The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Инициатива по привлечению пользователей к повышению качества..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от opennews (??) on 21-Апр-11, 15:44 
Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) анонсировала (https://www.eff.org/press/archives/2011/04/19-0) проведение акции по привлечению пользователей к оценке степени корректности и полноты использования HTTPS различными ресурсами в сети. По задумке создателей, благодаря вовлечению в процесс сбора информации пользователей, акция поможет сформировать реальную картину использования HTTPS в сети и указать создателям сайтов о возможных угрозах, с которыми могут столкнуться пользователи, когда поддержка HTTPS  реализована не должным образом.


В рамках акции запущен сайт httpsnow.org (https://www.httpsnow.org/), на котором началось формирование каталога поддерживающих HTTPS web-ресурсов с указанием таких особенностей, как длинна SSL/TLS ключа, наличие смешанных областей на сайте (ссылки из шифрованной области в незашифрованную), поддержка механизма HSTS (http://ru.wikipedia.org/wiki/HSTS) (форсирование использования HTTPS на сайте), степень охвата стра...

URL: https://www.eff.org/press/archives/2011/04/19-0
Новость: http://www.opennet.me/opennews/art.shtml?num=30316

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "Инициатива по привлечению пользователей к повышению качества..."  +6 +/
Сообщение от pavlinux (ok) on 21-Апр-11, 15:49 
Надо форсировать США ракетами Тополь-М, дабы отбить желание на ограничение длины ключа.
Сейчас, разрешаемые 256 бит, в связи с появлением Fermi и CUDA это уже смешно.
А тем более на своих кластерах, Roadrunner_ах, прямым бутфорсом подбирается за 6 минут.
  
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Инициатива по привлечению пользователей к повышению качества..."  +1 +/
Сообщение от Аноним (??) on 21-Апр-11, 16:26 
Вы ничего не путаете? Подбор 256 битного ключа за разумное время? Что-то сомнительно.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от pavlinux (ok) on 21-Апр-11, 17:53 
> Вы ничего не путаете? Подбор 256 битного ключа за разумное время? Что-то
> сомнительно.

Ну посчитай, 2^256/1.5 Петафлопа
  

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

23. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от Onanymous on 21-Апр-11, 19:58 
2.45*10^54 лет
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

25. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от Аноним (??) on 21-Апр-11, 21:58 
pavlinux Иногда лучше жевать :))
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

5. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от Аноним (??) on 21-Апр-11, 16:38 
Ты что-то путаешь. Длина ключа сертификата - 1024, 2048, ... бит, а для сессионного ключа - разве AES определён для большего чем 256 бит размера ключа?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от pavlinux (ok) on 21-Апр-11, 17:51 
> Ты что-то путаешь. Длина ключа сертификата - 1024, 2048, ... бит,

Это не ключ, это сам сертификат.
> а для сессионного ключа - разве AES определён для большего чем 256
> бит размера ключа?

Вот именно.
И вообще, AES закопать надо, это ихний стандарт, принятый АНБ, он такой "сильный"
что даже они не могут расшифровывать за приемлемое время.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Инициатива по привлечению пользователей к повышению качества..."  +1 +/
Сообщение от x0r (??) on 21-Апр-11, 16:46 
Надо форсировать США ракетами Тополь-М.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от Marbleless on 21-Апр-11, 15:49 
Непонятно только, почему вся информация вносится вручную? Почему нельзя установить SSL-соединение с целевым веб-сайтом и запросить все данные? Тем более, что на их же сайте есть ссылка на сервис от Qualys SSL Labs, который ровно это и делает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от Aleksey (??) on 21-Апр-11, 19:45 
> Непонятно только, почему вся информация вносится вручную? Почему нельзя установить SSL-соединение
> с целевым веб-сайтом и запросить все данные? Тем более, что на
> их же сайте есть ссылка на сервис от Qualys SSL Labs,
> который ровно это и делает.

Там от силы 2 поля можно автоматом получить. Все остальное надо уже смотреть.


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

24. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от Marbleless on 21-Апр-11, 20:08 
>Там от силы 2 поля можно автоматом получить. Все остальное надо уже смотреть.

Не думаю.

Вот поля:
0.Сайт существует - можно проверить автоматом. Важный признак, надо сказать.
1.Uses HSTS - можно проверить автоматом.
2.Uses HTTPS - можно проверить автоматом.
3.No mixed content - да, вот здесь уже нельзя полностью автоматом проверить, поскольку нужно проверять все возможные страницы. С другой стороны, если хотя бы на главной есть Mixed Content, можно сразу сказать, что нет.
4.All HTTPS - аналогично
5.All Identifying - тут только вручную
6.Uses secure cookies - тут окончательный вердикт только вручную, да.
7.Valid SSL Certificate - проверяется автоматически.

Да, не все поля можно заполнить автоматом, но облегчить жизнь и занести хотя бы формальные критерии можно.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

28. "Инициатива по привлечению пользователей к повышению качества..."  +/
Сообщение от Aleksey (??) on 22-Апр-11, 13:59 
Вот вам сайт, проверьте, что один из его разделов использует https. http://www.yandex.ru/
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

9. "Инициатива по привлечению пользователей к повышению..."  –3 +/
Сообщение от anonymous (??) on 21-Апр-11, 18:14 
SSL? это та криво сделаная ерунда, которая тормозит, реализации которой в UI браузеров пугают пользователя непонятными окнами, а шаражки, выдающие корневые сертификаты сплошь коммерческие, никому не подконтрольные и умудряются при этом выдавать сертификаты кому не попадя?

благодарим за такую нужную и чудесно централизованую вещь, но принять не можем: слишком уж царский подарок, оставьте себе.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от Marbleless on 21-Апр-11, 18:17 
>благодарим за такую нужную и чудесно централизованую вещь, но принять не можем: слишком уж царский подарок, оставьте себе.

А вместо SSL что использовать предлагается?

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от anonymous (??) on 21-Апр-11, 18:31 
> А вместо SSL что использовать предлагается?

а это смотря для чего. я вот вообще не понимаю, какая ниша у SSL, зачем оно надо? банковские системы? выдавать флешину с ключом и гоу-гоу-ту-впн. проверки подлинности? вообще не его ниша. зачем оно?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от Marbleless on 21-Апр-11, 18:36 
>какая ниша у SSL, зачем оно надо?

1.Шифрование данных, защита от снифферов.
2.Подтверждение подлинности источника.

>выдавать флешину с ключом и гоу-гоу-ту-впн.

1.И как защитить флэшину с ключом от подделки?
2.И что, "флэшина с ключом" - это намного лучше, чем стандартное решение, которое не лишено недостатков, но ведь работает?

>И гоу-гоу-ту-впн

Зачем здесь вообще VPN?

>проверки подлинности? вообще не его ниша.

Да ну?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Инициатива по привлечению пользователей к повышению..."  –1 +/
Сообщение от anonymous (??) on 21-Апр-11, 18:40 
>>какая ниша у SSL, зачем оно надо?
> 1.Шифрование данных, защита от снифферов.

VPN.

> 2.Подтверждение подлинности источника.

VPN.

> 1.И как защитить флэшину с ключом от подделки?

зачем? ключ вообще можно на сайт положить, просто юзеру обычно лень его скачивать, так что вручать флэшину.

> 2.И что, "флэшина с ключом" - это намного лучше, чем стандартное решение,
> которое не лишено недостатков, но ведь работает?

конечно, лучше.

>>И гоу-гоу-ту-впн
> Зачем здесь вообще VPN?

угадай.

>>проверки подлинности? вообще не его ниша.
> Да ну?

ну да.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от Marbleless on 21-Апр-11, 18:44 
>зачем? ключ вообще можно на сайт положить, просто юзеру обычно лень его скачивать, так что вручать флэшину.

Так, и что же мешает организовать атаку "человек посередине" следующим образом: отдавать вместо ключа с сайта свой собственный ключ, и после этого расшифровывать весь трафик от клиента и записывать перед отправкой на настоящий сервер?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от anonymous (??) on 21-Апр-11, 18:49 
> Так, и что же мешает организовать атаку "человек посередине" следующим образом: отдавать
> вместо ключа с сайта свой собственный ключ, и после этого расшифровывать
> весь трафик от клиента и записывать перед отправкой на настоящий сервер?

вот в частности для этого и дать флэшину.

точно такую же хрень можно спокойно делать с SSL. разница в том, что здесь никто не зависит от дураков в корневых конторах. т.е. в цепочке как минимум на одного дурака меньше.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от Marbleless on 21-Апр-11, 18:52 
>вот в частности для этого и дать флэшину.

Они дизассемблируются и подделываются, было бы желание.

>точно такую же хрень можно спокойно делать с SSL

Да ну, правда, что ли? Как же это можно сделать без соучастия корневых контор?


Ладно, покормил - и хватит.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от anonymous (??) on 21-Апр-11, 18:56 
>>вот в частности для этого и дать флэшину.
> Они дизассемблируются и подделываются, было бы желание.

а ещё вставляются в USB-разьём и читаются.

>>точно такую же хрень можно спокойно делать с SSL
> Да ну, правда, что ли? Как же это можно сделать без соучастия
> корневых контор?

точно так же: дать левый сертификат и наслаждаться кайфом.

> Ладно, покормил — и хватит.

и то правда, хватит тебя кормить.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от Marbleless on 21-Апр-11, 19:02 
>а ещё вставляются в USB-разьём и читаются.

Флэшина-флэшина. Я думал, ты про Adobe Flash.

Да, если дать ключ на носителе, а еще лучше сразу криптографический токен, защита будет более надежной, чем по HTTPS. Однако ведь не только в банковских системах шифрование нужно. Почта, бложик, социальная сеть, форум или еще какой угодно сервис, куда могут передаваться хоть сколько-нибудь важные данные - все они тебе тоже по носителю с ключом вышлют?

>точно так же: дать левый сертификат и наслаждаться кайфом.

Вот только количество контор, которые могут выдать сертификат, которому большинство браузеров будут доверять, крайне ограничено. Необходимо соучастие хотя бы одной из них. Потом, хорошие браузеры при смене сертификата при повторном посещении сайта предупреждают пользователя.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Инициатива по привлечению пользователей к повышению..."  +/
Сообщение от anonymous (??) on 21-Апр-11, 19:19 
> Флэшина-флэшина. Я думал, ты про Adobe Flash.

O_O
я, конечно, псих, но ведь не настолько, чтобы доверять этим странным существам.

> Почта

PGP

> бложик, социальная сеть, форум

там нужно шифрование? O_O в местах, где изначально на security возложен болт — именно в силу специфики мест?

> или еще какой угодно сервис, куда могут передаваться хоть сколько-нибудь важные данные

например? нет, реально: примеры. везде, где данные *реально* важные, VPN работает. где нужно подписывать/шифровать тексты и прочее — PGP.

> все они тебе тоже по носителю с ключом вышлют?

кагбэ проблемы обмена привтной информацией в публичных сетях — они не только что появились. и методов тоже придумано. если тебе действительно интересно — то ты или их уже знаешь и ёрничаешь, или сходи почитай, интернеты большие.

> Вот только количество контор, которые могут выдать сертификат, которому большинство браузеров
> будут доверять, крайне ограничено.

любой, у кого есть программа, формирующая сертификаты. потому что среднеобычный юзер знать не знает, что там за страшное окно вылезло, и если он нажмёт «нет» и не сможет купить себе билет в Задрыпинск к тёще, то он в следующий раз думать не будет, а нажмёт «да». а если браузер ему не позволит нажать «да», то он задолбёт всех воплями про то, что браузер плохой, и сменит на тот, который позволит прострелить себе голову.

> Потом, хорошие браузеры при смене сертификата при повторном посещении сайта предупреждают пользователя.

а пользователи эту фигню с таким же постоянством не читают, потому что *не знают* пользователи, что такое эти ваши сертификаты-шмертификаты, им надо к тёще ехать, а не заумную чушь читать, которую тупая программа пишет.

если что — это не «абстрактные юзеры в вакууме», это многолетние наблюдения над окружающими и подопечными в бытность мою быдлоадмином.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Инициатива по привлечению пользователей к повышению..."  –1 +/
Сообщение от Aleksey (??) on 21-Апр-11, 19:44 
HTTPS - это тот же PGP, но прозрачный, специально адаптированный для HTTP
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру