SSL-сертификат

  1. Weblancer
  2. Форум фрилансеров
  3. Идеи и предложения
Андрей Д.
1267 сообщений
#14 лет назад
1. Ваш SSL-сертификат подписан не правильно. Его подпись сформирована на домен weblancer.net, хотя по умолчанию используется вариант с приставкой (кстати, зачем?). Из-за несовпадения имени узла в подписи и настоящего соединение считается браузером не безопасным.

Пожалуйста уберите редирект или получите сертификат на *.weblancer.net.

2. При входе на страницу идёт редирект на , те. незаметно для пользователя понижается его безопасность. Опять же, снимите редирект.
Егор Л.
3918 сообщений
#14 лет назад
1. Сертификат действителен только для . Используйте этот адрес.
2. Идет редирект на .
Андрей Д.
1267 сообщений
#14 лет назад


Собственно я сделал скриншоты как пруф. Вы при редиректе не учитываете протокол с которого перенаправляете пользователя. Посмотрите внимательно на начало ссылок.

Методика взлома.
Гепотетическая ситуация: я могу снифать трафик конкретной цели, но он, подонок, использует SSL-шифрование и пароль мне его никак не получить (чёрт подери этот алгоритм диффи-хельмана).

Ход обмана:
1. Публикую ссылку https://weblancer.net/ на форуме, в личке или другим путём. Протокол в ней говорит, что она вполне безопасна даже если цель следит за такими нюансами (я слежу).
2. Цель переходит по "безопасной" ссылке и автоматически перенаправляется на использование не шифрованной версии сайта.
3. Я снифаю трафик и радуюсь.


Ну и в конце концов это есть баг и работа с шифрованными соединениями производится некорректно. Фактически пользы от сертификата никакой когда можно в два счёта перевести любого пользователя в небезопасный режим.
Егор Л.
3918 сообщений
#14 лет назад
Zionit, ошибка исправлена. Спасибо.
Наталья Э.
2099 сообщений
#14 лет назад


При переходе на эту ссылку такое окно.
Сергей К.
2345 сообщений
#14 лет назад
Цитата ("Natalya56"):
При переходе на эту ссылку такое окно.
ага, в опере таже фигня
Ярослав С.
778 сообщений
#14 лет назад
Да, тоже сегодня заметил. добавил в исключения.
Егор Л.
3918 сообщений
#14 лет назад
Цитата ("Natalya56"):
При переходе на эту ссылку такое окно.

Там же русским по белому:

Цитата:
Сертификат действителен только для ]www.weblancer.net.


Можете смело добавлять в исключения.
В следующем году мы планируем получить другой тип сертификата более высокого статуса, постараемся установить для обоих доменов.
Кирилл Е.
2817 сообщений
#14 лет назад
Оффтопик
Не хотел делать новую тему ради одной мелочи:

Когда прикрепляешь жпег-картинку и она с разрешением jpeg - то пишет что нельзя такой файл грузить, тип не поддерживается, как переименуешь разрешение jpeg на jpg - картинка прикрепляется

Вчера загружал что-то такое к посту в какой-то теме - и видел опять такой мини-баг