| |
| 2.3, Аноним (3), 14:17, 27/10/2021 [^] [^^] [^^^] [ответить]
| +61 +/– |
Им надо делать вид, что всяческие бэкдоры, вшиваемые в процессоры - хоть как-то помогают пользователю.
| | |
| |
| |
| |
| 5.75, X86 (ok), 23:14, 27/10/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
 HTTPS не должен быть без контроля. Ишь че удумали.
| | |
|
|
|
| 2.4, Аноним (4), 14:19, 27/10/2021 [^] [^^] [^^^] [ответить]
| +7 +/– |
Возможно они хотят ввести идентификацию пользователя таким образом. Уникальный номер крипточипа.
| | |
| |
| |
| |
| |
| 6.92, Аноним (92), 01:25, 29/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты перепутал идентификацию и аутентификацию, слив засчитан ;-)
| | |
|
|
|
| 3.99, Аноним (99), 00:12, 30/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Судя по написанному, этот протокол нужен для аутентификации сервера, а клиент считается доверенным. Странный протокол, конечно.
| | |
|
| 2.40, Аноним (40), 16:08, 27/10/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Тем что HTTPS уже есть и повсеместно используется и залочить его на своих пипизитарных TEE и SGX не получится, вот и придумали надстройку.
| | |
| 2.60, Аноним (60), 19:48, 27/10/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Тем, что не завязан на SGX и не стимулирует продажи интеловских бэкдоров.
| | |
| |
| 3.94, Аноним (94), 11:52, 29/10/2021 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Тем, что не завязан на SGX и не стимулирует продажи интеловских бэкдоров.
Чем вы читаете?
"...Протокол изначально развивается как универсальный и помимо Intel SGX может быть реализован и для других TEE-систем..."
А выше, перед этим даже перечислено:
"Изолированные анклавы, создаваемые при помощи таких технологий, как Intel SGX (Software Guard Extension), ARM TrustZone и AMD PSP (Platform Security Processor), дают возможность защитить важные вычисления и снизить риск утечек или изменения конфиденциальной информации на конечном узле."
Так что бэкдоров там на выбор, не только интеловские.
| | |
|
| 2.103, Аномистично (?), 11:26, 02/11/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> а интересно чем не устроил HTTPS или ....?
Блокировка независимых прошивок и операционных систем.
| | |
|
| 1.2, Аноним (2), 14:17, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– | |
>при помощи таких технологий, как Intel SGX
лол, сколько там было дыр by-design в этом SGX? Каждый день находят же новые. Отличная попытка встроить бекдор в интернет, но нет.
| | |
| |
| 2.20, Аноним (20), 14:56, 27/10/2021 [^] [^^] [^^^] [ответить]
| +9 +/– |
если гугл подхватит идею, то будете пользоваться как миленькие ;)
| | |
|
| 1.5, Murloc (?), 14:20, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
а против MitM атак этот протолок устойчив? несли нет то не очень интересно.
| | |
| |
| 2.18, n00by (ok), 14:48, 27/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
 "HTTPA не гарантирует, что производимые в процессе работы web-сервера остальные вычисления, производимые не в TEE, не были скомпрометированы, что требует применения отдельного подхода к разработке web-сервисов".
Т.е. следующий шаг - засунуть всё в анклав.
| | |
|
| 1.6, Урри (ok), 14:21, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– |
 А не подскажет ли уважаемое коммьюнити, как можно запилить https, который не надо регулярно обслуживать ввиду всяких там истекания сроков ключей? Один раз сделал и забыл на 20 лет?
У меня есть хелловорлд, которым по rest пользуются полтора землекопа. С тотальным переходом браузеров на http мне пришлось к нему прикрутить ключи, ибо cors и вообще задолбали.
Чтобы не заморачиваться я прикрутил летсэнкрипт (вручную, через виртуалку, ибо ..л я давать рут аксес чьим-то скриптам на свой сервер). Но этот летсэнкрипт требует регулярного апдейта ключей, с регулярным же доступом под рутом, причем ручной механизм "вот это впиши вот в такой файл и мы заберем его через ваш сервер" они из тулсета выпилили).
В общем порекомендуйте дубовое решение, надежное как кирпич и требующее столько же мозгов.
| | |
| |
| 2.9, Аноним (9), 14:34, 27/10/2021 [^] [^^] [^^^] [ответить]
| +5 +/– |
Если ты это делаешь для себя, то можешь сделать самоподписанный сертификат и добавить его себе в доверенные.
| | |
| 2.10, n80 (?), 14:34, 27/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Доступ под рутом не требуется, строго говоря. Опять же, всяких сторонних реализаций (искать по acme tiny) пруд-пруди, можно найти достаточно простую, которую сможешь прочесть и считать доверенной.
Самое же дубовое решение — самоподписанный сертификат, который у землекопов добавляется в исключения. Альтернативное решение — не использовать https и заворачивать свои протоколы в VPN или какой-нибудь tcpcrypt. Хотя тут почему-то браузеры упоминаются, так что с этим вариантом облом.
| | |
| 2.21, Ananimasss (?), 14:58, 27/10/2021 [^] [^^] [^^^] [ответить]
| –5 +/– | |
>вручную, через виртуалку, ибо ..л я давать рут аксес чьим-то скриптам на свой сервер)
Во фришечке прекрасно автоматизируется джейлами, удачи выйти за пределы оного.
В лiнyпс€, думается, шо аналог джейла-то таки шмогли запилить.
| | |
| |
| |
| 4.62, псевдонимус (?), 19:52, 27/10/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Докер это дерьмо на стероидах. Дырявое изначально. И делалось оно не для изоляции.
| | |
|
|
| 2.35, Random (??), 15:48, 27/10/2021 [^] [^^] [^^^] [ответить]
| –2 +/– |
Виртуалку для одного хоста - избыточно, хотя когда надо было сертификаты для кучи хостов получать, сам делал под это выделенную изолированную VM.
А для одного - два скрипта в кроне. Один - certbot из-под юзера certbot только обновляет сертификат и никакого самообновления, другой, из-под рута, перезапускает nginx, если сертификат свежее pid'а nginx'а. Вчера был год, как живёт на автомате.
Но дома сейчас самоподписной, к нему доверия больше.
Хотя не исключаю, что и домой certbot прикручу.
| | |
| |
| 3.90, Аноним (-), 23:29, 28/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Но дома сейчас самоподписной, к нему доверия больше.
На деле он на столько же надёжен, как и удостоверенный, т.к. приватные ключи обоих генерируются локально и не передаются.
| | |
|
| 2.47, Аноним (47), 16:50, 27/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Один раз сделал и забыл на 20 лет?
Ну так и было. Просто первые 20 лет уже прошли.
| | |
| 2.52, пох. (?), 18:39, 27/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
полтора землекопа нельзя научить пользоваться специальным браузером и поставить им какой-нибудь древний клон мазилы без идиотии с "сертификат не сертификат" ? После чего выдать себе собственной CA signed (self не поможет от cors) на 20 лет а там либо шах, либо ишак, либо тебя самого съедят негры.
Ну а если нет - добро пожаловать в клуб пользователей acme-tiny и bypass.no
Первый позволяет сделать как тебе хочется - вписать вот это в нужный файл самому и самому забрать потом ключ без ненужной автоматизации, а второй позволяет выполнять эту операцию раз в пять месяцев, а не раз в неделю.
| | |
| 2.53, Аноним (53), 18:40, 27/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> В общем порекомендуйте дубовое решение, надежное как кирпич
Создайте свой корневой сертификат, раздайте его всем клиентам.
> и требующее столько же мозгов.
С этим хуже. Последовательность не очень сложная, но придётся немного поразбираться.
| | |
| 2.63, Alex (??), 20:05, 27/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– |
Баш скрипт автообновления letsencrypt сертификата напиши, чтобы он за 3 дня до истечения его обновлял. И забудь.
Про 20 лет не знаю, но на одном сервере 6 лет назад настроил скрипт и до сих пор все работает и обновляет раз в 3 месяца.
Что в скрипте написать?
Да ровно то, что ты делаешь каждый раз. Мануалов по башу полно.
| | |
| 2.66, john_erohin (?), 20:48, 27/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
20 лет - видимо нет.
за такой срок доломают AES*, SHA* и все бернштейновкие алгоритмы.
| | |
| |
| 3.79, Аноним (79), 00:27, 28/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Конечно доломают. Они непостквантовые все. Ну кроме NTRU Prime.
| | |
|
| 2.68, Урри (ok), 21:14, 27/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Большое спасибо всем ответившим.
Опеннет помогающий!
| | |
| 2.82, Alex (??), 11:23, 28/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Если полтора землекопа из нагрузки и не хочется возиться - попробуй web server caddy
| | |
| |
| 3.97, Урри (ok), 15:22, 29/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> server caddy
Звучит очень заманчиво. Спасибо, обязательно гляну.
[added]
Мил человек, спасибо! Походу это именно то, что надо.
| | |
|
| 2.86, freehck (ok), 15:31, 28/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > А не подскажет ли уважаемое коммьюнити, как можно запилить https, который не надо регулярно обслуживать ввиду всяких там истекания сроков ключей? Один раз сделал и забыл на 20 лет?
5 лет тут сидишь, и до сих пор PKI не освоил.
Если тебе нужно просто сделать и забыть надолго (про 20 лет не уверен, но на годик-другой можно точно), то вот тебе дубовое решение, не требующее мозгов: просто пойди и купи сертификат.
А ерундой с виртуалками заниматься прекращай. Рут LE не нужен, если только ты не используешь standalone. Через webroot челлендж проходи, либо вообще переключись на dns.
| | |
| |
| 3.96, Урри (ok), 15:21, 29/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Сложна.
Я ж не веб-программист, в гробу я видел эту всю вебню и занимаюсь ей только если совсем уж припечет (или в целях дальнейшего саморазвития).
| | |
| |
| 4.98, freehck (ok), 15:23, 29/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> Я ж не веб-программист
Это зона ответственности опсов, к веб-девелоперам отношения не имеет.
| | |
|
|
|
| 1.7, Аноним. (?), 14:32, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Нужно больше http. Чтобы оно вообще всё загнулось и макаки наклепали всякого Г
| | |
| |
| 2.32, kissmyass (?), 15:37, 27/10/2021 [^] [^^] [^^^] [ответить]
| +3 +/– | |
вот мы и нашли одного того, кто плюсанул
Ты серьезно? зависимость от третьего лица есть в любом случае, как и с CA, SGX ровным счетом ничего не решает, более того выполняется в среде тебе не подконтрольной, так еще бугагага дырявой,
зато всем резко понадобится новый кирпич от интел.
это у тебя монитор жиром заплыл? или реально такой наивный?
| | |
| 2.41, Аноним (41), 16:10, 27/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> нужен
Смотреть котиков в интернете на распоследнем core i-100500K под windows11?
| | |
|
| 1.19, Аноним (19), 14:49, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Слушайте, а классно. Сейчас же некоторые службы обязывают некоторые сервисы дампить сессионные ключи. Также некоторые службы запрещают выдавать сам факт их вмешательства, даже посредством "свидетельства канарейки". А тут штука, с помощью которой я говорю "у меня работает вот этот неизменённый код" (из, например, пакетов дебиана), и никто уже незамеченным в него не залезет.
| | |
| |
| 2.61, Аноним (60), 19:50, 27/10/2021 [^] [^^] [^^^] [ответить]
| +3 +/– |
Есть нюанс. Интел и его "доверенные лица" могут залезть по определению.
| | |
| 2.100, Аноним (99), 00:15, 30/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Только этот "неизмененный код" не может быть из пакетов Debian: апплеты TEE поставляет производитель прошивки, а анклавы Intel SGX непубличны (вы пишете их сами, их подписывает Intel).
| | |
|
| 1.23, dimez (?), 15:08, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Ох, шикарно как.
Интель под предлогом бОльшей секурности лезет в https со своими дыренями.
Надеюсь, их разработка так и останется в столе.
| | |
| |
| 2.27, Аноним (27), 15:18, 27/10/2021 [^] [^^] [^^^] [ответить]
| –4 +/– |
Как буд-то без intel их там нет. Весь http(s) одна большая фракталова дырень.
| | |
|
| 1.25, Аноним (25), 15:13, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Хрень какая-то. Эльбрусы вот безопасны, а этот мусор только зря всем перед носом будет мелькать. Хотя пусть спецы проверят. Только сомневаюсь, что аппарату УЗИ нужна такая функция.
| | |
| |
| |
| 3.42, Аноним (39), 16:10, 27/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Вот сделали вам unsafe вы теперь куражитесь
Так же и в Эльбрусах сделали вам поддержку вин-разных приложений и тоже крчите
Отключите unsafe и эмуляцию windows и провод от интернетов и все будет отлично
| | |
| |
| 4.77, Аноним (25), 00:16, 28/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Самый прикол будет когда под линуксом в wine в защищенном режиме на Эльбрус не будет работать вирусня несмотря на аппаратную поддержку х86 инструкций.
И незачем провод отключать. Зачем так радикально то? Он же думал подколол с растом, а там и правда другая архитектура и на нее так просто не повоздействуешь.
| | |
|
|
| |
| 3.58, пох. (?), 19:06, 27/10/2021 [^] [^^] [^^^] [ответить]
| +/– | |
Я видел. Хотя, не, те что я видел точно-точно ель-брусы, были неживые.
В целом да, опастная штука.
| | |
|
|
| 1.33, Смузихлёб (?), 15:39, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
HTTPS не нужен, а тут ещё очередная порция анальных зондов. Жили же нормально до 2010 года без этой хипстерской тряхомудии.
| | |
| |
| 2.74, tipa_admin (?), 23:01, 27/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Тю, ты это моему провайдеру скажи, который любит всякий спам в http пихать. До https ещё, падла, не добрался, нет у него сертификата всевластья.
| | |
|
| 1.37, ryoken (ok), 15:50, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 >> Изолированные анклавы, создаваемые при помощи таких технологий, как Intel SGX (Software Guard Extension), ARM TrustZone и AMD PSP (Platform Security Processor), дают возможность защитить важные вычисления и снизить риск утечек или изменения конфиденциальной информации на конечном узле.
"Громкий смех в зале, переходящий в гомерический хохот в связи с недавними пробоями SGX". :D
| | |
| 1.50, Аноним (50), 17:57, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Нафига отдельный запрос?
Посылай все attest и preflight коды как Header сразу в первом же GET. Если сервер поддерживает -- вернёт по формату, а нет -- проигнорирует.
Точно так же как сейчас посылается Accept-Encoding.
| | |
| 1.55, Аноним (-), 18:56, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
прекрасная идея, выдача сертификатов по паспорту, всем неугодным отозвать сертификаты, кажется это уже есть в андроиде, называется отсутствие root, безопасности не помогает совсем.
| | |
| 1.56, Аноним (56), 19:03, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Как пихнуть пехепе/руби/дотнет/питон/что-то ещё в этот sgx? Если поимеют сервер и заменят эти скрипты, которые будут пихаться в sgx, то как sgx поймёт что всё ок?
Выглядит полной хернёй, под которую надо всё переписать на том, что интел даст (интел C компилер?)
| | |
| |
| 2.64, Аноним (51), 20:10, 27/10/2021 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> как sgx поймёт что всё ок?
Бинго! Вот в чём вопрос оказался: как отличить хакера от админа...
| | |
|
| 1.59, Аноним (60), 19:47, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>HTTPA позволяет гарантировать целостность обработки запроса пользователя на сервере и убедиться в том, что web-сервис заслуживает доверия и работающий в TEE-окружении (Trusted Execution Environment)
Не нужны нам сервисы, гарантирующие, что в них есть бэкдор производителя.
| | |
| 1.67, Kuromi (ok), 20:59, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
 Intel в своем духе. Чтоб ни делали - все превращается в DRM или наглое пропихивание собственных закрытых разработок в стандарты. Сначала они совместно с Microsoft пихают Secure Boot в UEFI (и вообще пропихивают UEFI всюду), затем TPM, свои кастомные SGX расширения для процессорных инструкций, а теперь решили внедрить DRM прямо в HTTP.
Видно куда это все идет, Микрософт вон уже требует TPM для свих новых ОС, потом Secure Boot станет обязательным и вдруг окажется что все залочено а всех уровнях.
| | |
| 1.71, lucentcode (ok), 21:58, 27/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Не взлетит. Усложняют то, что должно оставаться простым, увеличивают количество этапов установления защищённого подключения. Такое себе удовольствие, минусы видны сразу, а вменяемых аргументов в пользу внедрения такого протокола я лично не вижу.
| | |
| |
| 2.73, Аноним (79), 22:31, 27/10/2021 [^] [^^] [^^^] [ответить] | +2 +/– | Взлетит Тебя просто обяжут это использовать Государство, для доступа к госуслу... большой текст свёрнут, показать | | |
| |
| 3.76, Аноним (51), 23:27, 27/10/2021 [^] [^^] [^^^] [ответить]
| –1 +/– |
Такое насилие приведёт к расколу интернета на части. Что неудивительно, ведь Штаты - первые вышли из сетевой нейтральности.
| | |
| |
| 4.78, Аноним (79), 00:25, 28/10/2021 [^] [^^] [^^^] [ответить]
| +2 +/– |
Да, приведёт. Будет интернет для всякого быдла и локалхост для небыдла.
| | |
|
|
| 2.101, Аноним (99), 00:16, 30/10/2021 [^] [^^] [^^^] [ответить]
| +/– |
Оно и не должно "взлететь" -- это похоже на протокол для очень узкого круга задач.
| | |
|
| 1.88, uis (ok), 21:10, 28/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 И всё это для безопасности детей и небоскрёбов. Такое применимое в хозяйстве.
Теперь надо придумать зачем пользователю работать с сервером работающим именно в sgx, и что это ему даст.
| | |
| |
| 2.104, Аномистично (?), 11:34, 02/11/2021 [^] [^^] [^^^] [ответить]
| +/– | |
> надо придумать
Вроде, конкретно в этом-то уже нужды и нет. Мотив - блёсткий, сервиса Гомеров написаны. Придумано.
| | |
|
| 1.91, Аноним (91), 01:23, 29/10/2021 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
дырявый штеуд на дырявых процах с дырявым sgx предлагает новый протокол ? дай угадаю - он будет таким же
| | |
|
