фильтровать программы по популярности
малопопулярная — значит опасная. А популярная — значит надежная.
Может быть антивирусы тоже будут так поступать и цифровые code-signing сертификаты не будут такими уж обязательными.
У меня 2 конкурента заморачиваться с сертификатами вообще не стали и прекрасно себя чувствуют.
интересно, как же у них прошел процесс верификации?
Мне кажется там слабое звено это проверка телефона — злоумышленники могли квитанцию просто нарисовать.
ИМХО они могли бы серьезно повысить защищенность если бы просто проверяли бы права на управление доменом — добавить скажем запись в DNS или ответить на емэйл посланный на support@....
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Здравствуйте, Matrix_Failure, Вы писали:
M_F>>У меня 2 конкурента заморачиваться с сертификатами вообще не стали и прекрасно себя чувствуют.
U_E>а как ты установил этот факт?
Развиваются, фичи новые добавляют. Подозреваю что это гораздо полезнее, чем морочиться с получением сертификата.
M_F>Развиваются, фичи новые добавляют. Подозреваю что это гораздо полезнее, чем морочиться с получением сертификата.
дополню:
Не знаю, как кого, но лично меня занятие всякой хренью, вроде получения сертификата, сдачи бумажек в ПФР и налоговую, заметно выбивает из творческого процесса.
После всего этого отдыхать приходится.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>интересно, как же у них прошел процесс верификации?
M_F>Мне кажется там слабое звено это проверка телефона — злоумышленники могли квитанцию просто нарисовать. M_F>ИМХО они могли бы серьезно повысить защищенность если бы просто проверяли бы права на управление доменом — добавить скажем запись в DNS или ответить на емэйл посланный на support@....
Так у комоды обязательно надо отвечать, причём не на суппорт, а на admin (у них там задан жесткий список мыл). А телефон в дешёвом плане (https без зелёной полоски в адресной строке который) не проверяют вообще.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>Не знаю, как кого, но лично меня занятие всякой хренью, вроде получения сертификата, сдачи бумажек в ПФР и налоговую, заметно выбивает из творческого процесса. M_F>После всего этого отдыхать приходится.
Для этого существуют специальные люди-роботы, которые за сравнительно небольшую плату возьмут на себя ведение вашего бизнеса.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>>Развиваются, фичи новые добавляют. Подозреваю что это гораздо полезнее, чем морочиться с получением сертификата. M_F>дополню:
M_F>Не знаю, как кого, но лично меня занятие всякой хренью, вроде получения сертификата, сдачи бумажек в ПФР и налоговую, заметно выбивает из творческого процесса. M_F>После всего этого отдыхать приходится.
M_F>интересно, как же у них прошел процесс верификации?
По сведениям из ASP злоумышленник получил пароль реселлера, который имел право сам верифицировать клиентов.
И после этого он просто воспользовался API для генерации сертификата. По словам посвященных больше реселлерам не доверяют верифицировать клиентов
и отправляют на полную проверку.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>>интересно, как же у них прошел процесс верификации?
M_F>По сведениям из ASP злоумышленник получил пароль реселлера, который имел право сам верифицировать клиентов. M_F>И после этого он просто воспользовался API для генерации сертификата. По словам посвященных больше реселлерам не доверяют верифицировать клиентов M_F>и отправляют на полную проверку.
занятно да. а интересно был ли между комодом и реселлером эгримент, предусматривающий ответственность последнего в случае подобной утечки.
если был, интересна сумма иска со стороны комоды, ибо фэйл вышел знатный.
Здравствуйте, шароварная желочь, Вы писали:
ШЖ>занятно да. а интересно был ли между комодом и реселлером эгримент, предусматривающий ответственность последнего в случае подобной утечки. ШЖ>если был, интересна сумма иска со стороны комоды, ибо фэйл вышел знатный.
Фэйл конечно знатный.
Да собственно сама система сертификатов по умолчанию уязвима и убога.
Она полагается на целый ряд допущений:
— что все компьютеры сертификационных центров (СА — Certificate Authority) защищены от троянов и хакеров
— что у них не работают злоумышленники
— что никто не может надавить на СА для выпуска подложных сертификатов (напр. правительства, спец службы)
— что информация в базах на которые они полагаются при проверке достоверна
в общем, как всегда, это защита от честных людей
Например, злоумышленник может завладеть телефоном организации, или подменить в желтых страницах номер организации на свой,
а дальше получить сертификат у другой СА представившись гуглом, и указав свой номер телефона.
Есть вообще правительственные СА, если им будет нужно, они запросто могут выпустить сертификат на имя любой компании.
Здравствуйте, шароварная желочь, Вы писали:
ШЖ>теперь на верификации вообще задрочат
Мда, то-то и мучаюсь с ними уже неделю по верификации. DNS менял, сканы регистрации ИП высылал вместе с паспортом. Требуют напечатанный счет с телефоном и именем. А телефон у меня US Toll Free без каких-либо счетов с оплатой по инету. И зачем он им вообще дался, если я мог любой другой указать.
Кстати, пробовал получать сертификат еще 3.5 года назад, тогда тоже сдался, сделали refund.
Здравствуйте, YuriKobets, Вы писали:
YK>Здравствуйте, dreamcharger, Вы писали:
D>>Кстати, пробовал получать сертификат еще 3.5 года назад, тогда тоже сдался, сделали refund.
YK>А вариант с DUNS
А разве в DUNS можно указать телефон в Великобритании имея ИП в России? Как я понял
у dreamcharger проблема именно в US телефоне который он хочет привязать к сертификату.