Perché dovrei aggiungere un certificato a "Autorità di certificazione radice affidabili"?

0

Voglio usare un programma, che mi consente di modificare i gesti del touchpad. link

Ma devo aggiungere il loro certificato (vedi in FAQ [Come installare MultiSwipe?]) per farlo funzionare.

Ora sono spaventato. Perché un tale programma dovrebbe funzionare? Devo farlo?

Che cosa potrebbe succedere se lo faccio?

Questo è il registro Total virus per il file .exe: link

    
posta Joey 31.03.2015 - 23:48
fonte

2 risposte

3

Perché il software vuole intercettare le comunicazioni HTTPS senza che il tuo browser generi errori di certificato.

Per questo ci sono alcuni usi legittimi, come il controllo genitori / il software di filtro web, la protezione anti-phishing (dove alcuni software confrontano gli URL che stai visitando contro siti Web dannosi noti), ecc. Ad esempio, l'antivirus Avast fornisce tale protezione anti-phishing / anti-malware.

Funziona facendo in modo che il traffico del tuo browser venga reindirizzato attraverso un proxy in esecuzione sul computer locale che eseguirà un attacco MITM sul traffico: ogni volta che visiti un sito, stai parlando con il proxy, che a sua volta parlerà al vero server. Il problema è che, anche se si ritiene che il proxy non sia dannoso, è necessario convalidare correttamente i certificati presentati dai server remoti (un'attività normalmente eseguita dal browser) e, se ciò non viene eseguito correttamente, potrebbe connettersi a un utente malintenzionato che presenta un certificato falso che sfrutta qualche difetto nel proxy in modo che possa ancora essere etichettato come valido. Il tuo browser non vedrà nulla perché il browser riceve solo il certificato del proxy (che è affidabile perché è stato aggiunto alle tue autorità di certificazione attendibili).

Alcuni software generano la chiave privata e il suo certificato univoco al volo durante l'installazione (questo è il modo appropriato per farlo), alcuni altri software di crittografia utilizzano una chiave privata con hardcoded identica in tutte le installazioni. Ciò significa che una volta che qualcuno lo estrae, possono eseguire attacchi MITM dannosi perché hai aggiunto quel certificato (che corrisponde alla chiave privata ora compromessa) nelle tue CA di fiducia, quindi il tuo computer si fiderà del loro server. Questo è esattamente quello che è successo con Superfish , è adware quindi dirò ovviamente che merita di bruciare all'inferno, ma anche in quel caso non era destinato a essere quello malevolo, ma sfortunatamente a causa dell'incompetenza dei suoi sviluppatori ha aperto una massiccia violazione della sicurezza in molti PC Lenovo (dato che questa spazzatura è stata installata di default su di essi).

Personalmente non mi fiderei del qualsiasi software che voglia intercettare il mio traffico HTTPS, nemmeno quelli antimalware (come Avast e forse altri), è un rischio troppo grande se capita rovinare la convalida del certificato (e anche non riuscire a vedere il certificato "reale" del sito web nel mio browser è un problema).

Nel tuo caso, questo software è un malware, il sito di bassa qualità è un regalo scarno, sembra che qualcuno si sia affrettato a farlo perché volevano vedere in azione il loro Über-l33t HTTPS che intercettava malware. E usano alcuni FUD per costringerti a installare il loro certificato:

MultiSwipe is a simple utility but in order for it to work correctly it needs to be able to control some of the users UI, so in order to install MultiSwipe you will need to first add the certificate that is located in the MultiSwipe directory of your download

L'interfaccia utente non ha assolutamente nulla a che fare con i certificati.

TLDR: non installare affatto questo software (anche se non si installa un certificato, può comunque compromettere l'intero account utente e possibilmente il computer se lo si esegue come amministratore - in realtà è piuttosto pigro da parte loro per chiedere di installare il certificato mentre possono farlo da soli se lo si esegue come amministratore).

    
risposta data 01.04.2015 - 18:10
fonte
0

Sono lo sviluppatore di MultiSwipe e il motivo per cui è necessario installare il certificato è perché tutte le UI di controllo delle applicazioni, il che significa eseguire comandi di tipo alt-tab e simili, come MultiSwipe devono essere firmati digitalmente.

Apparentemente l'altro autore della risposta ha parlato senza conoscenza sull'argomento, il che significa che abbiamo bisogno di un certificato attendibile nel tuo sistema. Ecco un articolo di Microsoft che lo conferma articolo .

Inoltre, MultiSwipe non accede a Internet, quindi tutto ciò che l'altra risposta ha detto non è vero. Puoi controllare il tuo firewall o task manager e vedrai che MultiSwipe non accede a Internet. C'è una sezione contatti sul nostro sito web che puoi risolvere qualsiasi problema se lo desideri, o anche qui.

    
risposta data 28.10.2015 - 15:40
fonte

Leggi altre domande sui tag