ЕМ>>>В том, что пара однотипных по замыслу сервисов (HTTP/HTTPS) подменяется разнотипной. SK>>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp). ·>А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем?
Так сложилось исторически.
ЕМНИП, в одной распространенной конфигурации по умолчанию httpd (nginx/apache) примерно такое же поведение. document root для http и https указывают в разные места соответственно.
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, Константин Б., Вы писали:
Pzz>>>Но однако Certification Authority, веб-бровсеру и протоколу AES-GCM ты веришь. А я б не стал.
КБ>>А почему нет? КБ>>Бровсер опен-сорсный — поэтому с большой вероятностью там всё хорошо.
SK>В много более простом OpenSSL десятилетия существовали преднамеренные закладки и случайные ошибки.
В браузерах используется какая-то своя реализация ssl? Тотже openssl там.
SK>Браузеры, с миллиардом строк кода не проходили аудита никогда. SK>Многочисленные браузерные плагины и подавно, хотя их много раз ловили на сливе конфиденциальной информации, и целенаправленной краже банковских аккаунтов.
Здравствуйте, Stanislaw K, Вы писали:
ЕМ>>>>В том, что пара однотипных по замыслу сервисов (HTTP/HTTPS) подменяется разнотипной. SK>>>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp). SK>·>А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем? SK>Так сложилось исторически.
Т.е. если говорить прямо: кривой баг, надо фиксить.
SK>ЕМНИП, в одной распространенной конфигурации по умолчанию httpd (nginx/apache) примерно такое же поведение. document root для http и https указывают в разные места соответственно.
По умолчанию шарится "/var/www/html" для всего.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Константин Б., Вы писали:
КБ>>>Бровсер опен-сорсный — поэтому с большой вероятностью там всё хорошо.
SK>>В много более простом OpenSSL десятилетия существовали преднамеренные закладки и случайные ошибки.
КБ>В браузерах используется какая-то своя реализация ssl? Тотже openssl там.
Это как-то исправляет ошибки openSSL или облегчает аудит кода браузера?
SK>>Браузеры, с миллиардом строк кода не проходили аудита никогда. SK>>Многочисленные браузерные плагины и подавно, хотя их много раз ловили на сливе конфиденциальной информации, и целенаправленной краже банковских аккаунтов.
КБ>Ну не ставь многочисленные плагины.
Здравствуйте, ·, Вы писали:
·>А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем? SK>>Так сложилось исторически. ·>Т.е. если говорить прямо: кривой баг, надо фиксить.
Две глупости сразу говоришь.
SK>>ЕМНИП, в одной распространенной конфигурации по умолчанию httpd (nginx/apache) примерно такое же поведение. document root для http и https указывают в разные места соответственно. ·>По умолчанию шарится "/var/www/html" для всего.
Тебя в этой жизни ждет много удивительных открытий.
Здравствуйте, Константин Б., Вы писали:
Pzz>>Ага, щаз. Ты ему внутрь заглядывал? Там километры кода во все стороны. Код хороший, но с учётом объема я с большим скепсисом отношусь к перспективам его адекватного анализа. Там больше кода, чем во всей остальной операционной системе, вместе взятой*
КБ>И сколько этого кода относится к ssl?
А ssl — это единственное уязвимое место в бровсере? Мы вроде вообще про доверие говорили, а не про маленький кусочек.
Pzz>>Ошибки в нём точно совершенно есть потому, что в некоторых ситуациях он падает. Официальная позиция, озвучиваемая Гуглём, заключается в том, что современный рендерер — это настолько сложная штука, что на 100% гарантировать отсутствие в нём ошибок не представлятся возможным. Поэтому он запускается в контейнере, степень и качество изоляции которого зависит от ОС, и, в некоторых случаях, от доступный ресурсов (больше памяти и процессора — больше изоляции).
КБ>А причем здесь рендерер если речь про ssl?
При том, что не только эсэсэлью определяется безопасность.
Pzz>>И учти, что гуглохромиум, например, вовсе не считает передачу каких-либо данный на гугловые сервера нарушением конфиденциальности пользователя.
КБ>А причем здесь гуглохромиум? Есть и другие браузеры
Не думаю, что у них сильно лучше.
Pzz>>В мире больше сотни CA, которым доверяет бровсер. Разумеется, у них у всех кристальная репутация, абсолютная неподкупность и они не уступят под давлением правительства тех стран, в юрисдикции которых они ведут свой бизнес.
КБ>Выделил специально для тебя, потому что ты явно прочитал что-то своё. Выпустить паленый сертификат и подменить его так чтобы никто не заметил — практически невозможно.
Здравствуйте, Stanislaw K, Вы писали:
SK>·>А в чём мотивация-то?! Можно, конечно, сделать чтобы функциональное назначение хоть от фазы луны зависело. Но зачем? SK>>>Так сложилось исторически. SK>·>Т.е. если говорить прямо: кривой баг, надо фиксить. SK>Две глупости сразу говоришь.
Ага. Проблемы с хромом у тебя, а глупости говорю я, оказывается.
SK>>>ЕМНИП, в одной распространенной конфигурации по умолчанию httpd (nginx/apache) примерно такое же поведение. document root для http и https указывают в разные места соответственно. SK>·>По умолчанию шарится "/var/www/html" для всего. SK>Тебя в этой жизни ждет много удивительных открытий.
Не нужны такие открытия, закрывай обратно.
но это не зря, хотя, может быть, невзначай
гÅрмония мира не знает границ — сейчас мы будем пить чай
Здравствуйте, Stanislaw K, Вы писали:
SK>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp).
Ну, желаю Вам ездить на автомобиле с педалью газа слева и тормоза — справа. Даже если будет немножко неудобно — сможете похвастаться необычной конфигурацией, а то и неожиданные достоинства обнаружите...
Здравствуйте, Константин Б., Вы писали:
SK>>В много более простом OpenSSL десятилетия существовали преднамеренные закладки и случайные ошибки.
КБ>В браузерах используется какая-то своя реализация ssl? Тотже openssl там.
Да, своя. Причем разная в мозиле и в гуглохромиуме.
Здравствуйте, Zhendos, Вы писали:
Z>А так, насколько я знаю "TLS" прослушивает несколько крупных компаний в своей локальной сети, Z>да и антивирусы это умеют. И firefox,chrome,edge не блокируют эти компании и антивирусы.
А как они это делают, устанавливают какой-то свой (корневой?) сертификат принудительно или как-то
что-то подменяют?
Здравствуйте, netch80, Вы писали:
Pzz>>Т.е., всё упирается, как всегда в пользовательский интерфейс.
N>В пользователей. Задаче не по разуму сколько ни упрощай интерфейс, результата не будет.
Дело не в упрощении, а в формировании понятной метафоры. Понятной нормальному человеку, а не доктору наук по информационной безопасности.
Всякий человек может понять, кому он доверяет и на каком основании.
N>Это, конечно, интересно — сделать таким образом размазывание на много авторитетов по вкусу пользователя... но опять же идём технически. Каждый раз, когда открывается какой-то URL, идут запросы ко всем гуглам, твиттерам и пр. "авторизуете ли вы это?" Да они сдохнут под нагрузкой.
Зачем?
Просто если ты авторизуешься на некотором сайте через твиттер, то твой бровсер должен доверять для этого сайта сертификату, подписанному твиттером. Ну и сайт должен соображать, какой сертификат тебе подсунуть.
N>А вот возможности делать разные уровни доверия разными корням в браузере не предусмотрено — система плоская: или да, или нет. Как с динозавром на Крещатике. А я бы как раз хотел видеть назначение им разных уровней доверия, тегов, ограничений (типа "а какого хрена корень Первого Межбанковского Траста подписывает что-то в .ua? показать красным и даже message box, чтобы я трижды подумал, что это").
Бровзер не отлит из силикона, в него вполне реально внести изменения.
Зачем нужны разные уровни доверия, мне не понятно. В конечном итоге, решение бинарное: доверять или нет.
Pzz>>Пойдём уже делать миллионы?
N>Нет. См. выше.
Передумаешь — приходи
N>А вот добавить к иерархической системе, чтобы все поддерживали возможность отдачи нескольких альтернативных цепочек сертификатов, и разметку доверия на уровне пользователя — вот это стоит хотя бы вчерне технически проработать. Just IMHO.
По-моему, ты хочешь что-то очень сложное придумать. Невозможно будет объяснить, как этим пользоваться.
Здравствуйте, Sharov, Вы писали:
S> А как они это делают, устанавливают какой-то свой (корневой?) сертификат принудительно или как-то S> что-то подменяют?
Здравствуйте, cppguard, Вы писали:
SK>>ЕМНИП в https изначально был вариант использовать такой упрощенный алгоритм.
C>В интернете ничего не нашёл по этому поводу.
SK>>Сервисы однотипные, просто разные. и там и там http — на 80 plain http. на 443 secure http. но это web interface разного назначения, разного функционального назначения и обслуживаемые разными демонами (nginx apache lightphttp).
ЕМ>Ну, желаю Вам ездить на автомобиле с педалью газа слева и тормоза — справа. Даже если будет немножко неудобно — сможете похвастаться необычной конфигурацией, а то и неожиданные достоинства обнаружите...
Здравствуйте, Константин Б., Вы писали:
КБ>В том то и дело. Сделать mitm незаметно - не выйдет.
ЕМНИП некоторые сервисы CDN делают незаметный mitm.
Есть была такая тулза https://github.com/tg-x/certpatrolCertificate Patrol, одной из своих функций предупреждающая о внезапном изменении сертификата.
Открываешь, она запоминает его сертификат. Если при следующем посещении сертификат изменился, она предупреждает и показывает сравнение реквизитов предыдущего и нового сертификата.
так вот — у сайтов, за некоторыми CDN, сертификаты подменяются "на лету" несколько раз за час (т.е. буквально почитал, переходишь к следующей странице — там другой сертификат, переходишь к следующей странице — получаешь третий сертификат), при этом сертификаты выданы разными CA, в разное время.
КБ>А если заметно — да еще требуется содействие пользователя
Даже если будет немножко неудобно — сможете похвастаться необычной конфигурацией, а то и неожиданные достоинства обнаружите... 
