| 1.1, Аноним (-), 19:45, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Все бы ничего если бы не одно но: любой му...^W удостоверяющий центр может выписать сертификат на все что угодно. И тот факт что некто перегенерил сертификат "гуглю", "мозилле" и прочим - никак не будет отловлен. А вот это уже хреново. По поводу чего https в текущем виде больше похож на декоративно-прикладные упражнения в имитации секурити.
Соответственно я все понимаю, но стремление внедрить декоративную секурити как-то не радует.
| | |
| |
| |
| 3.5, Аноним (-), 20:14, 09/10/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
Это не починит фундаментальный косяк протокола. Зато подставит под удар еще и приваси + втравит в зависимость от сервисов одной единственной шараги. Нафига б такое счастье?
| | |
| |
| 4.23, Анон (?), 20:59, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К примеру, вы можете отключить все корневые сертификаты и при каждой смене отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда, что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC, при использовании которой отправить вам фальшивый сертификат может только авторитативный DNS-сервер, обслуживающий посещённый вами адрес.
| | |
| |
| 5.24, Аноним (-), 21:35, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ
> _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К
> примеру, вы можете отключить все корневые сертификаты и при каждой смене
> отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда,
> что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC,
> при использовании которой отправить вам фальшивый сертификат может только авторитативный
> DNS-сервер, обслуживающий посещённый вами адрес.
Это не косяк используемого способа проверки сертификата. Это косяк концепции слепого доверия, основанного на "мамой клянусь!"^WCertificate Policy Statement любого му..^Wудостоверяющего центра.
| | |
| 5.26, arisu (ok), 05:41, 11/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > вы можете отключить все корневые сертификаты и при каждой смене
> отпечатка проверять его вручную по нескольким каналам.
а ещё можно смотреть http в telnet. примерно так же удобно.
> передача сертификата через DNSSEC
как будто есть какая-то разница между разными местами централизации. идея централизации defective by design, и любая система, основаная на «доверии» какому-то центру, должна считаться скомпрометированой ещё до публичного релиза.
| | |
|
|
|
| 2.12, filosofem (ok), 23:48, 09/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
 Не надоело писать один и тот же бред в каждой новости про HTTPS? Ремень безопасности тоже декоративная мера при лобовом столкновении с камазом. А если за руль посадить слепого безногого имбецила с суицидальными наклонностями, то наличие ABS и никак не повлияет на тормозной путь.
| | |
| |
| 3.13, arisu (ok), 05:51, 10/10/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Не надоело писать один и тот же бред в каждой новости про HTTPS?
нет, не надоело. явное отсутствие средств безопасности намного лучше, чем наличие нерабочих имитаторов. это понятно даже лысому ежу.
| | |
|
|
| 1.3, Аноним (-), 20:00, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Кроме того, можно отметить утверждение организацией IETF статуса предложенного стандарта для протокола HSTS (HTTP Strict Transport Security), позволяющего владельцам сайтов указать о необходимости использования шифрованного соединения и определить правила для переброса на соответствующую HTTPS-область. Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security.
При этом нет гарантии что заголовок не подменили и правила не убрали.
| | |
| |
| 2.6, Аноним (-), 20:14, 09/10/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> При этом нет гарантии что заголовок не подменили и правила не убрали.
Вы подсказываете провайдерам как hijack-ать протокол? :)
| | |
| 2.7, Xasd (ok), 20:21, 09/10/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > При этом нет гарантии что заголовок не подменили и правила не убрали.
кстате говоря -- надо не забывать о том что для HTTP (не HTTPS) -- заголовок Strict-Transport-Security -- совершенно ничего не делает.
..другими словами внутри HTTP-трафика его подмена совершенно ни на что не влияет.
| | |
| |
| 3.17, другой аноним (?), 09:49, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– | |
>Для переброса пользователя, зашедшего через HTTP, на соответствующую область HTTPS, используется HTTP-заголовок Strict-Transport-Security
что-то непонятно Вы выразились - как это не повлияет? Провайдер уберет заголовок и пользователь не перебросится, ибо браузер не будет знать куда перебросить. Останетесь на незашифрованном соединении
| | |
|
|
| 1.8, Аноним (-), 21:05, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
В Squid бы такое. Чтоб между сайтом и прокси по HTTPS, а браузеру отдавал уже нешифрованное. Заодно и кешировал бы попрежнему. А то если браузер будет преимущественно по HTTPS работать, эффективность Squid сведётся на нет. Разумеется, всё это для маленькой домашней сетки.
| | |
| |
| 2.25, Аноним (-), 21:37, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
> В Squid бы такое. Чтоб между сайтом и прокси по HTTPS, а
> браузеру отдавал уже нешифрованное. Заодно и кешировал бы попрежнему. А то
> если браузер будет преимущественно по HTTPS работать, эффективность Squid сведётся на
> нет. Разумеется, всё это для маленькой домашней сетки.
Тю, умник! А про SSLBUMP ты никогда, сталоть, не слышал? В том самом сквиде? М? Тоже мне, нашел ж.пу с лабиринтом!
| | |
|
| 1.9, Дима Lenny Биан (?), 21:34, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Что-то мне кажется, что получится как с Do Not Track. "Всё-таки включить шифрование, если есть техническая возможность", если кто-то сознательно не включил его раньше, значит и теперь будут отключать.
| | |
| 1.11, Толя Вихров (ok), 23:18, 09/10/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 По-моему аддон HTTPS Finder лучше: он сам ищет какой сайт поддерживает HTTPS, а в HTTPS Everywhere забит список сайтов, которые поддерживают HTTPS (еще бесит, когда каждый раз предлагает их сохранить).
| | |
| 1.14, arisu (ok), 05:52, 10/10/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
лучше бы публично отрывали руки идиотам, которые делают принудительный https через перенаправления. от этого всяко пользы больше.
| | |
| |
| 2.15, zzz (??), 09:16, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
а чем хуже принудительный https? что кто то его не поддерживает?
| | |
| |
| 3.16, arisu (ok), 09:17, 10/10/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> а чем хуже принудительный https?
тем, что это вредная иллюзия безопасности, которая даёт только лишние тормоза и никакого толка.
| | |
| |
| 4.18, zzz (??), 10:18, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
чем вредная? по пути никто не сможет перехватить пароль, а так то например разработчик сайта может тупо перехватывать себе все)))
| | |
| |
| 5.19, arisu (ok), 10:30, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> по пути никто не сможет перехватить пароль
бугога. g://diginotar g://trustwave
всё, этого достаточно. не бывает «немножко скомпрометированой системы» — или беременна, или нет. особенно это касается систем с централизоваными центрами «доверия».
| | |
| |
| 6.20, zzz (??), 10:35, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
для тупых можно по шагам?
что это: g://diginotar g://trustwave ?
| | |
| |
| 7.21, arisu (ok), 10:37, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
google это. на два самых известных факта про «удостоверяющие центры», их честность и эпик фэйлы.
| | |
|
| 6.22, zzz (??), 10:41, 10/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> по пути никто не сможет перехватить пароль
> бугога. g://diginotar g://trustwave
ага, вероятно это скомпрометированные центры сертификации...
их сертификаты можно подписывать корневым сертификатом зашитым в браузер, но при этом
делать запросы куда то в центр за списками отмены сертификатов центров сертификации которые (эти списки) подписаны закрытым ключем корневого центра, открытый ключ которого у нас зашит в браузер...
| | |
| 6.30, ызусефещк (?), 17:01, 11/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
Ваш дверной замок - такая же иллюзия безопасности, (бугога g://взлом замков )
Однако дверку в квартиру Вы закрываете чтоб бомж не насрал.
| | |
|
|
| 4.29, kurokaze (ok), 14:20, 11/10/2012 [^] [^^] [^^^] [ответить]
| +/– |
 >только лишние тормоза
Ну это только на твоем домашнем говносерваче из пня второго
| | |
|
|
|
| 1.27, Аноним (-), 11:31, 11/10/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
это конечно полезно, но не то. Ожидаемая фича: встроенный в браузер шифрованный туннель по http к доверительному серверу-посреднику от производителя браузера, как у opera режим турбо. Это нужно там, где https невозможен или недоступен...
| | |
|
