Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS.
Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS. wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что? wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Вспомните красную шапочку.
Зачем тебе такие большие глаза, а затем что тебя лучше видно было.
Тут недавно на свежей семёрке хотел скачать firefox и от не смог открыть ссылку для загрузки, не поддерживаемые алгоритмы шифрования Очень удобно, а http нет. Пришлось из линуха скачать.
Просто жгут мсты постепенно. Вы посмотрите как мобильные браузеры с проксёй работаю (хотя раньше умели). Будет работать только новое, а еще лучше только online. _ля ващего же удобства и безопасности.
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS.
Нет, он не всех устраивал. А когда операторы начали вставлять в HTTP-трафик рекламу и вирусы, он перестал устраивать вообще всех.
wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Что конкретно ты предлагаешь? Сертификат удостоверяет, что сторона, которая представляется сервером, имеет контроль над доменом. Альтернатива текущей системе только система, основанная на DNS Security, но там пока всё тухло.
wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Не считаю. Протухший сертификат это косяк админа. Да и вообще в эпоху letsencrypt покупать сертификат вместо того, чтобы настроить автоматизацию у меня вызывает большое удивление.
Здравствуйте, wl., Вы писали:
wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Ответ простой — коммерциализация последней мили.
Те кто доставляют контент хотят все больше и больше — вставляют рекламу,
подменяют содержимое и тд и тп. В нашей стране этим по крайней мере занималась
вся большая тройка сотовых операторов.
И для решения этой проблемы нужно не только шифровать и быть уверенным что
это данные от того, кто их отправлял. И в общем-то SSL как раз минимальным требованиям
удовлетворяет, никаких дополнительный функций в нем нет, только проверка того,
что эти данные именно от того сайта, у которого и запросили данные, плюс шифрование.
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS. wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что? wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Уже разбирали вопрос. Навязывание HTTPS и бесплатный Let's Encrypt — это часть громадного бизнеса по сбору данных.
Почему-то кто-то связанный с правительством решил что им нужно как можно больше данных обо всех. Сопоставляя как бы обезличенные датасеты из разных источников — можно даже поминутно вычислить когда вы ходили покакать.
За данные готовы платить из гос. бюджета. Им зачем-то это нужно, может преступников вычислиять может еще что.
И за право сбора данных идет борьба между великими (которые рангом пониже чем правительственные структуры, но все-же).
Так вот, введя поголовный HTTPS — провайдеров связи лишили куска пирога. Теперь их данные не особо ценны, ведь браузеры могут "нарыть" на человека намного больше и правительство будет платить Гуглу, а не провайдерам связи.
Здравствуйте, wl., Вы писали:
wl.>ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения?
Какие из подобных сайтов заставили переходить на HTTPS, и кто именно заставил?
Здравствуйте, Zhendos, Вы писали:
wl.>>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Z>Ответ простой — коммерциализация последней мили.
Я возможно немного в теорию заговоров "поиграю", но я считаю, что повсеместное насаждение HTTPS ещё и является секретным проектом американских спецслужб для противодействия механизмам цензурирования интернета в авторитарных странах а также для слежения за трафиком.
1. Наличие TLS ставит цензоров перед выбором — или блокировать всю платформу вроде youtube, или не блокировать отдельные видео. Опции блокировки отдельных видео без содействия америки — нет. То же касается остальных крупных сайтов.
2. Введение TLS 1.3 ставит цензоров перед выбором — или блокировать половину интернета, или открывать сайты.
3. Халява на Cloudflare даёт им (Cloudflare и те, кто на него может надавить) возможность следить и подменять трафик для любого клиента. Ну и для других CDN справедливо, конечно, но вот эта халява выглядит как замануха, чтобы во-первых туда все сайты полезли, во-вторых чтобы бан Cloudflare был как можно более неприятен.
4. Когда Казахстан попытался "сломать" эту игру введением государственного MITM, реакция Google и Mozilla была молниеносной — они тут же внесли сертификат Казахстана в чёрный список, чем сломали этот MITM. Вот этого я вообще не понял — какое им дело до Казахстана? Каждая крупная корпорация делает MITM в своих сетях для слежения за трафиком, это не просто никого не волнует, это даже учитывают при разработке стандартов TLS и связанных с ними. Думаю, что в IBM работает больше, чем живёт в Казахстане. Но вот — оказалось нельзя идти против правил, даже если ты — международно признанное сувереное государство, а правила установили какие-то американские компании, даже не потрудившись их публично задокументировать.
Россия и Китай против этих правил идти могут, они слишком большие и независимые, поэтому не обязательно всё описанное выше надо примерять на Россию, кроме неё много и других стран, которые не могут позволить себе забанить youtube.
Apr 13, 2021 — Google Chrome will gradually stop supporting non-HTTPS sources and this might affect the content that had been inserted into a campaign.
Здравствуйте, Евгений Музыченко, Вы писали:
wl.>>ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения?
ЕМ>Какие из подобных сайтов заставили переходить на HTTPS, и кто именно заставил?
Ряд браузерных технологий требуют HTTPS. Весьма широкий ряд. WebUSB, WebBluetooth, NFC, Web Serial API, Web MIDI API, WebHID, WebXR, WebAuthn, Credential Management API, Payment Request API, Permissions API, getUserMedia, Screen Capture API, WebRTC, MediaSession API, Service Workers, Push API, Background Sync API, IndexedDB, Cache API, Web Share API, Clipboard API, Geolocation API, Sensors API, Gamepad API, Web Locks API, CSP, SRI, Feature Policy, Referrer Policy. Возможно где-то ошибся, но вряд ли во многих местах.
ВР>Apr 13, 2021 — Google Chrome will gradually stop supporting non-HTTPS sources and this might affect the content that had been inserted into a campaign.
Прошло три года. Какие из HTTP-only сайтов невозможно открыть в Chrome?
* Google is ranking pages with HTTPS support first
* New android blocks non-HTTPS requests by default
* Apple blocks insecure connections by default in iOS
Здравствуйте, opfor, Вы писали:
S>>Уже разбирали вопрос. Навязывание HTTPS и бесплатный Let's Encrypt — это часть громадного бизнеса по сбору данных. O>поясни. В чем тут состоит сбор данных?
Благодаря httpS — провайдеры исключаются из пищевой цепочки, во в чем дело. А вот создатели браузеров — по прежнему в деле.
Здравствуйте, Евгений Музыченко, Вы писали:
vsb>>Ряд браузерных технологий требуют HTTPS. Весьма широкий ряд. WebUSB, WebBluetooth, NFC...
ЕМ>Это точно "сайты, которым достаточно было бы, чтобы просто не plain-text передавался"?
Я, честно говоря, не вполне понимаю отличие сайтов, которым достаточно было бы, от сайтов, которым было бы недостаточно. Ну ок, можно с натяжкой сказать, что банковские сайты это более важно, а твиттер это менее важно. Но с веб-технологиями это не особо коррелирует.
Вот банальный Clipboard API. Это чтобы я на гитхабе нажал кнопочку и содержимое просматриваемого файла скопировалось бы в буфер обмена в исходном виде. Или Geolocation API — каждый первый магазин хочет знать, из какого я города, по вполне разумной причине (чтобы показывать мне наличие товара, например). Хотя казалось бы — сайты относительно не важные (ну по крайней мере пока я не залогинился в этот магазин или в этот гитхаб).
Здравствуйте, wl., Вы писали:
wl.>Зачем их заставили выписывать сертификаты для соединения?
Никто не заставлял. Без HTTPS любой посредник в цепочке передачи пакетов может прочитать и/или подменить входящую и исходящую информацию. Чем это плохо, должно быть очевидно. Единственный спорный момент это осутствие возможности получать и отправлять незашифрованный траффик, но с возможностью проверки подлинности. Или, проще говоря, вместо полного шифрования достаточно было бы проверять цифровую подпись. В итоге внедряторы рекламы сами бы отвалились, а экономия ресурсов была бы значительной, потому что с HTTPS не работают механизмы DMA.
Здравствуйте, wl., Вы писали:
wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
https защищает от "человека по середине", читающего или изменяющего трафик.
wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
wl.>>ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения?
ЕМ>Какие из подобных сайтов заставили переходить на HTTPS, и кто именно заставил?
Все.
В выдаче поисковиков нет сайтов без https. (чего нет в гугле — того нет в интернете(с) )
Браузеры, с настройками по умолчанию, пугают очень страшными красными словами и просто не открывают сайты по https, без сложных телодвижений.
Выбор сейчас не велик — или аудитория твоего plain http сайта 1.5 твоих воображаемых друга, или прогибаешься и ставишь сертификат.
Здравствуйте, cppguard, Вы писали:
C>Никто не заставлял. Без HTTPS любой посредник в цепочке передачи пакетов может прочитать и/или подменить входящую и исходящую информацию. Чем это плохо, должно быть очевидно. Единственный спорный момент это осутствие возможности получать и отправлять незашифрованный траффик, но с возможностью проверки подлинности. Или, проще говоря, вместо полного шифрования достаточно было бы проверять цифровую подпись.
ЕМНИП в https изначально был вариант использовать такой упрощенный алгоритм.
От подмены защищает, но все посредники видели содержимое передаваемых данных (твои логины и пароли к банкам). По этому и не используется.
Здравствуйте, Shmj, Вы писали:
S>Так вот, введя поголовный HTTPS — провайдеров связи лишили куска пирога. Теперь их данные не особо ценны, ведь браузеры могут "нарыть" на человека намного больше и правительство будет платить Гуглу, а не провайдерам связи.
Браузер может нарыть информацию как с https так и с http.
Здравствуйте, Doom100500, Вы писали:
S>>Так вот, введя поголовный HTTPS — провайдеров связи лишили куска пирога. Теперь их данные не особо ценны, ведь браузеры могут "нарыть" на человека намного больше и правительство будет платить Гуглу, а не провайдерам связи.
D>Браузер может нарыть информацию как с https так и с http.
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS. wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что? wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Считаю что HTTPS\SSL нужен везде, кроме соединения в локальной сети. Считаю что PKI с корневыми сертами в ОС немного устарела. Считаю покупка дорогих сертов не нужна. Считаю что нужно больше сервисов типа lestencrypt.
Протухание и самоподписанные серты не отменяют преимуществ SSL в виде шифрования.
Здравствуйте, wl., Вы писали:
wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
Моё мнение на эту тему таково.
SSL очень активно продвигает Гугль. Тут и ранжирование поисковой выдачи, которая задвигает не-HTTPS сайты в конец списка, и запрет по дефолту не-HTTPS сайтов в гугловом бровсере на Андроиде, и не очень гласная финансовая поддержка Let's Encrypt, технологии, которая делает реализацию HTTPS простой, удобной и бесплатной для сайтов.
Гугль прежде всего америнакская компания, и основной рынок у него — США. Гугль живет с размещения рекламы в Интернете. Конкурентное преимущество Гугля заключается в том, что гугль многое знает про пользователей. Что позволяет продвигать ему адресную рекламу. Плюс, большое количество площадок, где пользователь встречается с рекламой, либо принадлежат Гуглю, либо получают рекламный контент через него.
Тут надо учесть особенности рынка доступа в Интернет в США. Подавляющее большинство пользователей получают интернет через крупные телефонные копании, такие, как AT&T, Verison и T-Mobail. Фактически, весь рынок поделен между ними; там нет кучи мелких независимых провайдеров, как, например, в России.
Незашифрованный интернет позволяет легко просмтривать пользовательский контент и профилировать пользователей. Если ты — крупный провайдер, тебе это делать удобно.
Фактически, зашифровав HTTP-траффик, Гугль отжал у америнакских интернет-провайдеров этот рынок. Под видом заботы о безопасности пользователей, разумеется.
Они, кстати, и DNS через себя пустили, стачала через 8.8.8.8, а потом и через DoH, зашифрованный DNS с HTTP-транспортом, который, как несложно догадаться, в бровсерах от Гугля включем по умолчанию и терминируется на серверах Гугля. Изучение DNS-трафика пользователей даёт очень много информации для составления профиля пользователей, которая теперь интернет-провайдерам тоже недоступна.
Здравствуйте, vsb, Вы писали:
vsb>Вот банальный Clipboard API. Это чтобы я на гитхабе нажал кнопочку и содержимое просматриваемого файла скопировалось бы в буфер обмена в исходном виде.
Если для типичного пользователя гитахаба эта возможность является сколько-нибудь важной, то мне очень печально от того, что уровень этого типичного пользователя настолько близок к уровню плинтуса.
vsb>Или Geolocation API — каждый первый магазин хочет знать, из какого я города, по вполне разумной причине (чтобы показывать мне наличие товара, например).
Здравствуйте, Stanislaw K, Вы писали:
SK>В выдаче поисковиков нет сайтов без https.
Наберите в гугле и яндексе запрос "андрей столяров" — первым пунктом будет ссылка на его личный сайт, где он принципиально не использует HTTPS (именно поэтому первым в голову и пришло).
Когда что-то вдумчиво ищу — регулярно попадаю из выдачи поисковиков на HTTP-only сайты. Ну да, поисковики ранжируют HTTPS выше, но, практически по любому мало-мальски нетривиальному запросу, первые несколько страниц один хрен забиты рекламным говном.
SK>Браузеры, с настройками по умолчанию, пугают очень страшными красными словами и просто не открывают сайты по https, без сложных телодвижений.
Вы не попутали с HTTPS и протухшим сертификатом? Я свои Firefox и Chrome никогда и ничего в этом плане не настраивал, и никаких "сложных телодвижений" не совершал — открывают без предупреждений. Разумеется, показывают заметный значок слева от адресной строки, но и только.
Если в общих чертах, в кибер-безопасности это обычное дело — перебор средств и мер и наоборот, неадекватно слабая защита. Не только потому что спецов мало, а потому что риски сложно оценить. С небезопаснической функциональностью софта всё просто — есть фидбек пользователя, и есть реакция производителя (или нет, но пользователям понятен расклад). В случае с безопасностью — это очень часто большой сюрприз, как внезапный взрыв непонятной хрени, которая моментально касается всех пользователей. В случае с TLS его отсутствия — это что-то типа использования кэша в США. Типа, да, можно при мелких покупках, но вообще — средство для бандитов.
Здравствуйте, Евгений Музыченко, Вы писали:
SK>>В выдаче поисковиков нет сайтов без https.
ЕМ>Наберите в гугле и яндексе запрос "андрей столяров" — первым пунктом будет ссылка на его личный сайт,
Шестым.
ЕМ>где он принципиально не использует HTTPS (именно поэтому первым в голову и пришло).
Первым в результатах выдачи яндекса, и что первым приходит в голову — "ФСБ" http://www.fsb.ru/ (и, кажется, "кремль" http://www.kremlin.ru/ да)
ЕМ>Когда что-то вдумчиво ищу — регулярно попадаю из выдачи поисковиков на HTTP-only сайты. Ну да, поисковики ранжируют HTTPS выше, но, практически по любому мало-мальски нетривиальному запросу, первые несколько страниц один хрен забиты рекламным говном.
(галка {никогда не показывать мне "результаты" с этого "сайта"} была бы у поисковиков киллерфичей для продвинутых)
SK>>Браузеры, с настройками по умолчанию, пугают очень страшными красными словами и просто не открывают сайты по https, без сложных телодвижений.
ЕМ>Вы не попутали с HTTPS и протухшим сертификатом? Я свои Firefox и Chrome никогда и ничего в этом плане не настраивал, и никаких "сложных телодвижений" не совершал — открывают без предупреждений. Разумеется, показывают заметный значок слева от адресной строки, но и только.
firefox да, более лоялен.
А хромоподобное постоянно показывает красные плакаты-предупреждения о "мошеннических сайтах", не дает скачать файл разнообразно "глючит", даже с локальными(!) сайтами если к ним "ходить" по именам. или по ip отличающимися от 192.168/16 (милое дело, у меня несколько в 172.32.хх.хх и много в 10.х.х.х)
и всегда оно упорно пытается перейти на https, что доставляет неудобства и тормозит.
Здравствуйте, cppguard, Вы писали:
wl.>>Зачем их заставили выписывать сертификаты для соединения?
C>Никто не заставлял. Без HTTPS любой посредник в цепочке передачи пакетов может прочитать и/или подменить входящую и исходящую информацию. Чем это плохо, должно быть очевидно.
Да нет, не должно быть. Кто-то вместе со мной прочитает статью в википедии? Да и пусть его читает. Кто-то подменит мой пост на RSDN? Экспериментом установлено, что это никому не нужно; с другой стороны, да и шут бы с ним, подменяй. Так что нет, совершенно не очевидно, чем это плохо.
Здравствуйте, Anton Batenev, Вы писали:
wl.>> по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
AB>Считаю, что TLS (или любая другая технология защиты от MITM) должны быть абсолютно везде, где идет передача к-л данных.
Здравствуйте, Stanislaw K, Вы писали:
SK>А хромоподобное постоянно показывает красные плакаты-предупреждения о "мошеннических сайтах"
Ни разу такого не видел именно на факт использования HTTP — оно реагирует на содержимое, рейтинг и подобное.
SK>разнообразно "глючит", даже с локальными(!) сайтами если к ним "ходить" по именам.
Ну, в этом есть определенный смысл — при том, что в большинстве локалок имеет место бардак, нетрудно поднять на каком-нибудь узле сайт-ловушку для доверчивых соседей.
SK>и всегда оно упорно пытается перейти на https, что доставляет неудобства и тормозит.
Здравствуйте, wl., Вы писали:
wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
Я не считаю, я знаю, что некоторые пидорасы, вроде Билайна, встраивали в HTTP-трафик свою рекламу. С https это не получится.
Здравствуйте, Евгений Музыченко, Вы писали:
SK>>разнообразно "глючит", даже с локальными(!) сайтами если к ним "ходить" по именам.
ЕМ>Ну, в этом есть определенный смысл — при том, что в большинстве локалок имеет место бардак, нетрудно поднять на каком-нибудь узле сайт-ловушку для доверчивых соседей.
Какие у вас криминальные мыслишки...
SK>>и всегда оно упорно пытается перейти на https, что доставляет неудобства и тормозит.
ЕМ>"Оно" — это кто,
хромоподобное.
ЕМ>и как именно "пытается"?
У меня иногда встречается что на хосте на 80 порту висит один сервис, а на 443 другой сервис. хромоподелки всё время пытаются без спросу "перейти на защищенный".
Здравствуйте, Слава, Вы писали:
wl.>>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
С>Я не считаю, я знаю, что некоторые пидорасы, вроде Билайна, встраивали в HTTP-трафик свою рекламу. С https это не получится.
ну ради бога, я же вовсе не против шифрования, мне не очень понятен смысл, зачем для этого нужны сертификаты, заверенные удостоверяющим центром. Вот это — лишнее звено.
Как будто всех сгребли под одну гребенку, что банки, что хомяков
Здравствуйте, wl., Вы писали:
С>>Я не считаю, я знаю, что некоторые пидорасы, вроде Билайна, встраивали в HTTP-трафик свою рекламу. С https это не получится.
wl.>ну ради бога, я же вовсе не против шифрования, мне не очень понятен смысл, зачем для этого нужны сертификаты, заверенные удостоверяющим центром. Вот это — лишнее звено. wl.>Как будто всех сгребли под одну гребенку, что банки, что хомяков
А как по-твоему можно шифровать без защиты от mitm?
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Pzz, Вы писали:
Pzz> Звучит, как религиозная догма.
Это просто новая реальность, у которой даже есть свое название "zero-trust". И появилось оно не на пустом месте а благодаря множеству инцидентов с разной степенью урона.
Здравствуйте, Anton Batenev, Вы писали:
Pzz>> Звучит, как религиозная догма.
AB>Это просто новая реальность, у которой даже есть свое название "zero-trust". И появилось оно не на пустом месте а благодаря множеству инцидентов с разной степенью урона.
Но однако Certification Authority, веб-бровсеру и протоколу AES-GCM ты веришь. А я б не стал.
Здравствуйте, Stanislaw K, Вы писали:
SK>ЕМНИП в https изначально был вариант использовать такой упрощенный алгоритм.
В интернете ничего не нашёл по этому поводу. В любом случае, для оптимальной работы проверка целостности должна быть реализована на уровне выше транспортного, чтобы мы, грубо говоря, могли вызвать sendfile() или splice(), получить/отправить данные через DMA, и подключить CPU к работе только в конце, когда требуется выполнить проверку целостности.
Здравствуйте, Anton Batenev, Вы писали:
Pzz>> Но однако Certification Authority, веб-бровсеру и протоколу AES-GCM ты веришь. А я б не стал.
AB>Не то, чтобы я верю, но это разумный компромисс.
Здравствуйте, Stanislaw K, Вы писали:
SK>У меня иногда встречается что на хосте на 80 порту висит один сервис, а на 443 другой сервис.
Какой в этом может быть смысл, кроме как умышленно создать путаницу? Я бы сильно удивился, обнаружив, что на http://domain и https://domain отвечают разные сервисы.
SK>хромоподелки всё время пытаются без спросу "перейти на защищенный".
Вот только что отключил на одном из своих сайтов принудительный переход в HTTPS, набрал URL в Chrome без префикса протокола — он пошел на 80, не пытаясь ходить на 443.
Здравствуйте, wl., Вы писали:
С>>Я не считаю, я знаю, что некоторые пидорасы, вроде Билайна, встраивали в HTTP-трафик свою рекламу. С https это не получится.
wl.>ну ради бога, я же вовсе не против шифрования, мне не очень понятен смысл, зачем для этого нужны сертификаты, заверенные удостоверяющим центром. Вот это — лишнее звено. wl.>Как будто всех сгребли под одну гребенку, что банки, что хомяков
А другого шифрования не бывает! Или такое, или никакое, которое провайдер сломает и будет снова рекламу вставлять.
Здравствуйте, wl., Вы писали:
wl.>>>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
С>>Я не считаю, я знаю, что некоторые пидорасы, вроде Билайна, встраивали в HTTP-трафик свою рекламу. С https это не получится.
wl.>ну ради бога, я же вовсе не против шифрования, мне не очень понятен смысл, зачем для этого нужны сертификаты, заверенные удостоверяющим центром. Вот это — лишнее звено. wl.>Как будто всех сгребли под одну гребенку, что банки, что хомяков
Ну потому что истории не смотришь. Всегда в таких случаях надо проверять, были ли альтернативы и чем они кончили.
Альтернативная система была рождена и испытана (возможно, и не один раз). Кросс-аутентификация в стиле PGP. Когда сделали PGP, было много надежд на свободное сообщество и доверие в нём. Были и есть сервера ключей. Были PGP-parties, на которых вживую собирались незнакомые люди и удостоверяли друг друга по документам. Были правила типа "Вася удостоверяет Петю, я Васе верю как себе, значит, я удостоверяю сертификат Пети".
И как ты думаешь, чем это закончилось? Правильно — "хомяки" не потянули это.
На самом деле вопрос тут интересный тем, что были и государственные системы, но до-электронного периода. Например, Германия этим отличилась, AFAIR, в ранний цельный период: паспорт мог выписать кто угодно, важно было количество и разнообразие подписей прямо в нём "да, это действительно Ханс Пфельцер из Торгау, родившийся в 1880".
Вот потому оно и не выстрелило, иерархия оказалась не просто проще всем — она оказалась реализуемой и в то же время достаточно надёжной и доверяемой.
А для иерархии и нужен удостоверяющий центр (ну, по факту, их оказалось полсотни, но большинство это частные на группу банков, которые больше ни во что не лезут) и опять же централизованный способ распространения их данных (если ты с виндой не веришь M$, то кому вообще веришь?)
Хочешь альтернативу? Попробуй сделать административно и технически работающую на сети (вместо деревьев) доверия. Если получится, заработаешь миллионы...
Здравствуйте, Евгений Музыченко, Вы писали:
SK>>У меня иногда встречается что на хосте на 80 порту висит один сервис, а на 443 другой сервис.
ЕМ>Какой в этом может быть смысл, кроме как умышленно создать путаницу?
В чём путаница?
ЕМ>Я бы сильно удивился, обнаружив, что на http://domain и https://domain отвечают разные сервисы.
SK>>хромоподелки всё время пытаются без спросу "перейти на защищенный".
ЕМ>Вот только что отключил на одном из своих сайтов принудительный переход в HTTPS, набрал URL в Chrome без префикса протокола — он пошел на 80, не пытаясь ходить на 443.
Здравствуйте, wl., Вы писали:
wl.>Сначала был HTTP, и он всех устраивал, потом ввели HTTPS для сайтов, которым важна безопасность. Таких сайтов много, начиная от банков, заканчивая MS. wl.>Но ещё больше сайтов, которым достаточно было бы, чтобы просто не plain-text передавался. Зачем их заставили выписывать сертификаты для соединения? Чтобы что?
А почему бы и нет? В чем недостатки?
wl.>Навеяло тем, что недавно у RSDN протух сертификат, по мне так это какой-то лишнее звено в этих наших интернетах. Как вы считаете?
По той же логике надо лишнее звено в виде DNS убрать. Оно же тоже протухнуть может.
Здравствуйте, Pzz, Вы писали:
Pzz>Здравствуйте, Anton Batenev, Вы писали:
Pzz>>> Звучит, как религиозная догма.
AB>>Это просто новая реальность, у которой даже есть свое название "zero-trust". И появилось оно не на пустом месте а благодаря множеству инцидентов с разной степенью урона.
Pzz>Но однако Certification Authority, веб-бровсеру и протоколу AES-GCM ты веришь. А я б не стал.
А почему нет?
Бровсер опен-сорсный — поэтому с большой вероятностью там всё хорошо.
Если доверяем броузеру — значит доверяем и тому что он будет проверять наличие сертификатов в certificate transparency log. Поэтому CA доверять уже необязательно.
В алгоритмах шифрования сомневаться — ну такое. Очередной heartbleed веротянее чем уязвимость алгоритма.
Здравствуйте, Константин Б., Вы писали:
Pzz>>Но однако Certification Authority, веб-бровсеру и протоколу AES-GCM ты веришь. А я б не стал.
КБ>А почему нет? КБ>Бровсер опен-сорсный — поэтому с большой вероятностью там всё хорошо.
Ага, щаз. Ты ему внутрь заглядывал? Там километры кода во все стороны. Код хороший, но с учётом объема я с большим скепсисом отношусь к перспективам его адекватного анализа. Там больше кода, чем во всей остальной операционной системе, вместе взятой.
Ошибки в нём точно совершенно есть потому, что в некоторых ситуациях он падает. Официальная позиция, озвучиваемая Гуглём, заключается в том, что современный рендерер — это настолько сложная штука, что на 100% гарантировать отсутствие в нём ошибок не представлятся возможным. Поэтому он запускается в контейнере, степень и качество изоляции которого зависит от ОС, и, в некоторых случаях, от доступный ресурсов (больше памяти и процессора — больше изоляции).
Есть ли в нём не случайные ошибки, а сознательные закладки, никому, разумеется, неизвестно. А кому известно, тот не скажет.
И учти, что гуглохромиум, например, вовсе не считает передачу каких-либо данный на гугловые сервера нарушением конфиденциальности пользователя.
КБ>Если доверяем броузеру — значит доверяем и тому что он будет проверять наличие сертификатов в certificate transparency log. Поэтому CA доверять уже необязательно.
В мире больше сотни CA, которым доверяет бровсер. Разумеется, у них у всех кристальная репутация, абсолютная неподкупность и они не уступят под давлением правительства тех стран, в юрисдикции которых они ведут свой бизнес.
КБ>В алгоритмах шифрования сомневаться — ну такое. Очередной heartbleed веротянее чем уязвимость алгоритма.
Меня смущает, что все прочие алгоритмы шифрования постепенно оказались вытесненными AES-GCM. Который по удачному совпадению является американским стандартом.
Истории, когда рекомендованные американские алгоритмы неожиданно вдруг оказывались с закладками, уже случались.
Здравствуйте, Stanislaw K, Вы писали:
SK>>>У меня иногда встречается что на хосте на 80 порту висит один сервис, а на 443 другой сервис. ЕМ>>Какой в этом может быть смысл, кроме как умышленно создать путаницу? SK>В чём путаница?
В том, что пара однотипных по замыслу сервисов (HTTP/HTTPS) подменяется разнотипной.
SK>А разные сервисы http://domainhttp://domain:8080 не удивляют?
Если на 8080 тоже HTTP, но отвечает другой хост — нет, ибо это вполне традиционный способ коммутации. Если на 8080 отвечает какой-нибудь SSH — удивит, конечно.
Здравствуйте, netch80, Вы писали:
N>Альтернативная система была рождена и испытана (возможно, и не один раз). Кросс-аутентификация в стиле PGP. Когда сделали PGP, было много надежд на свободное сообщество и доверие в нём. Были и есть сервера ключей. Были PGP-parties, на которых вживую собирались незнакомые люди и удостоверяли друг друга по документам. Были правила типа "Вася удостоверяет Петю, я Васе верю как себе, значит, я удостоверяю сертификат Пети".
N>И как ты думаешь, чем это закончилось? Правильно — "хомяки" не потянули это.
Т.е., всё упирается, как всегда в пользовательский интерфейс.
N>Хочешь альтернативу? Попробуй сделать административно и технически работающую на сети (вместо деревьев) доверия. Если получится, заработаешь миллионы...
Интересно, что понятный простому человеку задел уже существует. Вся эта OAuth авторизация, когда некий ресурс доверяет условному Твиттеру идентифицировать евонных пользователей — сюда бы добавить еще и в обратную сторону, когда пользователь доверяет тому же условному Твиттеру идентифицировать ресурс.
Получается не совсем чтобы сеть доверия, но и не дерево мутных совершенно и практически анонимных, для простого пользователя, CA. Т.е. OAuth выносит в область видимости пользователя ту самую третью сторону, которая обеспечивает доверие. Причем это понятный пользователю большой сервис, играющий в жизни пользователя какую-то роль помимо доверия и обладающий репутацией, а не какая-то мутная организация по выписыванию сертификатов.
Здравствуйте, Pzz, Вы писали:
N>>Альтернативная система была рождена и испытана (возможно, и не один раз). Кросс-аутентификация в стиле PGP. Когда сделали PGP, было много надежд на свободное сообщество и доверие в нём. Были и есть сервера ключей. Были PGP-parties, на которых вживую собирались незнакомые люди и удостоверяли друг друга по документам. Были правила типа "Вася удостоверяет Петю, я Васе верю как себе, значит, я удостоверяю сертификат Пети".
N>>И как ты думаешь, чем это закончилось? Правильно — "хомяки" не потянули это.
Pzz>Т.е., всё упирается, как всегда в пользовательский интерфейс.
В пользователей. Задаче не по разуму сколько ни упрощай интерфейс, результата не будет.
N>>Хочешь альтернативу? Попробуй сделать административно и технически работающую на сети (вместо деревьев) доверия. Если получится, заработаешь миллионы... Pzz>Интересно, что понятный простому человеку задел уже существует. Вся эта OAuth авторизация, когда некий ресурс доверяет условному Твиттеру идентифицировать евонных пользователей — сюда бы добавить еще и в обратную сторону, когда пользователь доверяет тому же условному Твиттеру идентифицировать ресурс.
Это, конечно, интересно — сделать таким образом размазывание на много авторитетов по вкусу пользователя... но опять же идём технически. Каждый раз, когда открывается какой-то URL, идут запросы ко всем гуглам, твиттерам и пр. "авторизуете ли вы это?" Да они сдохнут под нагрузкой.
Я в этом варианте больше поверю, что гугл и твиттер будут давать подсказки "поставьте вот это наше расширение в браузер и оно додаст наш сертификат в корневые доверенные". Это хоть как-то реализуемо — и, думаю, вполне имеет смысл... хотя google.com и так имеет корнем некий Google Trust Services, так что это уже сделано.
А вот возможности делать разные уровни доверия разными корням в браузере не предусмотрено — система плоская: или да, или нет. Как с динозавром на Крещатике. А я бы как раз хотел видеть назначение им разных уровней доверия, тегов, ограничений (типа "а какого хрена корень Первого Межбанковского Траста подписывает что-то в .ua? показать красным и даже message box, чтобы я трижды подумал, что это").
Pzz>Получается не совсем чтобы сеть доверия, но и не дерево мутных совершенно и практически анонимных, для простого пользователя, CA. Т.е. OAuth выносит в область видимости пользователя ту самую третью сторону, которая обеспечивает доверие. Причем это понятный пользователю большой сервис, играющий в жизни пользователя какую-то роль помимо доверия и обладающий репутацией, а не какая-то мутная организация по выписыванию сертификатов.
Pzz>Пойдём уже делать миллионы?
Нет. См. выше.
А вот добавить к иерархической системе, чтобы все поддерживали возможность отдачи нескольких альтернативных цепочек сертификатов, и разметку доверия на уровне пользователя — вот это стоит хотя бы вчерне технически проработать. Just IMHO.
Здравствуйте, vsb, Вы писали:
vsb>1. Наличие TLS ставит цензоров перед выбором — или блокировать всю платформу вроде youtube, или не блокировать отдельные видео. Опции блокировки отдельных видео без содействия америки — нет. То же касается остальных крупных сайтов.
vsb>4. Когда Казахстан попытался "сломать" эту игру введением государственного MITM, реакция Google и Mozilla была молниеносной — они тут же внесли сертификат Казахстана в чёрный список, чем сломали этот MITM.
Ну с точки зрения государства я не вижу серьезных проблем.
Ну кроме обычных — на этой уйдет много средств и граждане будут недовольны.
Просто перенаправить с помощью DNS на свои сервера весь трафик,
и выпустить "ROOT Certificate", обязав всех производителей и импортеров
готовых изделий с предустановленной ОС, добавить этот "ROOT Certificate" в список доверенных.
Если отдельные браузеры выпустят какие-то заплатки,
то просто эти браузеры перестанут открывать сайты и потеряют аудиторию и все.
Конечно будет куча недовольства и возможно в течении нескольких недель
бедлам по всему Казахстану пока все не научатся работать в новых условиях.
И наверное именно этого опасается правительство Казахстана, то откатывая, то накатывая
со своими требованиями добавить сертификат в доверенные.
А так, насколько я знаю "TLS" прослушивает несколько крупных компаний в своей локальной сети,
да и антивирусы это умеют. И firefox,chrome,edge не блокируют эти компании и антивирусы.
Здравствуйте, Pzz, Вы писали:
Pzz>Здравствуйте, Константин Б., Вы писали:
Pzz>>>Но однако Certification Authority, веб-бровсеру и протоколу AES-GCM ты веришь. А я б не стал.
КБ>>А почему нет? КБ>>Бровсер опен-сорсный — поэтому с большой вероятностью там всё хорошо.
Pzz>Ага, щаз. Ты ему внутрь заглядывал? Там километры кода во все стороны. Код хороший, но с учётом объема я с большим скепсисом отношусь к перспективам его адекватного анализа. Там больше кода, чем во всей остальной операционной системе, вместе взятой*
И сколько этого кода относится к ssl?
Pzz>Ошибки в нём точно совершенно есть потому, что в некоторых ситуациях он падает. Официальная позиция, озвучиваемая Гуглём, заключается в том, что современный рендерер — это настолько сложная штука, что на 100% гарантировать отсутствие в нём ошибок не представлятся возможным. Поэтому он запускается в контейнере, степень и качество изоляции которого зависит от ОС, и, в некоторых случаях, от доступный ресурсов (больше памяти и процессора — больше изоляции).
А причем здесь рендерер если речь про ssl?
Pzz>И учти, что гуглохромиум, например, вовсе не считает передачу каких-либо данный на гугловые сервера нарушением конфиденциальности пользователя.
А причем здесь гуглохромиум? Есть и другие браузеры
КБ>>Если доверяем броузеру — значит доверяем и тому что он будет проверять наличие сертификатов в certificate transparency log. Поэтому CA доверять уже необязательно.
Pzz>В мире больше сотни CA, которым доверяет бровсер. Разумеется, у них у всех кристальная репутация, абсолютная неподкупность и они не уступят под давлением правительства тех стран, в юрисдикции которых они ведут свой бизнес.
Выделил специально для тебя, потому что ты явно прочитал что-то своё. Выпустить паленый сертификат и подменить его так чтобы никто не заметил — практически невозможно.
Здравствуйте, Zhendos, Вы писали:
Z>Здравствуйте, vsb, Вы писали:
vsb>>1. Наличие TLS ставит цензоров перед выбором — или блокировать всю платформу вроде youtube, или не блокировать отдельные видео. Опции блокировки отдельных видео без содействия америки — нет. То же касается остальных крупных сайтов.
vsb>>4. Когда Казахстан попытался "сломать" эту игру введением государственного MITM, реакция Google и Mozilla была молниеносной — они тут же внесли сертификат Казахстана в чёрный список, чем сломали этот MITM.
Z>Ну с точки зрения государства я не вижу серьезных проблем. Z>Ну кроме обычных — на этой уйдет много средств и граждане будут недовольны. Z> ... Z>Конечно будет куча недовольства и возможно в течении нескольких недель Z>бедлам по всему Казахстану пока все не научатся работать в новых условиях.
В том то и дело. Сделать mitm незаметно - не выйдет. А если заметно — да еще требуется содействие пользователя — то какой в этом смысл. И чем нешифрованный http тут будет лучше...
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Здравствуйте, Stanislaw K, Вы писали:
SK>>>>У меня иногда встречается что на хосте на 80 порту висит один сервис, а на 443 другой сервис. ЕМ>>>Какой в этом может быть смысл, кроме как умышленно создать путаницу? SK>>В чём путаница?
ЕМ>В том, что пара однотипных по замыслу сервисов (HTTP/HTTPS) подменяется разнотипной.
Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp).
SK>>А разные сервисы http://domainhttp://domain:8080 не удивляют?
ЕМ>Если на 8080 тоже HTTP, но отвечает другой хост — нет, ибо это вполне традиционный способ коммутации. Если на 8080 отвечает какой-нибудь SSH — удивит, конечно.
Здравствуйте, Константин Б., Вы писали:
Pzz>>Но однако Certification Authority, веб-бровсеру и протоколу AES-GCM ты веришь. А я б не стал.
КБ>А почему нет? КБ>Бровсер опен-сорсный — поэтому с большой вероятностью там всё хорошо.
В много более простом OpenSSL десятилетия существовали преднамеренные закладки и случайные ошибки.
Браузеры, с миллиардом строк кода не проходили аудита никогда.
Многочисленные браузерные плагины и подавно, хотя их много раз ловили на сливе конфиденциальной информации, и целенаправленной краже банковских аккаунтов.
Здравствуйте, Stanislaw K, Вы писали:
ЕМ>>В том, что пара однотипных по замыслу сервисов (HTTP/HTTPS) подменяется разнотипной. SK>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp).
А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем?
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
ЕМ>>>В том, что пара однотипных по замыслу сервисов (HTTP/HTTPS) подменяется разнотипной. SK>>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp). ·>А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем?
Так сложилось исторически.
ЕМНИП, в одной распространенной конфигурации по умолчанию httpd (nginx/apache) примерно такое же поведение. document root для http и https указывают в разные места соответственно.
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, Константин Б., Вы писали:
Pzz>>>Но однако Certification Authority, веб-бровсеру и протоколу AES-GCM ты веришь. А я б не стал.
КБ>>А почему нет? КБ>>Бровсер опен-сорсный — поэтому с большой вероятностью там всё хорошо.
SK>В много более простом OpenSSL десятилетия существовали преднамеренные закладки и случайные ошибки.
В браузерах используется какая-то своя реализация ssl? Тотже openssl там.
SK>Браузеры, с миллиардом строк кода не проходили аудита никогда. SK>Многочисленные браузерные плагины и подавно, хотя их много раз ловили на сливе конфиденциальной информации, и целенаправленной краже банковских аккаунтов.
Здравствуйте, Stanislaw K, Вы писали:
ЕМ>>>>В том, что пара однотипных по замыслу сервисов (HTTP/HTTPS) подменяется разнотипной. SK>>>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp). SK>·>А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем? SK>Так сложилось исторически.
Т.е. если говорить прямо: кривой баг, надо фиксить.
SK>ЕМНИП, в одной распространенной конфигурации по умолчанию httpd (nginx/apache) примерно такое же поведение. document root для http и https указывают в разные места соответственно.
По умолчанию шарится "/var/www/html" для всего.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Константин Б., Вы писали:
КБ>>>Бровсер опен-сорсный — поэтому с большой вероятностью там всё хорошо.
SK>>В много более простом OpenSSL десятилетия существовали преднамеренные закладки и случайные ошибки.
КБ>В браузерах используется какая-то своя реализация ssl? Тотже openssl там.
Это как-то исправляет ошибки openSSL или облегчает аудит кода браузера?
SK>>Браузеры, с миллиардом строк кода не проходили аудита никогда. SK>>Многочисленные браузерные плагины и подавно, хотя их много раз ловили на сливе конфиденциальной информации, и целенаправленной краже банковских аккаунтов.
КБ>Ну не ставь многочисленные плагины.
Здравствуйте, ·, Вы писали:
·>А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем? SK>>Так сложилось исторически. ·>Т.е. если говорить прямо: кривой баг, надо фиксить.
Две глупости сразу говоришь.
SK>>ЕМНИП, в одной распространенной конфигурации по умолчанию httpd (nginx/apache) примерно такое же поведение. document root для http и https указывают в разные места соответственно. ·>По умолчанию шарится "/var/www/html" для всего.
Тебя в этой жизни ждет много удивительных открытий.
Здравствуйте, Константин Б., Вы писали:
Pzz>>Ага, щаз. Ты ему внутрь заглядывал? Там километры кода во все стороны. Код хороший, но с учётом объема я с большим скепсисом отношусь к перспективам его адекватного анализа. Там больше кода, чем во всей остальной операционной системе, вместе взятой*
КБ>И сколько этого кода относится к ssl?
А ssl — это единственное уязвимое место в бровсере? Мы вроде вообще про доверие говорили, а не про маленький кусочек.
Pzz>>Ошибки в нём точно совершенно есть потому, что в некоторых ситуациях он падает. Официальная позиция, озвучиваемая Гуглём, заключается в том, что современный рендерер — это настолько сложная штука, что на 100% гарантировать отсутствие в нём ошибок не представлятся возможным. Поэтому он запускается в контейнере, степень и качество изоляции которого зависит от ОС, и, в некоторых случаях, от доступный ресурсов (больше памяти и процессора — больше изоляции).
КБ>А причем здесь рендерер если речь про ssl?
При том, что не только эсэсэлью определяется безопасность.
Pzz>>И учти, что гуглохромиум, например, вовсе не считает передачу каких-либо данный на гугловые сервера нарушением конфиденциальности пользователя.
КБ>А причем здесь гуглохромиум? Есть и другие браузеры
Не думаю, что у них сильно лучше.
Pzz>>В мире больше сотни CA, которым доверяет бровсер. Разумеется, у них у всех кристальная репутация, абсолютная неподкупность и они не уступят под давлением правительства тех стран, в юрисдикции которых они ведут свой бизнес.
КБ>Выделил специально для тебя, потому что ты явно прочитал что-то своё. Выпустить паленый сертификат и подменить его так чтобы никто не заметил — практически невозможно.
Здравствуйте, Stanislaw K, Вы писали:
SK>·>А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем? SK>>>Так сложилось исторически. SK>·>Т.е. если говорить прямо: кривой баг, надо фиксить. SK>Две глупости сразу говоришь.
Ага. Проблемы с хромом у тебя, а глупости говорю я, оказывается.
SK>>>ЕМНИП, в одной распространенной конфигурации по умолчанию httpd (nginx/apache) примерно такое же поведение. document root для http и https указывают в разные места соответственно. SK>·>По умолчанию шарится "/var/www/html" для всего. SK>Тебя в этой жизни ждет много удивительных открытий.
Не нужны такие открытия, закрывай обратно.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Stanislaw K, Вы писали:
SK>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp).
Ну, желаю Вам ездить на автомобиле с педалью газа слева и тормоза — справа. Даже если будет немножко неудобно — сможете похвастаться необычной конфигурацией, а то и неожиданные достоинства обнаружите...
Здравствуйте, Константин Б., Вы писали:
SK>>В много более простом OpenSSL десятилетия существовали преднамеренные закладки и случайные ошибки.
КБ>В браузерах используется какая-то своя реализация ssl? Тотже openssl там.
Да, своя. Причем разная в мозиле и в гуглохромиуме.
Здравствуйте, Zhendos, Вы писали:
Z>А так, насколько я знаю "TLS" прослушивает несколько крупных компаний в своей локальной сети, Z>да и антивирусы это умеют. И firefox,chrome,edge не блокируют эти компании и антивирусы.
А как они это делают, устанавливают какой-то свой (корневой?) сертификат принудительно или как-то
что-то подменяют?
Здравствуйте, netch80, Вы писали:
Pzz>>Т.е., всё упирается, как всегда в пользовательский интерфейс.
N>В пользователей. Задаче не по разуму сколько ни упрощай интерфейс, результата не будет.
Дело не в упрощении, а в формировании понятной метафоры. Понятной нормальному человеку, а не доктору наук по информационной безопасности.
Всякий человек может понять, кому он доверяет и на каком основании.
N>Это, конечно, интересно — сделать таким образом размазывание на много авторитетов по вкусу пользователя... но опять же идём технически. Каждый раз, когда открывается какой-то URL, идут запросы ко всем гуглам, твиттерам и пр. "авторизуете ли вы это?" Да они сдохнут под нагрузкой.
Зачем?
Просто если ты авторизуешься на некотором сайте через твиттер, то твой бровсер должен доверять для этого сайта сертификату, подписанному твиттером. Ну и сайт должен соображать, какой сертификат тебе подсунуть.
N>А вот возможности делать разные уровни доверия разными корням в браузере не предусмотрено — система плоская: или да, или нет. Как с динозавром на Крещатике. А я бы как раз хотел видеть назначение им разных уровней доверия, тегов, ограничений (типа "а какого хрена корень Первого Межбанковского Траста подписывает что-то в .ua? показать красным и даже message box, чтобы я трижды подумал, что это").
Бровзер не отлит из силикона, в него вполне реально внести изменения.
Зачем нужны разные уровни доверия, мне не понятно. В конечном итоге, решение бинарное: доверять или нет.
Pzz>>Пойдём уже делать миллионы?
N>Нет. См. выше.
Передумаешь — приходи
N>А вот добавить к иерархической системе, чтобы все поддерживали возможность отдачи нескольких альтернативных цепочек сертификатов, и разметку доверия на уровне пользователя — вот это стоит хотя бы вчерне технически проработать. Just IMHO.
По-моему, ты хочешь что-то очень сложное придумать. Невозможно будет объяснить, как этим пользоваться.
Здравствуйте, Sharov, Вы писали:
S> А как они это делают, устанавливают какой-то свой (корневой?) сертификат принудительно или как-то S> что-то подменяют?
Здравствуйте, cppguard, Вы писали:
SK>>ЕМНИП в https изначально был вариант использовать такой упрощенный алгоритм.
C>В интернете ничего не нашёл по этому поводу.
SK>>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp).
ЕМ>Ну, желаю Вам ездить на автомобиле с педалью газа слева и тормоза — справа. Даже если будет немножко неудобно — сможете похвастаться необычной конфигурацией, а то и неожиданные достоинства обнаружите...
Здравствуйте, Константин Б., Вы писали:
КБ>В том то и дело. Сделать mitm незаметно - не выйдет.
ЕМНИП некоторые сервисы CDN делают незаметный mitm.
Есть была такая тулза https://github.com/tg-x/certpatrolCertificate Patrol, одной из своих функций предупреждающая о внезапном изменении сертификата.
Открываешь, она запоминает его сертификат. Если при следующем посещении сертификат изменился, она предупреждает и показывает сравнение реквизитов предыдущего и нового сертификата.
так вот — у сайтов, за некоторыми CDN, сертификаты подменяются "на лету" несколько раз за час (т.е. буквально почитал, переходишь к следующей странице — там другой сертификат, переходишь к следующей странице — получаешь третий сертификат), при этом сертификаты выданы разными CA, в разное время.
КБ>А если заметно — да еще требуется содействие пользователя
Очень удобно, а http нет. Пришлось из линуха скачать.
