Отправляет email-рассылки с помощью сервиса Sendsay

Каталог интернет магазинов. Все о покупках в интернете

Подписаться Бесплатная «Серебряная» новостная рассылка . Подписчиков 1.861 RSS
  Январь 2007  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Сайт рассылки: http://cicr.ru/
Открыта: 07-09-2005

Автор
Александр

Статистика

1.861 подписчиков
-1 за неделю
  Все выпуски  

За покупками - в интернет . - 52


За покупками - в интернет

Выпуск N52

 Ведущий рассылки: Борис Лайон
 
 

В выпуске

  1. SSL – это наше все!
  2. Универсальный сервис продаж CLShop.ru

SSL – это наше все!

Источник: http://internet.ru/

В последнее время огромный интерес приобретают различные варианты защищенного WEB-хостинга. Лидирующей технологией является протокол https, который поддерживается всеми браузерами и серверами, и обеспечивает две самые необходимые вещи: шифрование трафика, чтобы его нельзя было перехватить на транзитных узлах и сетях, и проверку подлинности источника информации. Если с первым - все и так давно понятно, то вторая, не менее важная задача пока что не находит полного понимания как у администраторов, так и у пользователей. А уверены ли Вы, что привычно набирая в браузере имя важного сайта, Вы попадаете именно на него, а не на сайт соседа-хакера?
 

Основная идея проверки подлинности сайта - убедиться, что пользователь попал именно на тот сайт, на который хотел. Увы, но существует огромное количество способов обмана, начиная от банального phishing'а (рассылки e-mail'ов со ссылкой на страницу логина некоего сайта, поразительно похожего на сайт Вашего банка), создания сайтов с похожими именами, до высокотехнологических атак на DNS и изменение сетевой маршрутизации.

Только по фишингу счет инцедентов идет уже на десятки тысяч в месяц (каждый инцедент - это сотни тысяч разосланных писем и тысячи успешных атак). По данным PIRT (http://www.castlecops.org/), наиболее часто атакуются сайты банковских структур, онлайн-магазинов, провайдеров хостинга и доступа в Интернет (пятерку западных лидеров возглавляет PayPal, за ним идут Ebay, BOA, Fifth Third, Wachovia - чем известнее банк или магазин, тем чаще атакуют его клиентов).

Поэтому защита и проверка подлинности сайта с помощью SSL абсолютно необходима всем банкам, финансовым учреждениям, онлайн-магазинам, провайдерам и другим компаниям, имеющим дела с информацией о пользователях, деньгами, кредитными картами и другой важной информацией.

Применение SSL сертификатов для защиты и идентификации вебсайтов считается общепринятой мировой практикой. Большинство европейцев справедливо отказываются вводить свои персональные данные и особенно номера кредитных карт на сайтах, не имеющих сертификатов, или же если такие сертификаты неверно подписаны.

Средством проверки сайта на подлинность в PKI-инфраструктуре служит цифровая подпись, которая и лежит в основе PKI-инфраструктуры, включающей в себя SSL. Основная идея в этом случае - делегирование доверия. Проверка правильности SSL-сертификата, который используется при отдаче зашифрованного контента Вашего сайта, осуществляется по вышестоящей подписи - так называемому корневому сертификату. А сами корневые сертификаты тех компаний, которым можно доверять, встроены во все WEB-браузеры. Когда вы обращаетесь к сайту по https://, браузер устанавливает шифрованное соединение, анализирует предъявленную сайтом информацию и пытается проверить ее на подлинность, проверяя подписи с использованием корневых сертификатов. И даже если весь Интернет целиком окажется под контролем злоумышленников - все равно проверка сертификатов будет осуществляться на основе данных, встроенных в браузер, который и выявит попытку атаки.

Существует несколько ступеней сертификации. Самая простая - сертификат соответствия веб-сайта, стоит от $189 в год и обеспечивает подтверждение того, что пользователь зашел именно на запрашиваемый сайт. Следующие ступени отличаются степенью шифрования (128 или даже 256 битный ключ). Кроме того, можно пройти сертификацию соответствия сайта фирме, при этом сертификационный центр запрашивает ряд документов, начиная с учредительных документов фирмы, и отвечает за такое соответствие. Именно такое сертифицирование проходят все солидные компании. Можно также получить сертификат на крупную фирму, позволяющий работать с группой корпоративных сайтов, или даже самому стать сертификатором своих и не только своих ресурсов, подключившись к диспетчеру PKI. Также существует и e-mail SSL сертификат для защиты и проверки подлинности e-mail. Следует отметить, что с помощью SSL можно защищать и проверять подлинность не только веб-сайтов, но и почтовых серверов, VPN, удаленного доступа и еще много чего, что требует таковых функций. Отдельно стоит выделить сертификат разработчика, который подтверждает происхождение кода, который загружается в компьютер пользователя с веб-сайтов.

Многие компании, понимая важность защиты трафика клиентов и общения со своим сервером, применяют так называемые самоподписанные SSL-сертификаты. Эта полумера хотя и позволяет шифровать данные, но не обеспечивает проверку их подлинности. При посещении такого сайта браузер выдает предупреждающее сообщение.

Сделаем так, чтобы наш SSL-сертификат был сам сертифицирован соответствующей службой, и проходил проверку подписи браузерами клиентов. Для этого нужно создать соответствующий запрос, называемый CSR, в котором указываются криптографические ключи сайта и информация о нем. Этот запрос посылается в сертификационную организацию, владеющую одним из корневых сертификатов (например, Thawte) или ее партнеру (Хотинг-Центр РБК в России). Организация анализирует данные и осуществляет цифровую подпись предоставленной информации, результат возвращается обратно. Все, теперь полученный подписанный сертификат можно использовать в системе. Стоит обратить внимание, что подписывается не только ключ сервера, но и информация о сайте: имя сайта, контактные координаты компании и т.д. Попытка использования этого ключа с другими сайтами естественно вызовет сообщение об ошибке в браузере клиента.

При выборе сертификационного центра, как и всегда работая с безопасностью и доверием, особое внимание стоит уделять выбору партнеров. Мировой лидер этой индустрии, который распознается наибольшим количеством браузеров, является Thawte. В России довереным лицом Thawte является компания Хостинг-Центр РБК . У Хостинг-Центра РБК можно приобрести сертификаты, обеспечивающие 48/56/128/256-битный стандарт шифрования и распознающиеся 99,9% браузеров, поддерживающие неограниченное число переизданий, предусмотрена и компенсация убытков в размере до 1000000 (одного миллиона) долларов США. Предоставляются все бухгалтерские и отчетные документы согласно российскому законодательству. Стоят же сертификаты всего от $189 в год.

И самое главное - внимательнее смотрите на те сообщения, которые показывает Ваш браузер прежде чем побыстрее кликнуть на Yes или OK! Ведь кто знает, может, именно в этот раз он кричит Вам о том, что Ваши данные пытаются украсть...
 

Универсальный сервис продаж CLShop.ru

Магазин ClShop.ru - универсальный сервис продаж, сводящий  напрямую продавца и покупателя, обеспечивая мгновенную доставку товаров и надежный способ расчетов между ними. Здесь каждый может выставить на продажу свой товар или же приобрести то, что его заинтересует.

Подробнее 

Подписаться на эту или другие рассылки вы можете здесь: http://borislion.ru/subsribe/

С уважением, 
Борис Лайон.

temp@borislion.ru

Интернет-бизнесмен Борис Лайон
http://borislion.ru/ 

Портал Cashlist.ru: бизнес в интернете
http://cashlist.ru/

 

P.S.

Что может вам пригодиться:

 


 
Copyright © 2001-2006г. Борис Лайон

Копирование материалов возможно только в случае явного указания на "BorisLion.ru" как на источник информации. При этом обязательно явное указание адреса: http://borislion.ru/

В избранное