17 декабря, понедельник 00:35
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Интернет-Банкинг или "а был ли мальчик?"

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Интернет-Банкинг или "а был ли мальчик?"

    С Уважением относясь ко всем участникам форума, хотел бы высказаться в следующем ключе: может, переименуем форум "Расчеты/I-Banking" в "Димитрий Репан vs (Александр Герасимов & hugevlad)"? Или "Димитрий Репан vs whole world". Ребята, уже даже не смешно. Состояние после чтения постингов - "я плакаль...".

    P.S. Интернет-Банкинг - старьё! Даешь ICQ-банкинг!!!

  • #2
    Еще одно предложение для темы форума: если уважаемый мною Димитрий Репан станет меньше писать в сей форум с целью разъяснения "правильных" позиций по Ибанкингу, то, наверное, в ближайшее время все-же выйдет вторая версия iBank. С надеждой на свершения, не сочтите за наезд

    Комментарий


    • #3
      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Интернет-Банкинг - старьё! Даешь ICQ-банкинг!!![/quote]

      А это мысль!!!

      С уважением, Репан Димитрий
      Компания "БИФИТ" - www.bifit.com
      С уважением, Репан Димитрий
      Компания "БИФИТ" - www.bifit.com

      Комментарий


      • #4
        Дарю

        Комментарий


        • #5
          leshik, никто не запрещает другим компаниям рассказывать о своих продуктах. Но именно рассказывать и пояснять, отвечать на вопросы всех желающих и сомневающихся.

          Комментарий


          • #6
            leshik

            переименуем форум "Расчеты/I-Banking" в ... "Димитрий Репан vs whole world".

            Вот-вот. Если бы шло нормальное сравнение продуктов, а так - сплошное пальцекидание. Причем, при недостатке аргументов начинаются переходы на личность собеседника, а когда в список достоинств собственного продукта кончается, начинается поливание грязью продуктов конкурентов.
            Наверное, Дмитрий очень опытный маркетолог, только вот потенциальные покупатели тоже не дураки. Лично у меня первоначальный интерес к продукту компании "Бифит" и положительное к нему отношение после чтения дискуссии в данном форуме сменились на противоположное. Раз его [b]так[b] рекламируют, значит, там что-то не так

            ------------------
            regards, Vlad.
            Earl Vlad Drakula. ///

            Комментарий


            • #7
              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Раз его так рекламируют, значит, там что-то не так[/quote]

              Ваше высказывание, Влад, из той же области что и: "Если Вы не параноик - это еще не значит, что за Вами никто не следит"

              Успехов Вам в поиске решений, оптимальных для Вашего случая!

              С уважением, Репан Димитрий
              Компания "БИФИТ" - www.bifit.com
              С уважением, Репан Димитрий
              Компания "БИФИТ" - www.bifit.com

              Комментарий


              • #8
                2 Димитрий!

                Попробуйте поставить web-камеру у себя в кабинете. Вы больше заработаете денег этом, нежели на iBankе. Вы пользуетесь популярностью во все больших кругах. :-))

                Банкиры, только представьте себе:
                стол, на нем монитор, робот из конструктора Lego Mindstorms, который управляется программой, написанной на Java, iButton от Dallas Semiconductor, куча разных пресс-релизов конкурентов. А за столом непосредственно Димитрий, отбивающий на клавиатуре новое письмо "Турецкому султану".

                p.s. переименуйте свой ник в Дiмитрий - модно

                Герасимов Александр

                Комментарий


                • #9
                  Димитрий

                  Ваше высказывание, Влад, из той же области что и: "Если Вы не параноик - это еще не значит, что за Вами никто не следит"

                  Вы зря проигнорировали выделение слова "так". Если продукт рекламируют "таким способом" - там что-то нечисто. Свежи у людей воспоминания о гербалайфе, МММ и т.п.
                  Earl Vlad Drakula. ///

                  Комментарий


                  • #10
                    Влад, вас не то, что в вопросах безопасности, вас в обычной жизни и в обычных высказываниях понять непросто.

                    Влад, я не буду комментировать Ваши высказывания и предложения Герасимова в мой личный адрес.

                    Но мне очень интересно, что конкретно Вы подразумеваете под словами "рекламируют "таким способом" ?

                    Только конкретно, с цитатами, и без общности, так присущей Вам в вопросах информационной безопасности.

                    С уважением, Репан Димитрий
                    Компания "БИФИТ"
                    С уважением, Репан Димитрий
                    Компания "БИФИТ" - www.bifit.com

                    Комментарий


                    • #11
                      Димитрий

                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                      Влад, вас не то, что в вопросах безопасности, вас в обычной жизни и в обычных высказываниях понять непросто.
                      [/quote]
                      Это зависит от желания понять. В свое время приходилось читать лекции по сетевой безопасности для нетехнических специалистов банков - народ как раз отзывался, что очень все понятно и доступно.

                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                      Влад, я не буду комментировать Ваши высказывания и предложения Герасимова в мой личный адрес.
                      [/quote]
                      Лично в Ваш адрес я ничего не высказывал, т.к. не знаком с Вами ни лично, ни по отзывам. Все высказывания автору с ником "Димитрий" следует воспринимать как в адрес фирмы "Бифит", которую он здесь официально представляет.

                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                      Но мне очень интересно, что конкретно Вы подразумеваете под словами "рекламируют "таким способом" ?
                      [/quote]
                      Хорошо, с цитатами, так с цитатами.
                      Идем на http://www.bifit.com/t-wj.html и видим:
                      ===== cut =====
                      На российском рынке представлено достаточно много систем для Интернет-Банкинга, основанных на Web-технологиях, со всеми сопутствующими недостатками. Например, в одной широко разрекламированной системе российского разработчика, требуется, как потом выясняется, установка на стороне клиента специализированного ПО "Inter-Pro" компании "Сигнал-КОМ". Или же система для Интернет-Банкинга другой российском компании, работающая только с MS IE, и требующая установки на стороне клиента специальной программы "Defender".
                      ===== end ======

                      Когда реклама начинается с поливания решений конкурентов (надеюсь, язвительный стиль отквоченного абзаца, очевиден), у нормального человека это вызывает отторжение.
                      Читаем дальше там же: "Оставаясь верными вчерашним технологиям, многие разработчики придумывают различные способы...".
                      Замечательно! Всем надо построиться и, раскрыв рот, внимать идеологическим призывам уважаемого Дмитрия, слова которого, несомненно, есть истина в последней инстанции.
                      Попытка указать на принципиальную слабость решения ("абсолютно тонкого", я бы сказал ) в плане безопасности вызывает неадекватную реакцию, обвинения в непрофессионализме и "излишней общности". Кто же виноват, если проблема, о которой идет речь, действительно носит принципиальный характер, а не является мелким огрехом реализации, который легко исправить? Наверное, поэтому Вы так и нервничаете, т.к. понимаете, что идеологический подход "клиент не должен ничего получать непосредственно в банке, ни софта, ни открытого ключа" делает установление сеанса с банком уязвимым в начальный момент времени.
                      Впрочем, это Ваши проблемы. Но тогда будьте последовательны, и скажите честно, что ваше "истинно тонкое решение" подразумевает "очень легкую защищенность". И не надо стесняться - для многих такое решение вполне приемлемо, т.к. устроить mitm-атаку для диалапного пользователя рядовому злоумышленнику очень нетривиальная задача (читай: практически невыполнимая). Те же, кто не доверяет провайдеру или работает по ЛВС просто выберут другое решение - для этого и есть конкуренция на рынке.

                      Кстати, тут было столько криков о платформонезависимости. А как же тогда понять фразу у Вас на сайте: "Для ознакомления с демонстрационным стендом рекомендуется использовать Microsoft Internet Explorer 5.0 или Netscape Communicator 4.7. Во втором случае необходимо загрузить файл font.properties.ru и сохранить его в каталоге Netscape\Communicator\Program\java\classes. После установки файла с описанием русских шрифтов Netscape Communicator необходимо перезапустить.".
                      Куда делась тонкость?! Я что-то должен загружать и устанавливать? А если у меня нет нетскейпы (только Mozilla) - все?
                      Кстати, Вы так и не ответили про минимальные требования к "железу" на стороне клиента. Попробую сегодня посмотреть на Ваш демо-стенд из-под линукса...

                      Дмитрий, еще раз хочу обратить Ваше внимание, что негативная реакция на Ваши высказывания вызвана не тем, что Ваш iBank самый плохой продукт в своем классе, а лишь Вашей просто-таки нездоровой агрессией по отношению к конкурентам.

                      ps. Вот если Вы сделаете сертифицированное ФАПСИ/ГТК решение на java-button, то я с флагом "Бифит - рулез!" пойду впереди Жанны д`Арк спасать Францию


                      ------------------
                      regards, Vlad.
                      Earl Vlad Drakula. ///

                      Комментарий


                      • #12
                        Владу, aka hugevlad

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Хорошо, с цитатами, так с цитатами.
                        Идем на http://www.bifit.com/t-wj.html и видим...[/quote]

                        Приведенная Вами цитата содержит взгляд разработчика на решения, интерфейс в которых реализован на html-страницах. Таким решениям (Web) действительно присущ ряд ключевых недостатком, отрицательно влияющих на качество услуг и на соответствие системы концепции тонкого клиента.

                        Далее, чтобы не быть голословным, идут ссылки на решения от конкретных поставщиков.

                        Если Вы в таком подходе видите язвительный стиль и поливание грязью - это Ваше право. Как и право БСС, РФК и СтепАп в своих рекламных материалах упоминать о каких-то мебагайтных апплетах.

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Читаем дальше там же: "Оставаясь верными вчерашним технологиям, многие разработчики придумывают различные способы...".[/quote]

                        Разве FoxPro или Btrieve уже стали технологиями завтрашнего дня???

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Попытка указать на принципиальную слабость решения ("абсолютно тонкого", я бы сказал ) в плане безопасности вызывает неадекватную реакцию, обвинения в непрофессионализме и "излишней общности".[/quote]

                        Я не наблюдал с Вашей, Влад, стороны никаких попыток. На Ваше замечание об отсутствии архивов у клиента я лишь рекомендовал Вам почитать более ранние обсуждения.

                        Если Вы, Влад, хотите еще раз поднять этот вопрос, что ж, извольте, создавайте отдельный топик, четко формулируйте Ваши вопросы и Ваше виденье, и будем все вместе в который раз обсуждать необходимость наличия на стороне клиента контрольных архивов с ЭЦП банка для разрешения конфликтных ситуаций.

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Кто же виноват, если проблема, о которой идет речь, действительно носит принципиальный характер, а не является мелким огрехом реализации, который легко исправить?[/quote]

                        Не обсудив указанный вопрос Вы уже выносите приговор о "принципиальном характере".

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Наверное, поэтому Вы так и нервничаете, т.к. понимаете, что идеологический подход "клиент не должен ничего получать непосредственно в банке, ни софта, ни открытого ключа" делает установление сеанса с банком уязвимым в начальный момент времени.[/quote]

                        И далее эктраполируете Ваше мнение о моей нервной системе, об идеалогическом подходе и т.д.

                        Я же считаю, что даже то, что Вы уже написали в Вашем письме мягко говоря бред, навеяный подходами толстого Банк-Клиента. Перед тем, как брать в будущее что-то старое, надо трезво взглянуть на необходимость такового в новых условиях.

                        К примеру Вы упоминаете о необходимости получения открытого ключа банка. О каком конкретно ключе идет речь (ЭЦП, шифрования, для строгой аутентификации)? Для каких целей? Какие механизмы защиты предполагается использовать с этим открытым ключом? Для защиты от каких типов атак необходим этот открытый ключ банка?

                        Ок, давайте Влад открывать новый топик - иначе тема "а был ли мальчик" перерастет в детальное обсуждение вопросов построения защищенных систем.

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Но тогда будьте последовательны, и скажите честно, что ваше "истинно тонкое решение" подразумевает "очень легкую защищенность".[/quote]

                        Ваше утверждение - это Ваше мнение. Я же считаю совершенно по-другому, и могу "не на пальцах и в общих словах", а конкретно и аргументировано объяснить Вашу неправоту.

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>И не надо стесняться - для многих такое решение вполне приемлемо, т.к. устроить mitm-атаку для диалапного пользователя рядовому злоумышленнику....[/quote]

                        Я уже кажется десяток раз призывал Вас, Влад, проявить весь Ваш профессионализм и 10-ти летний опыт, и конкретно по пунтктам описать предлагаемые Вами атаки.

                        Я же выступлю Вашим оппонентом. И вся общественность не на словах, а на деле убедится в правоте той или иной стороны. Ну так как, к барьеру ?

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Кстати, тут было столько криков о платформонезависимости. А как же тогда понять фразу у Вас на сайте...[/quote]

                        Приведенную Вами информацию следует понимать так, что если Вы хотите работать, например, на китайском или русском языке, Вам необходим Web-браузер с поддержкой этого языка. MS IE 5 полностью поддерживает русский. Netscape старых версий - не полностью. Именно поэтому для Netscape'а необходимо описание русских шрифтов.

                        Такая же ситуация будет у Вас при работе с Linux'ом - Вам будет необходимо настроить поддержку национального языка в том же Netscape'е 4.x.

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Кстати, Вы так и не ответили про минимальные требования к "железу" на стороне клиента.[/quote]

                        P-100 + RAM 32Mb

                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Дмитрий, еще раз хочу обратить Ваше внимание, что негативная реакция на Ваши высказывания вызвана не тем, что Ваш iBank самый плохой продукт в своем классе, а лишь Вашей просто-таки нездоровой агрессией по отношению к конкурентам.[/quote]

                        Спасибо. Учтем Ваше пожелание и сделаем нашу агрессию по отношению к конкурентам более здоровой

                        С уважением, Репан Димитрий
                        Компания "БИФИТ" - www.bifit.com
                        С уважением, Репан Димитрий
                        Компания "БИФИТ" - www.bifit.com

                        Комментарий


                        • #13
                          Димитрий

                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Приведенная Вами цитата содержит взгляд разработчика...
                          Далее, чтобы не быть голословным, идут ссылки на решения от конкретных поставщиков.
                          Если Вы в таком подходе видите язвительный стиль и
                          [/quote]
                          1. Я не увидел там ни одного сочетания типа "на наш взгляд" или "по нашему мнению".
                          2. Ссылок нет, есть достаточно прозрачный намек (кстати, мудрый пиаровский ход, в случае чего всегда можно сказать, что "совсем не вас имел ввиду").
                          3. Язвительность я вижу не в подходе (что ненормального в сравнеии своего продукта с конкурентами?), а в формулировках типа "в одной широко разрекламированной системе российского разработчика, требуется, как потом выясняется, установка...". Что это, как не язвительность и намек на обман покупателя в рекламе?
                          Впрочем, вопросы пиара - это не сюда

                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                          Разве FoxPro или Btrieve уже стали технологиями завтрашнего дня???
                          [/quote]
                          Что за манера передергивать или делать непонимающий вид? Эта фраза (про вчерашний день) идет после пассажа о проблемах с апачем, броузерами и встроенном ссл (т.е. html-based решениях, если использовать вашу терминологию).
                          Мне было бы очень интересно посмотреть на и-банк, сделанный на фокспро

                          BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                          Я уже кажется десяток раз призывал Вас, Влад, проявить весь Ваш профессионализм и 10-ти летний опыт, и конкретно по пунтктам описать предлагаемые Вами атаки.

                          Я же выступлю Вашим оппонентом. И вся общественность не на словах, а на деле убедится в правоте той или иной стороны. Ну так как, к барьеру ?
                          [/quote]

                          Ну так как, сколько Вы готовы заплатить за детальное исследование?
                          Видите ли, Дмитрий, основываясь лишь на описании Вашей ситемы, я могу лишь "примерно набросать" ход атаки. Чтобы расписать все по пунктам (примерно вот так: http://www.homestead.com/hugevlad/fi.../netware.pdf), мне необходимо, как минимум, собрать стенд с Вашей демо-версией, сделать анализ траффика и произвести необходимые расчеты. Заниматься этим в качестве "комсомольского поручения" меня не вдохновляет, не говоря уже о том, что Вы врядли предоставите подробную спецификацию протоколов.

                          ps. Об остальном - позже, когда буду посвободнее. И, Вы правы - в другом топике
                          Earl Vlad Drakula. ///

                          Комментарий


                          • #14
                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил hugevlad
                            Мне было бы очень интересно посмотреть на и-банк, сделанный на фокспро [/quote]

                            Судя по рекламе и по пресс-релизам в разделе "Интернет-Банкинг" на ifin.ru - это "платёжная система "Клиент-Банк" разработки РФК

                            Если же говорить серьезно, то речь шла не столько о самих FoxPro и Btrieve, сколько о притягивании за уши к Интернет-Банкингу давно существующих решений толстого Б-К, один из которых, к примеру, начал разрабатываться еще в 1992 году одной программисткой-бухгалтером (это если смотреть историю создания К-Б РФК, зарождавшуюся еще в ОКБ САПРе), и не притерпевшего с тех пор сколь-нибудь ПРИНЦИПИАЛЬНЫХ изменений.

                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Видите ли, Дмитрий, основываясь лишь на описании Вашей ситемы, я могу лишь "примерно набросать" ход атаки.[/quote]

                            Ок, Влад, хотя бы "примерно набрасайте". Уж больно интересно. В самых общих чертах. Хотя бы в паре..тройке обзацев. Но применительно не к общему случаю, а конкретно к iBank'у.

                            Что непосредственно для этого от меня надо?

                            Описание работы клиента - подключение по https к Web'у, загрузка стартовой страницы и апплета, параметры передаваемые апплету из страницы, есть на сайте. Краткое описание взаимодействия апплета с Сервером Приложения также присутствует. Начните хотя бы с этого.

                            Если результаты будут интересными - мы готовы обсудить финансовую сторону вопроса о Вашем дальнейшем участии в анализе защищенности iBank'а. Да и анализировать трафик не придется - мы предоставим все необходимые исходники с комментариями и контрольными примерами.

                            С уважением, Репан Димитрий
                            Компания "БИФИТ" - www.bifit.com
                            С уважением, Репан Димитрий
                            Компания "БИФИТ" - www.bifit.com

                            Комментарий


                            • #15
                              Илье Гордееву

                              Сударь, умерьте пыл Ваших пожеланий.

                              Я не виду в форуме никакого, как Вы изволили выразится, пиара. Всё, о чем я здесь пишу, является исключительно моей личной точкой зрения. Даже с учетом того, что я являюсь руководителем и владельцем БИФИТа.

                              BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>...люди как-то не очень любят, когда на любое их высказывание им говорят, что они (не)полные придурки, и им невероятно повезло, что они встретили Вас, который их выведет из тьмы невежества...[/quote]

                              Илья, если Вы воспринимаете всё именно так, как написали, значит у Вас действительно есть все основания причислить себя именно к тем, как Вы изволили выразится, (не)полным...

                              С уважением, Репан Димитрий
                              Компания "БИФИТ" - www.bifit.com
                              С уважением, Репан Димитрий
                              Компания "БИФИТ" - www.bifit.com

                              Комментарий


                              • #16
                                Димитрий,

                                Своей манерой поведения и высказываниями Вы, к сожалению, больше всего напоминаете цепного пса, который отрабатывает миску кормежки непрекращающимся лаем и постоянными огрызаниями. И зря Ваши хозяева думают, что таким PR'ом они привлекут к системе интерес и новых клиентов. Разве Вы еще не знаете, что люди как-то не очень любят, когда на любое их высказывание им говорят, что они (не)полные придурки, и им невероятно повезло, что они встретили Вас, который их выведет из тьмы невежества? При этом возражения по поводу выхода из этой "тьмы" не принимаются и рассматриваются как еще одно заблуждение, которое надо срочно извести "под корень".

                                С пожеланием умерить гордыню,
                                Илья Гордеев.

                                Комментарий


                                • #17
                                  Димитрий

                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                  Судя по рекламе и по пресс-релизам в разделе "Интернет-Банкинг" на ifin.ru - это "платёжная система "Клиент-Банк" разработки РФК
                                  [/quote]
                                  Что, серьезно?! Ужас какой

                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                  > лишь "примерно набросать" ход атаки.

                                  Ок, Влад, хотя бы "примерно набрасайте". Уж больно интересно. В самых общих чертах. Хотя бы в паре..тройке обзацев. Но применительно не к общему случаю, а конкретно к iBank'у.
                                  [/quote]
                                  Ok. емейлом/асей.

                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                  Что непосредственно для этого от меня надо?
                                  [/quote]
                                  То, что приведено ниже - не надо точно, это очевидно. Интересует именно процесс установления ssl-соединения в режиме only-md5. В спецификации он явно нигде не описан, у вас на сайте подробной инфы по этому вопросу тоже нет. Впрочем, это тоже лучше емейлом, дабы не утомлять общественность

                                  BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                  Если результаты будут интересными - мы готовы обсудить финансовую сторону вопроса о Вашем дальнейшем участии в анализе защищенности iBank'а. Да и анализировать трафик не придется - мы предоставим все необходимые исходники с комментариями и контрольными примерами.
                                  [/quote]
                                  Ну, исходники браузера вы врядли предоставите (кроме Mozill`ы) Думаю, этого не понадобится, достаточно будет формального описания протокола типа "сервер шлет это, клиент делает с ним это, в ответ высылает вот это, потом из таких-то данных вычисляется вот это".

                                  ps. Сейчас обязательно найдется человек, который превратно интепретирует слово "это"



                                  ------------------
                                  regards, Vlad.
                                  Earl Vlad Drakula. ///

                                  Комментарий


                                  • #18
                                    BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Интересует именно процесс установления ssl-соединения в режиме only-md5.[/quote]

                                    Сам хендшекинг не зависит от выбираемого режима передачи данных - RC4-128_MD5, 3DES_SHA-1, Only_MD5 и т.д.

                                    Если смотреть в процедуре хендшекинга на формирование из keysblock стартового вектора для обеспечения целостности передаваемых данных, то вне зависимости от выбранных экспортных или strong-криптоалгоритмов и режимов шифрования, ограничения на стартовый вектор не налкадываются.

                                    Так что рекомендую не зацикливаться на режиме Only_MD5. При наличие возможности успешной атаки на целостность даже в случае режима Only_MD5 подобный факт уже был бы давно известен. Другое дело - реализация SSL v.3. Но Web-браузеры MS и Netscape сильно на слуху, чтобы иметь такие невыявленные тривиальные баги.

                                    Кстати, именно из-за потенциальной возможности атаки на целостность, протокол SSL v.2 был доработан до SSL v.3

                                    Что касается исходников - речь шла об исходниках iBank'а, а не Web-браузеров.

                                    С уважением, Репан Димитрий
                                    Компания "БИФИТ" - www.bifit.com

                                    С уважением, Репан Димитрий
                                    Компания "БИФИТ" - www.bifit.com

                                    Комментарий


                                    • #19
                                      BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправив RRUS
                                      Я полностью согласен с gordey'ем! Может, конечно, не в такой жесткой форме, но...
                                      Лично я при наличии проблемы выбора системы лично к Вам прийти поостерегусь.... Оченно похоже на манагеров, который "впыривают" таймшер...[/quote]

                                      Значит Фуров был отчасти прав насчет моей напористости - видать и вправду московская жара сказывается

                                      Только, уважаемый RRUS, у БИФИТа есть как минимум одно главное отличие от таймшеров - за порой каларитными высказываниями его руководителя (то есть меня) всё-таки стоит реальное решение, которое уже не один год реально работает в реальных банках. И которое более чем реально доступно для самостоятельного изучения.

                                      Или, полагаясь на стереотипы о чванливых и закрытых компаниях-разработчиках финансового ПО, такая открытость вызывает у Вас нездоровые подозрения, что "всё-таки что-то нечисто" (как заявляют в форуме некоторые товарищи)?

                                      С уважением, Репан Димитрий
                                      Компания "БИФИТ" - www.bifit.com
                                      С уважением, Репан Димитрий
                                      Компания "БИФИТ" - www.bifit.com

                                      Комментарий


                                      • #20
                                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>отправил Влад (aka hugevlad)
                                        Если уж на то пошло, то это не режимы передачи, а варианты сочетаний алгоитмов для обеспечения целостности и шифрования.[/quote]

                                        Влад, да у меня не стояло задачи расписывать подробно как это сделано в драфте SSL:

                                        CipherSuite_Key_Cipher_Hash
                                        - SSL_RSA_WITH_NULL_MD5
                                        - SSL_RSA_EXPORT_WITH_RC4_40_MD5

                                        и т.д. Кому интересно - сами прочтут.

                                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Речь идет о том, что если данные для построения стартового вектора передаются в открытом виде - дыра однозначная. А если с помощью несимметричных алгоритмов - то влияние экспортных ограничений имеет место быть.[/quote]

                                        Лучше ничего не предполагать и не делать поспешных выводов о наличие дыр, а самостоятельно посмотреть в драфте как формируется стартовый вектор абсолютно для любого режима.

                                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>А мне некогда заниматься отвлеченными исследованиями. Вы сказали, что применяется этот режим, у меня возникли большие сомнения, что он обеспечивает должную защиту от преднамеренных искажений.[/quote]

                                        На сайте БИФИТа написано, что на этапе загрузки стартовой страницы и апплета шифровать трафик нет необходимости, и допустимо использовать SSL даже в режиме Only_MD5.

                                        На практике же (см. ссылки на сайте БИФИТа на банки) банки в подавляющем большинстве используют протокол SSL в режиме шифрования (срабатывает принцип "на всякий случай"). Кто-то ограничивается RC4_40, кто-то уже RC4_128, а кто-то и в 3DES.
                                        Та же ситуация и в отношении обеспечения целостности - кто-то использует MD5, кто-то SHA-1.

                                        Более того, далеко не все банки используют идущий в комплекте iBank'а вспомогательный Web-сервер. Некотрые ставят Apache + OpenSSL, другие подымают MS IIS, третьи - Netscape FastTrack. Встречается даже экзотика типа использования Web-сервера от AOL

                                        И что теперь? Пытаться сертифицировать различные Web-сервера для использования совместно с iBank'ом ? Бред конечно. Мы просто доводим до сведения, чем чревато использование мощных инструментов типа Apache при отсутствии опыта и неумелом администрировании. Банки же сами принимают решения.

                                        BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>Кстати, а на серверной стороне у вас что ?[/quote]
                                        Переработанный TomCat + SSL от Sun.

                                        С уважением, Репан Димитрий
                                        Компания "БИФИТ"


                                        С уважением, Репан Димитрий
                                        Компания "БИФИТ" - www.bifit.com

                                        Комментарий


                                        • #21
                                          To Димитрий

                                          Я полностью согласен с gordey'ем! Может, конечно, не в такой жесткой форме, но...
                                          Лично я при наличии проблемы выбора системы лично к Вам прийти поостерегусь.... Оченно похоже на манагеров, который "впыривают" таймшер...

                                          С уважением

                                          Комментарий


                                          • #22
                                            Дмитрий

                                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                            Сам хендшекинг не зависит от выбираемого режима передачи данных - RC4-128_MD5, 3DES_SHA-1, Only_MD5 и т.д.
                                            [/quote]
                                            Если уж на то пошло, то это не режимы передачи, а варианты сочетаний алгоитмов для обеспечения целостности и шифрования.
                                            Естественно, не зависит, структуры стандартные. Но только вот заполнения полей отличаются...

                                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                            Если смотреть в процедуре хендшекинга на формирование из keysblock стартового вектора для обеспечения целостности передаваемых данных, то вне зависимости от выбранных экспортных или strong-криптоалгоритмов и режимов шифрования, ограничения на стартовый вектор не налкадываются.
                                            [/quote]
                                            Это понтяно, что MD5 он и в Антарктиде MD5. Речь идет о том, что если данные для построения стартового вектора передаются в открытом виде - дыра однозначная. А если с помощью несимметричных алгоритмов - то влияние экспортных ограничений имеет место быть.

                                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                            Так что рекомендую не зацикливаться на режиме Only_MD5.
                                            [/quote]
                                            А мне некогда заниматься отвлеченными исследованиями. Вы сказали, что применяется этот режим, у меня возникли большие сомнения, что он обеспечивает должную защиту от преднамеренных искажений.

                                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                            При наличие возможности успешной атаки на целостность даже в случае режима Only_MD5 подобный факт уже был бы давно известен.
                                            [/quote]
                                            Да ну? А что же тогда багтрек не пустует? причем, "дырочки" находят в продуктах, написаных совсем не вчера...

                                            BLOCKQUOTE>font size="1" face="Verdana, Arial">цитата:/font>HR>
                                            Что касается исходников - речь шла об исходниках iBank'а, а не Web-браузеров.
                                            [/quote]

                                            А зачем они мне? Мы же говорим о моменте установления связи между броузером и сервером собственными средствами, еще до загрузки вашего аплета...
                                            Кстати, а на серверной стороне у вас что ?



                                            ------------------
                                            regards, Vlad.
                                            Earl Vlad Drakula. ///

                                            Комментарий

                                            Пользователи, просматривающие эту тему

                                            Свернуть

                                            Присутствует 1. Участников: 0, гостей: 1.

                                            Обработка...
                                            X