| |
| 2.51, freehck (ok), 16:51, 08/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Да здравствует бесплатное шифрование. По поводу повсеместности -- это когда уж люди там подтянутся... И к тому же, не всем может быть это нужно.
| | |
| 2.57, Дуплик (ok), 17:12, 10/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Ага, а потом на том же OpenNet'е:
>Владелец opennet.ru неправильно настроил свой веб-сайт. Чтобы защитить вашу информацию от кражи, Firefox не соединился с этим веб-сайтом.
Шифрование нужно там, где оно нужно, а не повсеместно.
| | |
| |
| 3.58, th3m3 (ok), 21:57, 10/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Устанавливать нужно правильно и не будет никаких проблем. Сейчас с этими новыми законами, лучше шифровать всё, что только возможно.
| | |
|
|
| |
| 2.3, Аноним (3), 00:04, 07/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вся система сертификатов держится на доверии какому-то корню (двум, десяти, ста). Можешь предложить лучше — валяй. Гарантирую славу, богатство и выступление на понтовых конференциях в тёплых странах.
| | |
| |
| 3.15, пох (?), 07:21, 07/08/2018 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Вся система сертификатов держится на доверии какому-то корню
который a) совершенно его не заслуживает - поинтересуйтесь процедурой становления CA; b) опасен в случае атак на него а не на тебя c) ненужен; d) сводится к $#ю энтерпрайсными ограничениями.
> Можешь предложить лучше — валяй.
механизм доверия _конкретному_ключу_ существует в ssh 25 лет (как и механизмы валидации самого ключа, но они _вторичны_, первичен known_hosts). Расскажите об успехах его подмены? Хотя бы и 20летней давности, когда из этих механизмов был доступен только хэш ключа.
аналогичный механизм в браузерах _намеренно_сломан_ тyпopылой индусской макакой под руководством товарищей в штатском - еще десять лет назад он кое-как (проблемы как раз с валидацией) но работал. Исходники все еще доступны в этом вашем интернете.
> Гарантирую славу, богатство и выступление на понтовых конференциях в тёплых странах.
где мои бабки? Славу, Васю и Конференцию сам трахай, мне - деньгами.
| | |
| |
| 4.16, тоже Аноним (ok), 09:57, 07/08/2018 [^] [^^] [^^^] [ответить]
| +8 +/– |
 Если вы такой умный - неужели вы не видите, что в вашей схеме решительно нечего продать?
Вот и сидите без денег...
| | |
| |
| 5.17, . (?), 10:12, 07/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
почему нечего? зелененькое вполне можно продавать и в этой схеме - это ж подтверждение что бумажные документы фирмы посмотрел настоящими глазами живой человек, и более-менее поверил, что домен ей действительно принадлежит, а не что домен настоящий и хост тоже - и обращаться за ним надо (можно не напрямую) именно к тому человеку, а не к самой фирме.
Можно продавать dvd'шки с голограммкой, содержащие "действительно подлинные сертификаты" для инициализации known_hosts.
Можно торговать онлайн-доступом к CRL или его эквиваленту (к примеру аналогу того же гуглолога всех сертификатов, чтобы можно было подтвердить, что да - банк на самом деле перевыпустил зачем-то свой сертификат, и хэш именно такой, а не васян тебе подсовывает очень похожий - поэтому еще один раз зайти на его сайт можно - заодно увести оттуда все деньги, потому что с чего это он его перевыпустил? А-а, отож!)
В этой схеме _некого_ продать - если ты приложил минимальные усилия первоначально набить браузер необходимыми тебе отпечатками, уже очень нетривиально будет впарить сертификат имени товарищмайора, даже подписанный всеми "уважаемыми" авторитетами, век воли не видать, настоящий!
поэтому и понадобился тотальный контроль и единственный CA не за безумные деньги (а в перспективе просто единственный), и ликвидация всех конкурентов установкой неприемлемых условий. Заметь, тот кто вовремя продал thawte - сидит теперь с деньгами (то есть даже не сидит, кто ж его посадит), а стоит она сейчас - ломанный грош, да еще мешок долгов заплатить.
| | |
|
| 4.20, Аноним (20), 11:56, 07/08/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> механизм доверия _конкретному_ключу_ существует в ssh 25 лет
Есть разница между доверием ключу, который возвращает твой уютный серверок на антресоли и доверием ключу, который вернет хз кто из интернета. В последнем случае его нет от слова совсем.
| | |
| |
| 5.21, нах (?), 12:30, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Есть разница между доверием ключу, который возвращает твой уютный серверок на антресоли
здравствуй, админ локалхоста!
| | |
|
| 4.25, Аноним (25), 13:59, 07/08/2018 [^] [^^] [^^^] [ответить]
| +3 +/– | |
>аналогичный механизм в браузерах _намеренно_сломан_ тyпopылой индусской макакой под руководством товарищей в штатском
какой механизм?
ssh при первом запуске просит проверить отпечаток ключа. Подобный механизм есть в i2p, где список доменов у каждого свой и его надо получить от доверенных источников(или опять из публичной адресной книги, которая мало чем отличается от CA и точно также подконтрольна майору)
| | |
| |
| 5.41, пох (?), 23:54, 07/08/2018 [^] [^^] [^^^] [ответить]
| –2 +/– | |
именно такой - доверия _конкретному_ключу_, для конкретного домена, а не какому-то там "CA". Который может оставаться как средство валидации, однократной и только одно из возможных (а так - хоть на билбордах размещай код сертификата. Для банка какого - вполне приличествующий вариант), с не самой высокой степенью доверия. Но такой CA гуглю не нужен, как ему при этом вас продать? ;-)
> ssh при первом запуске просит проверить отпечаток ключа
и как, часто бежишь с дискеткой проверять, или сравниваешь аскиграфику?
И как, поломали тебя уже?
> или опять из публичной адресной книги, которая мало чем отличается от CA
она отличается радикальнейше. Но если вам и теперь не понятно, или вы вместе с другим анонимом наивно думаете что ssh ключами ходят только на свой локалхост - боюсь, я не настроен тратить на вас дальше время.
| | |
| |
| 6.45, Аноним (20), 11:27, 08/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
(Я - тот, другой Аноним) Смешались в кучу люди, кони...
Аутентификация по ключам не имеет ничего общего с аутентификацией *сервера*, что как раз и обеспечивают сертификаты и CA. Ну или пытаются обеспечить. Т.е. по ssh ключу сервер знает, что ты - это ты, т.к. у тебя есть закрытый ключ. Но ты не знаешь, что сервер - это тот сервер, на который ты хотел зайти, а не какой-нибудь подложный, на котором есть твой открытый ключ. Так вот для тебя сервер и присылает свою подпись, которую ты в теории мог бы проверить, а на практике не глядя жмешь yes, т.к. реального способа проверить нет в 99% случаев. Так что эта схема хоть как-то работает только в случае сервера на антресоли, но никак не в масштабах интернет.
| | |
|
|
| 4.36, Аноним (36), 20:56, 07/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Бабки за что? За перечисление слабых сторон CA и нескалируемых в масштабах Интернета идейках? За это только по шее могу.
| | |
|
| 3.19, user (??), 10:58, 07/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Можешь предложить лучше — валяй.
Считать https незащищённым каналом, естественно. Так можно немного усложнить жизнь некоторым редискам (похоже на шифрование в торрентах), но для настоящей безопасности нужно что-то другое.
| | |
| |
| 4.22, нах (?), 12:35, 07/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Считать https незащищённым каналом, естественно.
он защищенный - просто неаутентифицированный. То есть если хакер Васья влез к тебе mitm'ом - от Пети, подключившего сниффер, вы с ним все еще защищены.
ну а для остального есть другие пути удостовериться, что Вася сегодня не работает (а Петя с пассивным сниффером и дальше будет сосать).
При этом вариант подписи CA, зачем-то считаемый по определению достоверным и неотключаемым - на самом деле самый сомнительный и ненадежный. Но надежный гуглю не нужен.
| | |
| |
| 5.52, freehck (ok), 16:56, 08/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
>> Считать https незащищённым каналом, естественно.
> он защищенный - просто неаутентифицированный.
Да вы оба правы. Просто у вас разные представления о том, что значит "защищённый".
В принципе, https большинство ламерских атак типа сниффа и спуфинга -- отметает. Атаки на CA как вектор остаются, но доступны уже весьма узкому кругу лиц.
| | |
|
|
| 3.31, xm (ok), 15:48, 07/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Да уже придумали. DANE называется. Доверие обеспечивается хоть самоподписанным.
| | |
| |
| 4.37, Аноним (36), 21:01, 07/08/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
Буква «D» в аббревиатуре «DANE» находится не случайно, и обозначает «DNS-based». Таким образом ты только что заменил небоходимость доверять сторонним централизованным CA на необходимость доверять не менее централизованным корневым DNS и их ключам DNSSEC. Слабо без SPoF и необходимости доверять кому-то кроме себя?
| | |
| |
| 5.49, fi (ok), 15:00, 08/08/2018 [^] [^^] [^^^] [ответить]
| +3 +/– |
 ты в любом случаи доверяешь DNS - когда получаешь IP, и если с этим придет слепок от сертификата сайта - это лучше чем от СА
| | |
| |
| 6.50, Аноним (50), 16:09, 08/08/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
> ты в любом случаи доверяешь DNS - когда получаешь IP, и если
> с этим придет слепок от сертификата сайта - это лучше чем
> от СА
остались еще на опеннете умные люди:)
| | |
|
|
|
|
|
| 1.5, Аноним (5), 00:25, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –5 +/– |
Ну всё, теперь злоумышленники могут взломать любой сайт на любом устройстве через bgp spoofing. Достаточно получить let's encryptовский сертификат на ч3жой сайт и при митме использовать его
| | |
| |
| 2.6, lucentcode (ok), 00:33, 07/08/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Как получить, когда там проверка на владением доменом(запись DNS, или проверка доступности соответствующего одноразового URL, расположенного на сайте с доменом, для которого нужен серт)? Не прошёл проверку, не получил серт.
| | |
| |
| |
| |
| 5.35, HyC (?), 17:52, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну да. Подумаешь, мелочи какие
Получить AS и PI стоит оч недорого, и если знаешь куды и как писать такие бумажки - относительно безгеморройно. Я недонократно это делал.
Так что потом в пределах разумной длины маршрута сиди анонси и играйся, если на пирах такие шалости не зафильтрованы. По ушам конечно потом надают, но денег срубить успеть вполне можно.
| | |
| |
| 6.38, Аноним (36), 21:03, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> если на пирах такие шалости не зафильтрованы
Рекомендую не пириться с дегенератами, а у себя фильтровать всё и на вход, и на выход.
| | |
| |
| 7.39, пох (?), 23:39, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Рекомендую не пириться с дегенератами, а у себя фильтровать всё и на вход, и на выход.
рекомендую поадминить не локалхост с PI.
очень быстро узнаешь, почему только дегенераты сегодня героически все фильтруют.
| | |
| |
| 8.42, Аноним (42), 00:32, 08/08/2018 [^] [^^] [^^^] [ответить] | +/– | Работаю в одной tier 1 AS с четырёхзначным номером Фильтруем всё, что фильтрует... текст свёрнут, показать | | |
|
|
| 6.40, пох (?), 23:43, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
ну вот собственно, главное что умиляет - что за эти шалости так никто до сих пор и не сел.
в тех бумажках предостаточно информации, чтобы было кого потом взять за жырную жеппу. не хотят? Заплачено кому надо? Никто не пожаловался? В случае с криптобиржей, в общем, наиболее вероятный расклад.
| | |
| |
| 7.44, Crazy Alex (ok), 11:07, 08/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
 Масштабы не те,и само преступление сильно экзотичное. Будут повторяться - отреагируют...
| | |
| |
| 8.46, . (?), 12:16, 08/08/2018 [^] [^^] [^^^] [ответить] | +/– | ну ок, мне тех бабок, что стырили с криптобиржи, вполне хватит ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.13, нона (?), 04:17, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Достаточно получить let's encryptовский сертификат на ч3жой сайт и
Ну так, достаточно и в сервак физически залезть и базу руками скопировать - тоже себе атака. И что?
Степень ответственности хранения своего let's encryptовского сертификата точно такая же, как и сертификата любого другого удостоверяющего центра.
| | |
| 2.18, IB (?), 10:22, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
А серт от GoDaddy он конечно самоуничтожится в руках врага?
| | |
|
| 1.7, Аноним (5), 00:40, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –4 +/– | |
>Как получить, когда там проверка на владением доменом
через bgp spoofing. Домен тот же, айпишник тот же, вот только летсэнкрипт общается не с тем сервером, а с сервером злоумышленника.
| | |
| |
| |
| 3.48, Аноним (48), 14:21, 08/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
ну так там платить надо, а здесь нет. А раз летс в доверенных, разницы нет, юзеры не заподозрят
| | |
|
|
| 1.9, Xasd (ok), 01:22, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
 > перекрёстно подписан организацией IdenTrust
то есть правильно понял что эта организация сама себе подписала смертный приговор?
очевидно на условиях "либо вы делает это и мы позволяем вам пожить ещё чуть-чуть подольше". а иначе было бы вообще не ясно на какиех мотивах
| | |
| |
| |
| 3.12, Старый одмин (?), 02:42, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Он имеет ввиду, что Let's Encrypt является конкурентом IdenTrust и угрожает части его бизнеса.
Безвозмездно помогать конкурентам - нехарактерное для нашего времени поведение.
| | |
|
|
| 1.28, SE (?), 14:40, 07/08/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
я так понимаю через идетртусд и работает хттпс на моей старой нокии с сабжем. год назад написал вебстраницу с 1 кнопкой и балдею. нокия эта, понятно уже 10лет не обновляется. отключат доверие через идентрусд и хана мне ?
| | |
| |
| 2.29, Аноним (29), 15:06, 07/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
Если у тебя она 10 лет не обновляется, то кто там, как и что отключит?
| | |
| 2.54, Xasd (ok), 19:39, 08/08/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> отключат доверие через идентрусд и хана мне ?
ей хана может придти и просто через пару недель -- без явной на то причины :-)
10 лет это такое дело. "внезапная" смерть в таких старичках подкрадывается в самый "неожиданный" момент! :-)
("ой! как же так. вот только-что работала, а теперь уже нет? может НЕ надо было класть её на другой край стола, ведь раньше она лежала только на вот-этом-крае-стола... всё дело в этом?")
| | |
| |
| 3.55, Аноним (55), 14:57, 09/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
не, дружище, "в неожиданный момент" (на самом деле вполне ожидаемый) мрет как раз современная rohs, зеленая, environment friendly, из соплей и клея техника.
А nokia 2007го года (уже - смарт, но еще не - ведроид) может сдохнуть только вполне предсказуемо - перетираются шлейфики клавиатуры, отваливается дисплей, вздувается батарея и не получается найти такую у китайцев...
| | |
| |
| 4.56, SE (?), 15:09, 09/08/2018 [^] [^^] [^^^] [ответить]
| +/– |
это да, но мне главное чтоб в "неожиданный момент" не отключили цепочку доверия LE через IdenTrust, ведь в старом браузере, я так понимаю через IdenTrust работает.
| | |
|
|
|
|
