Истина где-то ниже
Июль 4, 2019

Mozilla решит проблему с обрывом защищенных соединений

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Обновление Mozilla Firefox избавит пользователей от ложных предупреждений о MitM-атаках, которые приводили к разрыву безопасных интернет-соединений. Разработчики устранили проблему совместимости браузера с антивирусными программами, создав функцию дополнительной проверки корневых сертификатов.

Как пояснил программный менеджер Mozilla Уэйн Тейер (Wayne Thayer), сбой возникал из-за того, что защитные системы на пользовательских машинах сканируют зашифрованный трафик, дабы убедиться в отсутствии угроз. Это приводит к путанице с TLS-сертификатами, которую Firefox принимает за признаки вредоносной активности.

В отличие от других браузеров, которые проверяют легитимность центров сертификации (certificate authority, CA) по системному хранилищу, программа Mozilla полагается на собственный корневой каталог — так называемый root store. Ранее Тейер объяснял, что такая механика помогает разработчикам гарантировать безопасность пользователей, опираясь на собственные стандарты, а открытый код каталога позволяет привлекать ресурсы сторонних разработчиков.

Чтобы Firefox мог бесперебойно работать с антивирусом, последний должен добавить свой ключ в этот список. В противном случае браузер принимает его вмешательство за MitM-атаку, коей технически является такой перехват интернет-соединения.

По словам Тейера, команда Mozilla рассматривала несколько способов решения проблемы. Один вариант предполагал создание кнопки, которая позволяла бы проигнорировать предупреждение браузера и принудительно установить соединение. Однако в этом случае теряет смысл сама функция проверки, поскольку пользователь мог разрешить передачу данных в случае реальной угрозы.

Вместо этого разработчики внедрили функцию импорта сертификатов, чтобы пользователи могли перенести в корневой каталог данные из системного хранилища. Кроме того, они создали дополнительный механизм, который позволяет Firefox отличить реальную атаку. Для этого браузер сможет сам сверяться с каталогом ОС, если у него возникают подозрения в безопасности соединения, даже в том случае, если пользователь отключил функцию импорта.

Для укрепления новой схемы Mozilla призывает создателей антивирусного ПО включить поддержку этой функции в свои продукты вместо того, чтобы прописывать свои центры сертификации в корневой каталог браузера.

Тейер признал, что новый механизм может показаться небезопасным — Firefox принимает сертификаты, полученные из сторонних источников в обход проверочных систем Mozilla. Тем не менее, как указал эксперт, пользователь или программа, которым хватает полномочий добавить CA в системное хранилище, наверняка может включить его и в root store. Это позволяет разработчикам соблюсти принятые в индустрии стандарты безопасности без ущерба удобству пользователей.

Источник: //threatpost.ru/mozilla-reshit-problemu-s-obryvom-zashhishhennyh-soedinenij/33336/