Войти | Регистрация | Забыли пароль?
Сервисы поддержки I-поддержка Форумы Примеры Новости База знаний Видеоролики Документация
Сервисы поддержки / Форумы / Открытый форум / Уязвимость SSL - кто как решает проблему?

Уязвимость SSL - кто как решает проблему?

5 (2)
Открыть все сообщения Скрыть все сообщения
  • Развернуть Уязвимость SSL - кто как решает проблему? ( andyp  06.11.2014 13:16 )
    5(1)
    Коллеги.

    Кто как решает проблему с уязвимостью SSL (включая SSL 3.0) на веб-серверах? Какие протоколы используете?

    Причём, использование TLS ниже 1.2 тоже не является безопасным, но старые ОС (например XP, даже SP3 с IE8) не поддерживают TLS выше 1.0.
    >> Ответить
    • Развернуть Некоторые отказались уже давно от XP ( Банкир07  10.11.2014 15:44 )
      5(1)
      Как то не сталкивались с такой ситуацией. Использование ХР как то уже не актуально с даты его прекращения поддержки. Сертификат ФСТЭК уже истек. А доп СЗИ от НСД дороже покупки ОС.
      Тут уж думать надо о смысле использования ХР.
      >> Ответить
      • Развернуть А какой вы используете протокол(ы)? ( andyp  10.11.2014 15:50 )
        5(1)
        Странно. До сих пор около половину клиентов физ-лиц остаются на XP или используют старые браузеры.
        Их всех обязать купить новое ПО - не прибавит имиджа банку.

        А вы так и не сказали - какой вы протокол используете сами?
        >> Ответить
        • Развернуть Рассказать всего просто политика не позволяет. ( Банкир07  10.11.2014 16:07 )
          5(1)
          Скажу только что SSL3 отключен и используется например VPN еще до RS-MAIL.
          У нас просто толстый клиент. А затраты минимальные если так брать.
          Далее в настройках сетевого экрана играемся для блокировки трафика.
          Могу только подкинуть пару моментов. http://habrahabr.ru/company/mailru/blog/241113/ Например Если не читали
          В случае чего пишите на nagatsuev@eurostd.ru
          Я просто надеюсь Вас правильно понял.
          >> Ответить
        • Развернуть Вопрос. ( andyp  10.11.2014 16:21 )
          5(1)
          Но очевидно, что раз вы не поддерживаете XP, то клиентам вы просто предлагаете купить современное ПО?
          >> Ответить
          • Развернуть Ставится выше XP в банке. ( Банкир07  10.11.2014 18:40 )
            5(1)
            Про остальных я не говорил. И суть описывал выше.
            Потом я до сих пор видел только 2-3 клиента с полностью легальным ПО. Тут уж сами думайте. И это Каверзный вопрос с которым многие согласятся.
            Второй момент в том что у нас толстый клиент идет по VPN каналу создающемуся с сертификата. Т.Е. VPN, RS-MAIL, Клиент (Если вы используете средства softlab).
            Получается что перехват трафика не гарантирует никакого результата, учитывая то что сессия создается по асинхронному ключу.
            Третий момент. При желании можно все переписать на сервере у кого apache ли iis (убрать SSL3 или что угодно при желании, запретить хранение и передачу куки если не учтено).
            Скажете на чем тогда работать если IE8 не может больше? Есть софтверные решения умеющие работать с TLS 1.2
            Также можно обратить внимание на другие браузеры. Например Firefox или еще лучше Chrome. А разрешить их можно с помощью правки кода (это уж к прогерам обращайтесь.
            Сам пишу на C#. Пока тоже в публику не выпускаю свою работу, т.е. создается защищенная сеть, далее возможность уже авторизоваться клиенту. Хотя не первый год работает без проблем, не рискую в общий доступ.
            И прошу прочитать пожалуйста более внимательно. Какие условия должны быть для того чтобы создать возможность для атаки. Должны допустить это либо Вы(Банк) либо Клиент.
            НЕ ИЗ ВНЕ. Правовые моменты учтите, поправки в договоре, пусть защищают компьютер на который так много возложено.
            Берегите себя и своих клиентов.
            >> Ответить
            • Развернуть На стороне клиента ( andyp  10.11.2014 19:04 )
              5(1)
              Так в банке понятное дело используется современное ПО.
              Вопрос в том, что если ПО клиентов пока ещё поголовно не поддерживает ничего выше TLS 1.0,
              то нехорошо их всех просто отключить от системы.
              У нас речь идёт как раз о "тонких" клиентах, не написал сразу.
              Выставить на сервере только TLS 1.2 не вопрос, но тогда более 90% клиентов отпадут сразу же, а второй половине не помогут общие наши консультации,
              да и десятки тысяч подобных разговоров - не лучший результат для банка, ибо мало кто оценит такую заботу.
              >> Ответить
              • Развернуть Пока решения как такового нет ( Банкир07  11.11.2014 09:58 )
                5(1)
                Лучше всего будет для начала попробовать создание приватной сети.
                Как доступ давать для физиков? Можно разовые пароли использовать при авторизации в сети а не в системе.
                Для корпоративных клиентов(ИП ЮЛ) проще.
                Попытки поставить заплатки могут ничего не дать. Потому самый верный метод такой.
                >> Ответить
              • Развернуть Надеюсь помог ( Банкир07  11.11.2014 11:45 )
                5(1)
                Если нет можно ссылки подкинуть
                >> Ответить
                • Развернуть Спасибо ( andyp  11.11.2014 12:19 )
                  5(1)
                  В любом случае спасибо Вам за дискуссию, странно, что никого больше она не заинтересовала.
                  По идее проблема должна касаться всех и каждого.
                  >> Ответить