[Techinfo] SEC_ERROR_BAD_SIGNATURE
Bakos Gabor
bakosgab at gmail.com
2016. Aug. 24., Sze, 16:28:30 CEST
2016.08.24. 13:05 keltezéssel, Hambuch Gabor írta:
> Igen köszönöm, ezt közben megtettem és működik, kérdés, hogy ez nem
>> csökkenti-e a biztonságot!
>
> Erről igen sokat lehet beszélgetni.
>
> A modern víruskeresők többsége ajánl olyan szolgáltatást, hogy
> ellenőrzik az ssl-lel titkosított forgalmakat, amilyen a https is. A
> https lényege az lenne, hogy a két végpont (böngésző és a webszerver)
> között egy olyan titkosított csatornát hoz létre, amibe külső fél nem
> tud belehallgatni, nem tudja megismerni a forgalmazott adatokat. A
> víruskereső ezt az elvet megsérti azzal, hogy mégiscsak
> belehallgatózik a titkosított forgalomba, visszafejti és elemzi azt.
> Ezt ugyanazzal a technikával teszi, mint amivel a rossz szándékú
> emberek is támadnak hasonló esetekben - tehát beékelődik a böngésző és
> a webszerver közé, visszafejti a forgalmazott adatokat, majd újra
> titkosítja a saját ssl certjével (amit persze a művelet előtt a
> böngészővel elfogadtatott, mint hiteles root cert).
> Ebből látható, hogy nincs olyan https-sel titkosított oldal, amivel
> úgy tudna kommunikálni a böngésző, hogy azt a víruskereső ne legyen
> képes bármilyen jelzés nélkül visszafejteni. Persze ez jó dolog is
> lehet, ha azt nézzük, hogy https-sel titkosított oldalról is
> beszedhetünk kártevőket. De elgondolkodtató is abból a szempontból,
> hogy feltétlen bizalmat kell szavaztunk az adott víruskeresőnek. Mert
> mi van akkor, ha nem védi kellőképpen a saját titkosító kulcsát a
> kereső, és azt egy külső, rosszindulatú szoftver meg tudja szerezni?
> Jobb nem is belegondolni.
> Ez az egész valamennyire rávilágít a mostani ssl tanúsítvány rendszer
> azon sérülékenységére is, hogy elég egy, a böngészők többsége által
> megbízhatónak elfogadott gyökértanúsítvány titkosító kulcsának rossz
> kezekbe kerülnie, és máris katasztrofális következményekkel lehet
> számolni (a legkisebb túlzás nélkül).
>
> Szóval a kérdésedre válaszolva, hogy csökkenti-e a biztonságot, ha
> kikapcsolod a https ellenőrzést, szerintem nincs egyértelmű igen vagy
> nem válasz. Ha maximálisan bízol a víruskeresődben, akkor használd a
> szűrőt. Ha nem bízol benne, akkor kapcsold ki a szűrést, és ne engedd
> teleülni a hozzá tartozó böngésző plugint.
>
>
Alapos válasz, KÖSZÖNÖM!
bg
---
This email has been checked for viruses by Avast antivirus software.
https://www.avast.com/antivirus
További információk a(z) Techinfo levelezőlistáról