Кажись врубился.
В прежних версиях не сделана защита от MITM?
Т.е. кто-то в сети может представиться сервером для вьювера и вьювером для сервера и собирать ID и пароли?
А как у вас вообще система шифрования устроена? Расскажите подробно.
Вчитываюсь и не понимаю: всё это время на конечных компьютерах с запущенными серверами при аутентификации не проверялось ничего?
Т.е. любой, зная лишь его IP или ID, мог подключиться к конечному компьютеру?
У вас логины и пароли по сети при аутентификации ходят в открытом виде, и любой NOIP-сервер может их перехватить?
В прежних версиях не сделана защита от MITM?
admin писал(а):Да, верно понимаете.
Мы добавили дополнительное шифрование данных.
admin писал(а):Вы же понимаете что я не могу разглашать такую информацию в свете последних событий.
Что было могу сказать, фактически была реализована подмена серверной части и перенаправление на нее трафика, так как программа изначально предназначена была для работы по IP адресу, то при работе по ID через NOIP была выявлена уязвимость. Теперь данные при Авторизации передаются в зашифрованном виде, так что бы на посреднике NOIP их нельзя было перенаправить и подставить свой липовый Сервер.
Почему вы не хотите внедрить нормальный обмен ключами исключительно через собственные сервера, чтобы через промежуточные NoIP-сервера проходил надежно зашифрованный трафик?
Нет, не понимаю.
Безопасность через неясность - вот вы серьезно сей подход пропагандируете?
Вот, к примеру, я использую старые версии ваших продуктов, и в силу ряда причин не планирую обновляться, и использую ваш NoIP.
Я пока не понимаю, зачем мне обновляться, если приделан непонятный PIN, и это названо крутой защитой.
admin писал(а):Есть технические ограничения, просто придется отключить всех клиентов, что бы они обновились.
Не уверен что это понравится всем.
admin писал(а):Ну как бы мы ответили Вам, что теперь данные дополнительно шифруются, еще до процесса авторизации.
Да, это не понравится всем (в том числе мне), но чем вы думали изначально, реализуя схему аутентификации способом, который сами даже сейчас держите в тайне.
Вот у TeamViewer есть страница и pdf с подробным описанием всей схемы:
admin писал(а):Если речь идет о авторизации Вьювер-Сервер, то это стандартная обще принятая схема RSA/AES с закрытым и открытыми ключами, тут не каких секретов нет.
admin писал(а):У нас другая ситуация чем у TV.
Вернуться в LiteManager: Официальные объявления, опросы, информация
Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1