पहले थोड़ा पीला:
कोमोडो इंटरनेट सिक्योरिटी सर्टिफिकेशन अथॉरिटी (उनके रूट सर्टिफिकेट को ज्यादातर ब्राउज़र निर्माताओं द्वारा भरोसेमंद घोषित किया गया है) ने अन्य धोखाधड़ी करने वालों के लिए निम्न प्रमाणपत्रों पर हस्ताक्षर किए हैं:
* mail.google.com,
www.google.com* login.yahoo.com (3 पीसी)
* login.skype.com
* addons.mozilla.org
* login.live.com
यदि धोखेबाज इस प्रमाण पत्र को प्रस्तुत करता है, तो इसे ब्राउज़रों द्वारा सही माना जाएगा। दूसरे शब्दों में, यह निर्धारित करने की थोड़ी सी भी विधि नहीं होगी कि कोई साइट नकली है।
अब और विस्तार से। ये प्रमाण पत्र जारी किए गए थे, जिसके बाद अंडरकवर बुचा शुरू हुआ, ब्राउज़र निर्माताओं (कम से कम क्रोम और फ़ायरफ़ॉक्स) ने उन्हें काली सूची (कोड में संकलित) में दर्ज किया। फ़ायरफ़ॉक्स के लिए, यह 17 मार्च, 2011 को हुआ था, अब तक सामने आए सभी संस्करण इन प्रमाणपत्रों पर भरोसा करेंगे (मैं "असुरक्षित" लिखना चाहता था, लेकिन समस्या यह है कि यह भेद्यता नहीं है, यह वितरण है ... कोमोडो, जो क्यों हर कोई भरोसा करने के लिए मजबूर है)। सिद्धांत रूप में, यह देखने के लिए एक चेक बनाया जाना चाहिए कि क्या प्रमाणपत्र निरस्तीकरण सूची में शामिल है (इसे वहां शामिल किया गया था), हालांकि, व्यवहार में, यदि इस सूची तक पहुंच सीमित है, तो ब्राउज़र स्पष्ट चेतावनी नहीं देते हैं और प्रमाण पत्र पर भरोसा करते हैं।
संदर्भ:
1) प्रेस विज्ञप्ति कोमोडो:
www.comodo.com/Comodo-Fraud-Incident-2011-03-23.html2) एमएस से सुरक्षा सलाह:
www.microsoft.com/technet/security/advisory/2524375.cspx3) कोमोडो की लापरवाही के परिणामों के आधिकारिक प्रकाशन से पहले उन्होंने फ़ायरफ़ॉक्स में पैच में "अजीब" कैसे खोजा, इसके बारे में एक जासूसी कहानी:
blog.torproject.org/blog/detecting-certificate-autromity-compromises-and-web-browser-collusion4) क्या हुआ के राजनीतिक घटक पर:
avva.livejournal.com/2321707.html