А сегодня физическое перемещение товаров, информационные и финансовые потоки развязаны между собой. Современные ИТ сделали последние практически мгновенными и практически бесплатными. И вот это-то обстоятельство может иметь колоссальный позитивный эффект для общества. Оно позволяет снизить расходы на приобретение товаров и услуг. Уменьшить стоимость жизни в стране. А это, поднимая покупательную способность одной и той же суммы денег, тем самым повысит национальную конкурентоспособность. Да, ненамного – основные проблемы порождаются естественными монополиями, но там необходимо изменение политики на государственном уровне, а наладить покупки товаров и услуг по наиболее короткой и эффективной траектории может каждый из нас.
И чем чаще человек, прежде чем отнести куда-нибудь свои деньги, будет обращаться к миру информации, будет наводить справки в пространстве Сети, тем эффективней будет национальная экономика. Из неё вылетят традиционные лихоимцы, привычно встроившиеся в товарно-денежные цепочки и продающие лишь проблемы вместо их решения. Они освоят что-либо полезное, вроде натирания дуба воском и точной вывески застеклённых дверок, или разделят участь индикатериев и синантропов.
Но вот перед каждой покупкой навести в Сети справки о товаре – должно стать патриотическим долгом каждого сознательного гражданина
Кивино гнездо: SSL – иллюзия безопасности
Автор: Киви Берд
Опубликовано 18 апреля 2011 года
Протокол SSL, применяемый для защиты информации в интернете, на сегодняшний день является, по сути дела, главной технологией безопасности, заложенной в основу всей системы доверия пользователей к сетевым операциям. То есть и покупки на сайтах электронной коммерции, и банковские операции через интернет, и просто работа с электронной почтой в безопасном режиме, а также множество других разнообразных сервисов, обеспечиваемых, к примеру, защищённым веб-соединением типа HTTPS и сопровождаемых пиктограммой замочка в адресной строке браузера, – всё это делается на основе протокола SSL.
При этом ни для кого не секрет, что специфические особенности в устройстве SSL уже давно вызывают весьма серьёзные нарекания со стороны специалистов по компьютерной безопасности. Особенно много претензий на сегодняшний день накопилось к той части протокола, что отвечает за выдачу цифровых сертификатов, подтверждающих полномочия и подлинность сторон при организации безопасных коммуникаций.
Такого рода сертификаты содержат в себе свидетельства примерно следующего рода: "Предъявленный открытый ключ принадлежит корпорации amazon.com (или google.com, или mozilla.com и т.д.)". Кроме того, в них могут содержаться и ещё более сильные свидетельства, типа "этому открытому ключу следует доверять, а также он действует как СА (Certification Authority, т.е. Орган сертификации), уполномоченный подписывать сертификаты для других доменов".
Иначе говоря, на основе SSL-сертификатов выстраиваются цепочки взаимного доверия. Чтобы вся эта система работала, браузеры должны доверять большому количеству самых разных органов сертификации. А итоговая безопасность соединений по HTTPS оказывается сильной и надёжной лишь до той степени, до какой можно доверять наиболее слабому звену в этой цепочке из разных СА.
Если же сертификат по той или иной причине скомпрометирован (украден, подделан и т.д.), то якобы "безопасные" соединения становятся лёгкой добычей для так называемых MITM-атак, то есть атак по типу "человек посередине" (man-in-the-middle). Веб-пользователь полагает, что подсоединился к сайту, предположим, банка, а появившийся в адресном окошке замочек подтверждает, что сеанс связи защищен SSL-криптографией – и значит, сайт предоставил необходимый сертификат, подтверждающий его подлинность. На самом же деле сайт может быть лишь фальшивым пересыльщиком, его сертификат – мошенническим, а управляющий им злоумышленник пересылает пароли доступа или платёжные реквизиты в реальный банк от имени обманутых пользователей, получив возможность их обворовывать или просто незримо контролировать их действия.
