DOO>>Т.е. блокирует доступ не касперский, а браузер из-за жестких настроек HTTPS и отсутствия доверия сертификату каспера.
М>Интересно почему касперский сам не добавляет свои сертификаты во все установленные браузеры, неужели рассчитывают что пользователи будут сами во всем разбираться? Или добавляет?
Здравствуйте, Михaил, Вы писали:
М>Интересно почему касперский сам не добавляет свои сертификаты во все установленные браузеры, неужели рассчитывают что пользователи будут сами во всем разбираться? Или добавляет?
Предположу, что в системное хранилище сертификатов таки добавляет, но Firefox слишком крут, чтобы пользоваться системным и он держит свое
Здравствуйте, CreatorCray, Вы писали:
CC>Здравствуйте, DOOM, Вы писали:
DOO>>Т.е. блокирует доступ не касперский, а браузер из-за жестких настроек HTTPS и отсутствия доверия сертификату каспера. CC>Как по мне так браузер как раз делает всё правильно.
Как по мне — решать должен я, а не браузер. А то и получается, что гугл поссорился со StartSLL — и что? Мне теперь на половину сайтов просто не зайти?
Здравствуйте, IID, Вы писали:
IID>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Здравствуйте, IID, Вы писали:
IID>>>Не единственное.
KV>>
IID>Ещё прослушка (sniffing). IID>От MITM можно защититься просто подписав пакеты, не шифруя их.
Зануда моде он: вообще, MITM — скорее техника, которая позволяет реализовывать различные атаки на протоколы — в том числе прослушку (при успешном MITM как раз нет проблемы трафик слушать, что и нужно касперу).
Если говорить об атаках на протокол, то там как раз есть перехват (sniffing, taping), модификация, реплей атаки (когда я пересылаю пакет из другого сеанса и он, внезапно, работает, пусть даже содержимое зашифровано и я не умею его расшифровать), спуфинг (подмена адресата), отказ в обслуживании (ну и так понятно), спамминг (по сути, DoS, но на семантическом уровне).
Server side SSL в данном случае защищает от спуфинга сервера, от пассивного перехвата, от модификации, от реплея (из-за короткоживущего сеансового ключа), сильно усложняет атаки на отказ в обслуживании (если конечная цель — сервис, а не канал или промежуточное оборудование).
Здравствуйте, ivan2016, Вы писали:
I>Поставил КАВ для проверки системы. Вирусов не находит. I>Но зато на все https (и на гугл в том числе) теперь firefox выдает: I>Your connection is not secure
А мне ФФ такое и без КАВ выдает. Правда, маккафи на комп когда-то просочился. Может, он гадит?
Здравствуйте, DOOM, Вы писали:
DOO>Как по мне — решать должен я, а не браузер.
Ты ещё airbag в машине сам решай когда раскрывать а когда нет.
Браузеру подсовывают левый сертификат и он ему совершенно справедливо не верит.
В этом его работа и заключается — проверять надёжность соединения до того как юзер по нему что нить важное передавать начнёт.
... << RSDN@Home 1.0.0 alpha 5 rev. 0>>
Забанили по IP, значит пора закрыть эту страницу.
Всем пока
Здравствуйте, IID, Вы писали:
IID>Ещё прослушка (sniffing). IID>От MITM можно защититься просто подписав пакеты, не шифруя их.
Только не от MitM, а от spoofing'а. MitM же используется для обозначения всех возможных последствий неавторизованного взаимодействия с защищённым каналом, включая и sniffing, и spoofing.
Здравствуйте, Aniskin, Вы писали:
CF>>Или отключить проверку HTTPS в Касперском.
A>Не совсем понятно, для чего ставить программу для контроля безопасности, но при этом не давать ей контролировать безучастность.
Например, чтобы она контролировала лишь те факторы, которые я хочу, чтобы она контролировала. Иначе зачем вообще существуют KAV и KIS? Оставить только KTS и выпилить оттуда все опции, а то ишь чего выдумали, безопасность свою под угрозу ставить…
CC>Ты ещё airbag в машине сам решай когда раскрывать а когда нет.
Внезапно косвенно я решаю — могу ремень не пристегнуть, если ССЗБ и не сработает
CC>Браузеру подсовывают левый сертификат и он ему совершенно справедливо не верит. CC>В этом его работа и заключается — проверять надёжность соединения до того как юзер по нему что нить важное передавать начнёт.
Угу. Про Start SSL, естественно, проигнорировал.
Браузер может меня предупреждать. Настойчиво предупреждать. Но решение должно быть за мной.
И да — браузер должен выдать мне максимум информации про проблему с сертификатом, чтобы я мог принять корректное решение, а хром сейчас не дает никакой информации: либо ты признаешь за ним правоту, либо отключаешь жесктий режим и должен доверять вслепую.
Здравствуйте, CreatorCray, Вы писали:
CC>Ты ещё airbag в машине сам решай когда раскрывать а когда нет.
Обычно я так и делаю...
Все эмоциональные формулировки не соотвествуют действительному положению вещей и приведены мной исключительно "ради красного словца". За корректными формулировками и неискажённым изложением идей, следует обращаться к их автором или воспользоваться поиском
Здравствуйте, DOOM, Вы писали:
DOO>Браузер может меня предупреждать. Настойчиво предупреждать. Но решение должно быть за мной. DOO>И да — браузер должен выдать мне максимум информации про проблему с сертификатом, чтобы я мог принять корректное решение, а хром сейчас не дает никакой информации: либо ты признаешь за ним правоту, либо отключаешь жесктий режим и должен доверять вслепую.
Вроде FF так и делает, если с сертификатом какие-то проблемы. Если все вообще блокировано, похоже это не только из-за поведения FF.
Здравствуйте, Michael7, Вы писали:
M>Вроде FF так и делает, если с сертификатом какие-то проблемы. Если все вообще блокировано, похоже это не только из-за поведения FF.
Ну вот специально попробовал:
Нельзя ему сказать, чтоб забил.
Да и информация — типа пользователь должен понять, что значит SEC_ERROR_REVOKED_CERTIFICATE? Ссылка "подробнее", как и в хроме, ведет на общую статью про HTTPS и никакого реально более подробного объяснения там не найти.
И я напомню, как это выглядело в том же IE6, который ругали все кому не лень:
Мне показывали:
1. Экспресс диагностику валидности сертификата с указанием проблем человеческим языком.
2. У меня была возможность посмотреть сертификат, чтобы изучить проблему более подробно
3. У меня был выбор игнорировать проблему или нет.
Здравствуйте, CaptainFlint, Вы писали:
CF>>>Или отключить проверку HTTPS в Касперском.
A>>Не совсем понятно, для чего ставить программу для контроля безопасности, но при этом не давать ей контролировать безучастность.
CF>Например, чтобы она контролировала лишь те факторы, которые я хочу, чтобы она контролировала. Иначе зачем вообще существуют KAV и KIS? Оставить только KTS и выпилить оттуда все опции, а то ишь чего выдумали, безопасность свою под угрозу ставить…
Возможно, мы говорим о разных вещах. К примеру, К поддерживает проверку файлов, проверку http, проверку https. Я могу понять, когда пользователь по каким то причинам захочет разрешить или только проверку файлов, или только проверку http/https. Но на мой взгляд разрешение проверки файлов и проверки http, но запрет проверки https выглядит несколько странным, если не бессмысленным.
Здравствуйте, DOOM, Вы писали:
DOO>Да и информация — типа пользователь должен понять, что значит SEC_ERROR_REVOKED_CERTIFICATE? Ссылка "подробнее", как и в хроме, ведет на общую статью про HTTPS и никакого реально более подробного объяснения там не найти.
Сейчас не могу воспроизвести, но то ли по "подробнее", то ли "попробовать снова" есть мелким шрифтом что-то про добавление исключения. Да оно как-то сходу неочевидно запрятано, но должно быть.
Здравствуйте, Aniskin, Вы писали:
A>Возможно, мы говорим о разных вещах. К примеру, К поддерживает проверку файлов, проверку http, проверку https. Я могу понять, когда пользователь по каким то причинам захочет разрешить или только проверку файлов, или только проверку http/https. Но на мой взгляд разрешение проверки файлов и проверки http, но запрет проверки https выглядит несколько странным, если не бессмысленным.
Любая проверка — это компромисс. В случае с HTTP негативные моменты заключаются только в дополнительной нагрузке на систему и замедлении загрузки страниц. Для HTTPS эти проблемы дополняются невозможностью ручного контроля сертификатов. То есть, улучшив один параметр безопасности, Касперский ухудшил другой параметр (я имею в виду не столько обеспечение безопасности, сколько удобство контроля: если с сертификатом что-то не то, я уже не смогу проверить его, добавить в исключения и всё такое). Поэтому вполне реально, что для кого-то проверка HTTP является приемлемым компромиссом, а проверка HTTPS — уже нет.
Здравствуйте, DOOM, Вы писали:
M>>Вроде FF так и делает, если с сертификатом какие-то проблемы. Если все вообще блокировано, похоже это не только из-за поведения FF. DOO>Ну вот специально попробовал: DOO>Image: 87307-clip-28kb.png DOO>Нельзя ему сказать, чтоб забил.
Сказать чтобы забил можно тогда, когда FF не доверяет сертификату, потому что тот подписан неизвестным лицом. Это сделано для того, чтобы можно было тестировать что-то свое используя самоподписанные сертификаты. DOO>Да и информация — типа пользователь должен понять, что значит SEC_ERROR_REVOKED_CERTIFICATE? Ссылка "подробнее", как и в хроме, ведет на общую статью про HTTPS и никакого реально более подробного объяснения там не найти.
В твоем случае сертификат был отозван. Т.е. FF точно знает, что сертификат скомпрометирован и доверять ему ни в коем случае нельзя. Какой смысл предлагать добавлять его в исключения?
DOO>И я напомню, как это выглядело в том же IE6, который ругали все кому не лень: DOO>https://www.sslshopper.com/assets/images/ie6-certificate-not-trusted.png
DOO>Мне показывали: DOO>1. Экспресс диагностику валидности сертификата с указанием проблем человеческим языком. DOO>2. У меня была возможность посмотреть сертификат, чтобы изучить проблему более подробно DOO>3. У меня был выбор игнорировать проблему или нет.
FF тоже показывает эту инфу в случае сертификата, подписанного хз кем:
1. FF указывает проблему человеческим языком (The certificate is not trusted because it is self-signed.)
2. Если нажать на SEC_ERROR_UNKNOWN_ISSUER можно посмотреть сертификат и изучить проблему более подробно.
3. Можно проигнорировать проблему нажав кнопку Add Exception...
Проигнорировать, однако, можно не любую проблему. В случае, описанном ТС, используется HSTS, который явно запрещает игнорирование невалидных сертификатов:
When a web application issues HSTS Policy to user agents, conformant user agents behave as follows:
...
If the security of the connection cannot be ensured (e.g. the server's TLS certificate is not trusted), show an error message and do not allow the user to access the web application.
Поскольку FF старается быть conformant user agent, он не позволяет игнорировать невалидный сертификат в случае HSTS.
