Здравствуйте, Sharowarsheg, Вы писали:
U>>та он же про госрегулирование задвинул: U>>
V> Тоже самое делает правительство выдавая лицензии на деятельность. Идея брать налоги не нова, зачем самим работать, когда есть те, кто будет работать за вас.
S>Ну да, а что здесь неправда?
то есть вы готовы лечить зубы в шарашке без лицензии на соответствующую деятельность?
S>>>И, конечно, беспокойство о MITM колоссально преувеличено. U>>то есть мобильные провайдеры не встраивают рекламу в http траффик, а бесплатные wi-fi сети вообще безгрешны? S>Мобильные провайдеры встраивают рекламу в http траффик в полном соответствии с договором, который ты с ними заключил. А если нет, то в суд можно подать. В любом случае, это проблема между клиентом и его провайдером, и не касается всех сайтов мира. Скажем, если где-то в Уганде в мой сайт провайдер встроил рекламу, то пусть угандийские пользователи там у себя сами разберутся. Про бесплатные wifi-сети не в курсе, ни одной не видел. По крайней мере официальных, где есть кому претензии предъявить.
ну то есть MITM есть, но вас это не касается, и защитить юзера ssl сертификатом вы не считаете целесообразным... хорошо, что хоть гугл другого мнения.
Здравствуйте, uuuser, Вы писали:
S>>Ну да, а что здесь неправда?
U>то есть вы готовы лечить зубы в шарашке без лицензии на соответствующую деятельность?
Почему нет? Была бы нормальная репутация у шарашки, можно и без лицензий обойтись.
U>ну то есть MITM есть, но вас это не касается, и защитить юзера ssl сертификатом вы не считаете целесообразным... хорошо, что хоть гугл другого мнения.
Я не считаю целесообразным лезть во взаимоотношения других людей или организаций, насчёт которых взаимоотношений люди добровольно заключили договор. Ну, или, как в Казахстане или сделали, или грозились, во взаимоотношения правительства со своими подданными. К сожалению, гуглу не зазорно лезть не в своё дело в мировых масштабах.
Здравствуйте, Sharowarsheg, Вы писали:
U>>ну то есть MITM есть, но вас это не касается, и защитить юзера ssl сертификатом вы не считаете целесообразным... хорошо, что хоть гугл другого мнения. S>Я не считаю целесообразным лезть во взаимоотношения других людей или организаций, насчёт которых взаимоотношений люди добровольно заключили договор. Ну, или, как в Казахстане или сделали, или грозились, во взаимоотношения правительства со своими подданными. К сожалению, гуглу не зазорно лезть не в своё дело в мировых масштабах.
странная логика, пользователь по определению не может быть уверенным по всех каналах связи которые использует, поэтому и существует ssl который гарантирует безопасное соединение между ним и вашим сервером, а так как мы тут про бизнес вроде рассуждаем, то ssl это как бы базовая вещь
Здравствуйте, uuuser, Вы писали:
U>поэтому и существует ssl который гарантирует безопасное соединение между ним и вашим сервером, а так как мы тут про бизнес вроде рассуждаем, то ssl это как бы базовая вещь
Безопасное соединение в общем случае никак не связано с бизнесом. В общем случае, может не быть и бизнеса вовсе, например, как у freeware или википедии.
Здравствуйте, uuuser, Вы писали:
u> U>>а для этого нужно купить code signing сертификат
u> V>С чего бы или не терпится что-нибудь купить. Тогда лучше защитить свой сервер,
u> а как вы докажете юзеру что ваш сервер не взломан?
А как ты докажешь юзеру, что твой сертификат не утек?
Здравствуйте, rudzuk, Вы писали:
u>> V>С чего бы или не терпится что-нибудь купить. Тогда лучше защитить свой сервер, u>> а как вы докажете юзеру что ваш сервер не взломан? R>А как ты докажешь юзеру, что твой сертификат не утек?
отзыв сертификата, не?
ну вообще никто не хранит сертификаты подписи кода на web серверах, и ситуация когда хакнули всё и вся, подписали и выложили под видом оригинала крайне маловероятная и быстро обнаруживаемая.
Здравствуйте, uuuser, Вы писали:
u> u>> а как вы докажете юзеру что ваш сервер не взломан?
u> R>А как ты докажешь юзеру, что твой сертификат не утек?
u> отзыв сертификата, не?
Пока ты это обнаружишь, пока отзовешь, пока эта информация приедет к юзеру...
u> ну вообще никто не хранит сертификаты подписи кода на web серверах, и ситуация когда хакнули всё и вся, подписали и выложили под видом оригинала крайне маловероятная и быстро обнаруживаемая.
Сертификат могут тиснуть с твоей рабочей машины. Подписать им любую хрень и распространять в виде бандла с твоим софтом. И бандл будет подписан твоим сертификатом.
Я это к чему: юзер, в любом случае, ни чем не защищен. Ему остается только надеяться на то, что разработчик не совсем далпайоп и все делает правильно (может обеспечить защиту критически важных ресурсов, будь то вебсервер или билд-машина).
Здравствуйте, rudzuk, Вы писали:
R>Я это к чему: юзер, в любом случае, ни чем не защищен.
если не впадать в крайности, то можно сформулировать по другому: юзер гораздо менее защищён когда качает неподписанный софт с сайта без ssl
собственно поэтому мы имеем варнинги в браузерах и операционках
R>Сертификат могут тиснуть с твоей рабочей машины. Подписать им любую хрень и распространять в виде бандла с твоим софтом. И бандл будет подписан твоим сертификатом.
EV certs тиснуть нельзя, потому что они сидят на HSM. Специльный provision для защиты далпоепов от самих себя.
Здравствуйте, uuuser, Вы писали:
u> R>Я это к чему: юзер, в любом случае, ни чем не защищен.
u> если не впадать в крайности, то можно сформулировать по другому: юзер гораздо менее защищён когда качает неподписанный софт с сайта без ssl u> собственно поэтому мы имеем варнинги в браузерах и операционках
Если не впадать в крайности, то ssl и хеши на странице закачки — достаточная мера безопасности.
Здравствуйте, wantus, Вы писали:
w> R>Сертификат могут тиснуть с твоей рабочей машины. Подписать им любую хрень и распространять в виде бандла с твоим софтом. И бандл будет подписан твоим сертификатом.
w> EV certs тиснуть нельзя, потому что они сидят на HSM. Специльный provision для защиты далпоепов от самих себя.
Да, эксплуатация страхов — хорошее средство заработать немного денег.
Здравствуйте, rudzuk, Вы писали:
u>> если не впадать в крайности, то можно сформулировать по другому: юзер гораздо менее защищён когда качает неподписанный софт с сайта без ssl u>> собственно поэтому мы имеем варнинги в браузерах и операционках
R>Если не впадать в крайности, то ssl и хеши на странице закачки — достаточная мера безопасности.
как вы себе представляете процесс верификации юзером скаченного файла?
и как хэш на странице скачивания защитит от взлома web сервера?
Здравствуйте, uuuser, Вы писали:
u> R>Если не впадать в крайности, то ssl и хеши на странице закачки — достаточная мера безопасности.
u> как вы себе представляете процесс верификации юзером скаченного файла?
Кого этот вопрос беспокоит, те прекрасно осведомлены, как сделать проверку. На странице можно дать небольшое хауту, типа такого.
u> и как хэш на странице скачивания защитит от взлома web сервера? u>
Что, опять? Либо юзер доверяет разработчику, либо нет.
Здравствуйте, rudzuk, Вы писали:
u>> и как хэш на странице скачивания защитит от взлома web сервера? u>>
R>Что, опять? Либо юзер доверяет разработчику, либо нет.
сайт разработчика взломали и выложили туда версию с трояном, и соответственно обновили на странице хэш,
а теперь подумайте, в каком месте ваша логика с доверием даёт сбой?
Здравствуйте, uuuser, Вы писали:
u> u>> и как хэш на странице скачивания защитит от взлома web сервера? u> u>>
u> R>Что, опять? Либо юзер доверяет разработчику, либо нет.
u> сайт разработчика взломали и выложили туда версию с трояном, и соответственно обновили на странице хэш, u> а теперь подумайте, в каком месте ваша логика с доверием даёт сбой?
Здравствуйте, rudzuk, Вы писали:
R>Здравствуйте, uuuser, Вы писали:
u>> u>> и как хэш на странице скачивания защитит от взлома web сервера? u>> u>>
u>> R>Что, опять? Либо юзер доверяет разработчику, либо нет.
u>> сайт разработчика взломали и выложили туда версию с трояном, и соответственно обновили на странице хэш, u>> а теперь подумайте, в каком месте ваша логика с доверием даёт сбой?
R>Перечитай последний абзац: https://rsdn.org/forum/shareware/8070891.1
Осталось добавить что не только тиснули сертфикат с машины разраба, но и, вероятно, пытали разраба паяльником, чтобы он выдал им пароль для подписи. x 10
a> Осталось добавить что не только тиснули сертфикат с машины разраба, но и, вероятно, пытали разраба паяльником, чтобы он выдал им пароль для подписи. a> x 10
Про малварь подписанную сертификатом Realtek слышал? И это не единичный случай.
В ходе анализа экземпляров малвари специалисты обнаружили различные версии дропперов, содержащих один и тот же набор функций. При этом в ряде случаев, например при атаках на Монголию, дроппер был подписан валидной цифровой подписью. По мнению экспертов Positive Technologies, она, скорее всего, была украдена, что также говорит о хорошей подготовке группировки.
a>> Осталось добавить что не только тиснули сертфикат с машины разраба, но и, вероятно, пытали разраба паяльником, чтобы он выдал им пароль для подписи. a>> x 10
R>Про малварь подписанную сертификатом Realtek слышал? И это не единичный случай.
Ну все, кранты, у бабки отобрали кошелек — кошелек это зло! Не было бы кошелька не отобрали бы! И это не единичный случай. x 20
И на старуху бывает проруха.
Расскажи лучше про "панацею", которую ты используешь. Нет её? Ну и чего ныть тогда?
