<= Перейти в тему форума
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий, называющий архитектурной проблемой единый ключ для до
16+
4 июня (вторник) 2019
Василий Степанович, Шахты.SU
Регулирование Интернета, информационных систем и коммуникаций
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий, называющий архитектурной проблемой единый ключ для до
ФСБ потребовала ключи шифрования переписки пользователей у <<Яндекса>> :: Технологии и медиа :: РБК

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий, называющий архитектурной проблемой единый ключ для доступа к разным сервисам Яндекса, прав:

> сессионный ключ в любом случае шифрует логин и пароль,
> которые пользователь передает на сервер в процессе авторизации,
> так что передача такого ключа ФСБ может дать доступ
> к аутентификационным данным пользователя».
> Он указал, что «Яндекс» использует систему Single Sign-On,
> при которой, авторизовавшись в «Яндекс.Почта»,
> можно без повторной аутентификации перейти в «Яндекс.Музыка»,
> «Яндекс.Диск» и любой другой сервис. «Ключ шифрования
> при переходе в разные сервисы должен быть свой,
> но если это не так, то это архитектурная проблема,
> которая может открыть доступ к данным в разных сервисах «Яндекса».
> Тогда передавать сессионный ключ, конечно, небезопасно

Конечно, это проблема. Тут речь шла о передаче ключей, а вот пример странной архитектуры, которая странно выглядит даже для пользователей Яндекса:
Для входа с главной страницы Яндекса в какой-нибудь их сервис, надо нажать на ссылку "Войти в почту", хотя почта для требуемого сервиса может не быть нужной. После этого пользователь попадает в почту, из которой потом переходит уже в нужный ему сервис.

Один ключ к разным сервисам - это, конечно, проблема. Это всё-равно, что даст Ясон Юре ключ от квартиры своей, а ключом этим Юра сможет отомкнуть замок в двери квартиры Атоса! 😲

Проектируют свои системы странно, а потом ФСБ им виновата.

Да и от переписки ключи можно создать такие, которые "отмыкают" замки только руками их владельцев, после чего хоть обпередавай эти ключи кому угодно, т.к. чужими руками они всё-равно ничего не отомкнут.
46532 просмотра
4 июня (вт) 2019