Пользователь пока ничего не рассказал о себе

Достижения

Все достижения (9)

Наибольший вклад в теги

Все теги (48)

Лучшие ответы пользователя

Все ответы (52)
  • Кто как борется с паролями на бумажках рядом с ПК?

    Maximus43
    @Maximus43
    У нас есть специально обученный человек, в должности офицера по безопасности (Security Officer), который регулярно проходит по рабочим местам и смотрит на незакрытые сессии, пароли на бумажках и т.д. Если найдет компьютер без надзора с отрытым доступом или бумажки с паролями, то он открывает почту с компьютера сотрудника и пишет что-либо от его имени. На первый раз это может быть рассылка всем сотрудникам сообщения типа: «Я самый крутой, а вы все лохи». Типа шутка такая, но действует на 99%. Если же человек попался во второй раз (у нас было всего один раз), то безопасник пишет с компьютера сотрудника письмо в отдел кадров с просьбой перенести отпуск на конец ноября. Третьего раза у нас не было. :-)
    Ответ написан
    3 комментария
  • SSL сертификаты в качестве механизма лицензирования программы

    Maximus43
    @Maximus43
    Двухсторонняя авторизация по сертификатам, доступ клиента регулировать отзывом клиентского сертификата со статусом 6 (On hold). Надо развертывать центр сертификации и интерфейс к нему. В умелых руках задача решается за пару дней, включая разработку архитектуры.
    Ответ написан
  • Собственное мнение. Существует или это миф?

    Maximus43
    @Maximus43
    Еще интереснее наблюдать, когда кто-то минусует ВСЕ твои камменты к статье, независимо от того, что в них написано. Прямо такая «прогулка ненависти» по конкретному человеку :-) Люди разные бывают, надо относиться к подобным вещам философски. :-)
    Ответ написан
    2 комментария
  • Ищется необычный торрент-клиент?

    Maximus43
    @Maximus43
    Я написал bash-скрипт, который проверяет актуальность торрента и склачивает обновленный торрент в папку, которая мониторится rtorrent. Ну и уведомление на мыло шлет. Вам это надо?
    Ответ написан
    3 комментария
  • Безопасность смарт-карт

    Maximus43
    @Maximus43
    1. Никак. Обращение к смарт-карте идет через API, который предоставляет драйвер. Если вредоносное ПО перехватило PIN, то оно с таким же успехом может производить операции со смарт-картой через API. Все можно реализовать в фоне.
    2. Никак. Смарт-карта не знает, правильный документ или нет. Ей передают хеш документа, она шифрует его своим закрытым ключом и отдает результат обратно. Если передать хеш левого документа, то смарт-карта его без дополнительных вопросов зашифрует.
    Вывод: плюс смарт-карты только в том, что из нее нельзя извлечь закрытый ключ (если все правильно настроено) и в том, что когда ее нет в ридере, то подписать ничего не возможно физически. А если рабочая среда скомпрометирована и у вредоносной программы есть PIN и доступ к API, то тут уж как говорится: «Против лома нет приема».
    Все сказанное касается обычных смарт-карт, для Java карт можно добавить аплет с хитрой логикой, тогда просто API может быть недостаточно для подписания. Это вариант защиты, но требует дополнительных действий со стороны разработчиков и со стороны клиентского ПО.
    Ответ написан
    Комментировать

Лучшие вопросы пользователя

Все вопросы (6)