MORO Опубликовано 24 Сентября 2014 Жалоба Поделиться Опубликовано 24 Сентября 2014 День добрый!Решил подробно потестить CryptoFile. В ходе экспериментов возник вопрос.Имеем ПК с установленными ViPNet CryptoService + CryptoFile.Также имеем три ключевых контейнера: один нормальный, во втором сертификат истёк по сроку действия, в третьем сертификат отозван.Пробую подписать файл, выбирая каждый контейнер, по очереди.Ну, с первым контейнером понятно - там всё чинно-благородно...А вот со вторым и третьим я был странно удивлён.CryptoFile мало того, что без проблем даёт мне сформировать подпись для файла, используя контейнеры с истёкшим и отозванным сертификатами (только скромные предупреждения выдаёт, но процесс не блокирует), так ещё и при проверке таких электронных подписей пишет "Статус подписи: ВЕРНА". Это как?!По идее, при использовании второго или третьего контейнера, CryptoFile мне даже не должен позволить произвести подписание файла (извини, брат, сертификат ключа проверки ЭП, соответствующий данному ключу ЭП, истёк/отозван - до свидания). А он, мало того что позволяет это сделать, так ещё и созданную таким образом подпись считает верной. ViPNet CryptoService 3.2(11.18357)ViPNet CryptoFile 4.0.1.26414 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 4 Июня 2015 Автор Жалоба Поделиться Опубликовано 4 Июня 2015 Здравствуйте.Более полугода прошло, а толку нет.Мало того - судя по происходящему (подробности далее по тексту), становится очевидным, что некоторые представители ИнфоТеКС (искренне надеюсь, что это не политика Компании в целом) предпочитают действовать, а точнее бездействовать, по принципу "откровенное игнорирование проблемы - лучший способ её решения". Итак, по порядку... По вышеописанному (см. топик) вопросу, являющемуся очевидной "дырой" в функционировании ПО ViPNetCryptoFile, я обратился по электронной почте (soft@infotecs.ru) 26.09.14. Да-да, более полугода тому назад. И даже реакция была. Мне тут же ответили со стандартным уведомлением о том, что "...с Вами свяжется ответственный сотрудник..." и даже с номером открытого тикета #001-00-309430. Более того, на следующий день, 27.09.14, действительно пришло письмо от менеджера по продуктам, в котором он пытался мне объяснить, что возможность создать ЭП, не взирая на то, что сертификат подписанта истёк/аннулирован, которую без проблем предоставляет актуальная версия ViPNet CryptoFile, это "ничего страшного" (понятно, что задача менеджера по продуктам компании - хвалить и защищать продукт, не взирая ни на что...), но, тем не менее, в заключении своего письма добавил (цитата): "...Данные недостатки будут устранены в ближайшем релизе CryptoFile.". Ну что же... Не смотря на предпринятую попытку выдать возможность заверения электронного документа заведомо недействительной ЭП за норму, в целом, учитывая заключение письма, вполне нормальный конструктивный диалог выстраивался. Как мне тогда казалось... Доверившись информации о скором выпуске нового релиза ПО с исправлением заявленных недостатков, полученной от представителя ИнфоТеКС, я сообщил эту радостную весть курируемым специалистам по ИБ в подразделениях всего региона, на чём и успокоился, ожидая новую сборку. Однако, шли дни, но на сайте по прежнему лежала версия 4.0.1.26414 от 11.08.14 (она и сейчас там лежит: http://infotecs.ru/d...oduct=10360) и никаких новых релизов не появлялось. 06.11.14 я обратился по электронной почте к тому самому менеджеру со скромным вопросом - есть ли какие-либо ориентировочные сроки выхода нового релиза? На что он ответил, что (цитата) "...планировали на конец года...". Ну конец года так конец года. Что уж... ноябрь на дворе. Накануне Нового года, 15.12.14, поскольку на сайте было без изменений, черкнул ещё раз письмо на ту же тему в адрес общавшегося со мной менеджера. В ответ - полная тишина. Тикет #001-00-309430 "повис в воздухе". 24.12.14 повторил попытку, но уже в адрес soft@infotecs.ru. И, час спустя, поступило письмо с шаблоном "...с Вами свяжется ответственный сотрудник..." и информацией о том, что открыт ещё один тикет #001-00-340817.О как даже! Опять тикет СТП открыт! Значит, возможно, всё-таки толк будет? Окрылённый второй волной надежды , я стал ждать обещанной связи от ответственного сотрудника (ну, или просто появления на сайте новой сборки ПО с устранёнными недостатками, что ещё лучше).Однако, минул Новый Год, отшумели каникулы, наступил Февраль, а в почте пусто. Ну и на сайте по версии никаких движений, само собой.10.02.15, ответом (чтобы в Теме был номер тикета) на письмо от 24.12.14, я позволил себе скромно напомнить об открытом и по-прежнему не решённом тикете. Через 5 минут пришло уведомление о прочтении моего письма адресатом, и на этом - всё, опять полная тишина. Обратной связи - ноль. Как говорится, полный игнор. Теперь и тикет #001-00-340817 "повис в воздухе". Так и висит по сей день. Ну и в завершение. Вчера, 03.06.15, ответом по тикету #001-00-309430 я осмелился ещё раз о себе напомнить (на hotline@infotecs.ru) и, спустя несколько часов, получил "Ticket #: 001-00-309430 Closed", без какой-либо информации по сути проблемы. Вот так вот. Как видно из вышеизложенных в хронологии событий, ОАО "ИнфоТеКС", по крайней мере в данной конкретной ситуации, предпочло действовать по алгоритму:попытались убедить, что заявленная проблема вовсе не проблема, а так и надо;клиент оказался "шибко вумным", поэтому всё-таки наличие проблемы признали (а как иначе - она явная, как ни крути);пообещали, что проблема будет исправлена в следующей версии, планируемой "на конец года" (но на самом деле никто никакой новой версии не делает и баг не исправляет);видя, что клиент попался настойчивый, попробовали просто перестать отвечать на письма (авось, устанет и отстанет);поняв, что не останет, просто молча закрыли тикет, без объяснений и без попыток решения заявленной проблемы.Что тут скажешь... Браво!Поскольку, как видно из вышеизложенного, общение по электронной почте приняло исключительно односторонний характер уже довольно давно, пишу здесь.Может быть, хотя бы на настоящей Конференции кто-нибудь из представителей ИнфоТеКС внесёт ясность в вопрос?P.S. С одной стороны, я понимаю, что продукт FreeWare и возиться с ним, скорее всего, разработчиками просто не хочется - ресурсы тратить надо, а профит ноль. С другой стороны, зачем вообще нужен продукт, который совершенно легко позволяет создать ЭП, используя скомпрометированный ключ? Будь он хоть трижды бесплатный...А с третьей стороны, я уж вообще не понимаю поведения/отношения представителей ИнфоТеКС в вышеописанной истории-переписке. Не будете исправлять баг? Так и сообщите, а не "кормите сказками" о новом релизе. Будете исправлять, но за пол-года не успели? Ну так напишите нормально - так, мол, и так... Баг пофиксим, релиз будет. В 2014 не успели, планируем тогда-то...А то ни "да", ни "нет", ни даже "может быть". Вместо этого просто откровенный игнор и закрытие тикетов "волевым усилием" без какого-либо их завершения/решения и комментариев. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 4 Июня 2015 Жалоба Поделиться Опубликовано 4 Июня 2015 Добрый день, MORO.прокомментирую конец Вашего сообщения: "Ну и в завершение. Вчера, 03.06.15, ответом по тикету #001-00-309430 я осмелился ещё раз о себе напомнить (на hotline@infotecs.ru) и, спустя несколько часов, получил "Ticket #: 001-00-309430 Closed", без какой-либо информации по сути проблемы. Вот так вот."Судя по нашей базе тикетов - тикет открыт, и при всем при этом он находится в работе. Посему мне непонятно, почему Вам пришло письмо без объяснения причин закрытия тикета.К сожалению, мне сложно прокомментировать ситуацию по Вашему запросу, поскольку новая версия CF пока не выходила.P.S. Постараюсь ускорить процесс, ну или как минимум прояснить ситуацию по Вашему запросу.P.P.S. Мы всегда отвечаем на письма и обращения наших Заказчиков и Партнеров, допускаю, что в данном случае запрос "потерялся". Буду разбираться. По результатам отпишу Вам. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 4 Июня 2015 Автор Жалоба Поделиться Опубликовано 4 Июня 2015 Спасибо Вам! Вне зависимости от результата!P.S. Вся переписка у меня есть. Если вдруг-что - могу выслать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 4 Июня 2015 Жалоба Поделиться Опубликовано 4 Июня 2015 Ситуация немного прояснилась:В рамках подготовки Криптофайла к сертификации описанное Вами поведение Криптофайла (именно поведение, а не уязвимость, как заявлялось изначально) должно было быть исправлено (СКЗИ не должно позволять использовать невалидные сертификаты), однако в виду определенных причин сертификация Криптофайла была отложена, работы приостановлены.Исправление так и не было произведено, релиз не состоялся.В настоящее время планируется сертификация Криптофайла в составе другого продукта, поэтому работы по продукту возобновлены и продолжены.Срок выхода релиза Криптофайла с указанным исправлением можно предварительно ожидать в 3-4 кварталах 2015 года. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
MORO Опубликовано 4 Июня 2015 Автор Жалоба Поделиться Опубликовано 4 Июня 2015 О! Наконец-то информация.Спасибо ещё раз!Бум ждать... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Stratos Опубликовано 4 Июня 2015 Жалоба Поделиться Опубликовано 4 Июня 2015 Приношу Вам свои извинения за такую неразбериху и такие сроки.Ситуация действительно неоднозначная получилась. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.