https://www.opennet.ru/openforum/vsluhforumID3/86791.html Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) представила (https://www.eff.org/deeplinks/2012/10/https-everywhere-3-and-a-trillion-web-requests) релиз HTTPS Everywhere 3.0 (https://www.eff.org/https-everywhere) - дополнения к Firefox, позволяющего на всех сайтах где это возможно использовать шифрование трафика. Дополнение призвано решить проблему с сайтами, по умолчанию предоставляющими доступ без шифрования, но тем не менее поддерживающими HTTPS, а также ресурсами, использующими ссылки из безопасной области на незашифрованные страницы. Для таких сайтов HTTPS Everywhere обеспечивает автоматическое перенаправление запросов на HTTPS-области сайтов.<br><br><br>В новой версии удвоен размер поддерживаемой проектом базы данных с набором правил, отражающих особенностей использования HTTPS на сайтах и сервисах - в базу добавлено 1500 новых правил перенаправления. Среди мотивов создания дополнения HTTPS Everywhere отмечаются участившиеся случаи сниффинга в локальных сетях: появление таких ин https://www.opennet.ru/openforum/vsluhforumID3/86791.html#32 Thu, 11 Oct 2012 23:12:47 GMT третьего.<br> https://www.opennet.ru/openforum/vsluhforumID3/86791.html#30 Thu, 11 Oct 2012 13:01:48 GMT Ваш дверной замок - такая же иллюзия безопасности, (бугога g://взлом замков )<br>Однако дверку в квартиру Вы закрываете чтоб бомж не насрал. <br> https://www.opennet.ru/openforum/vsluhforumID3/86791.html#29 Thu, 11 Oct 2012 10:20:15 GMT &gt;только лишние тормоза<br><br>Ну это только на твоем домашнем говносерваче из пня второго<br> https://www.opennet.ru/openforum/vsluhforumID3/86791.html#27 Thu, 11 Oct 2012 07:31:39 GMT это конечно полезно, но не то. Ожидаемая фича: встроенный в браузер шифрованный туннель по http к доверительному серверу-посреднику от производителя браузера, как у opera режим турбо. Это нужно там, где https невозможен или недоступен...<br> https://www.opennet.ru/openforum/vsluhforumID3/86791.html#26 Thu, 11 Oct 2012 01:41:58 GMT &gt; вы можете отключить все корневые сертификаты и при каждой смене <br>&gt; отпечатка проверять его вручную по нескольким каналам.<br><br>а ещё можно смотреть http в telnet. примерно так же удобно.<br><br>&gt; передача сертификата через DNSSEC<br><br>как будто есть какая-то разница между разными местами централизации. идея централизации defective by design, и любая система, основаная на &#171;доверии&#187; какому-то центру, должна считаться скомпрометированой ещё до публичного релиза.<br> https://www.opennet.ru/openforum/vsluhforumID3/86791.html#25 Wed, 10 Oct 2012 17:37:44 GMT &gt; В Squid бы такое. Чтоб между сайтом и прокси по HTTPS, а <br>&gt; браузеру отдавал уже нешифрованное. Заодно и кешировал бы попрежнему. А то <br>&gt; если браузер будет преимущественно по HTTPS работать, эффективность Squid сведётся на <br>&gt; нет. Разумеется, всё это для маленькой домашней сетки.<br><br>Тю, умник! А про SSLBUMP ты никогда, сталоть, не слышал? В том самом сквиде? М? Тоже мне, нашел ж.пу с лабиринтом!<br> https://www.opennet.ru/openforum/vsluhforumID3/86791.html#24 Wed, 10 Oct 2012 17:35:44 GMT &gt; Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ <br>&gt; _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К <br>&gt; примеру, вы можете отключить все корневые сертификаты и при каждой смене <br>&gt; отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда, <br>&gt; что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC, <br>&gt; при использовании которой отправить вам фальшивый сертификат может только авторитативный <br>&gt; DNS-сервер, обслуживающий посещённый вами адрес.<br><br>Это не косяк используемого способа проверки сертификата. Это косяк концепции слепого доверия, основанного на "мамой клянусь!"^WCertificate Policy Statement любого му..^Wудостоверяющего центра.<br> https://www.opennet.ru/openforum/vsluhforumID3/86791.html#23 Wed, 10 Oct 2012 16:59:48 GMT Это не косяк протокола, а косяк используемого способа проверки сертификата. Этот способ _не требуется_ протоколом SSL/TLS, и вы не обязаны его использовать. К примеру, вы можете отключить все корневые сертификаты и при каждой смене отпечатка проверять его вручную по нескольким каналам. Кроме того, есть надежда, что скоро начнёт активно использоваться DANE - передача сертификата через DNSSEC, при использовании которой отправить вам фальшивый сертификат может только авторитативный DNS-сервер, обслуживающий посещённый вами адрес.<br> https://www.opennet.ru/openforum/vsluhforumID3/86791.html#22 Wed, 10 Oct 2012 06:41:36 GMT &gt;&gt; по пути никто не сможет перехватить пароль <br>&gt; бугога. g://diginotar g://trustwave <br><br>ага, вероятно это скомпрометированные центры сертификации...<br>их сертификаты можно подписывать корневым сертификатом зашитым в браузер, но при этом<br>делать запросы куда то в центр за списками отмены сертификатов центров сертификации которые (эти списки) подписаны закрытым ключем корневого центра, открытый ключ которого у нас зашит в браузер...<br>