По описанию вполне интересный вариант.
К сожалению, не было времени посмотреть более детально.
Но, опять же, как во всех примерах из комментариев к посту: данный вариант можно использовать только для ограниченного сегмента приложений (webmoney+партнеры).
Описанный же в посте вариант можно использовать везде. Или потенциально везде)))))))))
т.е. там, где поставщик услуги произвел интеграцию со службой проверки одноразовых паролей. И еще раз повторюсь, можно использдовать и внутри компаний.
кстати, в данной реализации одноразовых паролей их можно использовать только на данном ресурсе. Представляю пользователя 20 ресурсов, для каждого из которых нужен свой брелок или отдельное приложение для генерации одноразовых паролей)
Из типов сертификтов предложил бы обратить на следующие:
1. Обычные SSL (в терминологии VeriSign — Secure Site)
2. С принудительным шифрованием сильным ключом (в терминологии VeriSign — Secure Site Pro)
3. С расширенной проверкой, т.е. те самые Extended Validation (у VeriSign — Secure Site with EV)
4. Одновременно с сильным шифрованием и EV (у VeriSign — Secure Site Pro with EV).
сертификат — это лицо брэнда. Вам хотелось бы, чтобы лицо бренда выдавалось компанием с названием GoDaddy?)))))))
Может, только мне кажется, что у кого-то фантазия слишком сильно ключом била во время создания названия?)))
можете сказать, что VeriSign берет деньги ни за что, за имя.
Я не соглашусь… Если попросить создать маленькую машинку у BMW, то получится купер, а если у нашего родного производителя, то выйдет ока.
У каждого клиента свои потребности к сертификатам. Кому-то нужна только техническая часть. Кому-то узнаваемость бренда.
Кому-то быстрый выпуск и консоль централизованного управления.
Мы это прекрасно понимаем. Именно по этой причине у нас есть несколько различных брэндов, от имени которых выпускаются сертификаты:
— если нужен лучший сертификат (и по набору сопутствующего функционала, и по узнаваемости), то это VeriSign
— если среднего класса — то Thawte или GeoTrust отличный выбор.
Если подробнее, то:
сертификат, это не только техническая составляющая (причем, это меньшая составляющая). Куда большие ресурсозатраты уходят на организационные моменты. Выпустить сертификат — технически это не дорого. Значительно дороже организовать проведение проверки клиента, организовать систему защиты для инфраструктуры, охраняющей центр сертификации.
Недостаточное внимание этим моментам приводят к не самым радостным последствиям (http://blog.mozilla.com/security/2011/03/25/comodo-certificate-issue-follow-up/).
Также у VeriSign есть возможность вернуть сертификта в течение 30 дней если не понравился))).
Опять же отзыв сертификата у VeriSign бесплатный.
есть и некоторые другие дополнительные возможности, детали здесь (раздел Additional Features): www.verisign.com/ssl/buy-ssl-certificates/compare-ssl-certificates/index.html
Как минимум, что GoDaddy вот что пишет про свои EV сертификаты:
Available only for businesses in the United States, Canada, United Kingdom, New Zealand and Australia.
здесь не соглашусь.
обнаружить, что сломали можно по разным признакам… В том числе по тому, что с сайта начинает грузиться не то, что нужно или идут перенаправления не туда, куда нужно. А это данное сканирование вполне достойно выполняет.
К сожалению, на данну тему пока мало рекламы.
Но если посчитали данную тему слишком рекламной, то единственное оправдание для нас — тема была не слишком длинной.
логика вопроса мне нравится.
но здесь нужно понимать, что речь идет про защиту хороших сайтов, которые могут быть взломаны злоумышленниками, а не про то, что злоумышленники могут купить сертификат и обманывать Symantec). А в данном сценарии нужно «более сильно сломать сайт», а также произвести лишние изменения, которые значительно проще обнаружить администратопам системы.
на вопрос пока не овтетил. Возможно, проведения сканирований ведется с разных IP. Обещаю проверить и ответить)
первый пункт — самый «неотличительный». Т.е. это может любой сертификат с возможностью Extended Validation. Но, согласитесь, большинство людей (уверен даже многие в данном высокотехнологичном сообществе) не знают, что существует отдельный класс сертификатов… И только для них работает эта фича. Поэтому и добавили этот пункт, чтобы обратить внимание на этот момент.
но все остальные 4 пункта (2-5) есть только у VeriSign (теперь Symantec).
На мой взгляд, самая интересная возможность — выдача и обновлени сертификата за 5 минут.
Хотя, общался со некоторыми компаниями, где этот момент был не актуален, зато очень нравилась возможность «отметки» сайта в результатах поисковиков.
обладая хорошей памятью можно вспомнить и не такое))).
но согласитесь, то случаев кражи сертификатов можно посчитать по пальцам, при этом эти случаи рано или поздно открывались, а сертификаты отзывались. А вот случаев подобных атак без использования сертификатов вряд ли можно посчитать по пальцам всех людей на земле… хотя, наверное китайцы спасают статистику))))
если вкратце, то производится подключение по HTTP/HTTPS и отклик анализируется на наличие злонамеренного кода, при этом не нагружая сам сайт ресурсоемкими проверками. Сразу скажу, что это не сканирование на наличие уязвимостей (но такой задачи и не ставится перед этой услугой), а в основном анализ исполняемых файлов, скрытого кода, скрытых айфреймов.
К сожалению, не было времени посмотреть более детально.
Но, опять же, как во всех примерах из комментариев к посту: данный вариант можно использовать только для ограниченного сегмента приложений (webmoney+партнеры).
Описанный же в посте вариант можно использовать везде. Или потенциально везде)))))))))
т.е. там, где поставщик услуги произвел интеграцию со службой проверки одноразовых паролей. И еще раз повторюсь, можно использдовать и внутри компаний.
большинство компаний именно рекомендует.
а выбирать уж пользователям. Хотят они защищать свой аккаунт, или готовы потерять его.
smtp ведь такой защищенный)
Именно для обхода подобной ситуации используется случайный IP из большого диапазона адресов.
Спасибо за вопрос!
если совсем все поддомены не нужны, то можно менее радикальную меру:
www.verisign.com/ssl/buy-ssl-certificates/subject-alternative-name-certificates/
www.verisign.com/ssl-certificates/wildcard-ssl-certificates/
Из типов сертификтов предложил бы обратить на следующие:
1. Обычные SSL (в терминологии VeriSign — Secure Site)
2. С принудительным шифрованием сильным ключом (в терминологии VeriSign — Secure Site Pro)
3. С расширенной проверкой, т.е. те самые Extended Validation (у VeriSign — Secure Site with EV)
4. Одновременно с сильным шифрованием и EV (у VeriSign — Secure Site Pro with EV).
Если я правильно понял вашу потребность, то это поможет:
www.verisign.com/ssl-certificates/wildcard-ssl-certificates/
по поводу админки с самоподписанным сертификатом не особо понял. Можете уточнить?
p.s.: если многим будет интересна данная тема, то попозже можно будет ее поподробнее раскрыть…
сертификат — это лицо брэнда. Вам хотелось бы, чтобы лицо бренда выдавалось компанием с названием GoDaddy?)))))))
Может, только мне кажется, что у кого-то фантазия слишком сильно ключом била во время создания названия?)))
можете сказать, что VeriSign берет деньги ни за что, за имя.
Я не соглашусь… Если попросить создать маленькую машинку у BMW, то получится купер, а если у нашего родного производителя, то выйдет ока.
У каждого клиента свои потребности к сертификатам. Кому-то нужна только техническая часть. Кому-то узнаваемость бренда.
Кому-то быстрый выпуск и консоль централизованного управления.
Мы это прекрасно понимаем. Именно по этой причине у нас есть несколько различных брэндов, от имени которых выпускаются сертификаты:
— если нужен лучший сертификат (и по набору сопутствующего функционала, и по узнаваемости), то это VeriSign
— если среднего класса — то Thawte или GeoTrust отличный выбор.
сертификат, это не только техническая составляющая (причем, это меньшая составляющая). Куда большие ресурсозатраты уходят на организационные моменты. Выпустить сертификат — технически это не дорого. Значительно дороже организовать проведение проверки клиента, организовать систему защиты для инфраструктуры, охраняющей центр сертификации.
Недостаточное внимание этим моментам приводят к не самым радостным последствиям (http://blog.mozilla.com/security/2011/03/25/comodo-certificate-issue-follow-up/).
Также у VeriSign есть возможность вернуть сертификта в течение 30 дней если не понравился))).
Опять же отзыв сертификата у VeriSign бесплатный.
есть и некоторые другие дополнительные возможности, детали здесь (раздел Additional Features):
www.verisign.com/ssl/buy-ssl-certificates/compare-ssl-certificates/index.html
Available only for businesses in the United States, Canada, United Kingdom, New Zealand and Australia.
Взято здесь:
www.godaddy.com/ssl/ssl-extended-validation.aspx
а поподробнее напишу немного утром…
обнаружить, что сломали можно по разным признакам… В том числе по тому, что с сайта начинает грузиться не то, что нужно или идут перенаправления не туда, куда нужно. А это данное сканирование вполне достойно выполняет.
Но если посчитали данную тему слишком рекламной, то единственное оправдание для нас — тема была не слишком длинной.
но здесь нужно понимать, что речь идет про защиту хороших сайтов, которые могут быть взломаны злоумышленниками, а не про то, что злоумышленники могут купить сертификат и обманывать Symantec). А в данном сценарии нужно «более сильно сломать сайт», а также произвести лишние изменения, которые значительно проще обнаружить администратопам системы.
на вопрос пока не овтетил. Возможно, проведения сканирований ведется с разных IP. Обещаю проверить и ответить)
но все остальные 4 пункта (2-5) есть только у VeriSign (теперь Symantec).
На мой взгляд, самая интересная возможность — выдача и обновлени сертификата за 5 минут.
Хотя, общался со некоторыми компаниями, где этот момент был не актуален, зато очень нравилась возможность «отметки» сайта в результатах поисковиков.
но согласитесь, то случаев кражи сертификатов можно посчитать по пальцам, при этом эти случаи рано или поздно открывались, а сертификаты отзывались. А вот случаев подобных атак без использования сертификатов вряд ли можно посчитать по пальцам всех людей на земле… хотя, наверное китайцы спасают статистику))))