>>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
>> diginotar. trustwave. это уже на два раза больше, чем допустимо.
> Вы имеете в виду (возможный) выпуск левых сертификатов?да.
> Т.е. если кто-то нарушил закон, то значит закон — фуфло?!
> Напрашивается аналогия с правилами дорожного движения.
нет, не напрашивается. дырка в системе мало того, что известна, но и была успешно использована. на публике. и не починена. а это автоматически означает, что уровень безопасности системы — нулевой.
> Кто ж захочет поумнеть, до «граблей»?
> Человеки именно так и воспитываются.
да вот не хотят. я, например, тут уже сколько толкую, что безопасность https — иллюзия (ergo, https бесполезен, ибо не выполняет свои задачи). ан нет, не доходит.
>>> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
>>> Весьма простое решение.
>> (умилительно) офигенное «секурити».
> Что не так?
всё не так. sms нельзя считать довереным каналом передачи даже если хорошо накушаться веществ. а «otp-модули»… только после аудита квалифицированой незаинтересованой стороной (если я верно понял, что подразумевается).
> Нормальное решение для двухфазной аутентификации.
нормальное. а надо — хорошее.
> Даже в теории вероятности
> допускается, что произведение двух маловероятных событий считается событием невероятным.
я очень рад. то, что конкретно меня может сбить конкретная машина с конкретным номером в конкретное время — очень маловероятно. невероятно, фактически. однако если это произойдёт, я мало утешусь тем, что случилось «невероятное событие».
> Я не очень сложно объясняю?
нормально. для уровня человека, который о security слышал краем уха.
> Есть конечно «одарённые» пользователи, оставляющие без присмотра и брелок от сигнализации.
> Но таким «хомячкам» только грабли помогут, даже целый курс хождения по
> граблям.
я думаю, владелец машины будет просто в восторге от того, что когда у него разбили стекло в салоне и что-нибудь оттуда спёрли, сигнализация таки визжала. как его от этого защитит носимый с собой брелок?
> Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки
> больше.
и поэтому мушину можно бросать где угодно: сигнализация же защитит!
> SPDY тоже пока не поддерживается
интересно, а зачем тогда в about:config опции со словом «spdy»? в частности, например, network.spdy.enabled?
> Вы поставьте себя на место провайдера услуг. В том-то и дело, что
> забота о безопасности — это прежде всего его забота, а уж
> потом клиента.
нет. в такой ситуации ни о какой безопасности речи идти опять не может.
> Клиент может просто следовать в русле, заданном поставщиком услуг.
> Или отказаться от услуги.
только при этом клиенту как-то забывают пояснить, что «мы заботимся о вашей безопасности» — рекламный булшит до тех пор, пока клиент вопросы безопасности ставит не на первое место и не думает об этом сам. увы, такая вот у безопасности специфика: без взаимодействия обеих сторон ничего хорошего не получится.
>> «компромиссы» в отношении безопасности работают только в одну сторону: убирают
>> безопасность.
> В реальной жизни, а особенно в IT, безопасность никогда не бывает абсолютной.
верно. но это ни разу не является причиной считать безопасным то, что уже как минимум два раза публично облажалось, и не подверглось с тех пор никакой починке.
