10 ответов в данной теме

[Mart (WMID 697343309585 )]

Система WMT везде и всюду требует от пользователей соблюдения безопасности. Иногда даже навязывает всевозможные подтверждения, от которых невозможно отказаться.

При этом сегодня при входе на форум мне, как полагаю и всем остальным пользователям, пришлось подтверждать вход на форум после такого сообщения:

 

"Технические детали
        
        forum.webmoney.ru использует недействительный сертификат безопасности.

Сертификат истёк 06.09.2013 17:50. Текущее время — 23.09.2013 23:04.

(Код ошибки: sec_error_expired_certificate)"

 

Что с этим делать? Наплевать, что сертификат истёк и подтверждать или на форум не заходить?

Сообщение отредактировал Mart: 23 сентября 2013 - 22:13

[AndrewTishkin (WMID 282697973392 )]

Ну да, точно, истёк.
Только я не понимаю, какой смысл на форуме сидеть через https?
Я через http сижу и в ус не дую, не увидел бы тему - ещё долго бы не узнал об этом.
 
С "всевозможными подтверждениями" дело обычно касается средств на кошельках, а тут чего бояться? Если кто нагадить зайдёт - он это и через https сделает.  Личную форумную переписку шифровать? Да кому она нужна...
 
 
Меня вот больше волнует, нельзя ли как-то сделать localhost кипера Classic через защищённое соединение работал, чтобы браузеры лишние диалоговые окошки не выводили в процессе авторизации (при перенаправлении с https на http), а то окошки эти ещё и неотключаемые, а вылазят часто. Уже свыкся, но душу бередит...

Сообщение отредактировал AndrewTishkin: 10 декабря 2013 - 00:40

[Mart (WMID 697343309585 )]

<p><span><a href="http://forum.webmone...-andrewtishkin/" title=""><span>AndrewTishkin</span></a>, Вы пользователь продвинутый, знаете что опасно, а что нет. А вот простой смертный посмотрит такое сообщение при входе и что ему думать (делать)? Скорее всего наплюёт на предупреждение. Но если это здесь, на форуме не опасно, то где в другом месте засада будет? Ага, подумает такой пользователь, здесь пренебрёг, значит и везде можно?</span></p>
<p>Вот и вопрос: где и когда на такое предупреждение нужно обязательно реагировать уходом с ресурса? Как ещё можно зайти на форум, кроме как шлёпнув по ссылке (а там сразу такое предупреждение)?</p>
<p>&nbsp;</p>
<p>Вы пишите:</p>
<p>&quot;Только я не понимаю, какой смысл на форуме сидеть через http<strong>s</strong>?</p>
<br />
<p>Я через http сижу и в ус не дую, не увидел бы тему - ещё долго бы не узнал об этом.&quot;</p>
<p>&nbsp;</p>
<p>А я не знаю как ещё можно на форум зайти (как сделать это http?).</p>

Сообщение отредактировал Mart: 23 сентября 2013 - 22:41

[AndrewTishkin (WMID 282697973392 )]

Вспомнил. WebMoney же оформила "универсальный сертификат", для всех поддоменов. Так что специально уже ничего заказывать не надо для форума. Ещё пара каких-то WM-сайтов мне попадалась на глаза со своими персональными сертификатами, но уже не помню каких.

Говорят, проблема самоликвидировалась.

http://s018.radikal....6a2ee6dfbf5.jpg
http://s019.radikal....200947945db.jpg

Глянул - вебмани для основных доменов, включая проблемный merchant.webmoney.ru (отчего, похоже, всё и нормализовалось у столкнувшихся с проблемой), подключили wildcard certificate, то бишь говоря простым языком - общий сертификат для всех поддоменов.

Узелок на память. На процитированных скриншотах в цепочке был задействован VeriSign, а сейчас в "уайлкарде" Network Solutions:

PS: всё равно не вижу смысла тут в защищённом соединении, тем более открыл эту тему специально по https, а при нажатии на кнопку "расширенного ответа" ушёл на http.
Заметил только, что ссылка выхода прописана как https, ну да вот после входа кидает на защищённый канал, я так понял лишь для того, чтобы как раз лишних диалоговых окошек в браузере не вылазило (но они-таки вылезли, правда уже из-за сертификата).

[Mart (WMID 697343309585 )]

Спасибо за быстрый ответ. И извиняюсь за свою непонятливость. Простым языком если сказать, то при входе на форум на такое предупреждение можно внимания не обращать, это не опасно? Правильно я понял?

 

Где нужно обращать внимание на такое предупреждение (при работе с вебмани)?

 

Про переходы с https на http  и обратно не понял ничего. Сам, специально я никуда не переходил. Из браузера не выходил. Только переходил по ссылкам форума, другие темы читал.

[AndrewTishkin (WMID 282697973392 )]

Вы пользователь продвинутый, знаете что опасно, а что нет. А вот простой смертный посмотрит такое сообщение при входе и что ему думать (делать)? Скорее всего наплюёт на предупреждение. Но если это здесь, на форуме не опасно, то где в другом месте засада будет? Ага, подумает такой пользователь, здесь пренебрёг, значит и везде можно?

Мысль хорошая, но это повод для обширной дискуссии на тему компьютерной грамотности. WebMoney вообще система непростая, без минимальной подготовки сюда залезать опасно, но это моё мнение...

А я не знаю как ещё можно на форум зайти (как сделать это http?)

Как я уже сказал выше, https проскакивает только в процессе входа. Конкретно - это перенаправление на страницу

https://forum.webmoney.ru/index.php?app=core&module=global&section=login&do=process&auth_key=много_букв_и_цифр

Которая уже перекидывает на незащищённую главную

http://forum.webmoney.ru/index.php?app=forums&showforum=0]http://forum.webmoney.ru/index.php?app=forums&showforum=0

Посмотрите в адресную строку - не должно быть там никаких защищённых соединений.

Вот и вопрос: где и когда на такое предупреждение нужно обязательно реагировать уходом с ресурса?
Как ещё можно зайти на форум, кроме как шлёпнув по ссылке (а там сразу такое предупреждение)?

Необязательно. Ситуации разные бывают. Например, сайт вообще не предназначен для работы с ним по https. Но уровень опасности нужно оценить, так что новичку действительно лучше испугаться и сделать как рекомендуют.

 
На форум другим способом можно зайти только через систему авторизационных тикетов сервиса WM-Login, с доверенного сайта. Написанное ниже только для расширения кругозора, кратко это можно передать как "можно, но сложно".

Из последнего абзаца статьи Login.WebMoney: авторизуем, выводим из сумрака:

Сервис поддерживает также отношения доверия между сайтами.

Кратко это можно описать так. Вася может доверить тикеты своих пользователей Пете, тогда Петя сможет запрашивать статус Васиных тикетов как своих собственных. Это позволяет организовать безболезненный переход пользователей с сайта Васи на сайт Пети без повторных авторизаций.

Но это уже высший пилотаж, в классических ситуациях данная функция не пригодится. Установить доверие другому сайту можно на странице Доверенные сайты. Введите в поле Фильтр адрес (можно даже часть адреса) сайта, которому хотите доверить свои тикеты. Данный сайт должен быть к тому времени уже зарегистрирован в сервисе Login.WebMoney.

Отношения доверия - здесь попроще рассказывается.

"Билетик", тикет, упрощённо по сути почти то же самое упомянутое выше "много_букв_и_цифр", и есть суть сеанса работы с WM-сайтом, уникальный идентификатор этого сеанса, кроме того имеющий срок жизни. Билет просрочен - выкинуло с сайта, надо снова заходить, чтобы новый билетик выдали. Работаем с сайтом, ходим по страницам -  билет нам продляют.

А вот с этими самыми доверенными сайтами суть в том, что если с них перейти по специальной ссылке, которая будет содержать рабочий тикет, на другой сайт, то если последний доверяет тому, откуда переход, а билетик рабочий, то мы автоматом оказываемся залогиненными на другом сайте.

Для форума доверенных сайтов три штуки. Обращали внимание на надпись:

Вы входите в защищенную зону сайта: WebMoney Blogs and Forums

?

Вот там эта информация, по ссылке, и перечислена:

Доверенные сайты

• WMCommunity
• Capitaller and Shareholder
• mywifi.com

То есть с них перейти и сразу оказаться залогиненным тут на форуме можно. Но без тикета просто так это сделать нельзя, надо иметь в руках ссылку с волшебным параметром "сим-сим, откройся".

Напоследок короткий пример, чтобы было понятнее, как это работает.
Открываем https://passport.webmoney.ru
наводим мышку на ссылку "Кошёлек" в верхнем левом углу, в самой верхней строке меню. Браузер показывает, что она ведёт на

https://my.webmoney.ru/dashboard.aspx?ticket=

Вот тот самый тикет, но тут он пустой.
Выполняем вход на passport, а после снова наводим мышку и видим уже что-то вроде

https://my.webmoney.ru/dashboard.aspx?ticket=VP!W34BHC8mFI1gsU6iASxVpGAt6M!oE4xIyLjxG$KZlthM4

Нажимаем и о, чудо! Оказываемся сразу внутри кипера Mini (конечно, если он подключён к нашему WMIDу), повторно входить уже не нужно.
Ссылка одноразовая, можно скопировать и убедиться, что она уже нерабочая

[Mart (WMID 697343309585 )]

Спасибо! Думаю тема может пригодиться для изучения. И не только мне.

[AndrewTishkin (WMID 282697973392 )]

Спасибо за быстрый ответ. И извиняюсь за свою непонятливость. Простым языком если сказать, то при входе на форум на такое предупреждение можно внимания не обращать, это не опасно? Правильно я понял?

Для форума можно не обращать.

Про переходы с https на http и обратно не понял ничего. Сам, специально я никуда не переходил. Из браузера не выходил. Только переходил по ссылкам форума, другие темы читал.

Выше в начале сообщения рассказал и показал, что в процессе входа на форум идёт перекидывание с одной страницы на другую, автоматически. Если не вглядываться, можно и не заметить. В итоге на форуме мы всё равно оказываемся и ходим по http-ссылкам

Где нужно обращать внимание на такое предупреждение (при работе с вебмани)?

Везде, где дело действительно касается безопасности передаваемых между сервером и браузером данных, где на страницах содержится персональная/конфиденциальная информация и т.п., и очень не хотелось бы, чтобы кто-то вклинился и мог её "прослушать".

Легче перечислить, где, кроме форума, это не критично - wiki.webmoney.ru, новости на blog.wmtransfer.com, хотя там тоже есть свои "личные кабинеты". Может ещё какие-то сайты, но в голову больше ничего сходу не идёт. Аттестат, центр безопасности, кипер Mini, кипер Light, арбитраж - там однозначно важно.


PS: Человек посередине

Спасёт ли шифрование?

Рассмотрим случай стандартной HTTP-транзакции. В этом случае злоумышленник достаточно легко может разбить оригинальное TCP-соединение на два новых: одно между собой и клиентом, другое между собой и сервером. Это довольно просто сделать, так как очень редко соединение между клиентом и сервером прямое, и в большинстве случаев они связаны через некоторое количество промежуточных серверов. MITM-атаку можно проводить на любом из этих серверов.

Однако в случае, если клиент и сервер общаются по HTTPS — протоколу, поддерживающему шифрование — тоже может быть проведена атака «человек посередине». При таком виде соединения используется TLS или SSL для шифрования запросов, что, казалось бы, делает канал защищённым от сниффинга и MITM-атак. Атакующий может для каждого TCP-соединения создать две независимые SSL-сессии. Клиент устанавливает SSL-соединение с атакующим, тот в свою очередь создает соединение с сервером. Браузер в таких случаях обычно предупреждает о том, что сертификат не подписан доверенным центром сертификации, но рядовой пользователь с легкостью игнорирует данное предупреждение. К тому же, у злоумышленника может оказаться сертификат, подписанный центром сертификации. Кроме того, существует ряд атак на HTTPS. Таким образом, HTTPS протокол нельзя считать защищенным от MITM-атак у рядовых пользователей.

[metallostroy (WMID 402540298935 )]

Только я не понимаю, какой смысл на форуме сидеть через https?
Я через http сижу и в ус не дую, не увидел бы тему - ещё долго бы не узнал об этом.

Зашел с главной в этот топик по http, но вот при загрузке всплыло окно о недействительном сертификате!

[AndrewTishkin (WMID 282697973392 )]

Зашел с главной в этот топик по http, но вот при загрузке всплыло окно о недействительном сертификате!

У меня тоже. Это из-за смайлика в моём первом посте, если страницу с выключенными картинками открыть, окно не появится.
Сообщение писал открыв тему по https, вот и адрес картинки видимо от этого такой же вставился... Специально ничего не менял

[umount (WMID 374717438121 )]

исправлено, обновил сертификат