Vlákno názorů k článku Bezpečnostní experti: instalace crapwaru do počítačů musí skončit od _pepak - A jak jinak byste řešil kontrolu skriptů (obecně...

A jak jinak byste řešil kontrolu skriptů (obecně kódu) v HTTPS protokolu aniž by to antivir rozšifroval a oskenoval?

Já bych to rád řešil pomocí definovaného API jednotlivých browserů, pomocí kterého by prohlížeč předal stáhnuté stránky externímu programu a od něj si zase převzal výsledek. Pokud by výrobce browseru měl strach, že si uživatelé nevědomky do systému nainstalují malware, může to řešit tak, že si browser napřed ověří digitální podpis toho externího programu, přičemž jedinou důvěryhodnou certifikační autoritou bude právě ten výrobce browseru.

Pokud takové API zatím neexistuje, tak bych očekával, že výrobci antivirů zatlačí na výrobce browserů, aby ho vytvořili.

od toho sa da predsa do prehliadacov nainstalovat hook a kontrolovat to predtym ako sa k tomu dostane javascriptove jadro. Akurat toto je pre ludi co programuju AV jednoduchsie. Problem je v praktickej zneuzitelnosti tohto riesenia.

Navyse ak o tom nie je uzivatel explicitne informovany a neodsuhlasil to, moze a pravdepodobne sa aj jedna o porusenie legislativy.

Data na disku nie su data v sifrovanom spojeni od ktoreho uzivatel ocakava ze nikto okrem neho a strany s ktorou komunikuje sa k tymto datam nedostane. V kadom pripade ak dojde k zneuzitiu dat vdaka takemuto MITM, bude opravnene pozadovat od strany ktora toto umoznila nahradu v plnom rozsahu.

A jak jinak byste řešil kontrolu skriptů (obecně kódu) v HTTPS protokolu aniž by to antivir rozšifroval a oskenoval?

Z binárních zašifrovaných dat nezjistíte nic.

Pokud si nainstalujete antivir aby Vám kontroloval co se vám načítá do pohlížeče tak mu musíte dovolit skenovat obsah. Stejně jako mu dovolujete skenovat to co si ukládáte na pevný disk.

PS: Pracuju v avastu tak o tom něco vím

On vubec system "duveryhodnych autorit" je zcela vadny. Nikdy nefungoval a ani nemuze.

V Avastu to jde vypnout. Ale samozřejmě by to mělo bejt vypnutý ve výchozím stavu.
A zcela to sw třetích stran zakázat by taky (volitelně) nebylo přímo v jádru Widlí od věci (nebo alespoň s dotazem UAC - červenym)...

Nejde jen o crapware.

Například Avast "kontroluje" i HTTPS a mailové SSL spojení a aby to mohl dělat, nainstaluje uživateli tajně svůj vlastní root certifikát a pak v podstatě dělá MAN IN THE MIDDLE útok na každé zabezpečené spojení.

Úplně totéž dělal ten kritizovaný crapware, jen trochu méně sofistikovaně.

Tahle praxe musí skončit. Root certifikáty by měly být chráněné a neměl by do nich nikdo zasahovat. Tam totiž začíná bezpečnostní řetěz důvery!