Дыра безопасности криптопровайдера
Додано: 27 липня 2015, 15:36
Дано:
Терминал на базу Windows Server2012 R2.
Десятки бухгалтеров, обслуживающие разные предприятия, работают на одном терминале.
Прав админа нет у пользователей.
Стоит одному из пользователей запустить криптопровайдер и выбрать каталог с ключами, как при открытии СОТЫ в браузере любой другой пользователь начинает видеть данные сертификаты, и может войти в СОТУ.
Ситуация была смоделирована и на локальном ПК под Win7. Стоит одному пользователю заупустить криптопровайдер и выбрать каталог с ключами. Если пользователь не завершает сеанс, то другие пользователи выполнившие вход в ПК так же видят в СОТЕ сертификаты другого пользователя.
Терминал на базу Windows Server2012 R2.
Десятки бухгалтеров, обслуживающие разные предприятия, работают на одном терминале.
Прав админа нет у пользователей.
Стоит одному из пользователей запустить криптопровайдер и выбрать каталог с ключами, как при открытии СОТЫ в браузере любой другой пользователь начинает видеть данные сертификаты, и может войти в СОТУ.
Ситуация была смоделирована и на локальном ПК под Win7. Стоит одному пользователю заупустить криптопровайдер и выбрать каталог с ключами. Если пользователь не завершает сеанс, то другие пользователи выполнившие вход в ПК так же видят в СОТЕ сертификаты другого пользователя.