13 Декабря 2005 10:12 13 Дек 2005 10:12 |

Поделиться

https не спасает от фишеров

Самая серьезная проблема значка желтого замка в браузере, обозначающего защищенное соединение, — в невнимательности при выдаче сертификатов. SSL-сертификат включает ключ шифрования, название организации-обладателя и срок годности, подписанные издателем. Несколько лет назад проверка заявителя на принадлежность к указанной организации начала проводиться «спустя рукава». Некоторые издатели довольствовались лишь фактом существования почтового ящика, откуда пришел запрос. Этим воспользовались фишеры. Впрочем, им необязательно выдавать свой сертификат за реальный: попадая на подставной сайт по защищенному соединению, пользователь видит тот же самый желтый замок. Редко кто догадывается посмотреть подробности сертификата и увидеть, что сертификат выдан совсем другой организации. «Проблема с базовым сертификатом — в низком уровне проверки заказчика, а методы подтверждения в браузерах нелегки для среднего пользователя», — сказал Джим Мелони (Jim Maloney), директор по безопасности компании Corillian, предоставляющей технологии онлайновых платежей более чем 100 банкам.

Браузеры — тоже часть проблемы. Желтый замок выглядит всегда одинаково со времен его изобретения Netscape «на заре» всемирной паутины. Microsoft и другие производители браузеров собираются изменить его в Internet Explorer 7. Вместе с издателями сертификатов VeriSign, Comodo, GeoTrust и Cybertrust, объединившимися в CA Forum, компании пересмотрят стандарт и сделают сертификаты более надежными. Ими будут выпускаться сертификаты «высокой надежности». Представители форума уже три раза встречались в этом году по данному вопросу.

Фишеры украли у финансовых организаций как минимум $400 млн. в прошлом году, по данным Financial Insight при IDC. Тем временем объемы онлайновых транзакций растут. К 2010 году их оборот в США составит $329 млрд. против $172 млрд. в этом году, по данным Forrester Research.

Поделиться

Подписаться на новости Короткая ссылка