Компания Dell уличена (http://joenord.blogspot.ru/2015/11/new-dell-computer-comes-w...) в действиях, позволяющих организовать незаметный перехват и модификацию соединений с сайтами по HTTPS, повторив историю (https://www.opennet.me/opennews/art.shtml?num=41694) с вмешательством в частную жизнь компании Lenovo. На некоторых ноутбука и персональных компьютерах Dell, среди которых модели Inspiron, XPS, Precision и Latitude, зафиксирована поставка коревого сертификата eDellRoot, который включён в локальный список доверительных сертификатов Windows.
Данный сертификат позволяет сгенерировать подставной SSL-сертификат для любого сайта, создание фиктивного HTTPS-соединения с использованием которого не приведёт к выводу предупреждения в браузерах Internet Explorer, Chrome и Safari, использующих список доверительных сертификатов Windows. Firefox не использует общее хранилище сертификатов, поэтому выявляет факт подмены и предупреждает об этом пользователя. Сообщается, что сертификат начал предустанавливаться в августе, но явно не использован производителем для анализа или изменения трафика.
Тем не менее, сертификат eDellRoot легко может быть извлечён из системного хранилища сертификатов и использован злоумышленниками для организации MITM-атаки для изменения или прослушивания трафика пользователей ПК и ноутбуков Dell, на которых установлен данный сертификат (сертификат входит только локальные списки доверия и не принимается на системах остальных пользователей).URL: http://arstechnica.com/security/2015/11/dell-does-superfish-.../
Новость: http://www.opennet.me/opennews/art.shtml?num=43390
И не один
http://www.laptopmag.com/articles/dell-certificate-security-...
Што опять !!??
Ничего криминального. Индус-практикант подготовил конфиг форточек для заливки на нуотбуки.
Именно так всё и было. Расходитесь, граждане, здесь ничего нет интересного. Проходим, не задерживаемся. Всё хорошо.
Это так важно постоянно указывать национальность?
Индус это вероисповедание, а не национальность.
А индуист кто тогда?
Индуист и индус это почти одно и то же. Индуист более последователем в своём религиозном маразме, а индус это так, фанат-любитель:)
А национальность -- индийцы. В Индии живут индийцы.
Ты не прикидывайся дурочкой. Ясное дело тут религия не при чем. Акцент сделан на национальности.
"индус" это образование.. Галочки тыкать...
Закройте окна, мне дует.
Хорошо, что моему Inspiron уже 2 года. И плохо, что моему Inspiron.
И на что его менять теперь, когда соберусь — непонятно.
Там HP с сериями ProBook и EliteBook не спалились ещё?
Пока не спалились, но это только вопрос времени. Сейчас всё равно что покупать, закладки везде есть, ничего не поделаешь.
> Пока не спалились, но это только вопрос времени. Сейчас всё равно что
> покупать, закладки везде есть, ничего не поделаешь.Тоже так думаю. Но всё равно непрятно.
С другой стороны — это всё про хранилище сертов в Win, то есть нам как-то побоку.
Можно начать использовать опенсурс смартфоны,планшеты,ноутбуки и ставить на них нужное ПО из исходников. Нет исходников у софта, значит есть закладки -этой сейчас прописная истина!
Другое дело,что в магазинах считай нет смартфонов с опенсорс - но время спрашивать их в магазинах уже пришло!А будет спрос будет и предложение!
Вы даже не знаете, что именно спрашивать. За неимением.
Даже если десять тысяч человек спросят в магазинах про смарт на СПО - результатом будет, как максимум, десять тысяч удивленных продавцов.
Пока кто-то не вложится в раскрутку конкретного бренда (как, например, Гугль с Андроидом или хотя бы МС с Люмией) - от ваших вопросов вода под камень не потечет, и не надейтесь.
Рынок-то перенасыщен, покупатели не столько ищут чего-то новенького, сколько стряхивают с ушей лапшу от уже более-менее успешных производителей. Тут одним сарафанным радио вообще ничего не добьешься.
ну, до поры до времени - возможно. Однако что будете делать потом, если в последнем поколении интеловских процессоров (и амдшных тоже, насколько помню) есть хардварная защита, которая имеет больше привилегий, чем рут?
Так этож предустановленная Windows. Качайте Trial бесплатно с сайта Microsoft раз уж вам Windows нужна. А в микросхемах вроде бы пока троянов нет? Хотя кажется в Intel есть какое-то удалённое управление?
> Так этож предустановленная Windows. Качайте Trial бесплатно с сайта Microsoft раз уж
> вам Windows нужна.Не нужна. Более того, при покупке на ноуте была предустановлена Убунта.
Но всё равно — какого хрена Dell такие ушлёпки?
Ну винду их логично сразу снести и поставить чистую (если уж она вам так нужна) - там и без этого их говна навалом.
Зато у них сервис хороший, мне залитый кофе тачпад бесплатно меняли без лишних вопросов.
С сервисом сталкиваться не приходилось — никаких нареканий за 2 года.
Вы, судя по всему, владелец ноута от Dell? Вопросик есть.
Мне на самсунге пол ноута поменяли, когда кнопочка залипла, хотя он был ушибленный и корпус в трещенах, пришлось конечно подождать пока он прокатится до сервисного центра - месяца 3, делл тоже есть, инспирон как раз, но за несколько лет сбоев не давал, тока пыль разок вытряхнул.
> Мне на самсунге пол ноута поменяли, когда кнопочка залипла, хотя он был
> ушибленный и корпус в трещенах, пришлось конечно подождать пока он прокатится
> до сервисного центра - месяца 3, делл тоже есть, инспирон как
> раз, но за несколько лет сбоев не давал, тока пыль разок
> вытряхнул.Не, я последний раз в сервисе как таковом был года два назад, когда роутер TP-LINK при попытке прошиться превратил в кирпич. Вернули деньги, кстати. =)
Слушай, ты у себя на Inspiron'е раздел DELLUTILITY удалил? Что-то мозолит он мне глаза, а тереть не хочется — вдруг он какой полезный.
Первым делом задампил разделы и снес все что там было, потом винт навернулся, когда долбанул по ноуту, вместе с дампами. Разницу "системы от производителя" и перепатченной виндой не ощущаю, на сайте делла есть все дрова, хотя из драйверпаков ставлю и не парюсь, проблема тока с тачпадом, но это скорее тузлы драйверпаков криво его понимают и пытаются не то поставить, в общем обычный комп. У подруги от хьюлета ноут - вот там ппц жесть с сетевухами.На ferra.ru, кажется, есть ветка по-моей модельке, там народ все дампы выкладывал всех системных разделов, так что при большом желании можно найти.
А в целом, если руки не слишком кривы, дампишь и ставишь, то что нужно с нуля, а весь этот предустановленный скраб с закладками от мс, от делл и бох знает от кого еще в топку, день возни, зато будешь знать с чем дело имеешь. Весь предустановленный софт расчитан на хомячков, которые не в состоянии найти и поставить то, что нужно, тем более у нас нет проблем с копирайтом, одно из немногих преимуществ России.
Ты знаешь, а я вот даже и не помню, был ли у меня на ноуте recovery-раздел для предустановленной Убунты. Если и был — я его затёр давно.
Надо и DELLUTILITY снести, а то я из-за него не могу ещё один раздел создать.
> при покупке на ноуте была предустановлена Убунта.Технически, ничто не мешает в предустановленной Убунте прописать свой репозиторий для ca-certificates. Но это слишком заметно...
> Технически, ничто не мешает в предустановленной Убунте прописать свой репозиторий для ca-certificates.
> Но это слишком заметно...Мне что Windows, что Ubuntu — разницы нет (точнее, она только в экномии на OEM-винде), они одинаково не нужны.
> Хотя кажется в Intel есть какое-то удалённое управление?Благородный дон про Intel Management Engine? Про это добро много уже понаписано.
Собственно в микросхемах нет, можете спать спокойно. Правда, вот, на счет их прошивок я не уверен :)UEFI - один сплошной троян :)
>> А в микросхемах вроде бы пока троянов нет?
> Собственно в микросхемах нет, можете спать спокойно.Ой ли?
ну здрасте. и в чипсетах и в фирмвере - вагон.
и в микрокоде и в секюрити(якобы ;) подсистеме x86 чипов всех трех вендоров и в смартфонных всех кроме медиатек(а мб и там, хз)унутрях либо в гипервайзере либо в кремнии - елозит нефиговой функциональности подсистема, по-сути небольшая ОС.
> А в микросхемах вроде бы пока троянов нет? Хотя кажется в Intel есть какое-то удалённое управление?Intel Management Engine во всех процессорах начиная с 2006 года.
> Там HP с сериями ProBook и EliteBook не спалились ещё?Там более квалифицированные люди прятали, т.к. доступ к более серьёзной информации интересовал :)
> И на что его менять теперь, когда соберусь — непонятно.Свалил на асусы.
> Там HP с сериями ProBook и EliteBook не спалились ещё?
У них по крайней мере года три-четыре тому упоминали проблемы с надёжностью БП (у ноутов HP в целом, именно про эти серии не помню специфичных "хуже/лучше/включая/за исключением").
> Свалил на асусы.Буду иметь ввиду.
> У них по крайней мере года три-четыре тому упоминали проблемы с надёжностью
> БП (у ноутов HP в целом, именно про эти серии не
> помню специфичных "хуже/лучше/включая/за исключением").Я когда этот ноут брал в местной «Позитронике», манагер сказал, что они вообще перестали HP возить — очень много возврата по браку.
Кому какое дело на каком бюджетнике ты сидищь, неуч?
> Свалил на асусы.птушник свалил на асусы, асусы в восторге!
Очевидный семен очевиден.
Закладки даже в UEFI BIOS ;)
Не соблагоизволит ли благородный дон предоставить пруф?
не закладка, но - система позволяет загружать по умолчанию только указывающий на предустановленную винду файл "efi/boot/bootx64.efi". Никакие манипуляции ни с efibootmgr ни c efishell результата не дают: консоль показывает высший приоритет у пункта "linux", но на порядок загрузки это не влияет. Ноутбук HP Probook.Кстати, несмотря на относительную новизну девайса (на Haswell), версия EFI там где-то 5-летней (если не больше) давности, наверняка с кучей уязвимостей. Такие дела
> не закладка, но - система позволяет загружать по умолчанию только указывающий на
> предустановленную винду файл "efi/boot/bootx64.efi".Ну вкрутите туда rEFInd или GRUB, с таким названием. Тоже не сработает?
/efi/boot/bootx64.efi
стандартный путь загрузки uefi
Как же вы надоели, гуглите на тему троянов в биосе от производителя.
Я лично выцеплял такой у Toshiba.
toshiba???занятно
только сегодня смотрел, что они не торгуют ноутами здесь
> Как же вы надоели, гуглите на тему троянов в биосе от производителя.
> Я лично выцеплял такой у Toshiba.в 95% продаваемых ноутов такое есть.
есть кастомные, а ести интероперабельные, "стандартные".
большинство - легендируется под "анти-кражные" технологии, которые сами по себе 'волшебным' образом активируются без ведома как владельца так и оператора сервиса/инфраструктуры антикражной.
вроде того как было с ноутбуками в компании Касперского - типичная в общем-то, история.
с настольными ПК - похоже, но там кастомного г-на преобладает, над стандартным.
>> Как же вы надоели, гуглите на тему троянов в биосе от производителя.
>> Я лично выцеплял такой у Toshiba.
> в 95% продаваемых ноутов такое есть.
> есть кастомные, а ести интероперабельные, "стандартные".
> большинство - легендируется под "анти-кражные" технологии, которые сами по себе 'волшебным'
> образом активируются без ведома как владельца так и оператора сервиса/инфраструктуры антикражной.
> вроде того как было с ноутбуками в компании Касперского - типичная в
> общем-то, история.
> с настольными ПК - похоже, но там кастомного г-на преобладает, над стандартным.эдакий паноптикум ...
http://en.community.dell.com/dell-blogs/direct2dell/b/direct...
> http://en.community.dell.com/dell-blogs/direct2dell/b/direct...Эк они хвостом завиляли.
> хвостом завилялиТы так говоришь, как-будто это что-то плохое
> систему характеризует не ошибка, а реакция на нее
>> систему характеризует не ошибка, а реакция на нееА реакция и ошибки будут всегда делать такие как будто она очень случайно вышла, как у Apple случайно якобы две строчки повторили, но суть проверки ошибочного сертификата сошла на обратное действие -все сертификаты стали правильными...
goto fail;
goto fail;
> goto fail;
> goto fail;Это должно подтвердить остальному местному сброду, что ты тоже известный шелл-программист, как они?
Корпорации - они такие копорации...
Не очень понятно, почему eDellRoot нужно считать гнидой, а какой-нибудь рядом лежащий Microsoft Root Authority или DigiCert Global Root CA - теплым и пушистым?Объяснит кто-нибудь разницу?
неужто потому, что приватный ключ для eDellRoot ищется в интернете? (да, он запаролен паролем "dell")
Так об этом в новости нет
читайте первоисточник: https://www.reddit.com/r/technology/comments/3twmfv/dell_shi.../
> Компания Dell объяснила добавление сертификата, его использованием в реализации сервиса оперативной технической поддержки.Как-то неубедительно. Техническую поддержку чего они собрались там оказывать, да ещё в режиме быстрого реагирования?
Модер, ты — злыдень! =(
Тут конечно не винфак, но open не то же самое, что free, поэтому спрошу.Как сделать самому такой сертификат и как им подписывать драйвер в винде? Использовать eDellRoot как-то слишком костыльно теперь :)
Используй поиск в интернете. Я уверен, там есть ответ. Если отвечать вслепую, то, возможно, на каком-нибудь Хабре есть информация.
У меня Dell с Ubuntu 12.04.5. В главном меню есть программа со значком Dell, в "Сведениях о системе" есть что-то что-то про фирменное ПО. Мне пора начать беспокоиться?
Да.
Сделай бекап клонезиллой, поставь с нуля 14.04, или подожди выхода 16.04 (Апрель).
Ну так что мешает сходить на тестовый сайт и проверить? У меня тоже делл с бубунтой, но 14.04, вроде чисто.
Юзайте сертифицированные fsf железки
> Юзайте сертифицированные fsf железкиЭто их дремучие ноуты? При всём моём уважении к FSF и РМС...
а для игрулек другие девайсы рулез.
ну один вариант спокойно дышать свежим воздухом, а второй случай -это воздух содержащий кислоту, причём можно дышать и быстрее, раз человек не понимает и не хочет понимать, чем дышит и к чему это приведёт. Выбор как всегда за вами!
> Это их дремучие ноуты? При всём моём уважении к FSF и РМС...Не все так просто:
http://libreboot.org/faq/#intel
> Intel Boot Guard is an ME application introduced in Q2 2013 with ME firmware version 9.0 on 4th Generation Intel Core i3/i5/i7 (Haswell) CPUs. [...] prevent the CPU from executing boot firmware that isn't signed with their private key. This means that coreboot and libreboot are impossible to port to such PCs, without the OEM's private signing key.
> Before version 6.0 (that is, on systems from 2008/2009 and earlier), the ME can be disabled [...] ME firmware versions 6.0 and later, which are found on all systems with an Intel Core i3/i5/i7 CPU and a PCH, include "ME Ingition" firmware that performs some hardware initialization and power management. If the ME's boot ROM does not find in the SPI flash memory an ME firmware manifest with a valid Intel signature, the whole PC will shut down after 30 minutes.
> Due to the signature verification, developing free replacement firmware for the ME is basically impossible. The only entity capable of replacing the ME firmware is Intel. As previously stated, the ME firmware includes proprietary code licensed from third parties, so Intel couldn't release the source code even if they wanted to.Ну и:
> For years, coreboot has been struggling against Intel. Intel has been shown to be extremely uncooperative in general. Many coreboot developers, and companies, have tried to get Intel to cooperate; namely, releasing source code for the firmware components. Even Google, which sells millions of chromebooks (coreboot preinstalled) have been unable to persuade them.
> ME firmware version 7.0 on PCHs with 2nd Generation Intel Core i3/i5/i7 (Sandy Bridge) CPUs replaces PAVP with a similar DRM application called "Intel Insider". [...] this hardware and its proprietary firmware can access and control everything that is in RAM and even everything that is shown on the screen.
И только в макбуках никто не находит закладок.
> И только в макбуках никто не находит закладок.Оси мало что ли?.. яблоковая версия EFI по слухам - страх и ужас
пишу с яблока. всё работает(тм) куда посмотреть, чтобы этот страх и ужас увидеть?предчувствую рассказы, начинающиеся со слов типа "для начала, загрузитесь в протухший солярис. не грузится? то-то и оно!11"
Ну кстати яблоковая версия ефи - самая следующая стандартам. Открываешь аспи таблицу на маке - всё красиво, каждая железочка инициализируется в нужном режиме, системе нужно это просто взять и запустить дрова. Пытаешься поставить хакинтош на пц, начинаешь патчить дсдт - мрак и ужас: в половине девайсов ретурн зеро просто стоит, в другой половине - вообще какой-то бред, который винда игнорирует. Вроде про ефи нам чуть ли не пели, что драйвера не нужны будут - будет набор стандартных интерфейсов, который может использовать система со стандартными дровами почти все возможности звука, сети и видео. А на деле - одному эплу это только и нужно, а всем остальным - плевать.
Увы, всё так. И даже без мака узнать это несложно. Причина проста - у Apple нет десятков или сотен железок, разрабатываемых и поддерживаемых параллельно (во-первых), а во-вторых (не в последнюю очередь юблагодаря первому пункту), железо затачивается под софт и софт затачивается под железо (а EFI где-то посередине, но ближе, конечно, к железу). Они могут себе позволить вылизывание и они на это ставят. Кстати, спасибо за идею - хоть раз посмотрю, как должна выглядеть хорошая DSDT.
> Ну кстати яблоковая версия ефи - самая следующая стандартам.И каким же? Будьте столь любезны, указывайте сразу с версиями.
Она нестандартная. Очередной яблочный велосипед запиленный под себя.
> И только в макбуках никто не находит закладок. А если у вас находят, значит вы живете в неправильной вселенной!fixed )
https://truesecdev.wordpress.com/2015/04/09/hidden-backdoor-.../
> The Admin framework in Apple OS X contains a hidden backdoor API to root privileges. It’s been there for several years (at least since 2011),
> Apple has now released OS X 10.10.3 where the issue is resolved. OS X 10.9.x and older remain vulnerable, since Apple decided not to patch these versions. We recommend that all users upgrade to 10.10.3.Правда, вот мелочь мелкая – баг все же не пофиксили как надо )
https://objective-see.com/blog.htmlИ хотя яблочники утверждают, что у них малвари нема, выдавать желательное за действительное все-таки не всегда получается:
https://www.virustotal.com/en/file/8937012dcdbddf9c960d920cc... (это как раз под упомянутую выше "незакладку" сделано)
ну или:
http://nakedsecurity.sophos.com/2014/01/21/data-stealing-mal.../Да и сомнительное лидерство в количестве дырок вообще, а особенно, дырок позволяющих запустить произвольный код (которых за один 2015 год набралось 148, т.е. более чем в два раза больше, чем в пингвине за последние 16 лет(!)
Ну или как раз столько же, как в 7 форточке за все время ее существования) http://www.appstechnews.com/news/2015/feb/23/mac-and-ios-mos.../
https://www.cvedetails.com/top-50-products.php?year=2015
как бы, намекают на неправильность восприятия мира )
> про остальное уже отсебятина, естественно мэлварь есть под OS X).Ну да, конечо же отменятина )
Правда, в моей вселенной маководы не перестают повторять эту «истину», как мантру:
http://mac360.com/2015/07/why-pay-for-virus-protection-on-a-.../
> There are so few viruses in the wild to haunt Mac users that one could easily say there are no Mac viruseshttp://switchtoamac.com/site/why-are-there-no-viruses-for-ma...
> It's well known that there are no known viruses for the Mac OS Xhttp://guides.macrumors.com/Mac_Virus/Malware_FAQ#There_are_....
> There are NO viruses in the wild that affect Mac OS X at this time.
> If this changes, this post will be updated.Да и само яблоко в своей рекламе далеко не падает:
https://youtu.be/sdF5IsyOxU4
> Вопрос только как её эксплуатировать в отличии от темы в сабже...Там ссылочка была.
https://truesecdev.wordpress.com/2015/04/09/hidden-backdoor-.../
Я понимаю, что там скучнющие объяснения с дизасмами, а не крутое видео "хакнуть фсех сразу! для чайников!", но в самом конце есть PoC код.
Ну или: https://www.exploit-db.com/exploits/36692/
Это же пример был. Как вон:
http://arstechnica.com/security/2015/09/drop-dead-simple-exp.../
чем не закладка, позволяющая обходить всякие разные цифровые подписи?
Но я понимаю – нужна неизвестная, незакрытая дыра, иначе не в счет.
>> The figures, which were taken from the National Vulnerability Database (NVD), found Apple Mac and iOS as the most dangerous operating systems for vulnerabilities with 147 and 127 separate incidents reported in 2014 respectively, with Linux Kernel (119) in third place. The remaining names in the top 10 all fell to Redmond, with little correlation between them. Windows Server 2008, Windows 7 and Windows Server 2012 had more vulns than Windows 8, 8.1, Vista and RT last year.
> Перевожу: по количесвтвам дыр iOS и OS X ужас-ужас по безопасности. Линуксовое
> ядро примерно тоже самое. А увындовз безопаснее всех их.Еще раз, для окошкофилов:
https://www.cvedetails.com/product/47/Linux-Linux-Kernel.htm...
Всего за 2014 год 133 дыры, из них "code execution": 8
2015: 68 и 6.OS X:
https://www.cvedetails.com/product/156/Apple-Mac-Os-X.html?v...
2014: 127 из которых 70(!) позволяют запустить произвольный код.
2015: 337 / 148Виндосервер 2012:
https://www.cvedetails.com/product/23546/Microsoft-Windows-S...
2014: 38/11, правда, за 2015 лучше не смотреть – 146/41
Виндосервер 2008:
https://www.cvedetails.com/product/11366/Microsoft-Windows-S...
2014: 38/12
2015: 138/47
Винда 8.1
https://www.cvedetails.com/product/26434/Microsoft-Windows-8...
2014: 38/13
2015: 141/42Так что, увы, реальность до представлений форточколюбов о ней самой, немножечко не дотягивает )
> И только в макбуках никто не находит закладок.прочитайте про "apple goto fail"
Строчка goto fail была написана в коде два раза и из-за этого подмену любого сертификата невозможно было обнаружить! ЦРУ жжёт!
хотя бы тут http://habrahabr.ru/post/213525/
Планшет Dell под андроидом тоже доверяет тестовому сайту, such safe.
Так проблема в том, что закрытый ключ утек из компании, а не в п.1-3.
Нет, проблема не в этом.
Компания умышленно нарушила стандартную схему безопасности, добавив в систему левый корневой сертификат. Вот это проблема.
То, что она потом не уберегла ключи от него - только усугубление проблемы.
первое как раз не проблема - потенциальная возможность создавать сертификаты была бы только у самой компании, что, безусловно, перепугало бы параноиков, но серьёзной угрозы безопасности не представляло. а вот закрытый ключ, который позволил бы то же самое делать всем желающим - это уже серьёзно
Есть странные люди, которые считают, что если в безопасности есть исключения - то это уже совсем не безопасность. И не то чтобы они чего-то не знали...
Есть странные люди, которые считают, что какому-нибудь VerySign или GeoTrust стоит больше доверять чем Dell, Lenovo, NameYourCompany.
Если оценивать не бренды, а интересы и риски - странность в этой логике пропадает.
Значит добавлять в систему правые корневые сертификаты можно, а левые нельзя?
Это нормальная практика даже для работы с торговыми площадками, госуслугами и прочими отчетностями
Ну да, дубликаты ключей - это нормальная практика.
Что ж, хозяину квартиры можно сделать дубликат, а домоуправлению - нельзя?
Заговор!
У нас на работе в интернет можно только через Internet Explorer ходить. Любой другой браузер сообщает на всех сайтах https о подмене сертификата. Так что фиктивные сертификаты в Windows - это не баг, это фича!
> У нас на работе в интернет можно только через Internet Explorer ходить.
> Любой другой браузер сообщает на всех сайтах https о подмене сертификата.
> Так что фиктивные сертификаты в Windows - это не баг, это
> фича!филиал м$ ?
> У нас на работе в интернет можно только через Internet Explorer ходить.
> Любой другой браузер сообщает на всех сайтах https о подмене сертификата.
> Так что фиктивные сертификаты в Windows - это не баг, это
> фича!скорее характеризует провайдера, злоупотребляющего и сниифящего https ваш :)
а мб и админ - тоже.
>> У нас на работе в интернет можно только через Internet Explorer ходить.
>> Любой другой браузер сообщает на всех сайтах https о подмене сертификата.
>> Так что фиктивные сертификаты в Windows - это не баг, это
>> фича!
> скорее характеризует провайдера, злоупотребляющего и сниифящего https ваш :)
> а мб и админ - тоже.Это Ростелком осуществляет атаку посередине - на яндекс,гугл и другие Https сайты(не все правда) осуществляет подмену сертификата на свой(якобы выданный ростелекомом этим компаниям). Вот браузеры нормальные и бастуют видя подмену сертификата. А ИЕ выдаёт ошибку , но даёт возможность продолжить просмотр этих сайтов. Видите ли государство в лице ростелекома хотят знать какую информацию граждане России ищут в поисковых системах...
Привет тоталитарное государство.
Пока только в школа ростелеком подменяет сертификаты, а скоро будет и на гражданах тренироваться...
> Пока только в школа ростелеком подменяет сертификаты, а скоро будет и на гражданах тренироваться...Ога, щаз. МТС и Co. ну с декабря 2013 точно снифят и проксируют HTTPS/SMTPs/POPs/IMAPs/GIT даже
Я полагаю, СБ многих крупных компаний этим балуются. Огромный рынок DPI решений не на пустом месте существует.Как-то раз меня даже не взяли в одну контору, разрабатывающую DPI систему, но я тогда по молодости не особо представлял что это такое, теперь думаю, что к лучшему, меньше карма попортилась.
> У нас на работе в интернет можно только через Internet Explorer ходить.
> Любой другой браузер сообщает на всех сайтах https о подмене сертификата.
> Так что фиктивные сертификаты в Windows - это не баг, это
> фича!Работаете в школе или училище?
Государство через компанию Ростелеком в школьном сегменте Интернета с недавнего времени осуществляет атаку "человек по середине" внедряя в https трафик свои сертификаты(https://google.com, https://yandex.ru и тд). Для браузера сертификаты видится как будто Гуглу и ЯНдексу сертификаты выдал ... Ростелеком! Кроме этого в школьной сети заблокирована даже Википедия, поисковая система Bing а также все социальные сети ,многие новостные ресурсы и очень многие сайты без всякого объяснения.
эм, по моим сведениям, у них на squid wildcart ssl-сертификат от одного из международных вендоров (да-да, тупо на все домены). они эту затею бросили и перешли на самоподписанный?
пару-тройку лет назад в чятике разработчиков этой системы был чудесный диалог:маркетинг кричал, что google analytics мы правильно блокируем как малварь, это она и есть, школьникам это не нужно.
тех. дир. возражала: дескать, я не против, но мы только google anatlytics'ом получаем статистику со страницы блокировки, давайте оставим.
а вообще, у них унутре не только блэклистинг по урлам, а самый настоящий контент-фильтр, который тоже блокирует при совпадениях.
Там разве черный, а не белый список?
был чёрный, как щас -- не знаю
> Работаете в школе или училище?В каждой второй шараге на прокси ключи подменяются же.
> Кроме этого в школьной сети заблокирована даже ВикипедияВ школе положено приобретать знания, а не жрать с лопаты что попало.
То есть пользователи, которые после покупки ноута, сразу форматируют и переразбивают винт, и ставят, пусть даже пиратский оффтопик, этого даже и не заметят?
Пираты, как всегда, в выигрыше.
> Пираты, как всегда, в выигрыше.Дело тут даже не в пиратах, а просто в людях, которые хоть немного разбираются в компах.
Я, например, не представляю себе ситуации, что бы купив ноут, пусть даже с нужной мне ОС на борту, я просто начал её использовать не перенастроив под себя.
Как минимум не переразбив винт, как мне удобно, используя его весь объём, удалив всякие предустановленные скрытые разделы и нужную мне ФС, а не те, на которые Red Hat навязала моду.
Ну, это нормально (с). Ни предустановленной Вин с "подарками" от вендора, ни предустановленной Убунтой пользоваться невозможно. Винда меняется на пиратскую корпоративку, а вендорская Убунта на православный Арч. И только лишь на Маке ничего переустанавливать не нужно, если устраивает макось.
Что-то не понял.... подпейсал свой ЕХЕшник (codesign то бишь сделал), винда7 без обновлений внутри изолированной от инета виртуалки пишет что сертификату не верит и "установи сертификат сам".Чем это лучше простого самодельного сертификата, если его надо так же запихивать руками в хранилище сертификатов?
Тем, что сертификат уже заботливо запехнут сабжевой компанией.
Кто-то вообще смотрит на подписи exe-шников? Мне кажется вопрос в том, чтобы они HTTPS не слушали и не слили такую возможность спецслужбам гордого Зимбабве при первом же шухере...
Просто не надо никогда пользоваться фирменными заливками ОС. Купил комп, переразбил, отформатировал, поставил сам что нужно (можно ту же самую винду если надо, но начисто, со чистого дистрибутива с соответствующим SLIC-ом).