Защита в ClarioNet

CWICWEB, ClarioNET и пр.

Модератор: Дед Пахом

Правила форума
При написании вопроса или обсуждении проблемы, не забывайте указывать версию Clarion который Вы используете.
А так же пользуйтесь спец. тегами при вставке исходников!!!
Ответить
Гость

Сообщение Гость »

Добрый день. Интересует уровень защищенности соединения от клиента к серверу при работе через Инет. На сколько устойчива используемая защита?

С уважением, Ставич Олег
Укрсиббанк г.Харьков
oldstav@ukrsibbank.com

(Добавление)

Возможно использование SSL.
Если не ошибаюсь, нынешний SSL - это 128бит. Вот и посчитай его стойкость.
Думаю, для большинства задач достаточная.
Кроме того, если не ошибаюсь, сами передаваемые данные уже закодированы...
Если ошибаюсь, пускай меня поправят.

Сергей.
На сколько устойчива используемая защита?
Могу однозначно сказать что достаточно устойчива. Хотя что ты понимаешь под устойчивостью в данном контексте? Снифферил трафу работающего приложения не разобрать ни черта - следовательно криптуется. Как пишет сам Брукс криптуется по алгоритму Blowfish 56битным ключем. Если ко всему этому прибавить динамическую смену ключа по таймеру в приложении, то устойчивость возрастает.

Да кстати, вроде последний релиз криптует по 128bit'ному ключу

Best regards,
Andrew Listiev
Work mailto:andrewl@inbox.lv
Home mailto:gidravlic@mhm.lv
ICQ UID: 169357390
MS Messenger: werdna_werdna@hotmail.com

интересует процесс установки соединения между клиентом и сервером - каким образом в самом начале производится защита канала - на каких ключах?

OldStav

(Добавление)

Канал шифруется симметричным ключем, который в начале сеанса передается между сторонами, зашифрованный асимметричным алгоритмом.

--
Best regards,
Maxim Yemelyanov,
Enigma Soft Company
phone: +380 572 177977
WEB: http://enigmasoft.com.ua
e-mail: clalist@enigmasoft.com.ua
ICQ: 12253836

Какова возможность вскрытия канала на этапе установки соединения? Откуда берутся несимметричные ключи?

OldStav
интересует процесс установки соединения между клиентом и сервером - каким образом в самом начале производится защита канала - на каких ключах?
Ну ты батенька дал жару!! :-) Кто же тебе расскажет как это реализовывается? ИМХО top secret ... Обмен сообщениями проиходит по стандартным http GET POST. А по поводу механизма обмена ключами ..?
По логике с клиента идет опр. запрос к серваку, сервак вырабатывает ключь на сессию. Ну а далее передаваеммые данные шифруются по данному ключу. А откуда вопрос? Сомнения в секьюрности?

Best regards,
Andrew Listiev

Технология защиты должна должна быть ОТКРЫТА
А по поводу механизма обмена ключами ..?
По логике с клиента идет опр. запрос к серваку, сервак вырабатывает
И в этот момент сессионый ключ перехватывается....
Ну а далее передаваеммые данные шифруются по данному ключу. А откуда вопрос? Сомнения в секьюрности?
Ага, есть сомнения....

С уважением, Ставич Олег

А если в дополнение работать через https:// ?

------------------------------------------------------------
Igor Gubin (igor@quantor.com)
Quantor-Soft Metall
Phone/Fax: (+7 095) 234 4905
WEB: http://www.metaldata.info
http://www.metaldata.ru
Написал: ClaList(2)
Вернуться к началу
Гость

Сообщение Гость »

Технология защиты должна должна быть ОТКРЫТА
Да.
Суть SSL как и другой правильной защиты в том, что зная алгоритм, но не зная ключей в разумные строки вскрыть не получится.

2 пары открытый/закрытый ключ у сервера и у клиента. Дальше объяснять?
Вопрос в первоначальном обмене ключами. Для этого существуют Certificate Authorities, и все инфраструктура PKI (public key infrastructure).
Опять-таки, все можно самому организовать, рассылая клиентам по несекурным каналам (email) запароленные и зашифрованные данные с ключем, или ножками принести в офис. А если клиенты далеко... То без CA не обойтись.
Ага, есть сомнения....
Я не знаю, чего там велосипедисты сделали. Я говорю, как это уже есть и работает. http://openssl.org

--
Best regards,
Maxim Yemelyanov

Ничего не скажу про ключи и секурность, но давно понял для себя, что общий уровень 3rd Clarion продуктов (забугорной разработки) чудовищно низок. Так что основания для сомнений более чем ... секурность - вещь деликатная. Я не встречал НИ ОДНОЙ забугорной ДЕМКИ, которая бы на 33-ей секунде испытания не начала глючить. Живой 3rd код, который порой приходилось смотреть повергал в ужас.

Удачи!
__________________________________
Владимир Якимченко (IСQ 16 993 194)

(Добавление)
Живой 3rd код, который порой приходилось смотреть повергал в ужас.
"...Странно, а обезъянкам это нравится..." (с) герой Вицина из фильма "Она вас любит!" :)

--
Best regards,
Vadym mailto:vadim@softcreator.com
ICQ: 82308757
Технология защиты должна должна быть ОТКРЫТА
Это еще тот вопрос ...
И в этот момент сессионый ключ перехватывается....
агаконечнощязблиннафиг ;)

Ты когда-нибудь это пробовал делать? Запаришься! Да и не думаю что ключь таки передается в открытом виде. В качестве ключа шифрования передаваемого сессионного ключа может использоваться как и IP, MAC или IP + MAC клиента. Плюс всякого рода уникальая инфа 2 хостов.

Так что твои подозрения вилами по воде писаны.
Ага, есть сомнения....
Вот поставь сниффер и посмотри пакеты между серваком и клиентом. Будет уже какая-то инфа для анализа и убийства собственного времени.

Best regards,
Andrew Listiev

(Добавление)
Так что твои подозрения вилами по воде писаны.
Э, нет. Туп работает презумпция виновности. Щифровальщик обязан доказать свою защищенность.
Вот поставь сниффер и посмотри пакеты между серваком и клиентом. Будет уже какая-то инфа для анализа и убийства собственного времени.
И что? О чем скажет факт неудачного перехвата?

WBR, Nick Tsigouro

насколько мне известно по предыдущему посту, интерес был по поводу защиты при передаче сессионого ключа, а не шифрации. Что касается шифрации по Blowfish, то вот сюда

http://astu.secna.ru/russian/students/p ... owfish.htm
И что? О чем скажет факт неудачного перехвата?
Что значит неудачного?

Best regards,
Andrew Listiev

(Добавление)
И что? О чем скажет факт неудачного перехвата?
В том то и дело что ни о чем не скажет. Поэтому и вопрос. Желательно бы ссылочку на документы, а лучше сами документы в которых описан механизм защиты. Знаете те ли служба безопасности продукт без документов не выпустит.

С уважением, Ставич Олег

Ты не с той стороны подходишь. Шифроваться и подписываться должен документ, а не канал. В противном случае от СБУ ты никакого сертификата не получишь. Тем более для них все забугорные ссылки на документы до лампочки.

--
Сергей Редькин mailto:SPR@enigmasoft.com.ua
ЧП "Энигма Софт"

Петрович привет. Вопрос о подписи как раз не стоит, с этим проблем нет.
Просто если в ClarioNet есть встроенная защита канала - это одно, а если нет - тогда надо вешать свою защиту, и это уже бальшой гемморой

С уважением, Ставич Олег

(Добавление)

Или вешай защиту или шифруй документы. Для шифрации сгодится даже симметричный ключ. И никто ничего не будет иметь против.

--
Сергей Редькин

Кстати да.
У нас в КБ пакеты ходят по FTP и никто ничего... Пакет подписан и зашифрован.

--
Best regards,
Maxim Yemelyanov

Максим, в Клиент-Банке ходят не пакеты, а файлы с документами. Которые можно подписать и зашифровать. В ClarioNet совсем другая технология. Нет там никаких файлов. Есть приложение, запущенное на сервере, есть к нему доступ через Inet, в сеансе всего лишь гоняются экранные контролы. Вклинить туда свою защиту - большая проблема, технология представлена As is. Вот я и интересуюсь, чего там внутри.

С уважением, Ставич Олег

(Добавление)
В том то и дело что ни о чем не скажет. Поэтому и вопрос. Желательно бы ссылочку на документы, а лучше сами документы в которых описан механизм защиты. Знаете те ли служба безопасности продукт без документов не выпустит.
Какую ссылочку? На то, как это у SV сделано?
1. Может на их сайте есть.
2. Даже если и есть (в свете глючности послудних версий клары) - кто даст гарантию, что оно работает как написано? Ковырять придется.

http://csrc.nist.gov/pki/ - если нужна инфа о PKI.

--
Best regards,
Maxim Yemelyanov
Написал: ClaList(2)
Вернуться к началу
Гость

Сообщение Гость »

А если в дополнение работать через https:// ?
SSL через SSL? ;)

--
Best regards,
Alexander Stepanets mailto:clalists@partizansk.com
Петрович привет. Вопрос о подписи как раз не стоит, с этим проблем нет.
Просто если в ClarioNet есть встроенная защита канала - это одно, а если нет - тогда надо вешать свою защиту, и это уже бальшой гемморой
Встроенная защита шифрованием есть. Как она инициализируется - ХЗ, деталей не попадалось. Но разработчики шумели, что если защиту нужно усилить, то это не проблема - обращайтесь. Видимо имелись ввиду как раз финансовые приложения.

WBR, Nick Tsigouro

Вот я и
O> интересуюсь, чего там внутри.
Мысль. Как насчет создать секурный туннель и пускать всех клиентов через него?
Программа ставится на клиенте и на сервере, все запросы идут на localhost:xxxx,
программа на порту xxxx по SSL каналу общается с сервером:yyyy. Кларина прога на
сервере слушает то, что ей говорит серверная компонента тунеля.

Единственный drawback - клиенту надо ставить доп. прогу (клиентскую часть
туннеля), и прописывать линк на твой сайт как http://localhost:xxxx.

Щас, url найду... вот: http://www.winton.org.uk/zebedee/. Если не устроит использовать готовую прогу, возьми ее сорцы и вкомпили в себя. Я ее сорцы для своих целей когда-то использовал. Очень просто.

--
Best regards,
Maxim Yemelyanov
Написал: ClaList(2)
Вернуться к началу
Ответить

Вернуться в «CLARION for Internet»