Re: mozillaи ssl

[Artem Chuprina <ran@ran.pp.ru>]

> > > Да. Но в общем-то "защищенное соединение" это вообще абсолютно
> > > нетехническая штука. Вопрос не в технике, техника нынче вещь
> > > тривилаьная,
> > 
> > Не скажи.  В SSL 2, если я правильно ошибаюсь, находили очень толстую
> > дыру.  С SSL 3 и TLS 1.0 лучше, но даже в последнем дыру находили.  Чисто
> > техническую.  При том, что протокол уже достаточно сложный, и в RFC есть
> > отдельная глава, обсуждающая ряд включенных в него защит от _технических_
> > атак.
> 
> Своевеременный апгрейд на новвые версии в том числе и протоколов я отношу 
> к разделу
> организационных мер. А с техническими проблемами пусть разбирается
> соответствующий комитет IETF, а также разработчики криптософта,
> включенного в дистрибутив (к которым мы с тобой одно время относились, а
> автор вопроса - не относится).
>

Справа ты прав.  А слева между моментом обнаружения уязвимости и моментом ее
затыкания проходит время, в которое можно втиснуть атаку, и зачастую не одну.

Хотя атаковать в организационные дыры, конечно, проще, но массированную атаку
удобнее делать на технических.  Я не к тому, что из-за технических дыр
защищенных соединений вообще не бывает.  Но относиться к технической стороне
как к тривиальной - организационная :) ошибка.

З.Ы. Я вообще считаю, что "технический специалист владеет технической
информацией" - это со стороны технического специалиста техническая сторона.
Организационная она со стороны его руководства.

-- 
Praemonitus premunitus