forum.opennet.ru

Составление сообщения

Исходное сообщение

"Let's Encrypt перешёл к проверке с использованием разных под..."
Отправлено Аноним, 23-Фев-20 14:29

>По мнению Apple генерация подобных сертификатов создаёт дополнительные угрозы безопасности
Угрозы безопасности - это когда сертификат поменялся, но никто, кроме поменявшего, не знает почему: то ли сам сервер скомпрометировали вместе с сертификатом, то ли учётка админа сервера на CA, то ли скомпрометирован CA, то ли рутинное обновление для обновления криптостандартов.

>мешает оперативному внедрению новых криптостандартов
Просто запретите не-TLS в своих браузерах и захардкодьте в исходниках.
>позволяет злоумышленникам длительное время контролировать трафик жертвы
Вот как раз постоянное обновление и позволяет: client-side TOFU пиннинг не сделать.
>использовать для фишинга в случае незаметной утечки сертификата в результате взлома.
В случае взлома можно просто иметь присутствие на сервере и получать всё напрямую с сервера. Никто не заметит. А если и заметит - исправить очень дорого.
Большинство компов заражено малварью, потому что домохозяйки и дети открывают .jpg.exe .pdf.exe, .doc.exe, .doc, .docx (поддерживают дофига устаревших никому не нужных форматов, в которых периодически находят уязвимости) из инета, да и просто имеют Flash, который никак не умрёт благодаря Хрому, который его бандлует (firefox же его просто дропнул вместе со всеми остальными npapi, но всяким бухгалтерам приходится юзать устаревшие версии или вообще IE, потому что всякие банки и госсайты это требуют, а раз Господин приказал - значит надо выполнять. Не стоит и говорить, что в остальной инет многие из них ходят через те же браузеры, где у них банки).
Если предложить им весь этот софт (лицензионный 1С с кастомными доработками от "программистов 1с" на русифицированном говнобейсике, в которые было вложена куча бабок и которые на другой комп не перенести без наёма специалиста по 1С) снести и переустановить систему, то будешь послан на ***.

Но даже если софт переустановить не проблема, проблемма с аппаратным обеспечением. В прошивки можно занести очень дорого удаляемый бэкдор.
Это не принимая во внимание бэкдоры в аппаратном обеспечении зашитые в кремний и неизвестные зеродей дыры, которые можно использовать для забэкдоривания всего софта. Достаточно забэкдорить девтулзы, которыми собрано всё, после чего пользователь встаёт перед дилеммой:
* раскрутить весь софт (включая ОС и биос) с нуля, используя себя как компилятор и аппаратный программатор на своей логике. Очень дорого.
* Расслабить булки и получать удовольствие.

Исходное сообщение
"Let's Encrypt перешёл к проверке с использованием разных под..." Отправлено Аноним, 23-Фев-20 14:29
>По мнению Apple генерация подобных сертификатов создаёт дополнительные угрозы безопасности Угрозы безопасности - это когда сертификат поменялся, но никто, кроме поменявшего, не знает почему: то ли сам сервер скомпрометировали вместе с сертификатом, то ли учётка админа сервера на CA, то ли скомпрометирован CA, то ли рутинное обновление для обновления криптостандартов. >мешает оперативному внедрению новых криптостандартов Просто запретите не-TLS в своих браузерах и захардкодьте в исходниках. >позволяет злоумышленникам длительное время контролировать трафик жертвы Вот как раз постоянное обновление и позволяет: client-side TOFU пиннинг не сделать. >использовать для фишинга в случае незаметной утечки сертификата в результате взлома. В случае взлома можно просто иметь присутствие на сервере и получать всё напрямую с сервера. Никто не заметит. А если и заметит - исправить очень дорого. Большинство компов заражено малварью, потому что домохозяйки и дети открывают .jpg.exe .pdf.exe, .doc.exe, .doc, .docx (поддерживают дофига устаревших никому не нужных форматов, в которых периодически находят уязвимости) из инета, да и просто имеют Flash, который никак не умрёт благодаря Хрому, который его бандлует (firefox же его просто дропнул вместе со всеми остальными npapi, но всяким бухгалтерам приходится юзать устаревшие версии или вообще IE, потому что всякие банки и госсайты это требуют, а раз Господин приказал - значит надо выполнять. Не стоит и говорить, что в остальной инет многие из них ходят через те же браузеры, где у них банки). Если предложить им весь этот софт (лицензионный 1С с кастомными доработками от "программистов 1с" на русифицированном говнобейсике, в которые было вложена куча бабок и которые на другой комп не перенести без наёма специалиста по 1С) снести и переустановить систему, то будешь послан на **. Но даже если софт переустановить не проблема, проблемма с аппаратным обеспечением. В прошивки можно занести очень дорого удаляемый бэкдор. Это не принимая во внимание бэкдоры в аппаратном обеспечении зашитые в кремний и неизвестные зеродей дыры, которые можно использовать для забэкдоривания всего софта. Достаточно забэкдорить девтулзы, которыми собрано всё, после чего пользователь встаёт перед дилеммой: раскрутить весь софт (включая ОС и биос) с нуля, используя себя как компилятор и аппаратный программатор на своей логике. Очень дорого. * Расслабить булки и получать удовольствие.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру