juan_gandhi: (VP)
Juan-Carlos Gandhi ([personal profile] juan_gandhi) wrote2016-08-26 09:14 am
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

[identity profile] jahr2.livejournal.com 2016-08-26 09:15 pm (UTC)(link)
Ну, скорее, нужно использовать протоколы без участия третьей доверенной стороны типа центра выдачи сертификатов.) А при соблюдении этого условия пусть уже эмулируют хендшейк сколько угодно.)

[identity profile] juan-gandhi.livejournal.com 2016-08-26 09:35 pm (UTC)(link)
Ну да, конечно.
Тот же SAML годился бы, если бы...

[identity profile] yatur.livejournal.com 2016-08-26 09:41 pm (UTC)(link)
Не совсем понимаю, как SAML можно приспособить для общения с Гуглом или Амазоном. Он же для связи Service Providers и Identity Providers. Кто из нас с Гуглом будет identity provider?

Кроме того, для безопасного SAMLя все равно нужно знать сертификат партнера. Если я получаю амазоновский сертификат на дискетке флешке в офисе Амазона, то это одно. А если по Интернету - откуда я знаю, Амазон мне его прислал или товарищ майор? Т.е., задача сводится к предыдущей.

[identity profile] sassa-nf.livejournal.com 2016-08-26 10:16 pm (UTC)(link)
вообще-то существуют другие решения, хотя SAML тут, действительно, ни при чем.

X.509 является одной из, но не единственно возможной, масштабируемой системой установления доверия - от рута к листьям. PGP использует другую схему - web of trust, где аутентичность ключа сертифицируют твои личные знакомые. Правда, что там с серверами делать - не очень понятно.

[identity profile] juan-gandhi.livejournal.com 2016-08-26 10:35 pm (UTC)(link)
Да то-то и оно, что для аутентикации годится, а дальше все.

[identity profile] huzhepidarasa.livejournal.com 2016-08-26 11:21 pm (UTC)(link)
Так и в https никакой такой третьей доверенной стороны не предусмотрено. Что производитель браузера решил, то у вас в корневых сертификатах и лежит, для вашего удобства. Но если хотите, можете все предустановленные сертификаты повыкидывать и вставить свой собственный, вот вам и будет протокол без третьей стороны.

[identity profile] juan-gandhi.livejournal.com 2016-08-26 11:40 pm (UTC)(link)
О, вот же, действительно. Все не так сложно.

[identity profile] huzhepidarasa.livejournal.com 2016-08-26 11:59 pm (UTC)(link)
Нет, ну против того, что рассказано в статье, это не поможет.

[identity profile] jahr2.livejournal.com 2016-08-27 05:54 am (UTC)(link)
Да, Вы правы, но я имел в виду не чистый https, а всю систему https + доверенные сертифицирующие центры. Вы, конечно, можете посносить у себя стандартные доверенные сертификаты и выпустить свои сертификаты для всех сайтов, только гугл, например, Ваших сертификатов использовать не будет. Так что возможность обойтись без третьей стороны - чисто теоретическая.

[identity profile] huzhepidarasa.livejournal.com 2016-08-27 03:03 pm (UTC)(link)
Ну так с гуглом и самописным протоколом не очень поговоришь. Ситуация такая же, только самописный скорее сломают.
Flat | Top-Level Comments Only