Группа специалистов по защите информационных систем обнаружила, по их словам, серьезную брешь в системе защиты так называемого "защищенного" ПО Web-серверов производства Microsoft, Netscape и Apache.
До сих пор считалось, что информацию о "личных ключах" пользователя в памяти сервера обнаружить нельзя. О своих первых сомнениях на этот счет д-р Нико Ван-Сомерен, из компании nCipher и д-р Эди Шамир из израильского Института Вейцманна рассказали еще в феврале 1999 г. на конференции Financial Cryptography '99. Теперь они представили окончательные результаты своих исследований. Они утверждают, что пользователь может запустить на исполнение на сервере электронной коммерции специальную программу, с помощью которой можно быстро определить расположение криптографических ключей для доступа к защищенной информации, хранящейся на нем, в том числе к номерам кредитных карточек клиентов. Причем такая возможность существует на программных Web-серверах трех ведущих производителей этого ПО - Microsoft, Netscape и Apache.
По словам Нико Ван-Сомерена, решение этой проблемы состоит не в том или ином сокрытии ключей на сервере, а в выносе этих ключей с сервера вообще. Он считает, что храниться эти ключи должны на отдельной системе. Компания nCipher (http://www.ncipher.com) уже разработала специальную систему защиты для хранения ключей, которая стоит в зависимости от конфигурации от 4 до 17 тыс. дол. По материалам InfoArt News Agency.
