plugint.
>
>
Alapos válasz, KÖSZÖNÖM!

bg



---
This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus



További információk a(z) Techinfo levelezőlistáról