Дано:
Терминал на базу Windows Server2012 R2.
Десятки бухгалтеров, обслуживающие разные предприятия, работают на одном терминале.
Прав админа нет у пользователей.
Стоит одному из пользователей запустить криптопровайдер и выбрать каталог с ключами, как при открытии СОТЫ в браузере любой другой пользователь начинает видеть данные сертификаты, и может войти в СОТУ.
Ситуация была смоделирована и на локальном ПК под Win7. Стоит одному пользователю заупустить криптопровайдер и выбрать каталог с ключами. Если пользователь не завершает сеанс, то другие пользователи выполнившие вход в ПК так же видят в СОТЕ сертификаты другого пользователя.
Дыра безопасности криптопровайдера
-
- Повідомлень: 395
- З нами з: 18 лютого 2015, 11:37
Re: Дыра безопасности криптопровайдера
дак пароли ж то у сертификатов разные , ну пусть видят и дальше что ? Вот вижу я сертификат своего коллеги как я ним что то подпишу если пароль ему только известен.
Re: Дыра безопасности криптопровайдера
Вариант банального подбора не исключаете?Бережной Дмитрий писав:дак пароли ж то у сертификатов разные , ну пусть видят и дальше что ? Вот вижу я сертификат своего коллеги как я ним что то подпишу если пароль ему только известен.
А кроме того, если в терминале пользователь меняет папку с ключами на свою, то у другого сота отваливается.
Сертификаты и доступ к ним должен быть в "песочнице" одного пользователя.
Re: Дыра безопасности криптопровайдера
не путайте сертификат с секретным ключем
-
- Повідомлень: 8802
- З нами з: 29 липня 2011, 14:59
- Звідки: Украина, Донецкая область, Бахмут
- Контактна інформація:
Re: Дыра безопасности криптопровайдера
+1 к пожеланию.scaldfeen писав:Вариант банального подбора не исключаете?Бережной Дмитрий писав:дак пароли ж то у сертификатов разные , ну пусть видят и дальше что ? Вот вижу я сертификат своего коллеги как я ним что то подпишу если пароль ему только известен.
А кроме того, если в терминале пользователь меняет папку с ключами на свою, то у другого сота отваливается.
Сертификаты и доступ к ним должен быть в "песочнице" одного пользователя.
Дык мульон комбинаций! Решение на сейчас собрать их в одну папку.