-
GAMEPOD.hu
Vírusirtó Topic 2019
Új hozzászólás Aktív témák
-
dqdb
nagyúr
válasz Kékes525 #37831 üzenetére
Ha olyan minőségű az SSL/TLS kapcsolatba beépülő kódjuk, mint több, hasonló módon működő vírusirtóé, akkor még lehet, hogy jelentősen javít is a biztonságon a kikapcsolás
Egy SSL/TLS kapcsolatot úgy lehet monitorozni, ha a vírusirtó beépül a kliens és a szerver közé. A böngésző megnyitja a szerver felé a kapcsolatot, ami valójában a vírusirtóban terminál, majd a vírusirtó nyit egy másik kapcsolatot a szerver felé, és a két kapcsolat között közvetít. Ez eddig szépen hangzik, de nem kevés hátránya van, mint
1. nem látod az eredeti tanúsítványokat, csak a böngésző által kibocsátott ideigleneseket, azaz így nem látod az eredeti láncot, nem férsz hozzá az eredeti visszavonási információkhoz, ha certificate pinninget használna adott alkalmazás, akkor abból probléma is akadhat, elveszik az EV információ, és ezek már tökéletes implementációnál is jelentkeznek.
2. nem tökéletesek a vírusirtók implementációi, és még finoman fogalmaztam. Ez lehet nyílt biztonsági hiba, amely vagy nem jelentkezik a böngészőben, mert olyan libraryben találnak rá, amit a kettő közül csak a vírusirtó használ, vagy egy ismert protokollhibát lényegesen hamarabb foltozzák be, mint a vírusirtók készítői. Lehet olyan hiba, ami a hálózati forgalmat lassítja, például a böngésző támogatná, míg a vírusirtó nem támogatja az OCSP staplingot, így a böngészőnek emiatt egy külön HTTP lekérdezéses kört kell járnia. Lehet biztonsági hiányosság is, ahol az eredeti biztonsági szintet lerontja a vírusirtó, például az eredeti tanúsítványban volt OCSP cím, a böngésző felé generáltban nem, így a böngésző OCSP lekérdezés helyett CRL-hez fordul. Ez általában nem nagy probléma, de szerencsésebb OCSP-re alapozni a tanúsítványok érvényességének megállapítását, ha van rá lehetőség. Másik lehetőség, ami már súlyosabb probléma, amikor a böngésző magasabb TLS verzióval vagy erősebb algoritmust használva létesítene kapcsolatot a szerverrel, mint azt a vírusirtó teszi (például egy TLS 1.2 helyett a nem biztonságosnak tartott TLS 1.0 vagy SSL 3.0, vagy titkosításra AES helyett RC4).
Én egyáltalán nem tartom szerencsésnek a kapcsolatba történő ilyen betolakodást, sok gyártó ragaszkodik hozzá, míg mások képesek ugyanazt a szintet hozni ilyen megoldások nélkül is.
tAm6DAHNIbRMzSEARWxtZW50ZW0gdmFka5RydIJ6bmkuDQoNClOBc4Ek
Új hozzászólás Aktív témák
● TILOS a warez!
● Vírusos, vagy egyéb kártevőt tartalmazó linkek a topikban való elhelyezésére vonatkozó szabály:
Tilos a topikban bármilyen vírusos vagy lehetséges vírusos kártevő link elhelyezése.
Az ilyen linkek megosztása csak privátban, PH tagok számára osztható meg.
Ellenkező esetben a hozzászólás törölve lesz.
- PC JÁTÉKOK (OLCSÓ STEAM, EA , UPLAY KULCSOK ÉS SOKMINDEN MÁS IS 100% GARANCIA )
- Eredeti Microsoft termékek - MEGA Akciók! Windows, Office Pro Plus, Project Pro, Visio Pro stb.
- Canva Pro előfizetés - 1 éves
- Játékkulcsok olcsón: Steam, Uplay, GoG, Origin, Xbox, PS stb.
- Autómatricák a legjobb minőségben, több ezer minta! PH tagoknak 30% kedvezmény!