Re: mozillaи ssl
> > > Да. Но в общем-то "защищенное соединение" это вообще абсолютно
> > > нетехническая штука. Вопрос не в технике, техника нынче вещь
> > > тривилаьная,
> >
> > Не скажи. В SSL 2, если я правильно ошибаюсь, находили очень толстую
> > дыру. С SSL 3 и TLS 1.0 лучше, но даже в последнем дыру находили. Чисто
> > техническую. При том, что протокол уже достаточно сложный, и в RFC есть
> > отдельная глава, обсуждающая ряд включенных в него защит от _технических_
> > атак.
>
> Своевеременный апгрейд на новвые версии в том числе и протоколов я отношу
> к разделу
> организационных мер. А с техническими проблемами пусть разбирается
> соответствующий комитет IETF, а также разработчики криптософта,
> включенного в дистрибутив (к которым мы с тобой одно время относились, а
> автор вопроса - не относится).
>
Справа ты прав. А слева между моментом обнаружения уязвимости и моментом ее
затыкания проходит время, в которое можно втиснуть атаку, и зачастую не одну.
Хотя атаковать в организационные дыры, конечно, проще, но массированную атаку
удобнее делать на технических. Я не к тому, что из-за технических дыр
защищенных соединений вообще не бывает. Но относиться к технической стороне
как к тривиальной - организационная :) ошибка.
З.Ы. Я вообще считаю, что "технический специалист владеет технической
информацией" - это со стороны технического специалиста техническая сторона.
Организационная она со стороны его руководства.
--
Praemonitus premunitus
Reply to: