Ричард Барнс (Richard Barnes), лидер команды, отвечающей за безопасность Firefox, объявил (https://blog.mozilla.org/security/2015/04/30/deprecating-non.../) о намерении поэтапного ухода от поддержки незашифрованных коммуникаций с использованием протокола HTTP в пользу HTTPS. По мнению Mozilla, в условиях современных реалий, повсеместный переход на использование шифрованных соединений является закономерным путём развития Web. При этом, для устаревшего контента Mozilla сохранит поддержку использования схемы "http://", но возможности для таких соединений будут ограничены.Для продвижения HTTPS проект Mozilla намеревается постепенно сокращать функциональность, доступную для незашифрованных HTTP-соединений. Таким образом, возможность обращения к сайтам по HTTP будет сохранена, но доступные для таких сайтов web-технологии будут ограничены. В настоящее время планируется определить дату, начиная с которой некоторые добавляемые в браузер новые возможности станут доступны только при использовании HTTPS. Какие именно возможности будут блокироваться пока точно не определено, например, предлагается оставить доступ к новшествам, связанным с CSS и отрисовкой, но запретить возможность использования новых API, связанных с взаимодействием с оборудованием.
Кроме того, для HTTP планируется поэтапно ограничить доступ к уже реализованным технологиям, которые могут привести к рискам, связанным с безопасностью и приватностью, в случае работы по незашифрованным каналам связи. В этом случает отмечается важность сохранения баланса между безопасностью и сохранением совместимости, т.е. важно недопустить нарушения работы существующих сайтов, работающих по HTTP. В качестве примеров приводится уже внедрённая для незащищённых сайтов практика запроса подтверждения при обращении к API доступа к камере или микрофону, а также предложения по ограничению области видимости незашифрованных Сookie.
Так как перевод всего интернета на HTTPS неподъёмная для одного проекта задача, Mozilla призывает подключиться к данной инициативе сообщество web-разработчиков, используя принимаемые в Firefox меры как сигнал для информирования, что движение в этой области уже началось. На официальном уровне планирует подготовить предложение для рассмотрения рабочей группой W3C WebAppSec, занимающейся продвижением web-стандартов, связанных с безопасностью web-приложений. Примечательно, что инициатива Mozilla по продвижению HTTPS не является единственной, в частности, консорциум W3C рассматривает (https://w3ctag.github.io/web-https/) возможность повышения безопасности в Web через повсеместное внедрение шифрования, комитет IETF (Internet Engineering Task Force), занимающийся развитием протоколов и архитектуры Интернет, признал (https://tools.ietf.org/html/rfc7258) атакой повсеместный мониторинг трафика, совет по архитектуре интернет заявил (https://www.iab.org/2014/11/14/iab-statement-on-internet-con.../) о необходимости решения проблемы с нарушением приватности пользователей Cети, правительство США работает над стандартом (https://https.cio.gov/), обязывающих использовать на государственных сайтах и web-сервисах только HTTPS.
URL: https://blog.mozilla.org/security/2015/04/30/deprecating-non.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42142
Роскомнадзор плачет кровавыми слезами.
Ему-то что плакать? Прогнувшиеся провайдеры пытаются подменять сертификаты, чтобы адресно фильтровать, либо рубят домен на корню. Плакать будут пользователи.
> Ему-то что плакать? Прогнувшиеся провайдеры пытаются подменять сертификаты, чтобы адресно
> фильтровать, либо рубят домен на корню. Плакать будут пользователи.Подменять сертификаты - это тоже хорошо. Особенно если к этому юзеры привыкнут. Фигачить банковские и персональные данные станет легкой и простой затеей.
Подменять сертификаты незаконно.
> Подменять сертификаты незаконно.Аха. скажи это куче провайдеров... причём не из пионэрнэтов.
Инструмент для правительств, кулхацкеры обломаются. Кому надо, уже давно подменяют. А нытье про мнимую свободу никого не беспокоит. Нет никакой свободы.
> Нет никакой свободы.любимая присказка раба.
правильнее говорить что свобода уже не та..
нет больше той свободы и уже не будет.. будет другая.. и её тоже будет мало..
> любимая присказка раба.Твоё рабство даже хуже: ты скачешь под другую дудку - дудку западной пропаганды. Ошибочно думать, что эта дудка чем-то лучше любой другой. Выкидывай нахрен свои очки с деби... розоватыми стеклышками: любое мнение, кроме мнения непосредственного участника событий, кем-то ФОРМИРУЕТСЯ.
> Твоё рабство даже хуже:Нет смысла меряться рабствами с незнакомым человеком -- а вот посмотреть критично на себя полезно каждый раз, как добираешься.
> Выкидывай нахрен свои очки с деби... розоватыми стеклышками:
Насколько понимаю, таких у него нет.
PS:
> любое мнение, кроме мнения непосредственного участника событий, кем-то ФОРМИРУЕТСЯ.И даже непосредственный участник видит кусочек во времени и пространстве с одной точки бинокулярно максимум. Известны эффекты и методы, которые даже незаангажированного наблюдателя на месте способны отчасти или полностью ввести в заблуждение. Поэтому и тут не стоит полагаться, увы (хотя возможности манипуляции на местах куда меньше, чем по медиа-картинке).
> Подменять сертификаты незаконно.Придет письмо из роскомнадзора где будет регламентироваться механизм подмены сертификата. Все станет законно, опы провайдеров прикрыты регламентом. Выше никто не пойдет.
Провайдеры начнут при подключении устанавливать свои корневые сертификаты и в личных кабинетах давать возможность скачать эти сертификаты с подробной инструкцией установки в различных браузерах, платформах. Все решаемо.
Есть такое понятие как верховенство права.Ты не имеешь права исполнять письмо противоречащие Указу Президента или Постановлению Кабмина.
Ты не имеешь права исполнять Указ Президента или Постановление Кабмина если они противоречат Закону РФ.
Ты не имеешь права исполнять закон РФ если он противоречит Конституции РФ.
Усть одна тонкость. В Конституции есть ироянская статья о верховенстве международных договоров над ней, родимой. Обсуждаемая хрень может расти из таких вот договоров, о которых мы не знаем (а большинству и не интересно, пока котики лайкаются)...
Вы спороли чушь. Нет такой статьи
> Вы спороли чушь. Нет такой статьиУвы, есть:
--- ст. 15
4. Общепризнанные принципы и нормы международного права и международные договоры Российской Федерации являются составной частью ее правовой системы. Если международным договором Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются правила международного договора.
--- http://www.constitution.ru/10003000/10003000-3.htm
>> Вы спороли чушь. Нет такой статьи
> Увы, есть:
> --- ст. 15
> 4. Общепризнанные принципы и нормы международного права и международные договоры Российской
> Федерации являются составной частью ее правовой системы. Если международным договором
> Российской Федерации установлены иные правила, чем предусмотренные законом, то применяются
> правила международного договора.
> --- http://www.constitution.ru/10003000/10003000-3.htmПравила международного договора могут иметь преимущество над законом, поскольку это предусмотрено конституцией. Преимущество над конституцией не предусмотрено нигде (разве что сейчас в Европе). В этом фундаментальное отличие Конституции от прочих законов.
Мой камент касался тезиса "В Конституции есть ироянская статья о верховенстве международных договоров над ней, родимой."
> Преимущество над конституцией не предусмотрено нигде (разве что сейчас в Европе).Спасибо за поправку.
Из виденного ранее по смежной теме -- при пропихивании украинского налогового кодекса конституцию переехали бульдозером, при этом депутаты в буквальном смысле слова отмораживались, когда им это говорили, показывая пальцем -- мол, "приоритет, ничего не можем сделать" (это ещё несколько лет назад)...
Однако есть мнение, что это ненадолго.
Председатель Следственного комитета РФ Александр Бастрыкин в интервью "Российской газете" выдвинул броское предложение - изменить Конституцию страны и исключить из нее нынешнее положение о приоритете международного права над национальным.
Международно право де юре главенствует, но не исполняется, конечно же.
Собственно, ООН, фактически призвана исполнять и устанавливать это международное право.
Но реальность такова, что когда США собирались бомбить Сербию, а в ООН наложили вето, США нарушили международное право в угоду собственной политике.
> Вы спороли чушь. Нет такой статьиотличный портрет типичного россиянина. законов своей страны не знает, плевать на них хотел, зато возражает по любой теме, и обязательно категорически, даже если в теме не понимает ничего.
См. мой ответ Шигорину выше
> См. мой ответ Шигорину вышеда, я извиняюсь, поторопился с выводами.
А судьи кто? :-D
Вроде шифрование хотели запретить в Британии (Кемерон) и США (глава ФБР), ты ничего не попутал?
Так то хотели настоящее шифрование запретить, а не прости *** https :)
Забавным образом пропал вопрос, я повторю.
Ссылки на настоящие СМИ будут? А то вы эту чушь прочитали в путлерских средствах дезинформации же, в СМИ цивилизованных стран этого не было.
> Забавным образом пропал вопрос, я повторю.Я его стёр на основании пп. 4, 6 http://wiki.opennet.ru/ForumHelp
> Ссылки на настоящие СМИ будут?
Можно критерий настоящести?
> А то вы эту чушь прочитали в путлерских средствах дезинформации же,
> в СМИ цивилизованных стран этого не было.Можно критерий цивилизованности?
А то я вот сообщу, что у Вас явно помои головного мозга -- и кто его знает, это шутка такая была, поэтическое сравнение, оскорбление, клевета или диагноз. Поэтому во избежание разночтений -- раз уж берётесь пользоваться словами, применяйте их со смыслом и не стесняйтесь его более внятно раскрыть.
PS: md5sum urlencoded ссылки: a5ea7fa1d65688da51b47eb86f94e0c6
> Ссылки на настоящие СМИ будут? А то вы эту чушь прочитали в
> путлерских средствах дезинформации же, в СМИ цивилизованных стран этого не было.Осиль уж язык "цивилизованных стран", коли на них ссылаешься? Гуглится влет "cameron encryption" или "cameron verschlüsselung"
http://en.wikipedia.org/wiki/Encryption_ban_proposal_in_the_...
http://www.huffingtonpost.co.uk/2015/01/12/david-cameron-wan...
http://www.faz.net/aktuell/feuilleton/medien/david-cameron-w...
>> Ссылки на настоящие СМИ будут? А то вы эту чушь прочитали в
>> путлерских средствах дезинформации же, в СМИ цивилизованных стран этого не было.
> Осиль уж язык "цивилизованных стран", коли на них ссылаешься? Гуглится влет "cameron
> encryption" или "cameron verschlüsselung"
> http://en.wikipedia.org/wiki/Encryption_ban_proposal_in_the_...
> http://www.huffingtonpost.co.uk/2015/01/12/david-cameron-wan...
> http://www.faz.net/aktuell/feuilleton/medien/david-cameron-w...Ссылки на СМИ будут?
Пока вижу какие-то бульварные поделки.
> Ссылки на СМИ будут?
> Пока вижу какие-то бульварные поделки.Ага, ага - FAZ и SZ[0] - бульварные поделки. Месье настоящий знаток и ценитель!
Ну да, они скатываются в УГ, особенно фельетон и т.д. - но на наш век еще хватит.
И конечно же, месье сможет назвать пару представителей СМИ, подходящую под его критерии "серьезных"? :)[0]
http://www.sueddeutsche.de/digital/grossbritannien-im-kampf-...
Как впрочем и простые админы, которым дали задание дать доступ на avito.ru только на один раздел, а остальные закрыть.
И в чём тут проблема для Админа? Админ может установить КАСТУМНУЮ версию Firefox на рабочие компьтеры, которая будет ходить только на страницы сайтов из списка.(Пусть Админ посидит денёк и напишет соответствующий патч к свей сборке Firefox)
ну да.. приходит пользователь с портабл хромом и куда ваш ФФ?
на шлюзе резать надо...
придёт, покрутится, и уйдёт.
Потому что возможности прочесть флешку у него не будет.
Равно как и скачать и запустить что-то неодобренное.
> И в чём тут проблема для Админа? Админ может установить КАСТУМНУЮ версию
> Firefox на рабочие компьтеры, которая будет ходить только на страницы сайтов
> из списка.
> (Пусть Админ посидит денёк и напишет соответствующий патч к свей сборке Firefox)Смешно. Кастомный интернет он не должен запустить у себя?
Тогда уж расширение найти/наваять и не дать менять настройки (возможно, правами на профиль)
> И в чём тут проблема для Админа? Админ может установить КАСТУМНУЮ версию
> Firefox на рабочие компьтеры, которая будет ходить только на страницы сайтов
> из списка.
> (Пусть Админ посидит денёк и напишет соответствующий патч к свей сборке Firefox)А что, проксирование еще не изобрели? Транспарентное, не?
Допрыгаются с этим HTTPS, что запретят законодательно его использовать.
Сейчас HTTPS реально работает, а начнут повсеместно навязывать - либо запретят, либо обяжут отдавать ключи кому следует.Лучше бы Tor в Firefox интегрировали, как обещали.
> Сейчас HTTPS реально работает, а начнут повсеместно навязывать - либо запретят, либо
> обяжут отдавать ключи кому следует.Запретить вряд ли запретят. Хотя - нехай запрещают, когда интернет-банки попробуют работать без HTTPS - станет интересно, вкусно и полезно.
> Запретить вряд ли запретят. Хотя - нехай запрещают, когда интернет-банки попробуют работать
> без HTTPS - станет интересно, вкусно и полезно.У банков есть выход. Типа того, как использует Сбер: свой VPN-клиент. Это геморрой, конечно, и я это не приветствую, особенно как средство обеспечения работы физлиц со своими банк-клиентами, но тем не менее.
VPN-клиент - сертификаты раздавать и мейнтейнить заколебутся.Даже если предположить, что банкам разрешили использовать HTTPS с настоящим сертификатом - всё равно у множества типовых (лу/ю)зеров одинаковый пароль на интернет-банк и вконтактик или что-то ещё.
вообще-то в последне время сам сбер своих клиентов активно пересаживает с банк-клиентов на онлайн-кабинеты
> нехайПопрошу не выражаться в приличном обществе!
> > нехай
>
> Попрошу не выражаться в приличном обществе!В рус. лит. яз. пришло в XIX в. из укр. яз. Родственно укр, хай «пусть», нехати «оставлять, пускать», болг. хая «забочусь», чешск. nechati «бросить, оставить». Ср. и см. пусть.
Источник: этимологический словарь русского языка
http://etymological.academic.ru/3101/%D0%BD%D...... Поэтому, если вам мерещится что-то другое в этом слове, это лично ваши трудности, и не нужно их переносить на остальных.
>укр, хайУрукхай. :)
>Допрыгаются с этим HTTPS, что запретят законодательно его использоватьпроблемы индейцев вождя не волнуют
Запретят HTTPS - получат фактическое отключение от половины Интернета. Долго они так протянут?PS: кому надо, способ подключиться всё равно найдут.
Чё вы ноете то? Вот учитесь у Китайцев =)
К слову, у меня ТТК запретили.. Почти.. Они просто подменяют сертификат при установке защищённого соединения.
И на РТК тоже самое
> И на РТК тоже самоеНет такого. Может у вас вирусня сертификаты подменяет?
Ну у меня такое Мозилла пресекает. По крайней мере сертификат от ТТК она считает левым :P
Аноним, проверь сертификат =)
> Допрыгаются с этим HTTPS, что запретят законодательно его использовать.Ты правда веришь, что можно законодательно запретить что-то там в Интернете? o_O
а где https://opennet.ru ???
> а где https://opennet.ru ???здесь https://ssl.opennet.ru
Это соединение является недовереннымВы попросили Iceweasel установить защищённое соединение с ssl.opennet.ru, но мы не можем гарантировать, что это соединение является защищённым.
Но есть же www.startssl.com
> Но есть же www.startssl.comЕсть и за 4$/год (а сразу на 3 года даже дешевле). Ниже написал, где.
> Но есть же www.startssl.comда, стартссл — норм. но надо иметь в виду, что у них отзыв сертификата платный.
А еще есть wosign, которые в отличии от startssl дают сертификаты у которых можно прописать до 100 доменов, а не один третьего уровня, как startssl. И выдают они на три года сразу.
https://buy.wosign.com/free/
Сертификаты нормально работают в современных браузерах, пример https://lotro-russia.ninja/ с таким сертификатом.
Мозилловцы всем сайтам бабло на покупку сертификатов раздавать не планируют из своего карманы? Раз уж они такие инициативные.
Планируют.
Кстати, а как там продвигается дело с удостоверяющим центром под крылом LF?
Отлично продвигаются, "Arriving Mid-2015". Только вот LF примазался к ним под конец, так что к проекту не относится.
> Отлично продвигаются, "Arriving Mid-2015". Только вот LF примазался к ним под конец,
> так что к проекту не относится.Да ладно, примазался, вряд ли они сами туда полезли. Зато под крылом фонда будет тепло и уютно, наверное.
> Кстати, а как там продвигается дело с удостоверяющим центром под крылом LF?Удостоверяющие центры в современных реалиях на хрен не нужны. Нет к ним доверия.
> Удостоверяющие центры в современных реалиях на хрен не нужны. Нет к ним
> доверия.Да ладно, Linux Foundation — это не какие-то упоровшиеся китаёзы.
>> Удостоверяющие центры в современных реалиях на хрен не нужны. Нет к ним
>> доверия.
> Да ладно, Linux Foundation — это не какие-то упоровшиеся китаёзы.Разница от меня ускользает.
То есть доверия к LF у тебя нет? Вендузятник чоле?
для клянчущих бабло, любителей полежать на печи и нытиков есть бесплатные для некоммерческих сайтов :)
> для клянчущих бабло, любителей полежать на печи и нытиков есть бесплатные для
> некоммерческих сайтов :)А для клянчАщих бабло жлобов, у которых коммерческие сайты? ))
поддаться естественному отбору :)
> поддаться естественному отбору :)Судя по нынешней ситуации, жлобы живут припеваючи. )
это бизнес, а бизнес и существует именно для зарабатывания бабла :)
Если сайт не осилил получить бесплатный сертификат (http://habrahabr.ru/post/252529/) - пусть покупает. Неосиляторы должны страдать.
> Если сайт не осилил получить бесплатный сертификат
> - пусть покупает. Неосиляторы должны страдать.Может, хоть одно рыло (что в мозилле, что здесь из "осиляторов") объяснит мне, какой смысл раздавать исошки через https? Понимаю, что все "настоящие ИБ-шники" ни разу не задумываются о том, где бывает бесплатный сыр, но это вопрос отдельный.
исошки лучше вообще торрентами раздавать
> исошки лучше вообще торрентами раздаватьПока трансмиссионщиков не укусит та же муха?
(вообще не удивлюсь, если у MoFo в спонсорах вдруг объявится пара торговцев циферками)
А потом удивишься узнав, что Mozilla летом начнет выдавать бесплатные сертификаты или продолжишь воздух газифицировать.
> какой смысл раздавать исошки через https?Такой же: прикрыть белым шумом контент-анализ, чтобы транзакции не имели сигнатур. А какой смысл раздавать по HTTP? Эффективность? Так есть же более эффективные протоколы передачи файлов, да хоть FTP.
> какой смысл раздавать по HTTP? соотношение доступности и эффективности.
>> какой смысл раздавать исошки через https?
> Такой же: прикрыть белым шумом контент-анализ,
> чтобы транзакции не имели сигнатур....чтобы что, если не секрет, что тащу очередной линукс? :)
> А какой смысл раздавать по HTTP? Эффективность?
Да.
> Так есть же более эффективные протоколы передачи файлов, да хоть FTP.
Нет, на одном файле сильно хуже с латентностью, даже если нигде по дороге об особо ровный NAT не зацепится.
> Если сайт не осилил получить бесплатный сертификат (http://habrahabr.ru/post/252529/)
> - пусть покупает. Неосиляторы должны страдать.В свете последних событий у китайцев брать сертификаты бредово и палевно.
А ещё Ip v6 всем подключат или вынут из закромов 100500 ip v4 адресов?
> А ещё Ip v6 всем подключат или вынут из закромов 100500 ip
> v4 адресов?SNI уже давно поддерживается везде и всюду, с разморозкой.
>> А ещё Ip v6 всем подключат или вынут из закромов 100500 ip
>> v4 адресов?
> SNI уже давно поддерживается везде и всюду, с разморозкой.Причём -- из коробки, и по умолчанию (без дополнитеньных настроек)
>> А ещё Ip v6 всем подключат или вынут из закромов 100500 ip
>> v4 адресов?
> SNI уже давно поддерживается везде и всюду, с разморозкой.и даже под winxp, которых у хомячков ещё ой как много оно заработало?
как будто кого‐то волнуют во‐первых, вантузоиды, во‐вторых, вантузоиды, пользующиеся тем, что даже их бвана не поддерживает уже.
> как будто кого‐то волнуют во‐первых, вантузоиды, во‐вторых, вантузоиды,
> пользующиеся тем, что даже их бвана не поддерживает уже.Таких юзеров далеко не 10%. И если вдруг у таких хомячков перестанет сайтик работать в их любимом браузере... от помоев ф отмытся будет не так то и просто. А ещё полно в тч и госконтор где xp и стоит.. и всякие больнички там вот это всё
> Таких юзеров далеко не 10%. И если вдруг у таких хомячков перестанет
> сайтик работать в их любимом браузере... от помоев ф отмытся будет
> не так то и просто. А ещё полно в тч и
> госконтор где xp и стоит.. и всякие больнички там вот это
> всёКак бы помягче то сказать... ретроградный мастдай - он мастдай и есть. Причём второе употребление слова - вовсе не в качестве нарицательного.
Вы никогда не пробовали встать посреди офиса на полсотни машин с "хрюшкой", поднять пальчик и многозначительно сказать "Ретроградный мастдай - мастдай!"?
Вот и не пробуйте!
Потому что, вопреки ожиданиям, никто не побежит платить за новую винду, а заодно и новое железо под нее, вместо того, что сейчас просто работает и есть не просит.
А заменить ту старую винду на что-то более вменяемое, увы, в ряде случаев не получится от слова "совсем". Тем более, что никто и не просит.
обливаюсь слезами, читая эту душераздирающую историю.
Вас, поди, уже бесят те, кто все время советует пустырничку попить...
нет, меня всё ещё просто радуют идиоты, которые сначала сами себе создали проблемы, а потом жалостливо рассказывают, сколько же у них проблем.
> нет, меня всё ещё просто радуют идиоты, которые сначала сами себе создали
> проблемы, а потом жалостливо рассказывают, сколько же у них проблем.Скажи, дружок - а ты как давно стал определять техническую политику своего эмплоера, а?
Дружок, техническую политику всегда определяют технари. Удивительно, правда?
> Скажи, дружок - а ты как давно стал определять техническую политику своего
> эмплоера, а?да. кучу лет уже как определяю. потому как я, дружок, и есть то самое начальство, которое это должно определять.
сочувствую тем несчастным, кто с тобой работает
да ты не переживай, тебе‐то это никак не грозит. не берём мы дураков, не нужны.
штат идиотов уже заполнен, очевидно
я рад, что ты согласен с моим утверждением.
дураку для радости не много надо
тебе видней.
Вы уж меня извините, но, тьфу-тьфу, я в таком дерьме не работаю.
В каком дерьме вы работаете - это, конечно, ваше личное дело.
Я просто уточню, что у фирмы нет проблемы с тем, чтобы найти деньги на тотальный апгрейд.
Проблема в том, что те проблемы, которые этот апгрейд решает, рабочего процесса не касаются никак. Совершенно.
Нет никакой причины совершать революцию - и верхи не хотят, и низам оно никуда не впилось.
Ну я и говорю - дерьмо. Болото.PS. Потом, когда настанет день "x", и "внезапно" появятся проблемы - апгрейд будет делаться в режиме бешеной кошки и через жопу. Чисто российская привычка. Такие вещи при нормальном подходе как минимум детально обдумываются заранее.
В том-то и дело, что обдумали - и не нашли причины для революции.
Заменять "хрюшки" на нынешние "восьмерки" - зачем? Лучше работать оно не станет, каких-либо нерешаемых проблем сейчас на "хрюшках" нет. Где они могли быть - давно уже прикупили несколько "семерок", обновлять их - тем более ни к чему. Все-таки "есть деньги на апгрейд = надо апгрейдиться" - это девиз геймеров, а не офисов.
Где можно безболезненно заменить винды на Хубунту - потихоньку заменяю. Увы, далеко не везде это возможно, так что большая часть парка по-прежнему на ХР.
И, признаться, внезапного прихода "дня Х" уже как-то заждались, а его все нет...
> каких-либо нерешаемых проблем сейчас на "хрюшках" нет. Где они могли бытьЕсть. Отсутствие поддержки, в т.ч. по линии безопасности. Хотите халявы "на бумажке" - заменяйте на Ubuntu, тоже тема. Правда, в человекочасах придётся потратиться, но это только по первости.
> И, признаться, внезапного прихода "дня Х" уже как-то заждались, а его все нет...
Как только очередная дыра появится, или червяк, эксплуатирующий незакрытую, в сеть попадёт - дождётесь. MS XP латать уже не будет. Больше потратите на IPS и обслуживание заражённых систем, чем на апгрейд. Уже легче wine взять.
В теории вы, может быть, и правы. Но на практике получается, что после окончания поддержки ХР прошло время, а новых дыр что-то не видно. Вместо эпидемии зараженных хрюшек наблюдается активность троянов-шифровальщиков, которые, как это ни печально, прекрасно работают даже под Wine!
А вот для тяжелого софта типа Adobe CS "взять wine" по-прежнему не так просто, как кажется.
> В теории вы, может быть, и правы. Но на практике мы полагались и полагаемся на авось - и пока он нас не подводил!fixed :)
Когда вы последний раз заменяли консервы на свежие в своем рюкзаке, спрятанном под кроватью на случай апокалипсиса?
> Ну я и говорю - дерьмо. Болото.
> PS. Потом, когда настанет день "x", и "внезапно" появятся проблемы - апгрейд
> будет делаться в режиме бешеной кошки и через жопу. Чисто российская
> привычка. Такие вещи при нормальном подходе как минимум детально обдумываются заранее.Явно видно что вы не делаете ИТ бюджет фирмы на год. Очень полезно, сдавать такую бумажку шефу.
> Явно видно что вы не делаете ИТ бюджет фирмы на год. Очень
> полезно, сдавать такую бумажку шефу.Развитие, товарищ, развитие. В IT, угу. Если его нет или оно прекращается - я из такой организации бегу, потому что сидеть на жопе в болоте и делать бумажки вместо реального развития - извините.
И да - это не значит, что любой апгрейд "жрёт деньги". Для мелкого лавочника - возможно. А в приличных масштабах часто плюсы от апгрейда или унификации перевешивают затраты.
Единственное что, для ясности уточню: я не работаю в компаниях, где IT не приносит прямого или косвенного дохода (хотя бы в лице снижения расходов). Знаю, что таковые существуют, но мне они мало интересны.
Кроме того - что вы, простите, делаете в сети на ансаппортеде? У вас риски кто-нибудь вообще считает, или, как обычно в этой стране, только прямой "бюджет"?
И риски и бюджет, благо по образованию экономист.
> Развитие, товарищ, развитие. В IT, угу.Так и представилось профильное мероприятие: сцена, потный лысый некто скачет из угла в угол, покрикивая: "ментдевелоп, ментдевелоп..."
Про счёт рисков тоже всегда умиляло.
По-моему, это всё максимум средства, но никак не цель.
Прогресс - цель. Равно как и развитие. Всё, что православно стоит на месте - рано или поздно умирает или остаётся в резервациях. Жаль, что опыт СССР ничему не учит.
> Прогресс - цель. Равно как и развитие.Вопросов больше не имею.
А зря :) Отвечу ещё на один авансом: все новации; все оптимизации затрат, в т.ч. финансовых, временных, ресурсов, снижение рисков; и т.п. - лишь следствие прогресса.
> А зря :) Отвечу ещё на один авансом:Какие оптимизации-то? (вопрос с двойным дном и намёком на мужика под пальмой)
> Какие оптимизации-то? (вопрос с двойным дном и намёком на мужика под пальмой)Мужики под пальмой кончаются. Кто не успеет перевернуться вслед за ситуацией - рискуют превратиться в обезьяну на пальме. В лучшем случае.
> Кто не успеет перевернуться вслед за ситуацией -А тут вспомнилось беличье колесо... впрочем, и так понятно, что у нас с Вами мировоззренческое, так что всё в порядке. :)
Glad to hear :)
>> как будто кого‐то волнуют во‐первых, вантузоиды, во‐вторых, вантузоиды,
>> пользующиеся тем, что даже их бвана не поддерживает уже.
> Таких юзеров далеко не 10%. И если вдруг у таких хомячков перестанет
> сайтик работать в их любимом браузере... от помоев ф отмытся будет
> не так то и просто. А ещё полно в тч и
> госконтор где xp и стоит.. и всякие больнички там вот это
> всёАга, 4.5% это не 10%, это в два с хвостиком раза меньше.
Твоей свиньи меньше чем линухи.
http://www.w3schools.com/browsers/browsers_os.asp
> и даже под winxp, которых у хомячков ещё ой как много оно
> заработало?И даже под winxp. IE7 умеет SNI, как бы всякие оперы и хромы тоже. Хотя в целом класс ссзб лучше не рассматривать.
> и даже под winxp, которых у хомячков ещё ой как много оно
> заработало?Под XP не умеет только IE и Safari.
FF, Chrome, Opera умеют даже на XP.
> Под XP не умеет только IE и Safari.
> FF, Chrome, Opera умеют даже на XP.ещё, емнип, на андроиде 2.х не работал в родном браузере :)
> ещё, емнип, на андроиде 2.х не работал в родном браузере :)Еще в Java 6 нет SNI, но некрофилия.
Повсеместному распространению HTTPS мешает отсутствие возможности бесплатно и быстро получить сертификат, без волокиты с подтверждением личности.
Startssl выдает сертификаты быстро, бесплатно и без подтверждения личности. В чем проблема?
> Повсеместному распространению HTTPS мешает отсутствие возможности бесплатно и быстро
> получить сертификат, без волокиты с подтверждением личности.Устаревшая чушь, как и про 1 IP-адрес на домен. Идёте на (на правах рекламы) gogetssl.com, заказываете, оплачиваете, в итоге имеете сертификат где-то за 15 минут и сущие копейки.
// снова на правах рекламы - дешевые сертификаты от самого gogetssl есть только при заказе из личного кабинета, 4$/сертификат на год. это лучшее, что лично мне удалось найти
Ты ответил в стиле «Быстро, качественно, недорого! Выбирайте любые два пункта!». Человек писал про бесплатность. )
> Ты ответил в стиле «Быстро, качественно, недорого! Выбирайте любые два пункта!».
> Человек писал про бесплатность. )Так дело то как раз в том, что там и быстро, и качественно, и недорого. Вполне стандартный полноценный сертификат на домен (+ www.), за 15 минут, и всего за 4$.
Специально для слабовидящих:
ЧЕЛОВЕК ВЫШЕ ПИСАЛ ПРО БЕСПЛАТНОСТЬ!
Бесплатно и быстро - самоподписный. Заметь: про "качественно" он ничего не писал.
> Бесплатно и быстро - самоподписный. Заметь: про "качественно" он ничего не писал.А что такое быстро и не быстро ? быстро это типа в течении 5 минут что-ли ?
>> Бесплатно и быстро - самоподписный. Заметь: про "качественно" он ничего не писал.
> А что такое быстро и не быстро ? быстро это типа в
> течении 5 минут что-ли ?быстро для того товарища, видимо, не вставая с печи :)
> быстро для того товарища, видимо, не вставая с печи :)Хм, ну вот я по пути за сертификатом даже джёппу со стула не поднимал :)
>> быстро для того товарища, видимо, не вставая с печи :)
> Хм, ну вот я по пути за сертификатом даже джёппу со стула
> не поднимал :)так то стул :)
> Специально для слабовидящих:
> ЧЕЛОВЕК ВЫШЕ ПИСАЛ ПРО БЕСПЛАТНОСТЬ!https://buy.wosign.com/free/
Выше есть пример сайта с их сертификатом, можете зайти и посмотреть, можете пойти на https://www.ssllabs.com/ssltest/ и прогнать по нему тест.
> https://buy.wosign.com/free/
> Выше есть пример сайта с их сертификатом, можете зайти и посмотреть, можете
> пойти на https://www.ssllabs.com/ssltest/ и прогнать по нему тест.Я так понимаю, у них серт на домен одноразовый, и после первого сыра придётся покупать. Хотя надо попробовать, да.
С чего вы так понимаете?
У меня около десятка доменов у них, для трех из доменов я перевыпускал сертификаты, так как не вписал сразу все нужные домены третьего уровня, совершенно спокойно выпустили заново, трехгодичные, все хорошо.
> Вполне стандартный полноценный сертификата самоподписный неполноценный: там, видимо, байты больные, а половина вообще инвалиды.
> а самоподписный неполноценный: там, видимо, байты больные, а половина вообще инвалиды.Да нет, там просто certification path короткий и в дженерике untrusted.
это я намекаю, что говноконтора, которая раздаёт сертификаты направо и налево, «доверена» ровно настолько же, насколько и любые другие «рога и копыта». никак, то есть. а потому не понимаю, зачем им платить, если сертификат можно сделать и без них.
Неа, ты просто не понимаешь или не хочешь озвучивать сути PKI :) Гугли в сторону chain of trust.
> Неа, ты просто не понимаешь или не хочешь озвучивать сути PKI :)
> Гугли в сторону chain of trust.зачем? ещё раз: мне совершенно наплевать на эти цепи, если в итоге контора, раздающая сертификаты, раздаёт их направо и налево. ну, это если вообще сойти с ума и допустить, что централизованная модель «доверия» стоит больше, чем использованная туалетная бумага.
А, ну то есть не понимаешь. Ясненько.Суть простая: я могу сделать сколько угодно самоподписных сертификатов на любые домены. Плюс цепочки подписи - именно в валидации через корневые сертификаты, валидация защищает от подмены. А УЦ валидируют, что у запросившего сертификат есть административный доступ к обслуживающим домен серверам. Удостоверяющие центры и прочие сущности, замеченные в подделке сертификатов - из цепочки исключаются достаточно быстро через ревокацию.
Решение проблемы зависимости от УЦ есть - двухфакторная валидация сертификата, создание личных цепочек доверия, например через сертификат из зоны, защищённой DNSSEC. Но внедрить эти механизмы достаточно сложно.
> А, ну то есть не понимаешь. Ясненько.это ты не понимаешь, считая, что какие‐то там «корневые сертификаты» что‐то защищают.
от подмены *чего*? откуда я знаю, что вот это, pupkin.biz — это именно от пупкина, а не кто‐то левый? какая мне разница, подменили сертификат или нет, если я не знаю, был ли он изначально валидный?
у тебя, похоже, огромные проблемы с пониманием того, что есть security и что есть fake security.
Зато у меня есть хорошее понимание того, что такое fake reality. Предлагаю тебе сначала выбраться из оной, а потом поговорим.Ну а с проблемой зависимости от УЦ бороться надо, но это не однодневный процесс. Более того - в реальном мире ты НИКОГДА не сможешь подтвердить валидность сертификата pupkin.biz, не будучи знакомым с его владельцем лично. Да и будучи - не всегда.
> Зато у меня есть хорошее понимание того, что такое fake reality. Предлагаю
> тебе сначала выбраться из оной, а потом поговорим.нет, спасибо, в вашу я как‐то не хочу. у вас там какие‐то совершенно искажённые понятия — это если каким‐то чудом они не подменены.
> Ну а с проблемой зависимости от УЦ бороться надо, но это не
> однодневный процесс.какой смысл при этом пропагандировать презервативы с дырками — мне не ясно.
> Более того - в реальном мире ты НИКОГДА не
> сможешь подтвердить валидность сертификата pupkin.biz, не будучи знакомым с его владельцем
> лично. Да и будучи - не всегда.да и валидность реальности вообще…
> какой смысл при этом пропагандировать презервативы с дырками — мне не ясно.А смысл такой, что пока ты 100500 лет внедряешь сферических коней в вакууме - СЕЙЧАС надо чем-то пользоваться из того, что есть. Необходимости внедрения нового это не отменяет.
в моей реальности использование дырявых презервативов бессмысленно и глупо. в твоей, наверное, всё иначе.
> в моей реальности использование дырявых презервативов бессмысленно и глупо. в твоей, наверное,
> всё иначе.а если он так нормальненько заштопаный? не?
> от подмены *чего*? откуда я знаю, что вот это, pupkin.biz — это
> именно от пупкина, а не кто‐то левый? какая мне разница, подменили
> сертификат или нет, если я не знаю, был ли он изначально
> валидный?ну вот, например, EV сертификаты совсем уж кому попало раздают — если на нём написано Pupkin LLC / London UK, то он выдан именно компании с таким названием и местом регистрации и с большой вероятностью валидный.
> ну вот, например, EV сертификаты совсем уж кому попало раздают — если
> на нём написано Pupkin LLC / London UK, то он выдан
> именно компании с таким названием и местом регистрации и с большой
> вероятностью валидный.если, конечно, никто не торганул таблом^w поддельным сертификатом «для внутренних бизнес‐целей». но мы же знаем, что ни один удостоверяющий центр никогда так не поступит. ни за что!
>> ну вот, например, EV сертификаты совсем уж кому попало раздают — если
>> на нём написано Pupkin LLC / London UK, то он выдан
>> именно компании с таким названием и местом регистрации и с большой
>> вероятностью валидный.
> если, конечно, никто не торганул таблом^w поддельным сертификатом «для внутренних
> бизнес‐целей». но мы же знаем, что ни один удостоверяющий центр никогда
> так не поступит. ни за что!Они мамой клянутся в CPS :))))))
> Неа, ты просто не понимаешь или не хочешь озвучивать сути PKI :)Cуть - послать смс с текстом "я не лох" всего за 4$?
c cайта торговцев воздухом
> You will get an automatic message that you will have to respond to in order to get issued the SSL certificate. It happens extremely quickly, sСhain of trust типа "Я соседской кошкой клянусь!!"?
> Cуть - послать смс с текстом "я не лох" всего за 4$?Выше объяснил. Суть в отсутствии простой возможности соседу Васе подделать сертификат для petya.com.
>> Cуть - послать смс с текстом "я не лох" всего за 4$?
> Выше объяснил. Суть в отсутствии простой возможности соседу Васе подделать сертификат для
> petya.com.что вообще не имеет никакого значения.
> что вообще не имеет никакого значения.Да. И вообще PKI - зло и должно умереть. А вся информация, включая твой номер кредитки, пин и пароль, паспортные данные и адрес - быть публично доступными.
No pasaran.
фу. скука.
>> что вообще не имеет никакого значения.
> Да. И вообще PKI - зло и должно умереть. А вся информация,
> включая твой номер кредитки, пин и пароль, паспортные данные и адрес
> - быть публично доступными.Ну, тем, кто вводит эти данные на любом сайте типа petya.com сертификаты ничем уже особо не помогут :)
Фишка ведь не в том, что PKI иногда необходим - фишка в том, что он навязывается (и не за бесплатно) всем оптом.
А $4 за полностью автоматизированную проверку владельца домена - увольте. Тут дело в принципе, а не в деньгах (или их количестве) - как и в случае с торговцами "лицензиями для свободного ПО".
> А $4 за полностью автоматизированную проверку владельца домена - увольте. Тут дело
> в принципе, а не в деньгах (или их количестве) - как
> и в случае с торговцами "лицензиями для свободного ПО".а как ты думаешь, например, сервера им кто-нибудь бесплатно даёт? или может платит за электричество и зарплату сотрудникам?
> а как ты думаешь, например, сервера им кто-нибудь бесплатно даёт? или может
> платит за электричество и зарплату сотрудникам?Вы сайтиком не ошиблись, любезный? А впаривать снег эскимосам не пробовали?
Такие аргументики вы на ответиках и контактиках приводить будете, а вот утверждать, что $4 вполне "адекватная цена" за "распарсить whois, отослать сообщение с сылкой, сгенерировать сертификат" не надо.Какие толпы сотрудников и сотни сервров, если все автоматизированно и любой форум, магазин или блогодвижок в этих ваших незащищенных тырьнетах, делает в принципе то же самое при регистрации пользователя уже с полтора десятка лет?
ЗЫ: внимание, речь была о адекватности, а не "бесплатности".
> Так дело то как раз в том, что там и быстро, и
> качественно, и недорого.gogetssl:
> You will get an automatic message that you will have to respond to in order to get issued the SSL certificate.Качественно и не дорого - ну да, только вот для кого именно?
> бесплатно и быстро получить сертификат, без волокиты с подтверждением личности.И какой смысл в таком сертификате?
>> бесплатно и быстро получить сертификат, без волокиты с подтверждением личности.
> И какой смысл в таком сертификате?Судя по таким вопросам, вам надо начинать с основ. Например, почитать про то, что такое HTTPS, чем чреват перехват незашифрованного трафика...
Ой, спасииибо...
> Повсеместному распространению HTTPS мешает отсутствие возможности бесплатно и быстро
> получить сертификат, без волокиты с подтверждением личности.Скоро возможность появится.
https://letsencrypt.org/howitworks/
>> Повсеместному распространению HTTPS мешает отсутствие возможности бесплатно и быстро
>> получить сертификат, без волокиты с подтверждением личности.
> Скоро возможность появится.
> https://letsencrypt.org/howitworks/Вот когда реально появится - тогда потолкуем. Пока ни о чем.
Как бы не вышло, как с CACert. Сертификаты есть, а толку нету - not trusted by majority.
Срочно массовые форки!!!!!!
Только массовые форки спасут Интернет!
> Срочно массовые форки!!!!!!SeaMonkey, IceWeasel, PaleMoon и наверняка есть ещё. Тебе мало?!
> Срочно массовые форки!!!!!!А ведь они допрыгаются.
Смотрите, давече они отключили сертификаты центра, который просто не прошел проверку в рамках их графика, при это не решили кардинально вопрос с скомпром. сертификатами других центров ...
градус идиотизма приближается к пику
> градус идиотизма приближается к пикусамый идиотизм (на сегодняшний день) -- в том -- почему DNS-запросы у нас всё ещё открытым нешифрованным текстом идут. и почему без цифровой подписи (обязательной).
>> градус идиотизма приближается к пику
> самый идиотизм (на сегодняшний день) -- в том -- почему DNS-запросы у
> нас всё ещё открытым нешифрованным текстом идут. и почему без цифровой
> подписи (обязательной).Чем это увеличивает безопасность?
Похоже, что гуголь уже контролирует весь интернет. Это прискорбно.
Не уверен в разумности такого рода решения.
И тут дело не в мелких неудобствах (к примеру разработчикам) ... мне не совсем понятно почему тезис:
"повсеместный переход на использование шифрованных соединений является закономерным путём развития Web"Привязывают к https, мол он должен быть везде ... ЗАЧЕМ городить костыли, когда в IPv6, вот сейчас уже есть прозрачное шифрование, без привязки к прикладному ПО ?
Чего городить огороды, которые усложнят всем жизнь ?
Вот только далеко не у всех провайдеров есть ipv6, не говоря о ресурсах.
> Вот только далеко не у всех провайдеров есть ipv6, не говоря о
> ресурсах.Большая часть оборудования поддерживает.
+ переход на v6 решит немало иных проблем, совсем иного характера
Граблей с повсеместным внедрением https просматривается больше на порядок.
И хуже того - совершенно не понятен профит, т.к. атака посредника стала настолько расст. явлением ... вон даже антивирусы делают так.
> Большая часть оборудования поддерживает.
> + переход на v6 решит немало иных проблем, совсем иного характераПровайдерам это объясни.
> Граблей с повсеместным внедрением https просматривается больше на порядок.
Со стороны провов — какие грабли? Им пофиг
> И хуже того - совершенно не понятен профит, т.к. атака посредника стала
> настолько расст. явлением ... вон даже антивирусы делают так.А это уже вопросы к мозилловцам.
>> Вот только далеко не у всех провайдеров есть ipv6, не говоря о
>> ресурсах.
> Большая часть оборудования поддерживает.
> + переход на v6 решит немало иных проблем, совсем иного характера
> Граблей с повсеместным внедрением https просматривается больше на порядок.
> И хуже того - совершенно не понятен профит, т.к. атака посредника стала
> настолько расст. явлением ... вон даже антивирусы делают так.В ipv6 своих проблем хватает, в тч и по безопасности самого этого ip v6..
> ЗАЧЕМ городить костыли, когда в IPv6, вот сейчас уже есть
> прозрачное шифрование, без привязки к прикладному ПО ?Вы где такую чушь нашли? Срочно читать матчасть!
>> ЗАЧЕМ городить костыли, когда в IPv6, вот сейчас уже есть
>> прозрачное шифрование, без привязки к прикладному ПО ?
> Вы где такую чушь нашли? Срочно читать матчасть!Начните с понятия что есть "прикладное ПО", потом почитайте про встроенные механизмы защиты IPv6, в частности обеспечивающие шифрование сетевого соединения и контроль целостности ...
Позволю нам порекомендовать начать с http://www.usipv6.com/ppt/IPsec-BrianMcGehee.pdf
IPv6 проще закопать рядом с разработчиками оного. Слишком много проблем, слишком мало профита.
> IPv6 проще закопать рядом с разработчиками оного. Слишком много проблем, слишком мало
> профита.С IPv6 основная проблема в РФ - что Минкомсвязи до сих пор не нагнуло всех провайдеров давать абоненту IPv6.
> С IPv6 основная проблема в РФ - что Минкомсвязи до сих пор
> не нагнуло всех провайдеров давать абоненту IPv6.:facepalm:
А для того, чтобы задницу подтирать, тоже Минчего-то всех должно нагибать?
>встроенные механизмы защиты IPv6, в частности обеспечивающие шифрование сетевого соединения и контроль целостности ...Только нужно понимать, что речь не об автоматическом шифровании как у SSL. Нужна ручная настройка маршрутов и ключей шифрования, по сути тот же VPN, но с необязательным шифрованием. Но на практике скорее всего будут использовать только ESP или AH+ESP.
Единственное отличие от IPv4 лишь в том, что раньше IPSec через UDP гоняли, а на IPv6 будет IP заголовком. IPSec ИМХО невзлюбили из за несовместимости с NAT, а сейчас не взлетит так как уже есть другие проверенные решения для VPN.
> IPSec ИМХО невзлюбили из за несовместимости с NATНекоторые его не любят за переусложнённость, которая нередко свойственна или разработкам кабинетных теоретиков, или реализациям, перед которыми задача обеспечения надёжности не ставилась изначально.
Абсолютно в точку. Оно не приживается по той же причине, по которой не приживается IPv6. Поделка теоретиков, оторванная от реальности и слишком сложная в имплементации.
> Поделка теоретиков, оторванная от реальности и слишком сложная в имплементации.ARPANET? TCP? BGP?
> ARPANET? TCP? BGP?Когда все только начиналось и ничего другого не было - тогда конечно.
В условиях, когда уже есть работающая и распространенная альтернатива - без шансов.
IP/TCP/BGP по сравнению с IPv6 - верх практичности и минимализма.
> IP/TCP/BGP по сравнению с IPv6 - верх практичности и минимализма.TCP — верх? Мне страшно представить что же есть низ тогда.
Они что там курят?
Дурость. В HTTPS нет никакого реального смысла, потому что для установки соединения используются сертификаты, выданние неизвестно кем неизвестно кому.
Кто-нибудь видел хоть одного бухгалтера, который, открыв в броузере сайт по HTTPS, сверял бы фингерпринт сертификата с распечаткой в договоре?
> Дурость. В HTTPS нет никакого реального смысла, потому что для установки соединения
> используются сертификаты, выданние неизвестно кем неизвестно кому.
> Кто-нибудь видел хоть одного бухгалтера, который, открыв в броузере сайт по HTTPS,
> сверял бы фингерпринт сертификата с распечаткой в договоре?да, HTTPS сам по себе довольно-таки бесполезен, если НЕ использовать HPKP (HTTP Public-Key-Pinning).
а вот если web-сайт *использует* HPKP -- то малочисленные фэйлы сертифицирующих служб -- имеют сильно *низкую* вероятность к успешной злонамеренной эксплуатации на практике.
[[злонамеренная эксплуатация будет успешной (при HPKP) -- если человек зашёл на сайт в первый раз и именно по случайному совпадению сразу же в этот же первый рез и оказался под давлением MitM-атаки]]
то есть -- нужно не забывать что процес получения валидного сертификата -- сопровождается генерацией секретного ключа на стороне разработчика, и это секретный ключ НИ КАК НЕ попадает к сертифицирующей стороне. этот факт как раз и позволяет применить HPKP.
злоумышленник просто *физически* не сможет изготовить "поддельный" сертификат с таким же отпечатком ключа, как наш валидный сертификат, даже при полнейшем фэйле сертифицирующей службы. и даже, если сама "сертифицирующая служба" как раз и является злоумышленником :) ...
так что этих воплей паникёров -- я не понимаю.. кому нужен безопасный HTTPS -- используют HPKP для своих web-сайтов .. а кому НЕ нужна безопасность -- ну значит не нужна.. :-)
не дают тормозилле покоя лавры огрызка, всё хочет тоже решать за пользователя, чего пользователь хочет.эх, а когда‐то это была команда энтузиастов, делающих браузер, который будет сотрудничать с пользователем, а не пытаться учить пользователя жизни.
и не радуйтесь: расширения тоже скоро порежут. какие‐то возможности оставят дла Илиты с подписями тормозиллы, остальные будут традиционно сосать.
> не дают тормо зилле покоя лавры огрызка и хромого(см. https://www.chromium.org/Home/chromium-security/marking-http...)
fixed
> эх, а когда‐то это была команда энтузиастов, делающих браузер, который будет сотрудничать
> с пользователем, а не пытаться учить пользователя жизни.https://www.youtube.com/watch?v=4Q7FTjhvZ7Y
Всё правильно делают. Давно уже нужно переводить все сайты на HTTPS.
Ещё быстрее бы свой проект запустили, по выдаче бесплатных сертификатов.
> Всё правильно делают. Давно уже нужно переводить все сайты на HTTPS.
> Ещё быстрее бы свой проект запустили, по выдаче бесплатных сертификатов.Подписанных лично АНБ?
> Подписанных лично АНБ?От СОРМ-1/2 ты всё равно никуда не убежишь :))
> От СОРМ-1/2 ты всё равно никуда не убежишь :))Ну СОРМ-1 вообще к делу отношения не имеет, это телефонная приблуда. А СОРМ-2 не настолько фантастическая вундервафля, чтобы на лету разбирать DH и далее AES256 шифрование, не имея предварительно сертификата сервера. Это вообще задача сложная. Не зря же в этой стране формально всё выше древнющего DES запрещено.
> Подписанных лично АНБ?а тебе не всё ли равно кто их подписывает? :-)
во время процесса получения сертификата -- ты НЕ отсылаешь свой секретный ключ..
а скомпромитировать HTTPS может в равной степени любой участник из группы CA , в независимости от того кто выдавал сертификат.
ну и про HPKP (HTTP Public-Key-Pinning) я уже отписал выше -- http://www.opennet.me/openforum/vsluhforumID3/102339.html#134
пусть хоть Адольф Гитлер подписывает -- всё что нужно это лишь бы число фэйлов оставалось бы достаточно низким.. --- этого *уже* будет достаточно для безопасности :-)
Хернёй страдают.
Как потом ходить по вебмордам всяким девайсов!?
> Как потом ходить по вебмордам всяким девайсов!?по https
(ну или через Microsoft Internet Explorer , как там обычно и написано в инструкциях к этим говнодевайсам :))
интересно знать -- почему ssh2-протокол может нормально работать на эмбедовках , а видете ли с https вы ожидаете какие-то проблемы %) %)
>> Как потом ходить по вебмордам всяким девайсов!?
> по https
> (ну или через Microsoft Internet Explorer , как там обычно и написано
> в инструкциях к этим гoвнoдевайсам :))
> интересно знать -- почему ssh2-протокол может нормально работать на эмбедовках , а
> видете ли с https вы ожидаете какие-то проблемы %) %)Ты про микротик, что ли? Нормальное железо уже лет 10 как SSH2.
И откуда https возьмётся в куче старых девайсов?На многих девайсах нет ssh, зато есть телнет.
Это вполне для локалок.
Правильное решение
интернет 2.0. касперский уже давно говорит, что пора. однако, фф просто потеряет рынок. ленивые программисты типа меня никогда не оторвут жопу переписать сайты и переделать сервера.
> касперскийубей себя, пожалуйста: сделай мир лучше.
касперский руководит уже международной компанией, его продукты используют в гос предприятиях по всему миру как одно из лучших решений на рынке, именно этот антивирус ставят чаще всего на телефоны и персоналки дома. но твои антивирусы, конечно же, защищают лучше.
Да какие антивирусы у него? Попаболь от крупных организаций, и чсв дофига.
> его продукты используют в гос предприятиях по всему мируВирусы что ли? Так они вряд ли по своей воле. )
> касперский ... одно из лучших решений на рынке по вытягиванию бабла и пиаруfixed
Ну ладно, если не так жирно:
> одно из лучших решенийОно уже научилось, при настройках по умолчанию, ловить под виндой классический (ибо уже лет 11, как все скрипто^W VB/NET-кидозники используют) RunPE/PE-MemoryLoader типа:
CreateProcess(... SUSPENDED);
VirtualProtectEx(... RWX) ;
<дофига крэпа, который был нужен только в оригинальном PoC,
ибо там загружалось с диска и который все передирали,
даже не удосужившись глянуть в спеки PE>
WriteProcessMemoryEx(_расшифрованный малварь_, addr)
(Zw)ResumeThread
?
Или все еще (последний раз года полтора или два назад тыкал) не хотят "ложных срабатываний"?Ну да, запустить дочерний процесс и полностью изменить его образ в памяти - это ведь нужно большей части софта повседневно! =)
А то, что сканирование такого екзешника на диске и повторное, после запуска - в памяти (как и "чудо-эмуляция" при запуске, хотя уже не помню, кто именно этим баловался) сожрут цпу и раму, но не выявят злобный мальварь (т.к. он еще зашифрован) - это дело десятое!А виндовый dnsclient-сервис, через который любая прога может сливать инфу в сеть в обход этих "огнестен" и "сикурити суитов", так же все еще не блокируют по умолчанию? Чтобы значит, ни у кого котятки в браузерах не перестали открываться (так по крайней мере у них в форуме было написано - еще в 2009, хотя комодам и оутпостам это не мешало)?
Ну да, это же надо все вызовы к dnsapi.dll фильтровать и не факт, что все поймаешь. А не если поймал - гадать, легитимный запрос системы/браузера dnsclient шлет или "бракованный".А еще меня всегда умиляло то, что ни у кого "проактивная защита" не заводилась при чтении файлов с паролями - ну да, это же вполне нормально и не подозрительно, когда левая прога лезет в профиль хромого или огнелиса, да! ))
А уж об отлове трафика вебдав-клиента, интегрированном в ХРюшу и выше, и говорить нечего - уже лет десять регулярно тыкаю и никто(!) из впаривателей "безопасных секурных тырнетсвитов совсем совсем не дорого" так и не почесался - бери и сливай данные :)
Главное, пользователь, видя тормоза системы, знает - ОНО работает, значит он защищен!!1
> этот антивирус ставят чаще всего на телефоны и персоналки дома.А еще плюют через левое плечо! И верят в то, что рог носорога улучшает потенцию (хотя тут хоть и может быть эффект плацебо - в отличии от) :)
> твои антивирусы, конечно же, защищают лучше.
Спасибо, я заговоры и наговоры знаю, типа "Не работай под рутом! Не запускай каку из тырьнетов на реальном железе! Разделяй пользователей и влавствуй! Я неуловимый Джо!"- мне не очень надо :)
Но должен признать, касперский все же хорош - открываем любое видео с ним https://www.youtube.com/watch?v=1Uie4IAmVnQ
и ставим литровую банку (или ведро) с водой перед монитором. После окончания сеанса погружаем мобильный или персоналку (можно по частям, но желательно работающую, ибо защищать должен при работе!) - и все! НИКАКИЕ ВИРУСЫ ВАМ БОЛЬШЕ НЕ СТРАШНЫ!
> твои антивирусы, конечно же, защищают лучше.намного лучше. уже около двадцати лет полёт отличный: ни одного «вируса» не было. и всё это без тормозящих сервисов, ежедневного обновления баз и прочей ерунды. вот когда ваш коцаперскей так сможет — пусть приходит со взрослыми дядями говорить. а до тех пор его место в детской песочнице.
>> твои антивирусы, конечно же, защищают лучше.
> намного лучше. уже около двадцати лет полёт отличный: ни одного «вируса» не
> было. и всё это без тормозящих сервисов, ежедневного обновления баз и
> прочей ерунды. вот когда ваш коцаперскей так сможет — пусть приходит
> со взрослыми дядями говорить. а до тех пор его место в
> детской песочнице.ну он хоть нормально денег зарабатывает сидя в этой своей песочнице в отличие от.
> ну он хоть нормально денег зарабатывает сидя в этой своей песочнице в
> отличие от.от кого? ты не стесняйся, продолжай. расскажи нам о том, как тебе недоплачивают на работе, как не ценят Гения. не забудь при этом сделать вид, что рассказываешь о ком‐то другом, а то вдруг тебя в нищебродстве заподозрят — ужас! ведь считать деньги в чужих карманах — заранее предполагая, что их там мало или вовсе нет — это не признак завистливого нищеброда, нет.
зачем ты передёргиваешь? ты ведь изначально сам себя сравнил с касперским :)а то, что узнаваемый и хорошо продающийся продукт с большой вероятностью внутри будет куском гoвнa — ну извини, такие правила игры в этом нашем мирке, и это хорошо.
и да, я — срaный нищебрoд и потрe6лядь, но я и не скрываю этого.
> зачем ты передёргиваешь? ты ведь изначально сам себя сравнил с касперским :)и ты, конечно, готов подкрепить своё утверждение цитатой.
>> зачем ты передёргиваешь? ты ведь изначально сам себя сравнил с касперским :)
> и ты, конечно, готов подкрепить своё утверждение цитатой.depends. вот, например, касперский — человек и пароход^Wантивирус, и с этим сложно спорить, то вот насчёт тебя я не уверен. но если рассматривать тебя, как некий продукт, то №186 вполне подойдёт.
то есть, не можешь. ты унылый лжец.
> то есть, не можешь. ты унылый лжец.мало того, я ещё и идиот.
>> то есть, не можешь. ты унылый лжец.
> мало того, я ещё и идиот.Причем слабоумный.
> с большой вероятностью внутри будет куском гoвнa — ну извини, такие правила игры в этом нашем мирке, и это хорошо.Признавать, что продукт - эдакое <> в блестящей оберточке и при этом удивляться, что никто не воспринимает всерьез, что там именно так "давно говорили" впариватели этого самого "отличного продукта" - это круто и модно-молодежно1!
у ребят синдром бога, они решили за весь интернет, никогда мозилу не любил
Как только это произойдет аудитория у FireFox опять пропадет и так разжиревший лис уже ставят все реже и реже. Лидирует все больше Chromium.
что-то путаешь, по жирности сейчас какраз хром лидирует, фф более менее
Ничего удивительного в жирности Хромого нет, учитывая сколько он жрёт.
Как по мне, то сабж частично бредовый. В дополнении к мысли, высказанной Michael Shigorin, хочу добавить, что HTTPS абсолютно бесполезен для обычных информационных сайтов, которые читают как журнал или газету. Только лишняя нагрузка для клиента и сервера. И невозможность кеширования через прокси.
> клиента и сервера. И невозможность кеширования через прокси.И еще невозможность забанить отдельную страницу на DPI для любителей блоклистов, или впихнуть рекламу для любителей её впихивать (привет бывшему Interzet'у).
>> клиента и сервера. И невозможность кеширования через прокси.
> И еще невозможность забанить отдельную страницу на DPI для любителей блоклистов, или
> впихнуть рекламу для любителей её впихивать (привет бывшему Interzet'у).я вот всё пытаюсь понять, почему *у* *меня* должны тратиться ресурсы процессора на шифрование из‐за того, что у кого‐то *другого* провайдер — мудак.
> я вот всё пытаюсь понять, почему *у* *меня* должны тратиться ресурсы процессора
> на шифрование из‐за того, что у кого‐то *другого* провайдер — мудак.Не такие уж и большие ресурсы, надо сказать, чтобы из-за этого напрягаться. Даже для сервера. А если учесть, что современные процы имеют акселерацию операций для AES...
>> я вот всё пытаюсь понять, почему *у* *меня* должны тратиться ресурсы процессора
>> на шифрование из‐за того, что у кого‐то *другого* провайдер — мудак.
> Не такие уж и большие ресурсы, надо сказать, чтобы из-за этого напрягаться.однако же вопрос не стоял таким образом.
*моя* техника занимается бесполезным трудом из‐за того, что *у* *кого‐то* *другого* какие‐то проблемы, которые меня не касаются. при этом я никакой компенсации не получаю.
вне зависимости от того, сколько я потратил ресурсов зря, «кто‐то другой» всё равно обнаглел. я приравниваю это к троянам‐майнерам, и считаю таких людей скамом.
> *моя* техника занимается бесполезным трудом из‐за того, что *у* *кого‐то*
> *другого* какие‐то проблемы, которые меня не касаются. при этом я никакой
> компенсации не получаю.Антивирус, надеюсь, тоже не используешь? Антиспам? Адблок? В оных 99% базы - проблемы *кого-то другого*, которые тебя не коснутся (возможно).
Вполне возможный случай, когда во входящий к тебе ответ HTTP man-in-the-middle'ом с целью фишинга или отслеживания подсаживается какой-нибудь iframe, cookie или javascript, тебя тоже не интересует?
> Антивирус, надеюсь, тоже не используешь?у меня ОС, а не игрозапускалка.
> Антиспам? Адблок? В оных 99% базы -
> проблемы *кого-то другого*, которые тебя не коснутся (возможно).я тебе сейчас страшное скажу. антиспам — он обучен только на моём спаме. блокировщик — он изначально заполнялся только мной. упс.
> Вполне возможный случай, когда во входящий к тебе ответ HTTP man-in-the-middle'ом с
> целью фишинга или отслеживания подсаживается какой-нибудь iframe, cookie или javascript,
> тебя тоже не интересует?нет, конечно. кукиши я беру только у нескольких сайтов, и то в режиме «взял и намертво зафиксировал до истечения». js отключен, потому что не нужен. iframe запрещены, потому что не нужны.
Честно говоря, выключить совсем пк - ещё надёжнее.
> Честно говоря, выключить совсем пк - ещё надёжнее.выключай, если тебе так удобно, твоё дело. как выключишь — подумай над тем, что такое использование у меня не с потолка взялось, а пришло опытным путём. я понимаю, что тебя оно пугает — так я тебе его и не сватаю.
Да, ты прав, меня всегда пугают абберации. Не совсем то слово ("пугают"), конечно, но около того.
> Да, ты прав, меня всегда пугают абберации. Не совсем то слово ("пугают"),
> конечно, но около того.1. аберрации.
2. извини, я не знал, что ты — мерило нормы.
Да, прошу прощения, аберрации.
извини, я не знал, что это вдруг ты — стал мерилом нормы.
твои данные - тебе и защищать их передачу, любители перехватить прослушать и подкорректировать всегда были.
Требуй свои деньги обратно?
ты, перед тем как пердануть Офигенно Умную Фразу, попробуй найти где‐нибудь человека с рабочим мозгом, и пусть он тебе растолкует, о чём разговор идёт.
А почему, например, твоё мнение должно кого-либо волновать? Сделай свой интернет, если уж ты такой гений и бог.
> А почему, например, твоё мнение должно кого-либо волновать?равно как и твоё.
"Правительство США работает над стандартом, обязывающим использовать на государственных сайтах и web-сервисах только HTTPS."Можеть и в России каконец-то потребуют доступ к государственным сайтах и web-сервисам через HTTPS с поддержкой российской криптографии.
А Firefox и SeaMonkey c с поддержкой российской криптографии (ГОСТ Р 3410-2001, ГОСТ Р 3410-2012, ГОСТ Р 3411-94, ГОСТ Р 3411-2012, ГОСТ 28147) уже имеются (http://soft.lissi.ru/solution/mozilla/
> "Правительство США работает над стандартом, обязывающим использовать на государственных
> сайтах и web-сервисах только HTTPS."
> Можеть и в России каконец-то потребуют доступ к государственным сайтах и web-сервисам
> через HTTPS с поддержкой российской криптографии.
> А Firefox и SeaMonkey c с поддержкой российской криптографии (ГОСТ Р
> 3410-2001, ГОСТ Р 3410-2012, ГОСТ Р 3411-94, ГОСТ Р 3411-2012, ГОСТ
> 28147) уже имеются (http://soft.lissi.ru/solution/mozilla/Для начала придется в оси криптопровайдера российской криптографии встроить. Иначе - упс! Ай дид ит эгеин!
а было бы неплохо.
с 2008 у нас уже стандартизирован давно Stribog/Grashopper, а люди все пользуются дедовским GOST или хуже того - вражеским AES или аналогами :)
Что удобно и распространено - тем и пользуются. Можно хоть вечно "стандартизировать", но пока это "стандартизируется" в пределах локального коммюнити, ака одной страны - никуда это дальше этой страны не двинется. Со всеми вытекающими.
"где посадки?" (c) ВВП.
> "где посадки?" (c) ВВП.А не поможет. Не, ну можно конечно ещё и часть технически грамотных людей пересажать / повыдавливать за границу, но итог будет закономерен. Один раз уже проходили.
Таким же способом можно и IPv6 продвигать :-)