Lenovo nebude na PC predinštalovávať balast, v reakcii na Superfish
Diskusia k článku: Lenovo nebude na PC predinštalovávať balast, v reakcii na Superfish
Prispievajte do diskusií ako
prihlásený užívateľ.
Komentár, na ktorý odpovedáte:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Re: Back to the...
Od: michelangelo256
|
Pridané:
2015-03-02 09:45:50
Tvorcovia Superfish vygenerovali fixny par private-public klucov. Verejnu cast podstrcili medzi trusted cerifikaty priamo v OS resp. v niektorych prehliadoch priamo do nich (napr. Firefox pouziva vlastny storage na certifikaty). Privatna cast sa nachadzala v Superfish softe a aj ked mohla byt v binarnej forme, tak stale pomocou reverse engineering sa da zistit. Ktokolvek mohol ten privatny kluc zobrat regnut si akukolvek domenu a podpisat danym klucom. Takato domena by sa tvarila v browseri na pc so Superfish ako overena ... nebezpecne kedze dali by sa robit aj EV certifikaty.... v adresnom riadku by sa spolu so zelenou kladkou zobrazil aj napr. nazov banky.
Ak by na kazdy komp vygenerovali iny par klucov, nebola by z toho az taka kauza. No co spavila sami zo seba trusted authority s prezradenym privatnym klucom, co je pre certifikacnu autoritu najvasia katastrofa.
|