Эта запись опубликована
24.06.2009 в 8:48. Рубрики: безопасность, управление компьютерами. Вы можете следить
за ответами к этой записи через RSS 2.0.
Вы можете оставить отзыв или трекбек со своего сайта.
Инспектирование SSL трафика
Учитывая страстную любовь Web приложений от Microsoft к использованию исключительно «правильного и совместимого» браузера, все решение, изложенное в предыдущей статье, много более актуально несколько для иных целей. А именно для предотвращения лишних вопросов со стороны браузера, которому подсовывают, уж будем откровенны, поддельный сертификат, причем, ведь исключительно из соображений усиления безопасности.
Кроме шуток: представим, что наша компания только что приобрела и успешно внедрила комплексную систему контроля доступа к данным. Не суть важно, насколько все красиво было описано поставщиком данной системы. И даже не столь важно, насколько полно все было продумано на этапе внедрения. Любую систему все равно используют люди со всеми своими слабостями.
Вот и возникает рано или поздно опасность следующего сценария:
Конкретно такой сценарий, правда, означает, что уровень безалаберности службы безопасности просто фантастичен. Но, полагаю, общий вектор опасности понятен.
Итак, SSL действительно таит в себе не только защиту, но также и ее брешь. А, значит, для построение уровня защиты, которому можно доверять, нам просто необходимо иметь возможность заглянуть внутрь него. И это ведь несложно сделать.
Всего лишь необходимо на прокси-сервере установить аналог центра сертификации, который будет прозрачно создавать и подписывать сертификат с именем запрашиваемого узла, а далее самостоятельно устанавливать сессию с запрошенным пользователем узлом.
Вот именно для этой цели нам и необходимо, чтобы браузер клиента заведомо доверял издателю, предъявляемого «веб узлом» сертификата.
А вот этическую составляющую данного процесса, я себе позволю оставить за кадром. Главное ведь доверие хотя бы к офицеру службы безопасности, верно?
Ваш отзыв