Здравствуйте, netch80, Вы писали:
N>Впихнуть туда что-то, умевшее SSL, просто не получалось (или жестоко тормозило). Это началось уже начиная с первой половины 2000-х, и началось именно с замены железа.
Ага, то есть запихать FTP, SIP, парсер XML, и ещё 100500 всяких кунштюков — проблем нет, а банальный SSL — ресурсов нету?
Сказки.

N>А вот в случае IoT всё сильно разнообразнее. В какой-нибудь электросчётчик впихнуть то, что умеет сформировать, закодировать и подписать пакет данных, не проблема: если оно сожрёт дважды в сутки два ватта в течение трёх секунд, никто и не заметит. Но там есть и такие устройства, которые должны висеть на внешней стене дома и работать 5 лет от одной батарейки — и при этом регулярно слать свой статус.
Было бы интересно посмотреть на энергетический бюджет такого устройства. Если оно подключено по воздуху — как же оно ухитряется 5 лет на одной батарейке вещать в эфир так, чтобы его кто-то слышал?
Если оно подключено по проводу — кто ему мешает взять дополнительно 0.05 милливатта на криптографию?
Альтернатива — ровно такая: ваше устройство — вовсе не ваше. Ксакеп с брелком за пару сотен баксов подключится к вашему устройству, просто подойдя к забору, и получит нужный ему результат.

N>(Справедливости ради, такие устройства и не будут цепляться к 5G или что там сейчас. У них будет LoRa или что-то похожее. Вот там вообще раутинга не будет, только точка-точка.)
N>Но я согласен с тем, что нормальная защита в IoT придёт ещё не скоро. По этой аналогии или нет, но в ближайшие надцать лет выпускать их в большой внешний мир будет нежелательно.
Это в какой-то мере зависит от нас с вами. Нужно пропагандировать правильные вещи. Чтобы люди не выдумывали рационализаций идиотским решениям. Идея несекьюрной коммуникации — в сто раз хуже идеи "удвоить размер IP адреса".

N>А это уже проблема администрирования.
Не администрирования, а административная. Дегенератам не выписали вовремя дюлей. Ну, вот как с подписанными прошивками — математика у всех одинаковая, чипы и ресурсы примерно одинаковые, но при этом получить root access на примерно любом андроиде, включая флагманов — как два пальца. В отличие от того же Apple. Что у Apple, инженеры более умные? Или стойки в датацентре дешевле, чем у Samsung? Нет, просто культура недружелюбная к дегенератам. Их бьют палкой до тех пор, пока из них не выпадет приемлемый результат. А не объяснения "ну мы же не можем выдавать каждому устройству уникальный публичный ключ, и потом подписывать все прошивки его приватным ключом".

N>Для видео нет портящих тут картину жёстких лимитов по железу, иначе оно не работало бы. Но запрос на "secured perimeter" и "corporate VPN" шёл и идёт не от электронщиков, а как раз от корпоративных админов и безопасников.
В каком-то смысле — да, от них. Но не так, что они требовали сделать дырявую реализацию. А на вопрос "можете закрыть доступ к конфиг серверу снаружи" они отвечали "да, можем".

N>Потому что те люди, что есть, не потерпят чрезмерных ограничений со стороны техники, они с ними не справятся. А защита в стиле "попал в периметр — уже имеешь какие-то права" это то, что работает как адекватный компромисс между шлепанутыми менеджерами по маркетингу и шизанутыми безопасниками.
Это "работает" до первого залетевшего дятла. Не, я понимаю, были времена, когда считалось, что https — это шибко дорого, и нужно только особенно отдельным сайтам — например, с визовыми анкетами и процессингами платежей. Ну так блин мы-то живём в 21 веке, а не в оруэлловском 1974.

N>Это всё потому так, что тема тех же раутеров уже стабилизировалась — что они делают, как и почему. Любой очередной Лян Ляо, решивший производить теперь с клубничным вкусом, просто берёт готовую разработку вплоть до корпуса и мажет его клубникой со своей грядки.
N>А для IoT до стабилизации ещё долго.
Долгота зависит ровно от того, насколько сильно будут бить палкой разработчиков IoT. Потому что никакой rocket science тут нету.

N>А стабилизируется IoT — ещё что-то выползет...