Re: [OFF] Почему все придумывают свою систему web-аутентификации
C.G.B. Spender -> debian-russian @ Sun, 07 Feb 2010 08:12:29 +0500:
CS> Справедливости ради, стоит отметить тот факт, что не всё так идеально с
CS> этими сертификатами:
CS> http://www.pgpru.com/novosti/2009/vprotokolahssltlsnajjdenakriticheskajaujazvimostj
CS> Цитата: "теоретически злоумышленник может под прикрытием обычной
CS> активности пользователя совершить угодные атакующему действия на
CS> сервере, при этом пользователь будет уверен, что совершает легитимные
CS> операции в рамках защищенного соединения".
CS> Хотя использовать эту уязвимость и сложнее, чем перехват/подмена
CS> кукисов/трафика, тем не менее проблема пока до конца не решена.
CS> Из этого следует, что авторизация с использованием сертификатов менее
CS> безопасна, чем обычная веб-формочка или basic auth, digest auth, e.t.c.,
CS> поверх SSL/TLS, без использования клиентских сертификатов.
"Не все идеально" не с клиентскими сертификатами, а с прикладным
использованием TLS. И, соответственно, с самим TLS в части его идеи,
что прикладное использование его должно быть максимально прозрачным.
А с клиентскими сертификатами как раз все хорошо.
--
Greenspun's Tenth Rule of Programming: any sufficiently complicated C
or Fortran program contains an ad hoc informally-specified bug-ridden
slow implementation of half of Common Lisp.
-- Phil Greenspun
"Including Common Lisp."
-- Robert Morris
Reply to: