https://www.opennet.me/openforum/vsluhforumID3/95819.html Группа исследователей из университета Карнеги-Меллон совместно с компанией Facebook провели (https://www.linshunghuang.com/papers/mitm.pdf) исследование, нацеленное на изучение доли в реальном web-трафике поддельных HTTPS-соединений, установленных в результате MITM-атак (man-in-the-middle). Результаты превзошли все одидания - около 0.2% (6845) из почти трёх с половиной миллионов проанализированных HTTPS-запросов пользователей к социальной сети Fecebook оказались установленными с использованием поддельных SSL-сертификатов, сгенерированных без ведома владельца сайта. Подобные поддельные сертификаты позволяют организовать транзитный перехват трафика, при этом браузер клиента определяет соединение как защищённое и не выводит предупреждений.<br><br><br>Подавляющее большинство запросов с поддельных сертификатов приходится на различные антивирусные системы. На втором месте корпоративные межсетевые экраны и системы отслеживания утечек данных. Подобные системы используют (http://www.opennet.ru/opennews/art.shtml?num=33127 https://www.opennet.me/openforum/vsluhforumID3/95819.html#54 Fri, 16 May 2014 08:52:43 GMT &gt; Это-то здесь причем?<br><br>при том, что https &#8212; это торговля воздухом. к безопасности оно имеет такое же отношение, как я к балету.<br><br>&gt; В качестве ЦА изначально рассматривались владельцы критичных сайтов<br><br>ну да, потому что им впаривать намного выгодней.<br><br>&gt; Вы полагаете что идея может быть реализована исключительно в виде нового типа <br>&gt; сертификата, со встроенным JS и продаваться сертификато-продавцами под вывеской "на 40% <br>&gt; лучше"?<br><br>где я такое написал? O_O<br><br>&gt; Более вменяемая публика будет использовать его.<br><br>&#171;решето: теперь с модулем для ngnix!&#187; ура. инновации.<br> https://www.opennet.me/openforum/vsluhforumID3/95819.html#53 Fri, 16 May 2014 08:50:22 GMT &gt; Да, разумеется, как в эту пору чудесную добраться-то?<br><br>ждать волшебника на голубом вертолёте, разумеется. а пока он не прилетел &#8212; изо всех сил поддерживать https: ведь от этого он быстрее загнётся.<br><br>&gt; Хорошо. Что именно вы предлагаете администратору конкретного веб-сайта?<br><br>какого? и сколько он заплатит мне за консультацию?<br><br>&gt; Отключить на этом сайте SSL?<br><br>самая лучшая идея. всё равно большинство пользователей слишком тупы для того, чтобы проверять сертификаты. да и не понимают модели угроз.<br><br>&gt; Или ваши соображение имеют форму "нужно чтобы IETF собрался и всё переделал <br>&gt; как надо"?<br><br>мои соображения имеют много форм, но неизменно начинаются с &#171;ssl/tls в топку, централизованность в топку&#187;.<br> https://www.opennet.me/openforum/vsluhforumID3/95819.html#52 Fri, 16 May 2014 08:48:17 GMT &gt;&gt;&gt; дальше они предложат встраивать js-код прямо в сертификаты <br>&gt;&gt; Нет, потому что это сведет всю идею к нулю <br>&gt; идею &#171;продадим лохам побольше воздуха&#187;? полноте, эту идею не угробить ничем, <br>&gt; пока на свете есть хоть один лох.<br><br>Это-то здесь причем? В качестве ЦА изначально рассматривались владельцы критичных сайтов, тех же банков, например. Пользователя безопасность не волнует, что общеизвестно - во всяком случае если для этого от него требуется хотя бы поднять палец.<br><br>Вы полагаете что идея может быть реализована исключительно в виде нового типа сертификата, со встроенным JS и продаваться сертификато-продавцами под вывеской "на 40% лучше"? Да, свою аудиторию в лице какой-то части корпоративной публики такой продукт найдет, что с того?<br><br>Никто не мешает наряду с этим сделать банальный модуль для nginx, отдающий этот самый полиморфный JS, принимающий ответ и делающий соответствующие выводы с соответствующей записью в лог и, опционально, в соответствующий реквест соответствующего бэкенда. С прак https://www.opennet.me/openforum/vsluhforumID3/95819.html#51 Fri, 16 May 2014 08:40:19 GMT &gt;&gt; Вы что конкретно предлагаете?<br>&gt; много чего. как минимум &#8212; децентрализованную систему. наличие root CA &#8212; это <br>&gt; крест на всей &#171;секурности&#187; сразу.<br><br>Да, разумеется, как в эту пору чудесную добраться-то?<br><br>&gt;&gt; как договориться о том чтобы отключили таки все <br>&gt; на &#171;всех&#187; совершенно наплевать: вполне достаточно следить за собой.<br><br>Хорошо. Что именно вы предлагаете администратору конкретного веб-сайта? Отключить на этом сайте SSL? Включить вместо и вместе с ним что-то другое? Что именно?<br><br>Или ваши соображение имеют форму "нужно чтобы IETF собрался и всё переделал как надо"?<br> https://www.opennet.me/openforum/vsluhforumID3/95819.html#50 Fri, 16 May 2014 08:37:15 GMT Если вы об этом https://www.eff.org/files/ccc2010.pdf то там таких цифр нет.<br><br>Если о 30C3, то я не смог там найти подобного выступления в https://www.youtube.com/playlist?list=PLOcrXzpA0W82rsJJKrmeBlY3_MS0uQv3h<br> https://www.opennet.me/openforum/vsluhforumID3/95819.html#49 Fri, 16 May 2014 08:28:53 GMT &gt; Вы что конкретно предлагаете?<br><br>много чего. как минимум &#8212; децентрализованную систему. наличие root CA &#8212; это крест на всей &#171;секурности&#187; сразу.<br><br>&gt; Отключить везде HTTPS с завтрашнего дня чтоб мир <br>&gt; содрогнулся?<br><br>и чтобы младенцы умирали тысячами, да. пока ещё не выросли в полновесных дураков.<br><br>&gt; ваш кумир В.И.Ленин<br><br>&#171;дядя Петя, ты дурак?&#187; (ц)<br><br>&gt; как договориться о том чтобы отключили таки все<br><br>на &#171;всех&#187; совершенно наплевать: вполне достаточно следить за собой.<br><br>&gt; кто не отключит тут же получат конкурентное преимущество перед отключившими.<br><br>какая досада! (ц)<br> https://www.opennet.me/openforum/vsluhforumID3/95819.html#48 Fri, 16 May 2014 08:25:13 GMT &gt;&gt; дальше они предложат встраивать js-код прямо в сертификаты <br>&gt; Нет, потому что это сведет всю идею к нулю<br><br>идею &#171;продадим лохам побольше воздуха&#187;? полноте, эту идею не угробить ничем, пока на свете есть хоть один лох.<br> https://www.opennet.me/openforum/vsluhforumID3/95819.html#47 Fri, 16 May 2014 08:20:45 GMT &gt; дальше они предложат встраивать js-код прямо в сертификаты<br><br>Нет, потому что это сведет всю идею к нулю<br> https://www.opennet.me/openforum/vsluhforumID3/95819.html#46 Fri, 16 May 2014 08:19:28 GMT Вы что конкретно предлагаете? Отключить везде HTTPS с завтрашнего дня чтоб мир содрогнулся? Не рассматривая этичность подобных подходов ("чем хуже, тем лучше" - ваш кумир В.И.Ленин, кстати, негативно относился к такому подходу). Осталось придумать как договориться о том чтобы отключили таки все, потому что те, кто не отключит тут же получат конкурентное преимущество перед отключившими. <br>