Одна из сотрудниц компании Google обратила внимание (https://twitter.com/__apf__/status/551083956326920192) на некорректный SSL-сертификат, выдаваемый при попытке открытия защищённого соединения к сервису YouTube через оператора связи Gogo (https://en.wikipedia.org/wiki/Gogo_Inflight_Internet), специализирующегося на организации интернет-доступа в самолётах. В ответ на опасения службы безопасности Google, заподозрившей Gogo в использовании подменного сертификата для организации перехвата персональных сведений пользователей, представители компании Gogo прокомментировали (http://concourse.gogoair.com/technology/statement-gogo-regar... случай, указав, что замена сертификата произведена не со злого умысла, а с целью обеспечения оптимального качества выхода в сеть.
В частности, так как пропускная способность канала связи с самолётом сильно ограничена, попытки обращения к сервисам потокового просмотра видео перенаправляются в специальный прокси, который пытается ограничить доступ к данному виду трафика, чтобы такой трафик негативно не повлиял на качество сервиса. При
этом, подмена сертификатов осуществляется только для нескольких сервисов просмотра видео, для остальных сайтов сохраняется полноценная возможность работы по HTTPS.<center><a href="https://pbs.twimg.com/media/B6XX7wvIIAEmZuR.png"><... src="http://www.opennet.me/opennews/pics_base/0_1420546390.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;max-width:100%;" title="" border=0></a></center>
URL: http://arstechnica.com/security/2015/01/gogo-issues-fake-htt.../
Новость: http://www.opennet.me/opennews/art.shtml?num=41401
Просто забанить youtube оператору не судьба?
У овощей начнётся депрессия, будут выбрасываться в форточки и бить пассажиров бизнес-класса.
Как будто среди пассажиров бизнес-класса нет овощей.
Начнём с того, что местные продвинутые "не овощи" вообще не летают на самолётах. Им некуда и не на что.
экспортно ориентированная сырьевая экономика, она такая
Цель не запретить, а ограничить. Пока пропускной способности хватает - смотри на здоровье потоковое видео с Hitomi Tanaka'ой и Anri Okita'ой с 1080p. Как только подключились другие и канала стало не хватать - усё, дальше догоняйся фотосетами Denise Milani.
Кто все эти люди? О_о
Just google for them! Хотя можно и так догадаться.
мсье знает толк!
Ох уж мне эта Хитоми Танака. Не один рулон салфеток попортила, гадина!
Жениться вам, барин, надобно.
Я там был и, уверяю вас, Хитоми Танака лучше!
Что вы там нашли? Вымя, а под ним квадратики. Никакого романтизма.
> Цель не запретить, а ограничить. Пока пропускной способности хватает - смотри на
> здоровье потоковое видео с Hitomi Tanaka'ой и Anri Okita'ой с 1080p.
> Как только подключились другие и канала стало не хватать - усё,
> дальше догоняйся фотосетами Denise Milani.Для "ограничить" ещё со времен первых выделенок используется traffic shaper, которому хватает номера протокола и порта.
А видеонаблюдение в туалете ведется для вашей же безопасности.
> А видеонаблюдение в туалете ведется для вашей же безопасности.И объективы там у камер широкоугольные, что уменьшает истинные размеры объектов. 8=э
Фи, поручик!
Уже писал: я лучше предпочту с--рать в объектив камеры, чем взорваться на высоте 10 км. без шансов на спасение из-за идиота, который считает что его бог мечтает о моей смерти.
> из-за идиота, который считает что его бог мечтает о моей смерти.ЦРУ и ФСБ не боги!
> ЦРУ и ФСБ не боги!Но если никто не будет взрываться - их разгонят за ненадобностью. И они наверное догадываются об этом. По этому поводу всем было бы очень выгодно чтобы болванчик стаканчик взорвался в воздухе.
Уже писали: пожертвовавший свободой ради безопасности не заслуживает ни свободы, ни безопасности. Так что я бы предпочёл чтобы у таких как шанс взорваться на высоте 10 км был чуть повыше, но всему человечеству не нужно было бы жить с камерами в жопах.
Иди убей всех несвободных, ты же свободен. А потом иди жрать говно, потому что свободные не трудятся и еду не производят.
Убивать надо не рабов, а рабовладельцев. Они как раз не трудятся.
Да одни от других, в общем-то, обычно не особо отличаются - в голове одна и та же каша. Прибьешь рабовладельца, оставив систему - кто-то из бывших рабов вылезет наверх. Свобода начинается когда доходит, что сотрудничать выгодно.
У меня такое впечатление, что это Вы сменили тех "свободных" длинноволосых завшивленных людей с букетами всех мыслимых венерических болячек. Просто чуть поменялся фокус вашей "свободы".
Эти взгляды были "чуток" раньше, чем длинноволосые люди (и не имеют к ним отношения). Как минимум с отцов-основателей Штатов началось, а позже оформилось в либертарианство в различных формах - от Мизеса до Ротбарда.
Я про 60-ые и хиппи.. Как всё до неприличия циклично, хаха! Не всегда сам поймёшь, что дал перекрёстную отсылку на коренных обитателей "Северного континента", ыы.
Что вы про хипей говорили - это понятно. Непонятно, при чем здесь они. Я-то, в общем, об элементарной вещи напоминаю - если у людей в головы вбита система с определёнными ролями, то выкашивать одну роль бесполезно - айдутся другие желающие. Головы прочищать надо, или искать другую страну или глобус, где в головах у большинства что-то более удобное для жизни.Ну несподручно жить среди тех, кто считает, что главное достижение в жизни - кого-то запрсессовать, ограбить или обокрасть, и иначе ничего добиться нельзя. Слишком часто оглядываться приходится, а на что-то толковое времени и сил не особо остаётся.
Пусть жертвуют своей свободой, а мою оставят в покое.
> из-за идиота, который боится, что спецслужбы захотят подслушать его излияния на кухне.fixed
Смени ник: YetAnotherClown
> Уже писал: я лучше предпочту с--рать в объектив камеры, чем взорваться на
> высоте 10 км. без шансов на спасение из-за идиота, который считает
> что его бог мечтает о моей смерти.Как вы будете определять "идиотизм" определенного идиота^W индивидуума?
Как вы сможете доверять оценкам об "идиотизме" определенного идиота^W индивидуума, проведенными "кем-то" (от вас не зависимого)? Чем вы будете оплачивать его работу? Именно вы, а не "щаз, примем закон, а там хоть потоп (ибо меня как самого "круче только яйца в крутую", конечно же, не затопит ;)Если такой идиот появился в непосредственной близости от вас, что вы намерены предпринять? Именно вы, а не гипотетический "кто-то", которому необходимо будет оплатить его работу!
> я лучше предпочту с--рать в объектив камеры, чем взорваться на высоте 10 км.Я бы предпочел чтобы ты взорвался на высоте 10 км. Такое г-но как ты на этой планете нам ни к чему.
> Уже писал: я лучше предпочту с--рать в объектив камеры, чем взорваться на
> высоте 10 км. без шансов на спасение из-за идиота, который считает
> что его бог мечтает о моей смерти.Объектив в туалете тебя не спасёт.
+100500
К тому же, чем больше объективов в туалете, тем выше вероятность, что никто и не смотрит в ж0пу потенциальным террористам. Зато тотальное наблюдение позволяет выборочно влиять на тех кто несогласен с тотальным наблюдением.
Перефразируя уже упоминавшуюся фразу "тот кто променял свободу на видимость безопасности, вообще ничего не достоин".
тут вся фигня в том, что как раз «террористы»-то никого и не интересуют. а вот механизмы слежения за обычными гражданами, которые сами эти граждане ещё и одобрили — вот это действительно интересно. а «террористы» так, жупел. если бы их не было, их бы изобрели.
man Младший брат
>Gogo прокомментировали случай, указав, что замена сертификата произведена не со злого умысла, а с целью обеспечения оптимального качества выхода в сеть.Анально карать надо за такое.
последствия тотального перехода на хттпс. дурость влечет последствия
> последствия тотального перехода на хттпс. дурость влечет последствияА какие именно последствия? Обнаружилось вмешательство в трафик, которое иначе бы осталось незамеченным - это плохо?
>> последствия тотального перехода на хттпс. дурость влечет последствия
> А какие именно последствия? Обнаружилось вмешательство в трафик, которое иначе бы осталось
> незамеченным - это плохо?Нет, не плохо! Скажу даже больше, хорошо!
С кешированием теперь еще хуже будет :(
Можно конечно сказать, что то, что понравилось пользователю он сохранит для себя локально. Но, это необходимо предпринимать дополнительные телодвижения, а так же порождает множество других рутинных операций (например: следить за устареванием информации).
> С кешированием теперь еще хуже будет :(И это хорошо. Потому что мало ли кто там что "закэширует". Например креативно пропатченую версию страницы. А вот так это будет делать криво и паливно.
>> С кешированием теперь еще хуже будет :(
> И это хорошо. Потому что мало ли кто там что "закэширует". Например
> креативно пропатченую версию страницы. А вот так это будет делать криво
> и паливно.Все правильно. Особенно это хорошо в некоторых странах, где трафик стоит очень дешево да и скорости подключения очень большие.
И наверняка, можно написать дополнение к любимому браузеру, которое бы занималось вопросом кеширования (просто и удобно настраиваемое). Правда, некоторые будут против кеширования (если не все сразу :(
Все популярные браузеры и так кэшируют контент. Раньше, правда, была мода не кэшировать данные, полученные через HTTPS, потому как раньше HTTPS применялся гораздо реже и действительно для секретных данных.Кто-нибудь знает кстати, как сейчас дело обстоит? Кэшируют HTTPS-данные локально?
> Все популярные браузеры и так кэшируют контент. Раньше, правда, была мода не
> кэшировать данные, полученные через HTTPS, потому как раньше HTTPS применялся гораздо
> реже и действительно для секретных данных.
> Кто-нибудь знает кстати, как сейчас дело обстоит? Кэшируют HTTPS-данные локально?Давайте для начала поймем, что HTTPS-данные после расшифровки есть просто данные.
И кешировать их или нет, решает браузер, так как все остальное плагины и аддоны выполняются в нем как в виртуальной машине (ИМХО). Так что с записью на диск у них (плагины и аддоны) должны быть какие то привилегии (кто им их выдаст?, снова же, браузер (как полноценная программа) должен сам сделать запись на диск).
Работа с кешем, тоже работа, и отнимает часть процессорного времени и времени ввода-вывода.
Логика кеширования, тоже должна работать "нормально" с точки зрения пользователя (а не выдавать статичную картинку, тогда как данные на сервере уже поменялись).
Плюс, рекламодатели могут очень сильно возмутится ;)
Последнее время (видимо в связи, с "ростом" уровня познаний пользователей в IT) производители (и браузеров в том числе) стали упрощать (если вообще не скрывать) интерфейс настроек от рядового пользователя. А тут такая сложная тема как кеширование ;)
В общем, тяжело все это, очень и очень тяжко :(
Может и с cdn начнешь бороться? Вдруг там что криво и паливно.
> там что криво и паливноСначала выучи русский язык. Потом подтяни информатику и пойми разницу между CDN и MITM. Только после этого у тебя будет право раскрывать тут рот.
Сначала читать научись. Русский язык скопирован с прошлого комментария. Где были слова паливно, закэширует и прочий бред. Или ты омывателем с утра залился и не соображаешь?
Если бы хттпс применяли то делу, там где это нужно, то это был бы полноценный инцендент. Но в ситуации, когда шифруют всякий шлак, то это уже и не инциндент, а оптимизация трафика.
результат превзошел ожидания, бывает
Мне в таких случаях всегда вспоминается эта сцена:https://www.youtube.com/watch?v=EHe7rV4EjDw
:3
А без видео именно с ютюба пассажиры, конечно же, до посадки не доживут, и видеотека на борту их, конечно же, от абстиненции не спасёт.
А, ну с добрым умыслом можно все что угодно делать. Чего уж..
Почему эти хакеры (в плохом смысле) ещё не сидят? Насколько я помню, статья за такое есть в большинстве стран.
И ведь самое смешное, что многие даже поверят в эту идиотскую отмазку.
Предложите хоть какой-то осмысленный сценарий злонамеренной подмены трафика к трубе? А вот объяснение насчет оптимизации - очень логичное, сам бы такое сделал (правда, предупредил бы явным образом, чтобы писка было поменьше).
> А вот объяснение насчет оптимизации - очень логичное, сам бы такое сделал
> (правда, предупредил бы явным образом, чтобы писка было поменьше).Боюсь гугель не одобрит.
а какая разница? какого вообще чёрта непонятные мудозвоны лезут своими жопоручками в чужой шифрованый трафик? мошенники. точка.
Было бы это что-то другое, а не ютюб на самолёте - я бы, может, и согласился. А так - кривовато реализовано (могли бы, наверное, как-то шейпить и без этого), но в целом ничего особо криминального.
> Было бы это что-то другое, а не ютюб на самолётене вижу разницы. вообще. подмена трафика — киберпреступление.
> Предложите хоть какой-то осмысленный сценарий злонамеренной подмены трафика к трубе?Воровство информации GAPS ... нельзя сказать, что это катастрофа, но создать серьезные проблемы - может. Да и вообще сам факт вмешательства именно такого рода - в любом месте можно найти 100 оправданий, "я ведь плохого не хочу", но по сути - типичная атака посредника.
Насколько я понимаю, куки и прочее там разные, и если они действительно только запросы к трубе калечат - это проблемы не создаст. Там даже с гуглоплюсом и его комментами как-то отдельно взаимодействиет и авторизуется
> сценарий злонамеренной подмены трафика к трубе?Фигня вопрос. Например подменить сюжет на политическую тему. Или подгадить конкуренту, подсунув свой ролик. Да и статистику какие-то левые хрены набирают.
А кэшировать ютуб - у них там что, датацентр летает? И все юзеры смотрят одинаковые мувики?
В самолётах, то есть на очень малую аудиторию, что-то подменять или считать? Смешно. И они, насколько я понимаю, не столько кешируют, сколько тормозят/приоритизируют запросы, чтобы остальному трафику видюшки не мешали.
> В самолётах, то есть на очень малую аудиторию, что-то подменять или считать?
> Смешно.смейся дальше, чо. подумаешь, на твою privacy нагло наплевали, а будучи на том пойманы, сказали «мы радость доставить хотели тебе!» ты, главное, смейся громче, когда в тебя плюют.
> Предложите хоть какой-то осмысленный сценарий злонамеренной подмены трафика к трубе?Да достаточно даже не подмены, а простого подглядывания. Мониторинг политических комментариев для начала.
> Предложите хоть какой-то осмысленный сценарий злонамеренной подмены трафика к трубе? А
> вот объяснение насчет оптимизации - очень логичное, сам бы такое сделал
> (правда, предупредил бы явным образом, чтобы писка было поменьше).Допустим, в роликах CNN на утубе уже вовсю сообщается, что ваш авиалайнер бесследно сгинул где-то под Украиной.. >:-)
Зонды, зонды, кругом зонды! Ууу!! *завывая и бегая с фольгированной простынёй на голове и угрожающе потрясая вшивой бородищей и пивным пузом
да, главное сделать, а отмазываться можно будет как угодно.
Такие инциденты к лучшему - проблемы будут решаться ... думается мы очень скоро увидим ряд интересных моментов, связанных с QoS внутри HTTP а также выставлять эти метки для любого трафика, хоть с учетом SSL
Тут, откровенно говоря, и так QoS или шейпинг можно было сделать - сами ролики лежат на отдельных доменах с отдельными айпишниками. Но реализовали довольно кривым способом.
В SPDY и HTTP 2.0 уже встроен QoS
Сам факт модификации трафика означает, что эти мошенники де факто не являются провайдером Интернета.
> Сам факт модификации трафика означает, что эти мошенники де факто не являются
> провайдером Интернета.Почему же не являются. Являются. Провайдерами. А также мошенниками. Нарушающими передачу информации в сети на своих узлах.
SPDY / Multiplexing / HTTP 2.0 / SCTPВ конце концов приоритезация внутри SPDY которых поверх HTTPS
Хе!
Аваст делает ровно тоже самое в винде. (Недавно заметили).
Причем _ДЛЯ ВСЕХ_ сайтов, к которым обращаешься по https.
Как вам такой бдительный антивирус? ))))
>Аваст делает ровно тоже самое в винде. (Недавно заметили).Доказательства есть? Это очень серьёзное обвинение.
Насколько я помню, аваст монторит трафик.И плюс ставит дополнение для браузера (необязательное). Но вот подменять сертификаты... что-то я о таком не слышал.
>>Аваст делает ровно тоже самое в винде. (Недавно заметили).
> Доказательства есть?Есть :-) Хотя Аваст не провайдер и не сторонний сетевой ресурс. Но, да, оно с не очень давних пор имеет "просматривать" (а может и ещё что-то делать) https...
Есть такое. Проверка https и всё что рядом покрутить. Забавно было когда он расфигачил мне самоподписанные сертификаты на свои.
> Есть такое. Проверка https и всё что рядом покрутить. Забавно было когда
> он расфигачил мне самоподписанные сертификаты на свои.MS TMG теперь тоже так умеет. Причем когда я спрашивал чайников, развернувших это дело, насколько они считают это законно, они сказали: поскольку такая функция есть у Майкрософт, значит все честно.
Поэтому интересно проследить чем заканчиваются такие прецеденты.
Да он давно уже так умеет. Да даже сквид может ssl bump.
А законность обычно прописывается в бумажках которые при приеме на работу составляются. Если охота пободаться то можно попробовать, но ничем хорошим, в обычных городах, это не кончится. Потом могут проблемы с поиском работы пойти.
> Да он давно уже так умеет. Да даже сквид может ssl bump.
> А законность обычно прописывается в бумажках которые при приеме на работу составляются.
> Если охота пободаться то можно попробовать, но ничем хорошим, в обычных
> городах, это не кончится. Потом могут проблемы с поиском работы пойти.Да, только те, кто сквид разворачивают обычно понимают что делают.
А не судьба как-нибудь аккуратнее работать? Я, конечно, понимаю, лень и все такое, но ведь можно же шейпить трафик к серверам YouTube на уровне TCP/UDP. И не надо никакой подмены сертификата.
> А не судьба как-нибудь аккуратнее работать? Я, конечно, понимаю, лень и все
> такое, но ведь можно же шейпить трафик к серверам YouTube на
> уровне TCP/UDP. И не надо никакой подмены сертификата.Но вообще имело место не столько подмена сертификата, сколько подмена утубы и попытка присвоения этим GoGo себе имени Google. С подтверждением сего присвоения выдачей себе в этом сертификата...
Пока существует PKI - такое вполне в порядке вещей.
А пока ждем повсеместного пришествия DANE
Неосилили шейпинг траффика? Какая разница что делает юзер в самолете, оставить ему пару мбит/с и пусть радуется