| |
| |
| 3.51, Мордиум (?), 00:21, 29/06/2020 [^] [^^] [^^^] [ответить]
| +7 +/– | |
Опять Интернет ломают. Цепочка доверия говорит,что сертификат валидный, а браузер будет говорить что нет...
Почему, это уже другой вопрос. Но неужели нельзя на уровне стандартов и консорциумов договориться, удостоверяющим центрами только на руку - обновление на новые, да ещё и более "скоропортящиеся" сертификаты.
| | |
| |
| 4.87, Аноним (87), 08:59, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Да нет никакого стандарта, сейчас каждый рак куда хочет, туда тянет.
| | |
| |
| 5.105, Аноним (105), 10:48, 29/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Стандарты есть, но хочется иметь и денюжку. И чем чаще, тем лучше. Например, раз в месяц менять.
| | |
|
|
|
|
| 1.2, Diozan (ok), 21:31, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +13 +/– |
 Не, ну чо, правильно думают. А то нагенерируют себе сертификаты на 10 лет.
| | |
| 1.3, Аноним (3), 21:35, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Ну, и как оно объяснили это решение? Логически объяснили! А то не ясно, с какого фига именно год? И тем более "2.2", LOL!
| | |
| |
| 2.10, объяснили (?), 21:48, 28/06/2020 [^] [^^] [^^^] [ответить]
| –7 +/– | |
Apple, Mozilla & Google не торгуют сертификатами = итого сpать хотели на бизнес всяких там уд центров.
Но спамеры/кракеры/хацкеры утюжат простых пользователей и тем самым бросают тень на секурность браузеров и самых компаний.
Элементарно, Ватсон.
| | |
| |
| 3.13, Аноним (3), 22:01, 28/06/2020 [^] [^^] [^^^] [ответить]
| +5 +/– | |
> простых пользователей
Обобряю! Слишком простые могут идти асфальт укладывать. Без инторнетов.
| | |
| |
| 4.88, ryoken (ok), 09:01, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
 >>Слишком простые могут идти асфальт укладывать.
Так вот такие и укладывают. Правда, часто прям поверх снега\луж\прочих говен.
| | |
| |
| 5.211, Аноним (211), 11:55, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Так вот такие и укладывают. Правда, часто прям поверх снега\луж\прочих говен.
Ты не поверишь, но это проблема руководителей а не исполнителей.
| | |
| |
| 6.225, ryoken (ok), 13:07, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты не поверишь, но это проблема руководителей а не исполнителей.
Видимо, руководятел - недалеко от исполнителей ушёл.
| | |
| |
| 7.229, Аноним (229), 14:24, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Видимо, руководятел - недалеко от исполнителей ушёл.
Речь не об этом, и не важно это. Важно другое, даже другие обстоятельства.
| | |
|
|
|
|
| 3.69, Lex (??), 04:38, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Тут не совсем понятно недовольство УЦ, т.к речь о том, что долговечность их продукции( сертификаты ) будет снижена, соотв., спрос на них будет как минимум не меньше, а то и ощутимо больше.
| | |
| |
| 4.73, RomanCh (ok), 05:41, 29/06/2020 [^] [^^] [^^^] [ответить] | +4 +/– |  Это называется конкуренция , слышали же про такое Вот торгуешь ты сертами И в... большой текст свёрнут, показать | | |
| |
| 5.76, Lex (??), 06:10, 29/06/2020 [^] [^^] [^^^] [ответить] | +3 +/– | Суть высказывания не понятна, поскольку тем, кто торгует более дешевыми сертифик... большой текст свёрнут, показать | | |
| |
| 6.85, нона (?), 08:45, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Мальчик, ты дурак? Если перехватить хеш, зачем нужно искать для него пароль?
| | |
| |
| 7.86, Lex (??), 08:50, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Мальчик, ты дурак? Если перехватить хеш, зачем нужно искать для него пароль?
Похоже, дурак тут только ты, поскольку обеими руками ЗА передачу логина и пароля в открытом виде.
"Внезапно" хэш может зависеть от множества условий и нюансов.
А пароль в открытом виде - он пароль и есть, и, как ни меняй алгоритмы хеширования и шифрования, но пароль "123456" юзера будет эквивалентно "123456" злоумышленника, однажды перехватившего его пароль.
| | |
| 7.95, Аноним (95), 10:03, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
ну перехватил ты хеш от пароля и что дальше? второй раз этот хеш не пройдёт, т.к. сеанс уже открыт, хеш протух, а для следующего сеанса для _того же самого_ пароля будет сгенерирован другой хеш. что будешь делать, сосать пису?
| | |
| |
| 8.146, Аноним (145), 17:24, 29/06/2020 [^] [^^] [^^^] [ответить] | –1 +/– | Это что ж за алгоритм такой, который каждый раз для одних и тех же входных данны... текст свёрнут, показать | | |
| |
| |
| 10.168, Аноним (145), 20:04, 29/06/2020 [^] [^^] [^^^] [ответить] | –1 +/– | HTTP digest Серьёзно Нет, спасибо, конечно, что не basic, но, боюсь, ты отстал... текст свёрнут, показать | | |
|
|
|
|
| 6.107, RomanCh (ok), 11:28, 29/06/2020 [^] [^^] [^^^] [ответить] | +/– | Они и наращивали, или вам 5 лет мало Непонятно что вам непонятно Суть высказыв... большой текст свёрнут, показать | | |
| 6.108, Аноним (108), 12:41, 29/06/2020 [^] [^^] [^^^] [ответить]
| –8 +/– | |
> наложат какие-нибудь сша какие-нибудь санкции на энное государство - и все
Не делай гадости и никто не наложит на тебя санкции.
Я так считаю, несмотря на то, что США не люблю.
| | |
| |
| |
| 8.125, Аноним (108), 13:57, 29/06/2020 [^] [^^] [^^^] [ответить] | –3 +/– | То есть, чтобы не съели, нужно делать гадости Что Россия и делает, я об этом уж... текст свёрнут, показать | | |
|
| |
| 8.124, Аноним (108), 13:54, 29/06/2020 [^] [^^] [^^^] [ответить] | –1 +/– | Необязательно Свои решения тоже нужно принимать, но не перегибать палку Осталь... текст свёрнут, показать | | |
|
| 7.144, Аноним (144), 17:18, 29/06/2020 [^] [^^] [^^^] [ответить] | +/– | Это было бы возможно, если бы в мире существовала Великая Истина, всеобщая справ... большой текст свёрнут, показать | | |
|
|
|
|
| 3.179, Аноним (179), 22:14, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
C LE сейчас вообще никаких проблем нет сделать себе сертификат. Раньше за это деньги требовалось платить
| | |
|
|
| 1.4, Аноним (4), 21:39, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
Зачем нужны сертификаты, если им нельзя доверять? Но, в любом случае, это призрачная гарантия чего бы то ни было. С тем же успехом можно вернуться к plain http -- единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик.
| | |
| |
| 2.25, пох. (?), 22:40, 28/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик
сосед - по любому не сможет.
Оператор - да, сможет - но кроме совсем охреневших монополистов, не захочет - в отличие от гуглемурзилы он-то живет на твои денежки, которые ты, обидевшись, можешь отнести другому оператору. А вот гуглемурзиле ты не платишь. И владелец сайта на который ты зашел, что характерно, тоже не платит.
Поэтому товар - вы.
| | |
| |
| 3.42, бублички (?), 23:27, 28/06/2020 [^] [^^] [^^^] [ответить]
| –4 +/– |
>> единственное отличие разве что в том, что сосед сможет подслушть модифицировать трафик
> сосед - по любому не сможет.
про ARP spoofing/cache poisoning не слыхали? оно и видно
| | |
| |
| |
| 5.129, бублички (?), 14:34, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Про разделение по vlanам и pppoe слышали?
ты читать не умеешь? выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть? заминусуй сам себя
| | |
| |
| 6.206, Олег (??), 09:13, 30/06/2020 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть?
Да что ты, блин, такое несёшь?..
| | |
| |
| 7.214, Pofigist (?), 12:18, 30/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Если ты думаешь что типичный домушник (Eth-ISP) на каждую квартиру выделяет отдельный VLAN, то ты сильно заблуждаешься...
Да и DOCSIS/GPON - общая шина и там есть свои прекрасные приколы для перехвата соседского траффика... В xDSL - не получится (без учета приколов на дисламе разумеется), но он мертв.
| | |
| 7.235, бублички (?), 16:06, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> выше писали про соседа. ты думаешь подразумевали VLAN? или всё-таки подразумевали общую локальную сеть?
> Да что ты, блин, такое несёшь?..
ты прежде чем варежку разевать читать бы научился больше чем 1 строчку в 1 комментарии. понял, блин? салага!
| | |
|
|
|
| 4.207, Олег (??), 09:15, 30/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
>про ARP spoofing/cache poisoning не слыхали? оно и видно
И? Как это поможет, если есть привязка к порту коммутатора?
| | |
| |
| 5.234, бублички (?), 15:59, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
мы рассмотрим все возможные случаи что могут уложиться в бредовый комментарий пох? или ты поленился прочитать откуда ноги растут но как и все включил эксперта?
| | |
|
|
| 3.59, Avator (ok), 01:32, 29/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Как минимум если окажется в одной с вами WiFi сети - легко сможет.
В сетях тех же ресторанов - вообще элементарно, если обращаетесь к сайту без HTTPS и не используете VPN.
| | |
| 3.68, Lex (??), 04:36, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Возможно конкретно ты и товар, но у нормальных людей в такой ситуации товар - возможность доступа к интернету или конкретной его части.
Владелец сайта, кстати, платит, пусть и немного иными путями - за «красивый» адрес, за хостинг итп, т.е он как раз платит за то, чтобы к нему могли зайти пользователи.
| | |
| |
| 4.134, пох. (?), 15:32, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Владелец сайта, кстати, платит, пусть и немного иными путями - за «красивый»
> адрес, за хостинг итп, т.е он как раз платит за то,
А где тут деньги гуглемурзилы? Во-о-от, то есть этим пацанам, за крышу, не забашлял!
Поэтому они его самого продадут. "На 'добавить' - хватит!"
> чтобы к нему могли зайти пользователи.
А они херак, и не могут больше к нему зайти - вместо сайта белая страница с неведомой фигней бледносерыми буквами посередине: ERR_CERT_VALIDITY_TOO_LONG
| | |
|
| 3.74, Аноним (74), 06:03, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Оператор - да, сможет - но кроме совсем охреневших монополистов, не захочет
А других нет. Почитайте, как мегафон и прочие внедряет скрипты с рекламой в страницу (и по…ть, что она ломается). Два стула, в общем.
| | |
| |
| 4.98, пох. (?), 10:26, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> А других нет.
у меня до сих пор не замечено попыток пихания рекламы и прочего мусора ни за одним из двух домашних провайдеров, что я делаю не так?
Может, не гоняюсь за дешевизной?
А мегафон и остальная троица - именно охреневший монополист, это я как участник попытки создания ему альтернативы ответственно заявляю. В РФ нет и не может быть еще одного мобильного оператора, всё. Поделено, и смотрящие приставлены, чтоб заносили кому надо и с кем надо делились.
Не, ну на условиях йопты или теле2 можно, конечно. Если добрые дяди хотя бы за пол-цены купят.
Так что в мобильной связи стульев вроде бы целых четыре, и еще пара приставных табуреточек, но ассортимент того что по ним расставлено - тот же.
| | |
| |
| |
| 6.224, пох. (?), 13:00, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> А MT_FREE у тебя в списке сохраненых сетей, ога? :)
у меня вообще нет карманного шпиона.
| | |
|
|
|
|
|
| 1.5, Онаним (?), 21:41, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Такое ощущение, что существующая TLS PKI приближается к порогу раскола, разброда и шатаний. Автоматическая регенерация короткоживущих сертификатов тоже так себе решение с т.з. возможных рисков.
| | |
| |
| 2.21, пох. (?), 22:34, 28/06/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
по-моему наоборот - смело товарищи в ногу шагают к полному контролю твоего сайта.
Потому что сайт-то может пока еще и твой, а интернет - ихний.
> Автоматическая регенерация короткоживущих сертификатов тоже так себе решение с т.з. возможных
> рисков.
а что если их целью и является максимизация этих рисков? Нееее, ну не может же ж быть - гугль, мурзила, ябл - честнейшие же ребята, вы только гляньте в эти индусские хари. Как можно таким да не доверять?
| | |
| |
| 3.53, Онаним (?), 00:31, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Всё вполне вероятно так, но тут столкнулись продвигатели контроля над PKI с зарабатывальщиками на PKI.
Так-то чума на оба дома, конечно, но столкновение интересное.
| | |
| |
| 4.138, Аноним (-), 16:07, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Страдать всё равно мы будем. "Баре дерутся, а чубы у холопов трещат"
| | |
|
|
|
| 1.6, Аноним (3), 21:41, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +11 +/– |
Опять "забота о гражданах" вместо совершенствования технологий/стандартов/etc..
| | |
| |
| 2.41, Аноним (41), 23:23, 28/06/2020 [^] [^^] [^^^] [ответить]
| –6 +/– |
За совершениствование некоторых технологий можно и на бутылку присесть.
| | |
| 2.148, Аноним (145), 17:30, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Опять "забота о гражданах" вместо совершенствования технологий/стандартов/etc..
Сам-то понял, что написал? Какое может быть совершенствование, если сертификаты по десять лет не обновлять?
| | |
|
| 1.8, funny.falcon (?), 21:44, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
Странно: раньше центры получали денежку раз в 5 лет. Теперь будут каждый год. Чем они не довольны?
Проблема в конкуренции с LetsEncrypt?
| | |
| |
| 2.27, пох. (?), 22:44, 28/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
именно так. геморрой со сменой пачки сертификатов раз в год (со служебными записками и миллионом согласований затрат аж этак на $60) для многих окажется окончательно неприемлемым.
Проще плюнуть и перейти на 6ешплатые. Ну станет одной потенциальной брешью больше из-за невменяемых роботов, манипулирующих сервером - подумаешь.
Пользователи, жрущие с чавканьем любое дерьмо подачи гуглезиллы - сами виноваты.
Зато, если у нас сперли сертификат на самом деле - теперь хрен кто что докажет.
| | |
| |
| 3.30, Ананимус (?), 22:50, 28/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Тебе не кажется, что платить за сертификат это довольно тупая затея в 2k20?
| | |
| |
| |
| |
| 6.60, Гентушник (ok), 01:35, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 За DNS-сервер то можно не платить, а за то чтобы поднятый тобой DNS-сервер включили в "цепочку доверия" придётся заплатить денюжку регистратору доменных имён.
(бесплатные доменные имена не в счёт)
| | |
| |
| 7.84, Ананимус (?), 08:41, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> За DNS-сервер то можно не платить, а за то чтобы поднятый тобой
> DNS-сервер включили в "цепочку доверия" придётся заплатить денюжку регистратору доменных
> имён.
> (бесплатные доменные имена не в счёт)
Я про резолвер говорил.
| | |
|
| 6.100, пох. (?), 10:33, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
за веб-сервер, использующий эти сертификаты - тоже не плачу.
А за dns - таки да, и дорого.
Там тоже правильные пацаны следят чтоб понятия соблюдались, а не кто чо нашел то и его. А братве за крышу кто заносить будет, за порядок?
| | |
| 6.111, Аноним (111), 13:26, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>За ДНС-сервер ты тоже платишь?
ДНС нынче входит в стоимость домена, если ты не в курсе. Этот сервис уже 5-10 лет как активно используется. Бесплатные домены имеются и к ним тебе еще дают бесплатный DNS. Проблема в том, что 1) возможностей этого DNS маловато 2) не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два пальца).
| | |
| |
| 7.119, Ананимус (?), 13:48, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
>>За ДНС-сервер ты тоже платишь?
> ДНС нынче входит в стоимость домена, если ты не в курсе. Этот
> сервис уже 5-10 лет как активно используется. Бесплатные домены имеются и
> к ним тебе еще дают бесплатный DNS. Проблема в том, что
> 1) возможностей этого DNS маловато 2) не секьюрно в контексте того
> же Let's Decrypt (владелец dns может "увести" сертификат в два пальца).
Я про резолвер говорил.
| | |
| |
| |
| 9.136, Ананимус (?), 15:56, 29/06/2020 [^] [^^] [^^^] [ответить] | +1 +/– | Очевидно нет, ведь я пользуюсь бесплатными Не знаю, кому чего уплочено, я польз... большой текст свёрнут, показать | | |
| |
| 10.157, Аноним (111), 17:53, 29/06/2020 [^] [^^] [^^^] [ответить] | +/– | Давай я тебя спущу с небес фантазий о твоей гениальности 1 Ты платишь за интер... большой текст свёрнут, показать | | |
| |
| |
| 12.164, Аноним (111), 18:33, 29/06/2020 [^] [^^] [^^^] [ответить] | +/– | Ты вообще не в теме Поясняю 1 Ты владелец сайта 2 У твоего сайта есть домен ... большой текст свёрнут, показать | | |
|
|
|
|
|
| 7.128, пох. (?), 14:26, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> не секьюрно в контексте того же Let's Decrypt (владелец dns может "увести" сертификат в два
> пальца
ну так "владелец" - DNS (не ресолвера, а dns ;-) его именно что может увести, как два пальца. Как и владелец твоего ip (и это опять не ты).
Для того и придумали letshitcrypt, а то ишь, выдумали - документы какие-то требовать, или валидации не сиюминутного контроля над доменом или сайтом, а чего посущественнее устраивать. Да еще и сертификат годами не менять, вызывая обоснованные *вопросы* если вдруг он ни с того ни с сего изменился.
Запретить-запретить!
| | |
| |
| |
| 9.140, пох. (?), 16:19, 29/06/2020 [^] [^^] [^^^] [ответить] | +/– | хостеру не надо воровать домен, он может твой сертификат скопировать командой cp... текст свёрнут, показать | | |
|
|
|
|
|
| 4.83, Аноним (95), 08:33, 29/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
всё ещё находятся дегенераты, которые не знают, что положение множительной приставки замещает запятую в числе. т.е. 2к20 = 2,20 тысячи или 2200
| | |
| |
| 5.101, Аноним (101), 10:39, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> 2к20 = 2,20 тысячи или 2200
а 2k3 - это 2.3 тысячи, то есть 2300?
| | |
| 5.163, Ананимус (?), 18:23, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> всё ещё находятся дегенераты, которые не знают, что положение множительной приставки замещает
> запятую в числе. т.е. 2к20 = 2,20 тысячи или 2200
Ахахаха. Нет.
| | |
|
|
| 3.55, Онаним (?), 00:34, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой по факту...
Как они вообще себе это в перспективе представляют. Ну ок, год ещё терпимо, но они ведь 100% дальше собрались эту планку двигать.
| | |
| |
| 4.99, пох. (?), 10:31, 29/06/2020 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Как они вообще себе это в перспективе представляют.
раз в день, каждый день - а что этим людям еще было бы чем заняться - это неважно, гугля это не волнует.
По факту можно считать что мы вернулись во времена до https. Он уже просто не поддерживается браузерами (поддерживается теперь подделка-пародия на него). Хочешь хотя бы видимости защиты - vpn или периметр единственные твои средства.
| | |
| |
| 5.171, Онаним (?), 20:29, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну вообще да, для внутренних сервисов так и есть, кроме того, что в wifi может ходить :)
| | |
|
| 4.120, Ананимус (?), 13:49, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой
> по факту...
> Как они вообще себе это в перспективе представляют. Ну ок, год ещё
> терпимо, но они ведь 100% дальше собрались эту планку двигать.
А зачем? Сертификат должен защищать данные, передающиеся по каналу между клиентом и сервером. Зачем их руками обновлять, кому от этого радость?
| | |
| |
| 5.169, Онаним (?), 20:06, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Руками обновлять затем, чтобы исключить возможность "автообновления" на что-то отличающееся от нужного.
Ну ладно, не совсем руками - там ансиблы и прочее, но перекрёстная проверка обязательно проводится.
Нет доверия к автоматизированным сервисам обновления, совсем нет.
| | |
| |
| 6.174, Ананимус (?), 20:56, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Руками обновлять затем, чтобы исключить возможность "автообновления" на что-то отличающееся
> от нужного.
> Ну ладно, не совсем руками - там ансиблы и прочее, но перекрёстная
> проверка обязательно проводится.
> Нет доверия к автоматизированным сервисам обновления, совсем нет.
Ну и какие у нас (обоснованные) страхи? И почему нельзя заскриптовать проверку по критериям и скормить их certbot'у в скрипт?
| | |
| |
| 7.185, Онаним (?), 22:40, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Никакие скрипты в файлы с сертификатами не ходят. Тчк. That's the rule.
Можете считать, что без цели и смысла, просто ваши фломастеры другие на вкус.
Естественно, это не касается клиентских, там клиент волен по своему усмотрению хоть приватный ключ мылом посылать - и таких, блин, полно.
| | |
|
|
|
| 4.150, Аноним (145), 17:34, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Есть ещё блин места, где обновление сертификатов только ручное, с перекрёстной проверкой по факту...
Ну так пришло время автоматизировать. За чем дело стало? Let's Encrypt сумел, а продавцы воздуха не могут? Ну так и не пошли б они лесом в таком случае?
Или ты боишься, что тебя, админа-обновляльщика, без работы оставят? Так грош тебе цена как специалисту, если ты, кроме как хеши сверять, ничего не могёшь.
| | |
| |
| 5.159, Ананимус (?), 17:57, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ну так пришло время автоматизировать. За чем дело стало? Let's Encrypt сумел, а продавцы воздуха не могут?
Ну так это ж работать надо, а не воздухом торговать.
| | |
| 5.170, Онаним (?), 20:11, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Я, к счастью, к этому обновлению имею отношение только в том плане, что сетаплю системы, в которых к этим самым сертификатам возможен доступ только после цепочки авторизации (личный ключ - личный пароль - пароль обновления).
| | |
| 5.182, Аноним (179), 22:27, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Разберись вначале какие сертификаты существуют в плане назначение и требующие подтверждения не только почтовым адресом. Ты точно хочешь заходить в банк имеющий Let's Encrypt сертификат?
| | |
| |
| 6.187, Онаним (?), 22:46, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
А, им всё фиолетово. У них всё просто - докерочек, и редисочка с монгочкой в сеть... как обычно, с течением времени - голым задом, потому что апстримчик нечаянно изменил темплейтик, и воооот этот параметр теперь уже не торт, а мы смузи пили. Зато автоматизировано (с)
| | |
| 6.199, Аноним (145), 01:37, 30/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Ты точно хочешь заходить в банк имеющий Let's Encrypt сертификат?
Разуй глаза и перечитай, на что отвечаешь. Кто сказал, что именно Let's Encrypt? Пусть любой УЦ сделает API для обновления сертификатов, вовсе не обязательно использовать для этого ACME. Сделает так, чтобы было в достаточной степени секюрно. Доступ для верифицированного клиента по каким-нибудь токенам, которые легко нагенерировать и легко отозвать. Что этому мешает?
| | |
| |
| 7.203, Онаним (?), 08:51, 30/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну пусть сделает. УЦ, сделай мне за***сь, раз-два. [и лишь молчание было ему ответом]
| | |
| 7.204, Онаним (?), 08:52, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
К слову, у многих УЦ есть API для выписки и отзыва сертификатов. При желании его можно даже для автообновления использовать, но это редкий юзкейс.
| | |
|
|
|
| 4.248, Аноним (248), 19:32, 26/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Реально, а как теперь быть с аппаратами у которых web-интерфейс и срок эксплуатации комплекса до следующей модернизации 6-7 лет? Закладывать сервисный контракт каждый год по замене сертификатов на точках доступа/серверах последовательных портов/логических реле? Там в интернет ходит в лучшем случае один комп, который может внезапно (или планово) обновлений хапнуть.
| | |
| |
| 5.249, Онаним (?), 20:02, 26/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
И это тоже, да. Про это я совсем забыл. Я больше имел в виду trusted internal infrastructrue, где обновление сертификата очень проблематичная вещь с точки зрения процедуры, потому что оно должно быть незыблемо, любые случайные изменения - уже incident.
| | |
| |
| 6.250, Аноним (248), 20:19, 26/08/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ну у проекторов и т.п. тоже есть web-интерфейс. Это не критичное оборудование, это не серверная инфраструктура и (что впрочем логично) не всегда их обслуживают люди связанные с ИТ.
Сейчас при любой попытке зайти на некоторые аппараты приходится читать что в конце года flash перестанет работать, так теперь еще и сертификаты каждый год по ним раскладывать =(
| | |
|
| 5.251, Michael Shigorin (ok), 21:26, 26/08/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > Реально, а как теперь быть с аппаратами у которых web-интерфейс и срок
> эксплуатации комплекса до следующей модернизации 6-7 лет?
Скорее закладывать доступ со столь же тщательно замороженой станции управления в соответствующем VLAN...
| | |
|
|
|
|
| 1.11, Аноним (3), 21:56, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
> внедрению новых криптостандартов
"Во что" они собрались их внедрять? Ах в свой браузер чтоле? Ща, разбежался и побежал обновлять, ога))
> для фишинга
Да пжалуста, пусть используют! И желательно пожостче, а мне пусть вышлют видео, гг.
| | |
| 1.12, Аноним (12), 22:00, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?
К тому же, как раз одной из основной причин введения lets encrypt была в том, что люди забывают за 5 лет, как обновлять сертификаты и куда их подкладывать. Типа, настроил сертбота и можно про это вообще забыть, он самостоятельно будет работать годами, раскладывая в нужные места сертификаты.
В этом случае, выявлять утечки будет даже сложнее.
| | |
| |
| 2.17, пох. (?), 22:21, 28/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?
так ведь вопрос - КТО спер.
> В этом случае, выявлять утечки будет даже сложнее.
именно.
| | |
| 2.151, Аноним (145), 17:38, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Если уж у фирмы сперли сертификат и никто не заметил, что мешает делать это на регулярной основе?
Например, то, что настройки сервера поменяли или админа-долбодятла уволили. А если вместо одного сертификата для всех серверов стали использовать разные, то и от регулярного воровства толку сильно поубавится.
> В этом случае, выявлять утечки будет даже сложнее.
man CT
| | |
| |
| 3.205, пох. (?), 08:55, 30/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
А это оно у тебя потому перестало, что вместо единственноверного _самообновляющегося_ скрипта, ты, гад такой, используешь какие-то сомнительные васянские поделки.
Лишая правильных ребят возможности обновить тебе не только этот скрипт, но и что-нибудь еще, если правильные ребята опять же правильно попросят - и снова не оставив никаких следов - ведь после того обновления скрипт снова обновился - смотри, смотри - вот код, все в нем правильно, не, мы не знаем кто у тебя вчера zero day запустил - руйские хакеры, наверное!
| | |
|
|
| 1.14, Аноним (14), 22:09, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Пошли они со своими стандартами.
На госзакупки только хромиум-гост и майкрософтовские браузеры заходят.
| | |
| |
| |
| 3.49, Аноним (49), 00:17, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
А он не для хоиячков без денег и делался. Проходите дальше, к ютубокотикам и бьютиблоггерам, не мешайте серьёзным людям заниматься делами.
| | |
|
| 2.102, пох. (?), 10:40, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> На госзакупки только хромиум-гост и майкрософтовские браузеры заходят.
так не будет скоро майкрософтовских, вот в чем беда-то.
И, кстати, я практически уверен что в ie11 нужное и полезное усовершенствование сбэкпортят.
Потому что все остальные нужные и полезные усовершенствования до него давным-давно добрались.
Останется только китайский квадратик-квадратик-360.
| | |
| |
| 3.153, Аноним (152), 17:49, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И, кстати, я практически уверен что в ie11 нужное и полезное усовершенствование сбэкпортят.
Стюардессу уже давно закопали, и слава богу.
| | |
|
|
| |
| 2.19, пох. (?), 22:23, 28/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
а кто их спрашивать-то будет? Пользователь получит вместо сайта - пустую БЕЛУЮ страницу, с неведомой херней точно посередине - ERR_CERT_VALIDITY_TOO_LONG - не текстом с описанием в чем именно проблема, а именно бессмысленным идиотским заклинанием.
Разумеется, испугается, нажмет reset, и откроет сайт конкурентов.
Еще один шажок к полному уничтожению возможности грамотных пользователей контролировать доверие на уровне _сертификатов_ а не подконтрольных хз кому CA - успешно сделан.
| | |
| 2.33, Ivan_83 (ok), 23:01, 28/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Я даже на https не повёлся - мой сайт по прежнему по http доступен, а https - с самоподписным, кажется на 10 лет сертом.
| | |
| |
| 3.43, пох. (?), 23:35, 28/06/2020 [^] [^^] [^^^] [ответить] | +4 +/– | главное чтобы гугль не разучился его индексировать - а он может если эти модные... большой текст свёрнут, показать | | |
| |
| 4.80, Anonymoustus (ok), 07:18, 29/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > главное чтобы гугль не разучился его индексировать - а он может. если эти модные тенденции протекут и в мозги автора curl (дай угадаю, чью либу используют гуглоботы)
Грядут (возвращаются) времена, когда мы ссылки на _свои_ сайты будет сообщать доверенным лицам и каталогам ссылок, а индексаторы вроде Гулагеля пусть индексируют что-нибудь другое. И смех, и грех.
| | |
| 4.89, Аноним (87), 09:41, 29/06/2020 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> главное чтобы гугль не разучился его индексировать
Если я что-то закрыл https-ом, дак поди уж наверно, что мне совсем не нужно, чтобы там шатались какие-то гуглы. А где можно слоняться - там http.
| | |
| |
| 5.103, пох. (?), 10:43, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
У Ивана https'ом ничего не закрыто - у него есть просто еще и https - для тех кого почему-то не устраивает http (например - лишают охреневшего оператора доли от рекламы, твари), ну и для гугля, чтоб индексировал. Как и у меня, собственно. Вот первое перестанет работать из-за браузеров, а второе - потому что гуглебот использует те же библиотеки, а их авторам уже вручены ЦУ как все испортить чтоб ничего кроме одобренного гуглем не работало.
| | |
| |
| 6.241, Ivan_83 (ok), 23:10, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
У меня https с самоподписным сертификатом есть только потому что есть доступ с авторизацией через вебдав к данным которые не являются публичными.
| | |
|
|
|
|
|
| 1.16, Kuromi (ok), 22:18, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Изменение конечно не самое приятное, но давно уже понятно что одними разговорами ничего не добиться, приходится форсировать. Например недавний пример - один госбанк в РФ был настолько продвинут что поддерживал на своих вэб-сервисах только SSL (все еще) и TLS 1.0. Все что новее - просто не поддерживалось.
Тлько пинок со стороны Хрома\ФФ заставил их наконец убрать SSL и добавить TLS 1.2. Так что теперь у них TLS 1.0 И TLS 1.2.
А без пинка они бы никогда не сделали, наверное.
| | |
| |
| 2.24, Аноним (24), 22:40, 28/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> один госбанк в РФ был настолько продвинут
Имя, сестра. Имя!
| | |
| |
| 3.66, Kuromi (ok), 03:25, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> один госбанк в РФ был настолько продвинут
> Имя, сестра. Имя!
Я лишь намекну Оборонка + Санация.
| | |
|
| |
| 3.50, Аноним (49), 00:20, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
К сожалению, почти все подобные истории остаются гулять по даркнету, да в редких случаях — по «московским гостиным». До подлинной цифровой открытости нашей цивилизации ещё не один десяток лет.
| | |
| 3.65, Kuromi (ok), 03:25, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> И что, много денег сперли у этого банка и его клиентов?
Ну его бывшие хозяева все в Лондоне, дела так сказать возбуждаются.
| | |
| |
| 4.79, Аноним (79), 07:17, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
И всё из-за сертификатов не той системы и старого ссл? Как интересно. А я то думал как у нас в стране прут всё подряд. А это из-за отсутствия квиков с тлс1.3 и летшинкриптами.
| | |
| |
| 5.173, Kuromi (ok), 20:41, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
> И всё из-за сертификатов не той системы и старого ссл? Как интересно.
> А я то думал как у нас в стране прут всё
> подряд. А это из-за отсутствия квиков с тлс1.3 и летшинкриптами.
Не, в Лондон они уехали после того как оказалось что "расхищали и схематозили". А банк остался.
| | |
|
|
|
|
| 1.18, Сейд (ok), 22:23, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 Вот так вот браузеры и начинают диктовать, кому верить, а кому нет.
| | |
| |
| 2.20, пох. (?), 22:30, 28/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
что значит - начинают? Они это делают уже лет пять. С момента уничтожения любых альтернатив letshitcrypt.
| | |
| |
| 3.61, Сейд (ok), 01:56, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Интересно, а можно ли организовать независимую распределённую систему выдачи и удостоверения сертификатов на основе технологии блокчейн?
| | |
| |
| 4.77, Аноним (77), 06:54, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
 И сколько биткоинов будут брать сгенерировавшие блок за право поместить туда Ваш домен? Если надеяться на бесплатное расхождение ключа по сети, то возникает другая проблема, а кто будет проверять, что этот домен действительно Ваш? Все несколько десятков миллиардов устройств? И, что делать если Вы выкупили домен, который отобрали у кого то за неуплату. Как зарегистрировать новый ключ?
| | |
| |
| 5.135, пох. (?), 15:40, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Если надеяться на бесплатное расхождение ключа по сети, то возникает
> другая проблема, а кто будет проверять, что этот домен действительно Ваш?
а кто сказал что взяв в биткойнах - будут проверять? Тоже не будут. ;-)
В очередной раз - работавшая и надежная схема - уже была, ее старательнейшим образом уничтожили, больше десятка лет велась кропотливая работа, чтоб никак, никакими силами ее использовать стало невозможно.
Схема - ровно та самая, что во всеми вами любимом ssh. Доверие _сертификату_, а не левым васянам.
Как проверять прежде чем доверять - на твое усмотрение. Хошь езжай непосредственно к владельцу и побитно копируй, а не хошь - просто надейся что машины времени у рептилоидов и соседа васяна нет, и подменить уже знакомый тебе сертификат они не могут.
| | |
|
|
|
| |
| 3.23, Аноним (23), 22:38, 28/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Да, к сожалению, ничего хорошего из браузеров сейчас не осталось.
Приходится пользоваться тем, что есть. Плюясь и чертыхаясь.
| | |
| |
| 4.91, Аноним (87), 09:48, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вот уж точно, будут форкать и использовать. В своё время все сидели на Осле, сайты могли только в Осле работать... И что сейчас? Да сейчас в нём вообще ничего не работает и его забыли, как страшный сон. Также забудут про хромого и косого.
| | |
| 4.104, пох. (?), 10:45, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Pale Moon
этот тож не отстанет от трендов. hpkp вон уже объявил немодным и небезопасТным. Тем более что использует ту же самую nss, а фичу явно планируют добавлять в нее, а не в интерфейс.
| | |
|
|
|
| 1.26, Ноним (?), 22:41, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ага, пусть только расскажут как обновлять корневые сертификаты на всех устройствах
| | |
| |
| 2.31, Ананимус (?), 22:52, 28/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Ага, пусть только расскажут как обновлять корневые сертификаты на всех устройствах
К корневым сертификатам это не относится. Хотя пакетные менеджеры вроде есть везде.
| | |
| |
| 3.35, Ноним (?), 23:04, 28/06/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Как мне обновить старый андроид 2.3.6? Или симбиан? Сразу на свалку? Ну тогда это запланированное устаревание во всей красе
| | |
| |
| 4.36, Аноним (3), 23:13, 28/06/2020 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> старый андроид 2.3.6
О да, посерфить с него будет реально весело!)
А еще забавнее товарисчи, ставящие https only, потом в РФ их сайт блочат, и все - не зайти даже через бесплатный прокси!
| | |
| |
| 5.172, Онаним (?), 20:31, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Тут претензии не к тем, кто HTTPS only выставил, тaщемта.
А так - смотря через какой прокси. Тот же встроенный в оперу анальный зонд нормально обходит все недоблокировки.
| | |
|
| 4.37, Ананимус (?), 23:18, 28/06/2020 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> Как мне обновить старый андроид 2.3.6? Или симбиан? Сразу на свалку? Ну тогда это запланированное устаревание во всей красе
А почему все должны страдать из-за того, что ты пользуешься говном мамонта? Серьезно, давно уже пора понять: ЖЕЛЕЗКА ДОЛЖНА ПОЛУЧАТЬ АПДЕЙТЫ. Есл ты перестанешь покупать железо, которое через полгода не поддерживают, то твои волосы станут мягкими и шелковистыми.
| | |
| |
| 5.139, Аноним (-), 16:15, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> А почему все должны страдать из-за того, что ты пользуешься говном мамонта?
Во-первых, отучаемся говорить за всю сеть. Во-вторых, никто тебе не обязан обновляться на свежайшие версии, потому что лично тебе моча в голову ударила это сделать. Прогресс не всегда прогрессивен.
| | |
| |
| 6.142, Ананимус (?), 16:42, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
>> А почему все должны страдать из-за того, что ты пользуешься говном мамонта?
> Во-первых, отучаемся говорить за всю сеть. Во-вторых, никто тебе не обязан обновляться
> на свежайшие версии, потому что лично тебе моча в голову ударила
> это сделать. Прогресс не всегда прогрессивен.
Ну так у меня-то все ок. Страдают любители симбиана.
| | |
| 6.180, Аноним (180), 22:15, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Во-первых, отучаемся говорить за всю сеть.
Именно так.
> Во-вторых, никто тебе не обязан обновляться на свежайшие версии, потому что лично тебе моча в голову ударила это сделать. Прогресс не всегда прогрессивен.
Это никто ТЕБЕ не обязан поддерживать твой допотопный шлак.
| | |
| |
| 7.218, Аноним (-), 12:26, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Это никто ТЕБЕ не обязан поддерживать твой допотопный шлак.
Поэтому надо запретить продавать для народа любую проприетарщину, его будет более чем достаточно в военной и академической среде.
Ну и останется за мной выбор:
- я (+другие) могу проспонсировать работу если сам не могу это сделать чтобы, как вы сказали, допотопный шлак перестал быть допотопным и шлаком
- я могу сам сделать необходимую работу
Покупая железо и софт я бы хотел возможность обладать полными правами (конечно же кроме авторских) на железо и софт после гарантийного срока.
Я бы например проголосовал за это вместо поправок в конституцию.
| | |
|
|
| 5.193, Онаним (?), 23:18, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Серьезно, давно уже пора понять: ЖЕЛАЮЩИЕ ВПИХНУТЬ НА ЖЕЛЕЗКУ АПДЕЙТ БЕЗ МОЕГО ВЕДОМА ИДУТ НЯЯЯЯЯЯ... ЛЕСОМ ^_^
| | |
|
| |
| 5.54, Аноним (12), 00:33, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Ну, на самом деле, проблема не только в осях, но и, например, в старых версиях питона.
Как то я пытался собрать то ли не самый свежий хромиум, то ли не самый свежий электрон. Так вот, они собираются при помощи гугловских depot_tools, которые с собой таскали немного протухший питон, который не мог скачать какие-то артефакты с клоудфларевских серверов из-за того, что не поддерживал последних алгоритмов шифрования.
| | |
|
|
|
|
| 1.32, Ivan_83 (ok), 22:59, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Ну ок, придётся сделать мимт прокси дома, которая будет хоть каждый день генерить сертификаты, а клиентская часть буде по прежнему адекватно доверять сертификам, хоть там 100 лет срок годности нарисуют.
| | |
| 1.38, Аноним (41), 23:18, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>мнению производителей браузеров генерация подобных сертификатов создаёт дополнительные угрозы безопасности
Угрозы безопасности создаёт отсутствие контроля за CA. В смысле мы не можем проверить честность CA. И сайты не могут. И браузеры не могут. Также никто не может наказать CA за плохое поведение - единственное что можно сделать - это "на зло маме отморозрть уши", потому что все CA одинаково зависят от тех, кто их может заставить участвовать в MiTM, и отказаться от CA нельзя - ничего работать не будет.
| | |
| |
| 2.44, пох. (?), 23:43, 28/06/2020 [^] [^^] [^^^] [ответить] | +3 +/– | могут Просто ты не понимаешь ЧТО на самом деле является плохим поведением Во... большой текст свёрнут, показать | | |
| |
| |
| |
| |
| |
| 7.219, Аноним (-), 12:29, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
Никак. Если субъект не намерен/заинтересован учиться, то ты его на научишь, насильно не впихнешь.
| | |
|
|
|
|
| 3.200, Аноним (200), 04:19, 30/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Аноним тебе про совсем другое говорил, а ты несешь свой бред тут неясно зачем. Тебе самому приятно столько желчи изрыгивать?
| | |
|
| 2.47, vitalif (ok), 00:07, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 > В смысле мы не можем проверить честность CA.
С letsencrypt можем, там Certificate Transparency. Блокчейн почти. :-)
| | |
| |
| 3.52, Ананимус (?), 00:29, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
На самом деле не можем. В лог попадают только те сертификаты, которые проходят через бизнес-логику. Если к оператору летсэнкрипта (или любого другого CA) обратится жыдомоссад с просьбой поделиться сертификатиком, никто не помешает этому человеку подписать сертификат руками.
| | |
| |
| 4.57, vitalif (ok), 00:37, 29/06/2020 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Не, ну в смысле? Ты как раз и можешь проверить, есть ли там этот сертификат. Если его там нет - значит это сертификат жыдомоссада.
По идее, в идеале нужно как раз добить эти УЦ и цепочки доверия и перейти на проверку через транспаренси и публичный блокчейн. Просто понятно, что прямо сейчас ты фиг это внедришь...
| | |
| |
| 5.121, Ананимус (?), 13:51, 29/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Не, ну в смысле? Ты как раз и можешь проверить, есть ли
> там этот сертификат. Если его там нет - значит это сертификат
> жыдомоссада.
> По идее, в идеале нужно как раз добить эти УЦ и цепочки
> доверия и перейти на проверку через транспаренси и публичный блокчейн. Просто
> понятно, что прямо сейчас ты фиг это внедришь...
Это когда все браузеры начнут эти листы проверять.
| | |
| 5.126, Ананимус (?), 13:59, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Не, ну в смысле? Ты как раз и можешь проверить, есть ли
> там этот сертификат. Если его там нет - значит это сертификат
> жыдомоссада.
Смотри, твою TLS сессию записывают (привет, Яровая), берут дубликат TLS сертификата сервера и расшифровывают обмен симметричным ключом и расшифровывают симметрично зашифрованные данные.
| | |
| |
| 6.189, Аноним (189), 22:51, 29/06/2020 [^] [^^] [^^^] [ответить] | +/– | Для расшифровки ранее записанного трафика не достсаточно знать не то что сертифи... большой текст свёрнут, показать | | |
|
|
|
|
|
| 1.39, Аноним (41), 23:21, 28/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– | |
>мешает оперативному внедрению новых криптостандартов
Кошмар, ужас, на устройствах годичной давности открываютсся сайты и работают приложения, работающие с интернетом, производители телефонов теряют прибыль!!! ЗАПРЕТИТЬ!!!!
| | |
| |
| |
| 3.96, iPony129412 (?), 10:07, 29/06/2020 [^] [^^] [^^^] [ответить]
| –4 +/– | |
> я понимаю, что ты каждый год яойфон меняешь...
Нет, потому что это тот редкий смартфон, который из себя не представляет и через три года не является куском устаревшего того самого, как другие смартфоны.
| | |
| |
| |
| 5.118, iPony129412 (?), 13:48, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Это когда вдруг(tm) начинает тупить об якобы севшую батарейку?
Я этого тупления от "якобы" севшей батарейки уже устал ждать.
Вот без шуток, зайдёшь на какой-то там ресурс:
"а все такие ой, а у меня за полгода здоровье батарейки стало 96% - спать не могу, переживаю"
А я каждые две недели это здоровье батареи проверяю - "да когда уже 80% будет". Это вроде какая-то критическая отметка по справке Apple. Интересно же посмотреть.
Ну вот уже 2.5 года прошло, здоровье батареи 82%. Ещё чуть-чуть. Да и уже и батарею то после трёх лет не стыдно поменять будет.
А вот сколько я раз слышал про то, как угнетают и замедляют от людей, которые ничего тольком не знают, но слышали же 🤣
| | |
| 5.123, iPony129412 (?), 13:54, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну и да.
Вот у меня были смартфоны Samsung (Android), Bq (Ubuntu), Meizu (Ubuntu/Android).
К ним этот ролик намного больше подходит чем к текущему моему айфону 🤷♂
| | |
| |
| |
| 7.223, iPony129412 (?), 12:49, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> давно вам занесли bluetooth и wifi direct для передачи файлов?
Какое это отношение имеет к поднятой выше теме "техника превращается в тыкву"?
Кому нам?
Apple в 2011 году сделала AirDrop. И оно уже много лет работает по схеме WiFi Direct со скоростью этак 1 ГБ за 15 секунд.
Google в своём Android только сейчас расчехляться начал на эту тематику. А так сосуществовала куча подделок от разных вендоров несовместимых с собой. Работало это всё через одно место.
| | |
|
|
|
|
|
|
| |
| |
| 3.109, Аноним (87), 13:01, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Он - бесплатная пробная доза, пора бы понять. Никто его не прикроет.
| | |
| 3.178, Аноним (180), 22:11, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
А что ты будешь говорить если его НЕ прикроют?
На самом деле это замечательный сценарий, потому что ни на нешифрованный http, ни на коммерческие УЦ дороги уже не будет, а будет только к децентрализованному реестру сертификатов на каком-нибудь блокчейне, который доверия к УЦ требовать уже не будет.
| | |
|
|
| 1.81, Аноним (81), 07:29, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Капитализм, ребятки. Все хотят денег. Маркс, Энгельс и Ленин предупреждали о таком ещё 100 лет назад.
| | |
| |
| 2.90, бедный буратино (ok), 09:47, 29/06/2020 [^] [^^] [^^^] [ответить]
| +7 +/– |
 Да, сначала Ленин предложил захватить, почту, телефон, телеграф и сертификационные центры... но затем, тяжко вздохнув, последнее вычеркнул, сказав "Провинция, не поймут-с"...
| | |
| |
| 3.154, Аноним (145), 17:49, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
А Маркс где кровушки хотел? Среди перечисленных упырь только один.
| | |
|
| 2.177, Аноним (180), 22:05, 29/06/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
И давно ли LetsEncrypt с вас денег просил? А коммерческие УЦ как раз все последние изменения оставляют не у дел. Что-то у вас с Марксом не вяжется.
| | |
| |
| 3.228, пох. (?), 13:22, 30/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> И давно ли LetsEncrypt с вас денег просил?
так товар-то - ты!
> А коммерческие УЦ как раз все последние изменения оставляют не у дел.
они бы и рады, но неработающие сертификаты никому не нужны ни задаром, ни за деньги.
> Что-то у вас с Марксом не вяжется.
Все вяжется - отнять и поделить. Между вовремя залезшими на броневичок (тут Мракс недоработал, но последователи все поняли и реализовали как надо).
Пока непонятно, как именно при этом убивать как можно больше людей, но над этим, полагаю, тоже работают хорошо оплачиваемые специалисты.
| | |
|
|
| 1.82, Аноним (82), 07:38, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
прям вот так все скопом согласились, и никто не возразил, что блочить валидные сертификаты это плохо? в дивное время мы живем, однако:)
| | |
| |
| 2.106, пох. (?), 10:48, 29/06/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> прям вот так все скопом согласились, и никто не возразил
так это закрытый клуб решал. Возразить-то ты можешь, только тебя туда не пригласят.
| | |
| 2.155, Аноним (145), 17:52, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> и никто не возразил, что блочить валидные сертификаты это плохо?
Сколько раз уже блочили. Выписанные задним числом, например. А как иначе с произволом/раздолбайством (нужное подчеркнуть) УЦ бороться?
| | |
|
| 1.97, Сергей (??), 10:17, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мне кажется центры сертификации на это не пойдут из-за наличия Let's encrypt, 3-и месяца не так уж различаются от 12-ти, у них будет просто катастрофа...
| | |
| 1.115, Аноним (115), 13:40, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.
А корневые сертификаты сколько должны действовать в их понятиях?
А то есть угроза безопасности, что с частыми обновлениями корневых сертов пользователю легче подсунуть левый серт, и это даст возможность постоянно контролировать его трафик. Типа поселить незаметно в Казахстан..
| | |
| |
| 2.158, Аноним (145), 17:54, 29/06/2020 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> А корневые сертификаты сколько должны действовать в их понятиях?
А между которыми строчками ты прочитал, что это как-то затрагивает корневые сертификаты?
| | |
| 2.181, пох. (?), 22:19, 29/06/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> А корневые сертификаты сколько должны действовать в их понятиях?
в идеале - пару часов. Вдруг для борьбы с терраризьмой понадобится ненадолго подменить их, и чтоб беспалева, еще через два часа - "какие ваши докозательства"? К сожалению, мурзила пока не может даже раз в пять лет уследить за своим собственным сертификатом, намертво вшитым внутрь браузера, поэтому внедрение данного нужного и полезного решения пока пришлось ненадолго отложить.
> А то есть угроза безопасности, что с частыми обновлениями корневых сертов пользователю
> легче подсунуть левый серт, и это даст возможность постоянно контролировать его
сейчас пользователю подсунуть левый серт вообще ничего не стоит - достаточно на пару минут перехватить его dns или маршрутизацию его ip, или просто хорошо попросить летсшиткрипту.
Никто ничего и не заметит даже.
| | |
|
| 1.162, Аноним (162), 18:22, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
нафиг нужны приколы такие, куча мест есть где не прикрутишь LE из-за закрытости сети, да и цертбот ломается бывает, я уж молчу о вайлдкардах выписывающихся через очко с DNS.
когда эти сертификатов куча, очень больашя разнциа раз в год или раз в 3 менять ходить.
| | |
| |
| 2.210, Аноним (145), 10:44, 30/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> куча мест есть где не прикрутишь LE из-за закрытости сети
man DNS-01
> цертбот ломается бывает
Есть >9000 других клиентов. А если ты про certbot-auto, то надо быть редкостным ССЗБ, чтобы его использовать.
| | |
|
| 1.167, Аноним (167), 19:56, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Вот бы это ещё не трогало никого кроме них самих.
А тут - порешали за посторонних по своему...
| | |
| 1.176, Аноним (180), 22:04, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– | |
Отлично, чем сильнее зажимают кислород продавцам воздуха УЦ тем лучше.
Приятно видеть как на сковородке вьются представители этого ворья и заплатившие им терпилы.
| | |
| |
| 2.226, пох. (?), 13:12, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Отлично, чем сильнее зажимают кислород продавцам воздуха УЦ тем лучше.
когда уже больным полудуркам, считающим деньги в чужих карманах, вообще его отключат?
> Приятно видеть как на сковородке вьются представители этого ворья и заплатившие им
> терпилы.
"у соседа корова сдохла, мелочь, а приятно"
Что у тебя, дурака, они "украли"?
Вот что именно у нас украла гуглезила и компания - мы знаем. Приятно видеть, что дурачки - одобряют, бурными аплодисментами, переходящими в овацию. Их хоть г0вном с лопаты корми - они и рады уплетать за обе щеки. Мозгов-то ведь нет.
Плохо что у остальных нет другого глобуса.
| | |
|
| 1.183, Аноним (183), 22:27, 29/06/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Всё -- прощайте мои УПСы, роутеры и горы прочих управляемых по хттп железяк??
| | |
| |
| |
| 3.192, Аноним (192), 23:13, 29/06/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
"Сгенерить" - это напечатать на 3D принтере?
Разве уже сложную электронику (УПСы, роутеры) можно печатать? Ещё и с поддержкой нужных протоколов и алгоритмов шифрования.
| | |
| |
| 4.202, srgazh (?), 08:23, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
 > "Сгенерить" - это напечатать на 3D принтере?
> Разве уже сложную электронику (УПСы, роутеры) можно печатать? Ещё и с поддержкой
> нужных протоколов и алгоритмов шифрования.
openssl к прмеру
| | |
|
|
| 2.208, iPony129412 (?), 09:48, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Всё -- прощайте мои УПСы, роутеры и горы прочих управляемых по хттп железяк??
Мы в 2020 году живём же. Поднимаешь виртуалку с CentOS 6 специально для этого и всё.
| | |
| |
| 3.227, пох. (?), 13:18, 30/06/2020 [^] [^^] [^^^] [ответить]
| +/– |
> Мы в 2020 году живём же. Поднимаешь виртуалку с CentOS 6 специально
> для этого и всё.
"обожаю, когда выкидывают старье!"
И завтра виртуалка с centos <8.999 - не поднимается, "а нахрена нам поддерживать немодные технологии?!"
Или зайти на нее нельзя - ведь иксы немодно, и они никем не поддерживаются, да и ssh с ней не коннектится, нахрена поддерживать увизгьвимые шифры и протоколы, ведь рептилоиды и nsa с кгб объединившись против тебя, смогут расшифровать твой траффик, всего за какой-то миллион лет!
И кстати, не ссыкотно ли тебе пользоваться дистрибутивом с насмерть протухшим софтом ?
Тем более - для настроек критичного оборудования.
| | |
|
|
|
