Исходное сообщение
"В протоколах SSL/TLS найдена критическая уязвимость" Отправлено MK, 10-Ноя-09 23:19
>>Зачем же доверять всем кто по SSL зашёл? >>Смысл SSL в том, что ни кто не видит трафика, а пароль >>всё равно вводить надо. >>Ну или ID сессии проверять и нет проблем. > >Во-первых, речь обычно идёт как раз об обратном: чтобы тот, кто подключается >к серверу, был уверен, что подключился туда, куда надо. > Он-то и останется уверен - уязвимость позволяет от имени клиента отправлять данные на сервер, а не наоборот, насколько я понимаю. >Во-вторых, при использовании белого списка пользовательских сертификатов, действительно, можно и аутентификацию проводить. > Это да, это проблема.