Miranda NG русскоязычный форум > Разработка
Хранилище сертификатов
Erjo Loksn:
Мне представляется, что имеет смысл добавить такую опцию, как собственное хранилище корневых ssl-сертификатов (в виде обычного файла в папке Миранды), чтобы Миранда могла пользоваться вместо системных сертификатов собственными. Например, будет полезно, когда человек ходит с флешкой и запускает Миранду с чужих компьютеров.
ghazan:
Erjo Loksn,
ага, пиджин со своими сертами, миранда со своими сертами, MSYS со своими etc
может уже под виндой делать как положено, с единым хранилищем?
Erjo Loksn:
Большим достоинством Миранды является то, что она абсолютно портативна - её можно записать на флешку и запускать откуда угодно. Это достоинство может уменьшаться за счёт отсутствия собственного хранилища сертификатов - это приводит к тому, что Миранда не сможет запуститься там, где хранилище Windows по каким-либо причинам не функционирует (точнее, сможет, но только после того, как будет отключена проверка сертификатов, что приводит к риску атаки MITM). Также MITM возможен при запуске с компьютера, где специально установлены "плохие" сертификаты с целью слежки за пользователями. Все эти проблемы будут устранены, если у Миранды появится возможность использовать собственное хранилище сертификатов. Что касаемо того, каким ещё программам имеет смысл использовать собственное хранилище - то тут всё зависит от ситуации. Разумеется, польза от собственного хранилища может быть сомнительна, если программа в принципе не является портативной.
dartraiden:
Не менее большим достоинством Миранды является использование всего, что Windows предоставляет нативно, в том числе WinCrypto и системного хранилища сертификатов (OpenSSL мы вынуждены тащить лишь ради Windows XP, встроенная криптография которой уже не позволяет подключаться многим протоколам, поскольку серверы требуют поддержку современного крипто).
За счёт этого она имеет небольшой размер и очень скромные требования (оборотная сторона - невозможность кроссплатформенности).
Впрочем, можно завести фичреквест, возможно, когда-нибудь кто-нибудь захочет этим заниматься.
Erjo Loksn:
А я вот тут задумался: а как оно работает в Wine? Нет, сам я никогда не пробовал запускать Миранду в Wine, просто интересно. Там есть какое-то "системное" хранилище сертификатов, или люди, запускающие Миранду в Wine, просто плюют на то, что их переписка может быть перехвачена, и отключают проверку сертификатов? Нет, в принципе понятно, подавляющее большинство людей вообще считает, что им особо скрывать нечего, и на всю эту безосность им глубоко наплевать. Но вот а я хочу, чтобы было безопаснее. В реальности мне было бы интересно, чтобы у меня для Миранды было отдельное хранилище, даже по вот такому простому соображению: в системном хранилище сертификатов у меня хранится огромное количество корневых сертификатов, выпущенных самыми разными центрами. И каждый из этих центров технически может выпустить фальшивые сертификаты для того же Скайпа, Агента и т.п. И я при этом ничего не замечу. Понятно, что это крайне маловероятно, но всё же технически здесь ничего невозможного нет. Именно по этой причине мне было бы приятно иметь для Миранды своё собственное хранилище, где лежали бы только чётко те парочку сертификатов, которыми действительно пользуется Миранда, чтобы вероятность такой атаки была бы равна нулю. В Mozilla Firefox для предотвращения таких атак есть плагин Certificate Patrol, а для Миранды, учитывая то, что она коннектится всего-то к нескольким серверам, достаточно было бы просто иметь своё собственное хранилище.
Navigation
[0] Message Index
[#] Next page
Go to full version