Компания Qualys подкрепи проекта “Convergence”

Компания Qualys подкрепи проекта “Convergence”
30 September 2011

Компания Qualys подкрепи проекта “Convergence”

// Antivirusni.BG //  - Американската компания Qualys, предоставяща услуги за информационна сигурност, обяви намерението си да подкрепи проекта “Convergence”, чиято цел е повишаване на нивото на сигурност, осигурявана от системата за SSL криптиране.

Припомняме Ви, че Мокси Марлинскайк (Moxie Marlinspike), изследовател в областта на информационната сигурност, който откри няколко уязвимости в SSL протокола е разработил алтернативна система за проверка на автентичността на SSL сертификати. Проекта “Convergence” включва работа със списъци за удостоверяване на услугите, отворени за SSL-Key.

Днес в света има около 650 организации, които предоставят удостоверителни услуги. Това, според Мокси, създава твърде много доверени зони. Компрометиране на сървъра на една от тези организации, като DigiNotar, е събитие с участието на стотици хиляди потребители.

Идеята на проекта “Convergence” е потребителят на първо място да има достъп до повече от един доставчик на услуги, и второ, да може да се определи списъка от доверени сертификационни услуги.

Друг положителен аспект на “Convergence” може да се нарече анонимността на потребителите. Комуникационната система от сървъри за удостоверяване, са в място, където не може да се проследи IP адреса на потребителя, който е направил искането. Големите сървъри за удостоверяване вече няма да бъдат в състояние да съберат информация за дейността на мрежата на потребителите.

Идеята за списъците с доверени услуги не се подкрепя от водещия разработчик на уеб-браузъра Google Chrome, Адам Лангли (Adam Langley). Според него масовото използване на този метод за идентификация ще създаде силен натиск към удостоверителните услуги на сървъра, който няма да има време да се справи с постъпващите заявки. Също така, според Лангли, 99,9% от потребителите никога дори не са поглеждали в SSL-конфигурацията на услугите, като се позовават на настройките по подразбиране, което обезсмисля цялата идея на проекта “Convergence”.

Според главния инженер на Qualys, Иван Ристич (Ivan Ristic), забележката на Адам Лангли е "напълно вярна". Но той добавя, че промяната в подхода може да преодолее трудностите, които сочат разработчиците на Google. Например, Ристич е предложил употреба на хиляди партньорски служби, за да се разпредели товара. " Предизвикателство в “Convergence” е да се направи, така че потребителят да работи, без да знае за съществуването на системата ... Трябва да се разработи механизъм, при които той ще работи" - обобщи Ристич.

Източник: securitylab.ru


Сканирай файл онлайн с Metascan!

Премахни антивирус с AppRemover!



Въведи своя e-mail и получавай

свежите намаления и новини!