Nokia розшифровує Ваші HTTPS-з'єднання, але просить не турбуватися
Оценка пользователей: / 1
ПлохоОтлично 
12.01.13 14:39
There are no translations available.

Індійський фахівець з ІТ-безпеки Гауранг Панда в грудні минулого року виявив, що браузер в його смартфоні примусово направляє трафік через сервери компанії Nokia. Здавалося б, що страшного у використанні проксі-сервера?
Багато хто так робить. Наприклад, браузер Opera Mini теж направляє трафік через свій проксі-сервер, стискаючи його на льоту для прискорення завантаження та економії грошей на тарифних планах з помегабайтною оплатою.
Гаранг Панда (Gaurang Pandya) є щасливим володарем смартфона Nokia Asha 302 під операційною системою Series 40 і за замовчуванням в його смартфоні встановлений браузер Nokia Browser (Xpress Browser).
Однак, Гауранг продовжив дослідження - і нещодавно отримав докази, що Nokia не просто перенаправляє і стискає трафік, але і розшифровує HTTPS на своєму проксі-сервері. Дослідник опублікував докази в своєму блозі, в тому числі підроблені сертифікати для цієї «атаки MiTM».
Компанія Nokia вже опублікувала відповідь і офіційно підтвердила цю інформацію. Дійсно, захищені з'єднання користувачів тимчасово розшифровуються на проксі-сервері Nokia, але компанія дуже серйозно ставиться до питань інформаційної безпеки, тому запевняє всіх користувачів, що тут немає причин для занепокоєння. Розшифровка трафіку здійснюється абсолютно безпечним способом, і ніхто не може отримати доступ до облікових даних користувача, паролів та іншим конфіденційних відомостей, які розкриваються при розшифровці HTTPS.
До речі, браузер Opera Mini поступає точно таким же чином і розкриває з'єднання HTTPS для компресії трафіку. На відміну від Nokia, компанія Opera чітко пояснює це в розділі FAQ на своєму сайті. Там сказано, що Opera Mini не забезпечує цілісного end-to-end шифрування каналу. Користувач може покладатися тільки на чесне слово Opera, що вони не зберігають його конфіденційні дані. Якщо ви не довіряєте компанії Opera, то не користуйтеся їх браузером.
Потрібно сказати, що деякі інші розробники «хмарних» браузерів, наприклад, Amazon Silk, не розшифровують HTTPS-сесії при передачі через свій проксі-сервер. Природно, при цьому вони не можуть і стиснути трафік HTTPS.
Компанія Nokia спеціально налаштувала браузер таким чином, щоб він довіряв підробленим сертифікатам і не видавав попереджень безпеки через злом HTTPS-каналу.
Джерело RU: xakep.ru
 
>
КнигаНовости Практика поискаПартнерыО нас
Підтримка та дизайн: Могильний С.С. Шаблон: Joomla Templates by BuyHTTP Joomla Hosting