1.1, sabakka (?), 22:58, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
"Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны"
что они там курят-то эти китаёзы?
| |
1.3, Аноним (-), 23:04, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +16 +/– |
Удаляют правильно, нафиг такое раздолбайство в трастах держать. На опеннете может перехать на что-то другое, например LetsEncrypt? А то тут, неожиданно, тоже WowSign.
| |
|
2.30, Аноним (-), 09:05, 31/08/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
Хорошо бы чтобы они и к американским удостоверяющим центрам так же относились. Потому что сейчас китайцев-раздолбаев банят на раз, а про штатовские центры потрындят и забудут.
Демократия-съ
| |
2.36, t28 (?), 10:37, 31/08/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Удаляют правильно
В том то и дело, что не удаляют, а ограничиваются deep concern-ами.
| |
|
3.117, Аноним (-), 20:04, 01/09/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Удивляюсь, что так долго ждали: 14 месяцев.
Ты хоть когда-нибудь работал в коллективе свыше 50 чел? Не в Рога-И-Копыта-Инкорпорейтед?
| |
|
2.99, Аноним (-), 22:00, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Я с Восайном попрощался еще год назад, как появился ЛетсЭнкрипт!
| |
|
|
2.11, anonymous (??), 00:35, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Запилите man плз, я ленивое #%#%@#@ и, думаю, ряд анонов тоже.
[сообщение отредактировано модератором]
| |
|
3.13, Crazy Alex (ok), 01:03, 31/08/2016 [^] [^^] [^^^] [ответить]
| +5 +/– |
Seamonkey:
Edit - Preferences - Privacy and Security - Certificates. Кнопка Manage Certificates. Долистываем в конец, видим раздел WoSign, для каждого подпункта в нём: тыкаем на подпункт чтобы выбрать, тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке выбираем пункт (обычно он там один), тыкаем Ok
Pale Moon:
edit - Preferences - Advanced - Certificates, кнопка View Certificates. Долистываем в конец, видим раздел WoSign, для каждого подпункта в нём: тыкаем на подпункт чтобы выбрать, тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке тыкаем Ok
Больше никаких браузеров под рукой нет, у кого хромиум - могут добавить.
| |
|
|
5.18, Crazy Alex (ok), 03:28, 31/08/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Откровенно говоря, его и на линукс ставить нет большого смысла, сижу потому что почтовик его я тоже использую, и он так жрёт существенно меньше, чем thunderbird + pale moon по отдельности. Плюс у меня довольно специфичные настройки - uMatrix, NoScript + uMatrix рубят всё, что можно и нельзя (т.е джаваскрипт почти нигде не включён и страницы сильно обрезаны), и куча вкладок, для которой памяти жалко. А так - сотня вкладок + почтовик - 1 гиг virt, 700M res.
Но вообще - SeaMonkey подтупывает на джаваскрипте. Pale Moon существенно быстрее - уж не знаю, почему, но разница очень заметна.
| |
|
6.20, Crazy Alex (ok), 03:32, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Да. ещё одна особенность - сборщик Pale Moon наотрез отказывается поддерживать в нём MSE. В SeaMonkey же оно есть.
| |
|
7.34, iPony (?), 10:10, 31/08/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Об этих полтора фурфагах как-то смешно говорить в тоне "наотрез".
Они вчера так, а завтра уже так. Естественно они идут следом с отставанием от фурифокса.
| |
|
|
|
4.37, Аноним (-), 11:24, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
... тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке тыкаем Ok
Нажимаем View Certificates. Долистываем в конец, видим раздел WoSign, всё удалённое на месте, как было.
| |
|
5.48, Crazy Alex (ok), 13:59, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Покопал - не всё так страшно.
Встроенные сертификаты не убиваются, но у них отбирается доверие (что, по факту, то же самое). НО. Требуется рестарт браузера чтобы изменения вступили в силу.
| |
|
4.43, vantoo (ok), 13:45, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Подскажите, действительно ли Pale Moon работает заметно быстрее Firefox-а? Есть смысл переходить на него?
| |
|
5.49, Crazy Alex (ok), 14:01, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Из моего опыта - да, быстрее, на сайтах вроде Amazon очень заметно. А в seamonkey морда приятнее :-)
| |
5.91, Zampolit (?), 21:01, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Жрет существенно меньше оперативки и быстрее грузит страницы.
Одно НО имеются проблемы с работой некоторых сайтов. Например невозможно залогиниться на хабре.
Palemoon x64 ос Win7 x64
| |
|
|
3.108, Аноним (-), 09:16, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
Обычное ленивое ;%№% и не размещает на этих сайтах ничего. Всем до одного места, пока любимый банк клиент не хакнут.
| |
|
2.31, ано (?), 09:29, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Пользуясь случаем..
А можно сделать белый список корневых сертификатов? Тормозилла и хромиум.
И ещё чтобы синхронизация этих сертификатов меж браузерами была. Но не было автоматического выкачивания из интернетов, только руками.
Было бы неплохо ещё у нужных сайтов запоминать сертификаты, кем и кому выданы и т.д. и при изменении громко возмущаться
| |
|
3.51, Crazy Alex (ok), 14:07, 31/08/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Насчёт синхронизации - теоретически можно, хромиум использует гномовское хранилище, файрфокс - см. cert8.db и key3.db (Berkeley db) в профиле. Но после обновления сертификатов явно придётся файрфокс перезапускать.
Для "запоминания" (pinning) - http://patrol.psyced.org/
| |
|
|
1.8, t (??), 00:06, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
WoSign - на деле единственный, кто сейчас выдавал сертификаты бесплатно, да ещё на три года. startssl скатился в нечто совсем дурное. Поэтому и opennet в том числе, и куча других ресурсов (включая, тот что в зоне моей ответственности) используют сертификаты от китайцев.
Новость удручающая. Китайцы как обычно - раздолбаи.
Менять сертификаты нет желания :-(
| |
|
2.9, X2asd (ok), 00:11, 31/08/2016 [^] [^^] [^^^] [ответить]
| +4 +/– |
> Менять сертификаты нет желания
Ну запили тогда скрипт, который будет это делать за тебя (каждые 60 дней)
| |
|
3.15, xm (ok), 01:18, 31/08/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> Менять сертификаты нет желания
> Ну запили тогда скрипт, который будет это делать за тебя (каждые 60
> дней)
Да там даже и скрипта не надо - официальный клиент всё умеет.
Типа certbot renew && service www restart по крону раз в неделю.
| |
|
|
3.14, xm (ok), 01:15, 31/08/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да кроме python и некоторых библиотек ничего и не тянет, собственно.
Но pure shell кошернее, конечно.
| |
|
4.21, Ergil (?), 04:37, 31/08/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Помимо python и шелла там еще гора вариантов, надо заметить, вплоть до работы через луашку в openresty, которая вообще дает автоматическое генерение сертификатов самим веб-сервером, один раз настроил и забыл, при чем настраивается и возможность генерения при первом обращении к домену(у меня так на одном из доменов слушается *.domain.tld и отвечается, а при первом обращении получается сертификат).
При этом сам я, после долгого перебора имеющихся средств остановился на https://github.com/hlandau/acme, в качестве основного, а openresty остался там, где именно он и используется, не возникло желания все nginx'ы на него менять.
| |
|
5.56, Аноним (-), 15:06, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Мне не нравится идея делать из nginx-а апач. (Ну или systemd).
При вменяемой раскладке конфигурации нет никаких проблем с получением списка серверов шелл-скриптом в пару строк. Если в конфигурацию добавляем ручками, запустить еще один скрипт перед service nginx reload не проблема, если автоматически генерируем - так там же, после генерации, его и дергать.
| |
|
6.63, rob pike (?), 16:50, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Мне не нравится идея делать из nginx-а апач
Никому не нравится. Но что делать, если на Апач все забили давно и основательно.
| |
|
7.100, Аноним (-), 22:02, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
nginx прекрасен декларативностью и очевидностью конфига, модуль rewrite - ошибка юности, которую Сысоев сам признает.
А почему забили? mod_perl работать перестал разве?
| |
|
6.81, Ergil (?), 19:33, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Анон, ты не понимаешь, что я о возможности слушать *.domain.tld и получать автоматом сертификат при обращении к ЛЮБОМУ домену третьего уровня на автомате? И моментальный корректный ответ с валидным сертификатом. Как ты это планируешь реализовать что-то где-то читая?
| |
|
7.93, Аноним (-), 21:51, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Прям вообще к любому?
А если я на твой сервачок запущу что-то такое:
while :; do curl -I https://1.2.3.4/ -H Host:$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | head -c $(($RANDOM / 512 + 1))).domain.tld; done
через сколько минут он сломается? :-)
| |
|
8.101, Ergil (?), 23:00, 31/08/2016 [^] [^^] [^^^] [ответить] | +/– | Про ограничения на стороне nginx и iptables на количество коннектов анон не поду... текст свёрнут, показать | |
|
|
|
|
4.47, Аноним (-), 13:51, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
А нафига мне python на веб-фронтенде, где кроме nginx ничего нет?
| |
|
5.105, Аноним (-), 05:16, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
скоро и там понадобится, не сглазьте ;)
вона уже и в bind и в netfilter c nft - бидон тянут и в даже в ядра управление ажно(один из экспериментальных вариантов modultils :)
| |
5.109, Past (?), 11:25, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
Если не нравится питон используйте letsencrypt.sh, например.
| |
5.113, Аноним (-), 15:41, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
> А нафига мне python на веб-фронтенде, где кроме nginx ничего нет?
у меня его там тоже нет, а серты есть. Магия!
| |
|
|
3.58, Я (??), 15:24, 31/08/2016 [^] [^^] [^^^] [ответить]
| –1 +/– |
Извращение это. Вместо нормального сертификата лазающий в интернеты скрипт.
| |
|
|
|
|
3.27, Аноним (-), 08:37, 31/08/2016 [^] [^^] [^^^] [ответить]
| +6 +/– |
Комодо — свободный демократический уц, выпускающий левые серты во славу либеральных ценностей, а этот ваш восигн — тоталитарный конкурент, небось ещё и с химическим оружием.
| |
|
4.53, Crazy Alex (ok), 14:11, 31/08/2016 [^] [^^] [^^^] [ответить]
| –2 +/– |
Кстати, в этом есть доля истины - в том плане, что аудитить комодо куда как проще.
| |
|
|
|
1.23, iCat (ok), 06:15, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +10 +/– |
Да вообще пора ликвидировать такой дырявый институт как "доверенные удостоверяющие центры"!
Коррупция, разгильдяйство и недобросовестность разрушили всю идею доверия. И "замочек" в строке браузера уже ни о чём серьёзном не говорят.
| |
|
2.28, Аноним (-), 08:37, 31/08/2016 [^] [^^] [^^^] [ответить]
| –4 +/– |
> Да вообще пора ликвидировать такой дырявый институт как "доверенные удостоверяющие центры"!
> Коррупция, разгильдяйство и недобросовестность разрушили всю идею доверия. И "замочек"
> в строке браузера уже ни о чём серьёзном не говорят.
что тебе мешает управлять доверием своего браузера, болезный?
| |
2.54, Crazy Alex (ok), 14:12, 31/08/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
И на что заменить? Ну хотя бы чтобы соседский Вася трафик не смотрел и это не требовало никаких действий от пользователя?
| |
|
3.104, iCat (ok), 02:00, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
> И на что заменить? Ну хотя бы чтобы соседский Вася трафик не
> смотрел и это не требовало никаких действий от пользователя?
Вот сейчас при всём разнообразии и изобилии "доверенных удостоверяющих центров" пресловутый соседский Вася трафик смотрит, да ещё и посмеивается над всеми этими индикаторами защищённости...
Это не беспокоит?
| |
|
4.119, Аноним (-), 20:08, 01/09/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> И на что заменить? Ну хотя бы чтобы соседский Вася трафик не
>> смотрел и это не требовало никаких действий от пользователя?
> Вот сейчас при всём разнообразии и изобилии "доверенных удостоверяющих центров" пресловутый
> соседский Вася трафик смотрит, да ещё и посмеивается над всеми этими
> индикаторами защищённости...
> Это не беспокоит?
Иллюзия безопасности хуже отсутствия безопасности (с) Брюс
| |
|
|
|
1.25, Аноним (-), 07:17, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вроде как везде написано, что сертификаты очень серьезное дело и потому странно что не убрали из доверенных в первый же день
| |
|
2.29, Аноним (-), 08:41, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Они любят себе пихать радуги и всякие вещи в одно место перед выпиливанием.
Brendan Eich не одобряет.
| |
|
1.33, CHERTS (??), 09:59, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Как у какого-нибудь COMODO или другого УЦ выдача левым людям сертификатов, дак все шито крыто, это случайно мы для google.com выдали сертификаты васе пупкину, он чисто поиграться их взял, не не не, никаких MITM не будет.
А как WoSign то, да, нужно удалить, они же китайцы, да еще прямые конкуренты LetsEncrypt, а кто у нас крышует LetsEncrypt, всем известно!
В ж..у этот LetsEncrypt с их 3-х месячными сертификатами, поставил от WoSign на 3 года и забыл про это как страшный сон.
| |
|
2.45, Аноним (-), 13:48, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
ты шоле руками серты letsencrypt обслуживал? лучше в ж..у эту жизнь, лежи дома на печи и забудь всё как страшный сон
| |
2.64, rob pike (?), 16:52, 31/08/2016 [^] [^^] [^^^] [ответить]
| +2 +/– |
> а кто у нас крышует LetsEncrypt, всем известно
Ротшильды или Рокфеллеры?
| |
|
3.106, Аноним (-), 05:17, 01/09/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
>> а кто у нас крышует LetsEncrypt, всем известно
> Ротшильды или Рокфеллеры?
рептилоиды.
рептилоиды, бро.
и мертвые с косаме - вдоль дорог стоят. русыми.
| |
|
|
1.35, t28 (?), 10:35, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> привело к обсуждению разработчиками Mozilla возможности исключения
> WoSign из поставляемого в Firefox хранилища корневых сертификатов.
> Решение пока не принято
Deep concern.
| |
|
2.114, Ilya Indigo (ok), 17:49, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
Я тоже использую, как и админ этого сайта, и много других вэб-разработчиков и админов некоммерческих проектов.
| |
|
|
2.115, Ilya Indigo (ok), 17:50, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Тем более доверять безопасность китаезам, с какой стати?
Ну конечно же, только пендосам и супермену, куда да них китайцам?
| |
|
1.42, Анончег (?), 12:59, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Я вообще не понимаю как люди жили до появления Let's Encrypt, это была катастрофа!
| |
|
2.46, Аноним (-), 13:49, 31/08/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я вообще не понимаю как люди жили до появления Let's Encrypt, это
> была катастрофа!
копошились руками в восигне и старттлсе, а если было лень — пользовались самодельными сертами
| |
|
|
4.65, rob pike (?), 16:54, 31/08/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
Как сейчас вспоминают хардверную защиту от buffer overflow в Burroughs B5000 1961 года?
| |
|
|
6.85, rob pike (?), 20:30, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Это ведь довольно странно. Каждый день публикуют очередные эксплойты, 90% которых именно buffer overflow, и никто не помнит. А ведь могли бы радоваться каждый день, что прогресс, хардверной защиты нет, эксплойты на каждом шагу, счастье наступило, не то что при царском режиме.
| |
|
7.88, angra (ok), 20:38, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Еще в 80186 добавили инструкцию bound для проверки выхода за границы массива и что изменилось от наличия такой хардварной проверки?
| |
|
|
5.80, angra (ok), 19:32, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
Поделись, чем этот факт тебя так впечатлил, что ты носишься с ним из треда в тред как дурак с писаной торбой?
| |
5.107, Аноним (-), 05:18, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Как сейчас вспоминают хардверную защиту от buffer overflow в Burroughs B5000 1961
> года?
судя по темпам внедрения NXP/DEP во всех архитектурах по Power, Sparc и hitach, r500, включительно - вполне позитивно смотрят =)
| |
|
|
|
2.116, Ilya Indigo (ok), 17:53, 01/09/2016 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Я вообще не понимаю как люди жили до появления Let's Encrypt, это
> была катастрофа!
Ты не поверишь, или вообще не использовали https, или использовали само подписанные сертификаты на 10 лет.
| |
|
|
4.123, Ilya Indigo (ok), 19:59, 02/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
> Ну, то есть хреново жили
Хреново было, когда не было nic.ua и pp.ua, и зарегистрировать бесплатный домен в зоне org.ua было очень геморно и почти нереально. И от провайдера получить реальник было геморно и дорого. А сейчас, 2 клика, смс-ка или код в телеграмме и бесплатный домен в зоне pp.ua, с бесплатным dns готов. А Триолан аж 2 реальника даёт бесплатно.
А на https было просто насрать, да и сейчас он нужен лишь для галочки, что бы пользователи видя зелёный замочек испытывали чувство защищённости. Хотя, если бы http2 работал бы без него, и input type="password" не ругался бы на его отсутствие, то срал бы на него до сих пор.
А вот если Китайцев выкинут из списка доверия, то вот теперь-то и будет хреново.
Но думаю, разбирутся, как и с Комодо.
| |
|
|
|
1.59, Аноним (-), 15:53, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Плохо что мозилла теряет в рейтинге, браузером пользуется все меньше людей, им бы поменьше распыляться на сторонние проекты и заняться браузером...
| |
|
2.66, rob pike (?), 16:55, 31/08/2016 [^] [^^] [^^^] [ответить]
| +/– |
XUL мешает. Вот выпилят XUL, сделают всё остальное как в Chrome - тогда и займутся.
| |
|
3.122, Аноним (-), 10:16, 02/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
так уж-ж.
помаленьку начиная с 38 версии - выпиливают XUL покомпонентно и втаскивают Bink туда(правда форкнутый лихо).
применительно к креведке это где-то 2.11/2.12 версия, например, про тандерберд и прочие проекты(оттуда тоже XUL выпихивают но с меньшим нажимом и кое-где - решилми оставить, например в средствах для разработки веб-а).
| |
|
|
1.77, Аноним (-), 18:44, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Лол. Мозилле китайцы как всегда занесут, сделают видимость устранения уязвимости, и дядя Ляо из партии и дальше будет продолжать читать вашу переписку как ни в чем ни бывало.
| |
|
|
3.110, Аноним (-), 13:57, 01/09/2016 [^] [^^] [^^^] [ответить]
| +/– |
А текста этой новости недостаточно?
По уму они должны были в ту же секунду обновить версию и заставить полмира валить на другой УД. Но нет, затаились, намекая, что сумма за молчание слишком маленькая.
| |
|
|
1.121, Аноним (-), 07:23, 02/09/2016 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Думаю всем тем, кто редко пользуется китайскими сайтами, лучше всего отключить его самим, не дожидаясь пока в Мозилле раздуплятся, и в Хроме и в IE тоже...
| |
1.125, KonstantinNuh (?), 10:11, 08/05/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Обходились как-то до этого без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам с выпученными глазами, разыскивать хостинг с дешёвым или бесплатным SSl.
| |
|