Компания Google опубликовала план добавления в Chrome новых механизмов защиты от небезопасной загрузки файлов. В Chrome 86, релиз которого намечен на 26 октября, загрузка всех видов файлов по ссылкам со страниц, открытых по HTTPS, будет возможна только при отдаче файлов с использованием протокола HTTPS. Отмечается, что загрузка файлов без шифрования может использоваться для совершения вредоносной активности через подмену содержимого в процессе MITM-атак (например, поражающее домашние маршрутизаторы вредоносное ПО может подменять загружаемые приложения или перехватывать конфиденциальные документы)...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52329
Сейчас тут будет грязно
Разработчикам придется сертификаты издавать для себя валидные даже для внутренних серверов?
кто мешает сделать свой ЦА "для внутренних серверов"?
полная его бессмысленность для серверов разработки и опасность для окружающих (внезапно, ага - борцуны за всеобщую сесурить такие борцуны, что не видят ничего опасного в пихании всем разработчикам сертификата CA, способного подписать любой хост).Нет, мы не боимся уборщицу. Мы значительно больше боимся своих разработчиков, которые имеют время, вдохновение и техническую грамотность (а иногда и мотив нагадить) - и прямой доступ к серверу, поэтому никакой https от них волшебным образом не защитит.
Для полноты картины замечу, что во всяких там интранетовских сертификатах, выписанных на какой-нибудь *.staging-app.intranet нет ничего плохого.
Но, как правильно внизу пошутили, следующий шаг в такой политике может быть таким:
"Самоподписаные сертификаты это несекурно, хрен его знает чего и как вы там сами себе наподписывали, а теперь на наш браузер бочку катите. Мы запрещаем использовать любые сертификаты кроме официально одобреных Гуглом".
Это именно что шутка. Даже не столько шутка, как невежественный наброс толстого тролля.Самоподписанные сертификаты и так и так для использования показываются с большим предупреждением, _если только их корни цепочки доверия_ не ведут к чему-то системному.
У гугла нет столько власти, чтобы под себя переработать логику использования _системных_ сертификатов во всех типах ОС.
Максимум – игнорировать всё системное и держать внутри свою связочку root CA... хотя постойте, где-то такое уже видели, кажется?
> Максимум – игнорировать всё системное и держать внутри свою связочку root CA...Именно это конкретно я и имел ввиду.
> У гугла нет столько власти, чтобы под себя переработать логику использования _системных_ сертификатов во всех типах ОC
Но есть громадные рекламные возможности. Достаточно пару-тройку лет постепенно запускать тему, что "по-старому" небезопасно и не молодёжно, мы тут, кстати, сделали "крутую, новейшую и перспективную технологию прямо в браузере", и с существенной долей вероятности к этому и прийти. Разве Гугл не так работает вё время своего существования?
> Самоподписанные сертификаты и так и так для использования показываются с большим предупреждением, _если только их корни цепочки доверия_ не ведут к чему-то системномуПффф... как будто это такая проблема для пользователя напихать на своей машине самоподписанных корневых сертификатов куда ему вздумается. Пока, во всяком случае.
Речь в том каменте шла о том, что Гугол и в этом начнёт пользователя ограничивать - "ой, чувак, у тебя тут корневой сертификат какого-то "My test CA", тебя, походу, взломали, я его сотру, заблэклистю и отошлю в Маунтин-вью для анализа"
>У гугла нет столько власти, чтобы под себя переработать логику использования _системных_ сертификатов во всех типах ОС.Пока нет...
> "Самоподписаные сертификаты это несекурно"давно уже. Попробуй загрузить внешний код (с _разрешенным_ заголовком x-origin) с таким сертификатом, или, вон, вебсокет открыть - внезапно, ты даже сообщение об ошибке не получишь. (Потому что его просто некуда вывести - оно нонеча "страница", а страница - занята)
И нет, никаким разумным способом обойти эту заshitу нельзя. Только добавлять левый CA и подписывать сертификат им - со всеми вытекающими.
Но назойливое "этот сертификат подписан неодобренным CA" таки наводит на мысли, что и с ними скоро постараются покончить.
>Но назойливое "этот сертификат подписан неодобренным CA" таки наводит на мысли, что и с ними скоро постараются покончить.Это в каком наркоманском бреду ты такое увидел? Добавляешь CA в браузер и пользуешься без уведомлений. Даже key pinning уже отовсюду выпилили.
для подвальных интранетов - ничего плохого.А для неподвальных (где админ не один божок и царек в единственном лице, второй после генерального повелитель, которого боится даже главбух!) - беда-беда.
Потому что проектов (и их владельцев с повышенными правами, причем часть их вообще аутсорсеры) у тебя, внезапно, сотни, а не единственный "staging-app", и даже выстроенная (а у кого она есть, поднимите руки?) система регламентов получения таких сертификатов - уже ни от чего тебя не гарантирует, ты даже не узнаешь, кто выписал этот чортов сертификат (даже если вообще найдешь что-то левое, что не факт - у нас вот их реально сотни, половину хрен знает вообще кто и кому выдал) - и уберечь ключи CA в полной изоляции у тебя тоже вряд ли получится.
Ну разьве что ты совсем огромный или совсем чокнутый и у тебя к этому CA прикован постоянный работник, вручную подписывающий запросы. (а разработка подождет недельку, пока до нее дойдет ручная очередь)И, три хаха, среди кучи ненужных и бесполезных ограничений в x509 - ни разу не предусмотрено ограничения на домен.
Хоть мне и не нравится обычно ваш цинизм, но совершенно не понимаю зачем в данной ситуации вас заминусовали. Видимо хипсторы на гироскутерах, из стартапов в 5 человек, у которых "всё будет от гугла, всё будет в кайф", а описываемые вами проблемы кажутся чем-то невероятным.
потому что среда обитания местных опеннетчиков - именно подвальные конторы, по преимуществу (в неподвальные их не берут, там винду надо знать хотя бы на уровне advanced user). Им сейчас, в очередной раз, обидно было. Я вообще их обижать люблю.К тому же мысли о том, что перенос их милых домашних привычек из подвала в контору, где в околоитшных подразделениях работает несколько сотен человек, серверов сотни, и это не одинаковые как поленья pod'ы, а совершенно разные и разными командами делаемые параллельно проекты, где через год уже никто не может вспомнить "а это что за хрень?" "а ей вообще кто пользуется?" "а кто теперь ответственный"? приведет к продолбу всех полимеров сразу и навсегда - в их головенки просто не помещается.
Вон, следующий же коммент - наивного дитяти-переростка.P.S. понадобился мне как-то раз валидный сертификат альфабанка. Нет, для работы. Он тогда еще был сравнительно скромных размеров, никаких кварталов зданий в разных красивых местах не занимал, дело давно было. Процесс согласования и перепинывания задачи от одного [без]ответственного отдела в другой занял две недели. В течении которых проект, за который были уплачены миллионы пацанских денег, одобренный лично г-ном Ф. - стоял и ждал. С тех пор они выросли разиков в сто. И, полагаю, от некоторых глупых привычек - избавилсь по дороге. Вместе с сотрудниками.
Не осилил сделать журнал выписываемых сертификатов и аутентификацию на сервере который их выписывает? Не удивительно что у тебя подгорает от любых нововведений - ты просто некомпетентность ходячая.
Вам, наверное, стоило бы обратить внимание, что речь идет о загрузке файлов с сайтов, открытых по HTTPS. В смысле, если сам сайт был изначально открыт по HTTP - то всё спокойно скачается.
Ограничение на скачивание чего-либо по HTTP с сайтов, открытых по HTTPS - вполне логичное и еще в незапамятные времена даже IE спрашивал "тут сайт с безопасным прдключением пытается что-то открывать через небезопасное соединение, открывать?"
Народ смотрит в будущее и экстраполирует продолжение таблички в колонках "87 and later".
пока он _спрашивал_ - с этим все было в полном порядке.
К сожалению, больше никто ничего не спрашивает, все считают в порядке вещей решить за тебя.
Без HTTPS уже большая половина современного HTML5 не работает.
Какая связь между HTTP(S) и HTML(25)?
Некоторые разработчики предпочитают не иметь прямой доступ к серверу, как раз чтобы потом не обвиняли.
Это каких еще окружающих должно парить наличие у разработчиков на компьютерах в компании своего ЦА ? Внутренние ресурсы окружающих не касаются вообще ни с внешним ЦА ни с внутренним. А уж с безопасностью внутри мы какнить сами.. без вас. Доверия _своему_ ЦА всяко больше чем длинной простыне рутовых ЦА непонятно кем контролируемых и что проверяющих перед выдачей сертификатов, что есть в ОС по умолчанию.А если вы своим сотрудникам не доверяете.. а доверяете сотрудникам гугла.. ну да, тяжело.
с чего я тебе должен доверять, васян? Я тебя не нанимал. И я знаю кто у меня тырит печеньки со стола.Поводов мне напакостить у тебя, внезапно, может оказаться гораздо больше чем у гугля - тот мой номер кредитки или кошелек точно не заинтересован стырить, у него цели поглобальнее будут.
Не говоря уже о том что ты (судя по комменту на опеннете) просто роспи...ень, и твои ключи уже давно перешли в общественное достояние.
Я даже не увижу, что альфабанк подписан этим ключом - спасибо гуглю за уничтоженные индикаторы и pkp.
будто все рутовые сертификаты неприкосновенные и их знают исключительно рептилоиды... так, стоп
ха, смотрите - до него начинает доходить! ;-)На самом деле именно так - любой CA _сейчас_ чтобы попасть в список доверенных гуглю, должен выполнить не одну, десяток серий приседаний и отжиманий, в том числе - продемонстрировать аудиторам, неумеющим собственный сайт нормально настроить, зато уважаемым, как именно ограничен и регламентирован доступ к основным и вторичным ключам, включая физический (то есть в квартире поднять васян-ca даже при бесконечных деньгах не выйдет), что нет зазора между выпуском сертификата и отметкой в логгерах и т д.
Так что не то чтобы неприкосновенные, но нам с тобой - не прикоснуться.А хозяевам нашим, разумеется, ковровая дорожка. Никто ведь не обещал что у них нет копий, сделаных еще до аудита.
Это не бессмысленно. Или вы никогда не пробовали MITM через ARP-спуфинг?
Скорее "какого чёрта его до сих пор нет".
>кто мешает сделать свой ЦА "для внутренних серверов"?здравый смысл мешает
Хром считает его не валидным, не смотря на то что ca сертификат добавлен
покажи как сделал - у меня все в полном порядке.
Поскольку ровно от такой гадости зависит один ключевой уже для компании сервис.Если очень стесняешься гордого имени своей васянлавка.local - показывай вместо сертификата конфиги openssl и параметры командной строки.
> кто мешает сделать свой ЦА "для внутренних серверов"?Как это выглядит для вебморты вон того длинка, интересно? "Поставьте наш сертификат"? Блин, а вы потом google.com им не подпишете?
не подпишут - ну сам посуди, гуглецом-то им - зачем?Подпишут что-нибудь другое, более ценное.
Кто там еще наезжал на дойчтелеком ag? Ребята пошли на кучу расходов и геморроя пятнадцать лет назад - зато сегодня, внезапно, им не приходится страдать.Но вы так не можете - у вас нет денег дойчтелекома, да и сегодня пройти проверку гораздо сложнее.
А чего подписывать то? Сертификат на 192.168.0.1? Так айпишник малость не уникальный... :)
ну сам понимаешь - у дойчтелекома нет проблем с уникальными ip (сказки про их "дефицит" придуманы известно кем - кстати, гугль тут тоже руку приложил) - самому себе он их всегда выдаст.А для васянов надо придумать какой-нибудь новый id, раз уж они, гады, не разводятся заплатить за доменные имена - тем более что в поле altNames все равно что понапихивать.
Гугель - придумает, не боись.
А если ты не про участие в гуглевых затеях - то в _твоей_ сети - он вполне уникальный. И да, ты можешь сам себе на него выдать сертификат - _пока_ - только плохо различимое "этот CA не кого надо CA" говорит о его "неправильности".
Я, собственно, выдаю, в тех случаях, когда бессмысленно давать этому имя. Правда, хожу туда не гуглем.
1) Я таки не очень понимаю,
- Какие сертификаты, как и кем будут выписаны?
- Если они будут выписаны, а что помешает например, мне, взять айпи и сертификат тех господ? Ну а вот прямо из их железок, допустим?
- Более того - так можно даже что-нибудь malicious клиенту сбагрить без лишнего бухтежа.2) Какие, к дьяволу, "сказки" если IP устройств выпущено уже чуть не больше чем адресное пространство? Ты там можешь вякать что угодно, но ipv6 таки начинают активно юзать, просто потому что жизнь заставляет.
3) Васяны - это длинк какой-нибудь? Ну или как поход на вебморту вон того длинка должен выглядеть? И бэкапнуть конфигурацию с него гугл теперь не даст, хехе :)
> Я таки не очень понимаю,заметно. Эксперты опеннета, они редко разбираются в теме.
Вот там изначально постановка задачи - у чувака дома под кроватью стоит dlink. Физическая секьюрить обеспечивается злобным пуделем, просто откусывающим любые ноги, подошедшие слишком близко к кровати, под которой он прячется.
Адрес 192.168.0.1 в его сети - единственный, принадлежит конкретно этому длинку и никаких проблем с ним быть не может. Даже если он построит site2site vpn с коляном, у которого тоже такие же точно - потому что все равно не заработает.
Ну кроме той мелкой, что ср...ный длинк и https толком не умеет, а если умеет - окажется что это ssl3, и гугель его все равно открывать откажется.
Что вам тут непонятно? Васян совершенно спокойно может выписать сам себе такой сертификат, небо не рухнет.
> Если они будут выписаны, а что помешает например, мне, взять айпи и сертификат тех господ?
то же, что мешает тебе взять сертификат alfabank.ru - твоя техническая безграмотность, помимо мелочей типа закрытого ключа, без которого, удивись, пользы от сертификата ноль.
> Какие, к дьяволу, "сказки" если IP устройств выпущено уже чуть не больше чем адресное
> пространство?это вам гугль рассказал? Рассказываю как на самом деле: большая часть этого выпущенного лежит на свалке где-то в республике Чад, чадит там у негра в костерке, и никаких адресов уже не занимает.
Того, чему на самом деле нужна public connectivity - очень сильно меньше не только "чем адресное пространство", но даже чем "адресное пространство, реально доступное к использованию". Потому что есть еще громадные A и B блоки, выделенные целыми пачками несуществующим конторам, вроде нокии, нортеля или сана. Разумеется, они не используются по назначению, и, разумеется, IANA слишком ссыклива, чтобы рискнуть потребовать их обратно. Но даже при этом адресов еще настолько много, что их продают за $1 или вообще раздают бесплатно (в отличие от жмотских $5 в прекрасные-прекрасные времена до внедрения ана...ipv6-недоделка), а всякие ростелекомы еще и свободно разбазаривают на p2p сети блоками /30, потому что "так проще" (потом им ломают маршрутизатор с ненужно-public-ip, и они могли бы ненадолго задуматься...но нечем)
А админы придумывают, как бы им понадежнее это самое понавыпущенное отрезать от интернета, а не выпустить туда голым задом.> Васяны - это длинк какой-нибудь? Ну или как поход на вебморту вон того длинка должен
> выглядеть?с точки зрения гугля он должен выглядеть как поход за новым длинком и заодно каким-нибудь id, на который можно выписать сертификат. Раз васян не хочет платить за ненужный ему домен - гугель придумает что-нибудь еще.
Вот-вот. Задолбали уже со своим бесполезным и вредным ипв6. Хотят больше зомби-машин.
Да вообще со всеми айпи задолбали - выключить их все, проблема с зомби сразу отпадет.
Лучше просто ипв6 выключить в ядре и спокойно пользоваться интернетом дальше. Извращения а виде ипв6 оставить "умным" вещам, чтобы сразу было видно, чем пользоваться не стоит.
> без которого, удивись, пользы от сертификата ноль.У вебморды длинка приватный ключ на его айпишник таки должен быть, очевидно. После этого я смогу это реюзать вообще везде, где могу такой айпи взять. Не будучи тем длинком. И пойнт этой схемы в результате какой?
> это вам гугль рассказал?
Это число активных мобильных девайсов на планете.
> Того, чему на самом деле нужна public connectivity
В изначальном дизайне протокола она у всех, а кому не надо - нехай файрволом давит лишнее. Гугл даже может поставить файрвол по своему усмотрению. А порнографии с NAT которые менеджит какая-то седьмая вода на киселе, ломая протоколы - несколько утомили.
> а всякие ростелекомы еще и свободно разбазаривают на p2p сети блоками /30, потому что "так проще"
Хызы, знакомые хомяки говорят что они белую внешку уже перестали выдавать. И таки им это было надо - пришлось подсказать как ipv6 завести. Как ни странно даже это дно его выдает. А с серым айпи торенты видите ли в пролете.
> У вебморды длинка приватный ключ на его айпишник таки должен быть, очевидно.и? В чем проблема-то?
> После этого я смогу это реюзать вообще везде, где могу такой айпи взять.
Я и (легальный) сертификат на alfabank.ru могу реюзать вообще везде, где могу взять такой хостнейм, раз мне кто-то доверил его ключ. И, что?
> Не будучи тем длинком. И пойнт этой схемы в результате какой?
в том что траффик от твоего стола до длинка худо-бедно защифрован, и мурзила, возможно, даже согласится этот небезопастный-небезопастный длинк тебе показать. Но это неточно.
А какой тебе поинт тащить этот же сертификат на чей-то чужой длинк с таким же адресом - это у себя спроси.
> Это число активных мобильных девайсов на планете.
Но им совершенно незачем активно обмениваться друг с другом. Более того, владельцы совсем не будут счастливы этому.
> В изначальном дизайне протокола она у всех
изначальный дизайн протокола делался во времена, когда компьютеры были - большие, и за каждым присматривала целая бригада грамотных людей.
К сожалению, некоторые граждане за это время так и не уловили изменений, и, к еще большему сожалению - только такие недалекие и могут попадать во всякие "комитеты", придумывающие новые модные протоколы. Поэтому мы и имеем совершенно идиотский ipv6, не решающий ни одной реальной проблемы, а только все усложняющий в разы - неидиотам в комитетах заседать обычно скучно.
ipv4 делали - практики, комитетчики тех же времен родили мертворожденную серию x-протоколов и еще более мертворожденный OSI.А в v4 придумали со временем некоторые возможности этот разгул ненужной связности - изрядно устранить. Большая их часть комитетчиками была выброшена с воплями "нинунанинуна, устаревшее, мамонтов кал". Кое-что потом пришлось в срочном порядке переизобретать заново, чтобы хоть как-то заставить этот мусор работать в реальном мире.
>кто мешает сделать свой ЦА "для внутренних серверов"?Отсутствие целесообразности?
Apple.
Давно юзаю эту схему и с приходом IOS 13 это кромешный ад. При любом обновлении корневой слетает, и сервисы, типа mail перестают работать. Восстановление корневого проблему не решает - приходится перенастраивать учетку с нуля. Причем сертификаты выданы с учетом
https://support.apple.com/en-us/HT210176
Ненадолго.
Ваши самоподписанные сертификаты - сплошная увизгвизьмость и должны быть запрещены! letshitcrypt еще не собрал о вас достаточную информацию, которую вы смеете утаивать!Будут ограничено (только в копроративной версии и только после установки пяти волшебных флагов, один из которых обнуляется при каждом запуске, трех параметров командной строки, и специального танца с бубном) доступна возможность использования сертификатов, подписанных корпоративным CA, но это неточно.
>> Enterprise and education customers can disable blocking on a per-site basis via the existing InsecureContentAllowedForUrls policy by adding a pattern matching the page requesting the download.
Безопасность https несколько переоценена, но в целом это равно пора сделать. Ведь твой трафик может модифицировать не только лишь провайдер, но и сосед Вася, и уборщица Маша. И даже бомж Петя. Каждый раз расстраиваюсь, когда не дают возможности сравнить хэши (хотя бы) и подписи.
Да вот только возни много. Есть огромное количество файлов менять которые бессмысленно даже для соседа Васи, уборщицы Маши и бомжа Пети. Есть целые сайты которые нафиг никому не упёрлись для подмены трафика. Одно дело сообщить пользователю что канал не зашифрован, а другое дело вообще блокировать передачу данных.
Ну тогда не надо делать HTTPS страницу загрузки.
расскажи это гуглю, выкинувшему из поиска "нисисюрные" сайты?
Есть отличная поговорка: Хорошему тону надо учиться с детства!
Есть отличная поговорка: Хорошему тону надо учиться с детства!
> Есть целые сайты которые нафиг никому не упёрлись для подмены трафикаЗа исключением провайдера, пихающему туда баннеры с рекламой и впаривающему левые подписки. Или поменяющему ответы со статусом 404 своей рекламной парашей.
Ну так не пользуйся таким провайдером.
Он еще и деньги твои ворует, и паспортные данные пацанчикам продал, данные о том какие торренты ты качаешь - копирастам, а остальные - товарищмайору. Один-то раз начав, уже трудно отделить, где ты белый и пушистый, а где свинячье рыло торчит.У меня вот нормальные провайдеры, которым хватает развлечений по поддержке своей сети, чтобы еще оставалось время на вредительство.
В любом случае, надо позволять пользователю решать, через какой протокол грузить, а не делать выбор за него.
99% пользователей не в состоянии сделать этот выбор.
но оставшийся один процент является наиболее активным и продвинутым. И именно он помогает сделать выбор тем 99%. Или надо для них делать лаз в "свободу" или народ просто массово свалит с хрома, что, на мой взгляд, давно пора сделать.
А делается этот лаз уже много лет простым включением "режима администратора" с расширенными настройками и прочим.
> но оставшийся один процент является наиболее активным и продвинутым.И должен пользоваться своим браузером. Но его... опаньки, нет.
> но оставшийся один процент является наиболее активным и продвинутым. И именно он
> помогает сделать выбор тем 99%.Да, гугл именно этим и занимается, помогает сделать выбор тем 99%.
> Или надо для них делать лаз в "свободу" или народ просто массово свалит с хрома, что, на мой взгляд, давно пора сделать.
Ну так сделай, раз пора. Но я не думаю, что это будет массовым явлением. 99% не пойдёт следом за 1%, просто потому, что этот 1% считает себя активным и продвинутым. До тех пор пока не появится альтернатива хрому, которая будет более привлекательна для хомячка, чем хром, никакого массового исхода с хрома не будет. И поддержка http -- это не то свойство браузера, которое может сподвигнуть хомячка на то, чтобы поставить альтернативу хрому.
> Да, гугл именно этим и занимается, помогает сделать выбор тем 99%.Скоро те 99% вообще не смогут зайти на свой роутер походу. А значит и пароль admin/admin не сменят, даже если захотят.
Роутер, значит, сменят!(Как их заставить это сделать - я уж придумаю, не сомневайся! И будут каждый свой роутер регистрировать в моих бездонных bigdata. Все для безопастности!)
По непатченым ведроидам оптом заметно, кули.
> Скоро те 99% вообще не смогут зайти на свой роутер походу. А значит и пароль admin/admin не сменят, даже если захотят.А они и так не заходят, и не меняют. Они не заметят разницы.
Так никто не запрещает пользователю грузить его любимым протоколом. Хочешь через FTP - используй FTP-клиент, хочешь HTTP - используй HTTP-клиент, хочешь HTTPS - используй Хром.
Вот это дело. Гугл работает, остальные сопли жуют.
Они своими огораживаниями добьются того, что надо просто послезает с хромого и на этом всё закончится.
Ну не все основная масса будет сидеть и понимать что о ней заботиться компания Google.
Потом маленькая часть сопротивленцев забьет на это так как там уйма людей.
Так было почти со всеми массовыми сервисами - толпа решает и Google отлично это понимает.
С другой стороны вроде как толпа на толпу тоже рашет так мы помним срубили Internet Explorer.
Ну как, я начну своим знакомым ставить вместо хрома яндекс, или вообще хромиум. И гуголь в одночасье лишится человек 50. А таких как я очень много. А с учётом того, что пользователи не всегда понимают фразу "откройте браузер", то примут то, что я поставлю с удовольствием.
Тогда на прийдётся устранить вас. От пользователей. Вы что-то больно технически грамотный.
куда полезете-то - на тот, другой стул?
Я и есть зло.
Зло начнется когда для выдачи сертификата сайту надо будет пройти регистрацию дактилоскопию, потом проверку из правильной ли вы страны. И только потом вам может быть через месяц выдадут сертификат в порядке живой очереди на дискете 3.5 дюйма.
зачем? наоборот, для выдачи сертификата теперь не надо вообще ничего, кроме как на минутку захватить (возможно - частичный) контроль над сайтом - ни пользователи, ни владелец, никто ничего вообще не заметит, а заметят - не придадут значения - "что-то, видать, certbot сбойнул сегодня, лишний раз обновил - впрочем, он и сам попутно обновился, наверное, баг исправили""для того и брали"
А все технические ограничения, которые от этого защищали - старательно помножены гуглем на 0.
пох, иди проспись уже
А что делать для загрузки в локальной сети? Выдавать сертификаты на айпи? Химичить сертификаты на любой чих? А как сертификаты рассылать другим пользователям локальной сети? В архиве который они не смогут скачать? Отказаться от локальных сетей?
Под локальной сетью Вы имеете в виду группу индивидуальных пользователей в единой "серой" сети? Letsencrypt позволяет подтвердить домен через создание dns-txt записи _acme-challenge.<domain name> с определенным значением. Соответственно нужен сервер, который позволит пользователям создавать свои поддомены и менять записи в них. Ну или пользоваться общедоступными. Собственные корневые сертификаты не вздумайте рассылать, они позволяют подписать любой домен.
Wget/curl/axel? FUSE? Качать именно браузером, именно в локалке, именно файлы... эм... не очень удобно и прозрачно, чтоли.
Если тебя/пользователей не беспокоит тот факт, что кто-то может выдать сертификат не на ойпи, а на alfabank.ru - и ты никак не отличишь его от настоящего (ок, пока еще - кое-как, при очень большой внимательности - отличишь, а вот всегда ли ты ее проявляешь?), то да, выдавать.Борьба с сертификатами на ip - такой же точно мазила-гуглевый бред, в лучшем случае - порожденный мозгами макаки, неспособной сложить два и два, но обожающей решать за пользователей, в более вероятном - намеренная диверсия, как sni.
Ничего плохого в самом по себе IP в сертификатах нет.
Ну а если первое предположение неверно (локальная сеть, надо думать, провайдерская? Как у тебя на этот случай с физической безопасностью? Есть ли тревожная кнопка, работает ли в пассивном режиме (срабатывая от НЕ нажимания в отведенный интервал)? А то ж придут веселые ребята, и попросят, очень вежливо помахивая пальничком, подписать им пару сертификатиков.
Но вот эти проблемы гугля не колебут - совсем.) - тогда только уходить от гуглонета. То есть от html и http в любом виде, потому что они сейчас - целиком подконтрольны гуглю.То есть рассказывать дорогим пользователям, что ftp/http прошлый век, все кругом могут их через эти нисисюрные протоколы пороботить, ну и подсовывать какую-нибудь ретрошару, разумеется - со своего сервера, имеющего public hostname (необязательно ресолвящегося внутри локалки в public ip) и сертификат, подписанный правильными пацанами.
кстати, я, оказывается, был не совсем прав по поводу невозможности ограничить действие сертификата.Оказывается, nss и винда (то есть хромог в линуксе и винде и мурзила на любой платформе кроме ведер) с 2014го года кое-как поддерживают nameConstraints в x509, поэтому наколеночный CA с extension nameConstraints=critical,permitted;DNS:.local,vasyan.site - таки относительно безопасно использовать в этих системах.
(IP тоже могут быть добавлены, но, похоже, не в openssl - он не умеет их парсить, ни в rfc-формате "8 octets", ни в текстовом)
Макойопы, внезапно, лococят тyнца - альфабанк, подписанный таким ca, у них прекрасно открывается. Ну, им не привыкать.
В самой реализации творится ад, трэш и п-ц (в частности .local парсится не так как написано, а проверку на self-signed, похоже, забыли, или намеренно пропустили, хотя она есть в rfc)
По всей видимости, Google хочет добиться похорон протокола HTTP/1.1
Для загрузки/отправки файлов есть ftp. Его более, чем достаточно
Нет, rsync нужнее.
жаль что оный ftp поддерживается только парой странных и страшных для незамутненного юзверя программ, а из браузеров (в которых и раньше-то поддерживался только хромой кастрированный вариант, например, не поддерживавший tls auth) уже, практически, выпилен, да?Причем даже там где не выпилен - ссылку на ftp ты хрен откроешь.
При том протокол страшен как смерть и застревает на файрволах. А заодно жестоко тупит на передаче кучки мелких файлов.
это проблема рукожопов, умеющих настроить файрвол только для работы гугла в гугле.
(потом, правда, в нем застрянет бестолковый webrtc, так что и гугль с гуглем будут работать не вполне нормально)У меня тридцать лет нет проблем с ftp, еще со времен KA9Q - что я делаю не так?
Кучкой мелких файлов не надо гадить пользователю, ftp это не гипертекст, запакуй их в архив. Все равно они никому поштучно не нужны.
Вообще-то раньше были ftp-серверы, способные это делать за тебя, но такие давно уже немолодежны, немодны, вымерли вместе с вменяемыми админами, умевшими их настроить.
> Для загрузки/отправки файлов есть ftp. Его более, чем достаточноНе волнуйтесь, об этом тоже позаботились
Google Chrome 82 won't support FTP anymore according to the recently published "Intent to Deprecate: FTP Support" document by Google.
https://www.ghacks.net/2019/08/16/google-chrome-82-wont-supp.../Читал здесь, на опеннет, но поиском что-то не могу найти
ребята, а как Chrome 80 запустить на Windos XP 64 ???
Евгений Ваганович перелогинтесь.
хорошо, хорошо
Ну, как, попробуйте его пересобрать. Вдруг, чем черт не шутит, соберется?! Правда, въезд в гугловские технологии компила избавит нас от вас на пару месяцев... а в такой конфигурации и на пару лет, пожалуй.
я думал тут есть продвинутые программисты...
вон есть же Mypal для Windos XP основанный на PaleMoon c заглушками для Win API
> я думал тут есть продвинутые программисты...Говоря за себя - у меня есть гораздо более интересные дела чем сношаться с окаменелой неподдерживаемой проприетарной операционкой и ее проблемы, забесплатно выполняя роль MSовских разработчиков и саппортов. Я не пользуюсь виндами - и не имею проблем с ними. В том числе и потому что новые операционки от MS сплощной кошмар и регресс какой-то.
> Говоря за себя - у меня есть гораздо более интересные дела чем сношаться с окаменелой
> неподдерживаемой проприетарной операционкой и ее проблемыох как гузку-то мы оттопыриваем.
Вообще-то речь о прекрасном непроприетарном (хахаха) шва6одном гуглософте, мультиплатформенном при этом - поддерживает аж целых три платформы, из них две виндовые (или три? Возможно, у них сборка есть под win/arm, не проверял), и только одна - линуксная.
> забесплатно выполняя роль MSовских разработчиков и саппортов.
тебя никто об этом, если что, не просил - они норм разработали, и в твоем саппорте XP64 не нуждается, она и так неплохо себя чувствует, в свои восемнадцать лет.
> Я не пользуюсь виндами - и не имею проблем с ними.
держи нас в курсе, васян, чем ты еще не пользуешься.
Вот linux/32bit ты, к примеру, точно ведь не пользуешься? Попроси тебя помочь со сборкой на ней гугля - опять увидишь струю гуано, да?> и потому что новые операционки от MS сплощной кошмар и регресс какой-то.
вот у твоего любимого редхата-то - сплошной прогресс, да, новости говорят сами за себя.
> ох как гузку-то мы оттопыриваем.Капитаним, не более.
> шва6одном гуглософте, мультиплатформенном при этом
Ну так ты свободен кодить это под икспу вместо гуглей и мс, я ж не против :)
> и только одна - линуксная.
У тебя мышление setupexe'шника. В линуксах свои сборки этого, однако. Допатченые и дебастардизированные. Под все что собиралось и было кому-то надо. Там огульно расписываться за всех и что там где может только такой компетентный эксперт в линуксе как пох :P
> тебя никто об этом, если что, не просил - они норм разработали, и в твоем саппорте XP64 не
> нуждается, она и так неплохо себя чувствует, в свои восемнадцать лет.Ну так а чего вон то тело тогда ноет о том что какие-то программисты ему чего-то "должны" с его костяшками? Пусть эту мантру майкрософту рассказывает, он им бабки за винду платил и в конце концов это их продукт. Ну или накрайняк гуглу пеняют за то что костяшки мамонта не поддерживают, чтоли. Но т.к. продукт слит вендором - с чего вдруг гугл обязан его сапортить я как-то не понимаю.
> Вот linux/32bit ты, к примеру, точно ведь не пользуешься?
У меня 32-битный linux только на ARM остался. Что там на x86 по этому поводу и все такое - я тупо "деквалифицировался" и не владею актуальным состоянием дел в той технологии в той конфигурации. Думаю что виндовых прогеров в массе своей постигла та же участь уже, хоть они и слоупоки.
p.s. а редхат мной если и любим то за объем работ, а не за их кривой дистр с пихонокрапом - на мое имхо, ни рхел ни федора для десктопа непригодны вообще никак. Я не понимаю как таким трэшом можно пользоваться, да и софта там в репах мизер, что для дестопа - проблема.
>> ох как гузку-то мы оттопыриваем.
> Капитаним, не более.капитан сказал бы просто - "под неподдерживаемую систему - невозможно, так-то!"
>> шва6одном гуглософте, мультиплатформенном при этом
> Ну так ты свободен кодить это под икспу вместо гуглей и мс,оно, если ты не в курсе, еще каких-то лет десять назад - под этой икспей работало, не кашляло. Но ничего не ломать - гугель так не договаривался, да и мс не отстает.
А так-то ты подтверждаешь - шва6одка твоя гроша ломанного не стоит.>> и только одна - линуксная.
> У тебя мышление setupexe'шника. В линуксах свои сборки этого, однако. Допатченые иугу, конечно-конечно, миллионы васянских патчей, тысячи их. Главное, ты верь в "свои сборки" и миллионы васянов, способных что-то попатчить в гуглобраузере.
Жаль что на практике весь тот патч добавляет пачку мусора в debian/> дебастардизированные. Под все что собиралось и было кому-то надо. Там огульно
нет, лапушка. Под все что _гугль_ сделал возможным собрать - и ни шагу в сторону.
> Ну так а чего вон то тело тогда ноет о том что
> какие-то программисты ему чего-то "должны" с его костяшками? Пусть эту мантрувообще-то он спросил "как запустить". Ежу понятно, что ты не умеешь. Зачем в тред-то полез, гуано к клоаке подступило, верно ведь?
> Вот linux/32bit ты, к примеру, точно ведь не пользуешься?
> У меня 32-битный linux только на ARM остался. Что там на x86где он тоже не работает. угу.
Ну же, ну же- где же твои патчи? (а, ну да, у дебианов вроде была сборочка для armhf, последний из могикан - правда, это chromium, chrome для arm водится только на телефонах)
В виртуалбокс поставь вин 10 поставь туда хром. Включи интеграцию окон в виртуалбоксе чтобы хром казался нативным приложеним. ПРОФИТ!
ага, а сколько этот вин 10 отъест места на ssd? я даже ни разу не устанавливал 10ку, но вроде слыхал 30 гигов? нее, такой вариант не подходит, да и 7ка тоже не очень - слишком мало места на ссд
> ага, а сколько этот вин 10 отъест места на ssd?поставь на hdd, если такой жадный.
Место отъест твой любимый хромог, а не десятка. Ему, если ты не в курсе, надо и самому немало, и кэши всякие где-то хранить, и в своп погадить.
Десятка сама по себе, вроде бы, умещалась в шести.
я hdd не пользуюсь, потому что меня сильно раздражают шумы от hdd, а пока что я пользуюсь 2мя ссд - на одном ХР64, на другом 7ка
страдай, чо, страдание очищает.Я вот никакого hdd не слышу. Слышу вентиляторы, даром что они большие и тихоходные.
А на нем два десятка виртуалок, с кучей разных семерок, десяток и иногда даже ненужнолинуксов.
Странный чел - запускает что-то и рассказывает что это не нужно. Где логика, где разум? :)
one core?
оно не работает, я даже связывался с разработчиком - он обещал доделать, но похоже он забросил проект
Э? То-есть вебморда роутера теперь даже пнгшку с логотипом вендыря рисовать не сможет? Голая хтмлка и ничего лишнего? Как аскетично!
Да внедряй картинка в css.
так и css тоже не загрузится
Не, ну как, можно CSS прям в хтмылку вписать. И data:image или как там это порно правильно - туда же. Алилуя, ВОРКЭРАУНД!!!111
это временно ;-) Помнится, мурзила уже что-то мурзила про "ниправильный-ниправильный data, мы его не будем показывать".Плевать ведь на стандарты. Главное - забота о пользователях.
> это временно ;-)Если учесть что css кажется, считается тюринг-полным XD я тогда мурзилле CSS-анимацию вместо apng заверну. Как раз последние юзеры на хром слиняют, т.к. перфоманс мозиллы на этом самом я видел :)
Так канвасом рисовать будут. Или зафигачат BMP сетку и раскарасят бакграунд каждого квадратика. Главное, шо секурно теперь, да.
эх, прощай sendfile()...сколько циклов cpu ты съкономил и энергии сохранил :) а может ну его нафиг этот гугл?
proxy же ж никто не отменял. А ssl-фронтенду sendfile, в целом, без надобности.
Впрочем, на zfs он один хрен поломан.
Белки-истерички срочно кастуются в тред!
А видео и картинки то зачем блокировать? Чтобы ни у кого не осталось даже иллюзий о "швободке"?
Это необходимый шаг на пути к полному отказу от поддержки голого HTTP без S.
>например, поражающее домашние маршрутизаторы вредоносное ПО может подменять загружаемые приложения или перехватывать конфиденциальные документыЛол, оно и так уже может всё что угодно устроить, потому что МИТМ уже произошёл. Что за бредятина... Допустим мне не нужно шифрования, может я доверяю сети (локалка), или мне что теперь, все файлы гуглю отдавать на подпись их сертификатом? На иг этот хром, в край задолбали
Вообще-то я встречал такой вредонос в реале более 10 лет назад (ещё в нулевых). У меня был D-Link DIR-300, и однажды я обнаружил, что в каждую страницу вставляется обфусцированный скрипт. Вне зависимости от сайта. Кончилось тем, что я перепрошил роутер и перестало вставляться.Так что IoT-малварь, это явление далеко не новое и была задолго до mirai.
P.S. через несколько месяцев тот длинк сдох (даже диоды ее мигали). Предполагаю, что его опять ломанули, но уже другие кулхацкеры, и попытались перешить, но ввиду кривости рук затёрли загрузчик.
mirai интересен разве что как пример кроссплатформенного програмизма под пингвин доведенного до абсолюта. Ему пофиг точная версия ядра, либ и прочего. Весьма забавно.
Смерть городским локалкам
> Смерть городским локалкамА они еще живые? Вот прям с сайтами на айпишнике и варезом на них?
А потом отменят self-signed.
> А потом отменят self-signed.уже. cross-site уже не работает с такими сертификатами.
Даже вручную добавленными.
Вместо того, чтобы запретить исполнение JavaScript, если все компоненты страницы не загружены по HTTPS, они заблокируют безобидные PNG, которые почти невозможно неверно распарсить - формат простой как три копейки.
это bmp просто. А в libpng выглядит вот так: https://www.cvedetails.com/vendor/7294/Libpng.html
А зачем роутеру 192.168.0.1 или 1.1 выдавать валидный сертификат для гугла, чтобы пользователь смог зайти на него? Нет запретим ему заход на роутер, т.к. это не бозопасно прогонять через сеть http запрос пароля.
А пока роутер не настроен и нету интернета, то мы не можем доверять самоподписанному сертификату, который предлагает нам принять роутер. Отказать. Нечего пользователю входить в админку роутера!
Keenetic предусмотрели такую гадость от гугла. Заходить на их роутеры положено не через ip, а по имени my.keenetic.net, DNS-proxy в роутере выдаст правильный ip. Если роутер получил доступ в интернет, то он просит сервер компании предоставить уникальное имя ([0-9a-f]{24}.keenetic.io) и подписать его сертификат у letsencrypt. Далее пользователь перебрасывается на это имя. Безопасность всего решения так себе, но гугл устраивает.
Нас готовят к IPv6, скоро наши маршрутизаторы будут доступны для всех. И компьютеры, и как бы вы должны быть привыкшими параноить теперь на каждом устройстве.IP на всех не хватает, расширить его можно через IPv6, но обеспечить безопасность в IPv6 на уровне IPv4 значительно сложней, вот и выучивают нас заниматься ананизмом. Скоро запретят IPv4 и хрен у вас что будет работать. Закроют его поддержку в RED HAT, а потом пропихнуть в Debian и прочие, как с systemd было. А кому не нравится, тот пускай сам торвальдсом становится и пилит своё ядро. Всё катится к этому. Уж очень мы доверились этим негодяям, которые решают за нас теперь, как будет лучше для всей индустрии. А вы, челять! Приспосабливайтесь!
my.keenetic.net это то ещё ололо, упал интернет - на роутер не зайти, потому что он отрезолвиться не смог. А где увидеть его с сертификатом от LE? Попробовал на своём giga 3, по https не открывается вообще.
Вообще то это имя прописано на DNS-proxy роутера и ip-адрес в записи всегда прописан локальный текущий, а не фиксирован на 192.168.0.1. Так, что, работает даже если интернета нет и в случае, если провайдер использует 192.168.0.0/24.
Не нравится DNS провайдера? Роутер может использовать хоть DNS-over-https.
Я не понимаю, где что прописано. У меня в resolv.conf айпи роутера (192.168.1.1) написан, проверяю куда он ведёт вот так:nslookup my.keenetic.net
Server: 192.168.1.1
Address: 192.168.1.1#53Non-authoritative answer:
Name: my.keenetic.net
Address: 78.47.125.180Это не выглядит локальным. И с тем, что с упавшим интернетом нельзя зайти по такому удобному адресу и убедиться, что это провайдер умер, я столкнулся сам лично, иначе бы не задумывался даже о таких материях.
Странно, раньше выдавал локальный адрес... Выдрав кабель провайдера, всё ещё отвечает 78.47.125.180, но назначает себе этот адрес и исправно отвечает. ttl ответа всегда 600, значит оно не кэше, а прописано в конфиге. От версии прошивки возможно зависит.
вы ещё не трахались в установкой сертификатов в локалке?!
тогда мы идём к вам.
>В Chrome 81 в настройках появится опция "chrome://flags/#treat-unsafe-downloads-as-active-content", которая позволит включить вывод предупреждений, не дожидаясь выхода Сhrome 82.Во до чего техника дошла - теперь вместо флагов, позволяющих вернуть выпиленную фичу, стали добавлять флаги, позволяющие выпилить фичу ЕЩЕ БЫСТРЕЕ.
белки-истерички одобряют!А гугль старательно воспитывает этих болванчиков - он умеет поднимать хайп, нужный только ему.
Им заняться больше нечем?
Маразм в браузеростроении. Уже не знают что сделать, поэтому занялись обезопашиванием протоколов и исключении ошибок пользователей через браузер. Иносказательно получается так - Вы на столько дебилы, что мы для вас определим наиболее правильный путь использования технологии.Интересно, сообщество ftp полностью не запретило. Может вообще порт 21,20 порты освободить. Чё?! Технология то не безопасная. Хочешь в домашней локалке гонять файлы, делай всё по "феншую", подымай кубернетис, подымай контейнеры, длеай центр сертификации, подписывай всё правильно, и только тогда уже можешь сделать фалопомойку с полными правами для всех и без пароля. Хотя! Надо ещё и все файл серверы ftp, nfs, samba закрутить, чтобы в них нельзя было без пароля входить, и чтобы авторизация только по керберос, с AD отдельным, и чтобы на шару нельзя было давать разрешения для всех, а только по группам, с обязательной группой Админов. И ещё трёхтомник издать, как это всё настраивать...
У меня вопрос только один - Фашизм точно искоренили в 45м?
Вообще то Chrome всегда позиционировался как браузер для идиотов. Строка ввода поиска и собственно фрейм контента, это всё, что нужно юзеру!
> Вообще то Chrome всегда позиционировался как браузер для идиотов.а никаких других у вас - нет.
И уже не будет.
Firefox есть
> Firefox естьтак он - от идиотов и для идиотов. Только еще и "всем хуже" и скоро про его поддержку вообще забудут.
Для людей он перестал быть давным-давно.
Интересно Seamonkey по этому же пути пойдёт? Других альтарнатив нефашиствующих не осталось уже?
То есть посмотреть видео с IP-камеры по локальной сети в Chrome уже не получится через веб-интерфейс. Вот тебе, бабушка, и IoT
Понял, запрет только для https-страниц
Вобщем все эти замечательные грабли в Хроме только для счастливых обладателей https-сайтов
А не-https скоро будут возможны только в локальной сети и только без линков вовне.
И то не факт. Возможно - только в энтерпрайзной версии хрома.
Огорчает конечно, что они так медленно отрубают http и другие устаревшие технологии. Могли бы и рубануть с плеча и сделать это ещё в 7*
Позабавили комменты о локалках. Вы всерьез думаете, что их это коснется?) Пруфы?
Так этот Block отключается или нет? Было бы крайне глупо не оставить даже флаг в about:config. Бедные хромоюзеры
В логике браузера как операционной системы для веб-приложений из предлагаемых Гуглом (выдача поисковика чем не гугл плей?), это вполне адекватное решение.
100% поддерживаю.// b.
Люди, вы хоть текст новости прочитали, или только заголовок и картинку посмотрели? Внимание на этот текст:> загрузка всех видов файлов по ссылкам со страниц, открытых по HTTPS, будет возможна только при отдаче файлов с использованием протокола HTTPS
то есть, если страница открыта по HTTPS, а на ней предлагается скачать файл с HTTP сайта, то такой файл будет блокироваться.
А в комментариях устроили истерику будто теперь скачка по HTTP ссылкам запрещена в принципе и теперь для локальной сети нужно выдавать самоподписанные серитфикаты. Читать сначала научитесь, а потом локальную сеть настраивайте.
А истерички которые предлагают JS запретить... Але, он уже давно запрещен к загрузке с http протокола если страница открыта по https. Это называется mixed content - и он действует и на JS, и на CSS, и на картинки и т.д. Просто теперь к этому списку добавили загружаемые файлы, что закономерно, логично, и хорошо.
https://developers.google.com/web/fundamentals/security/prev...
А теперь объясни, на кой требовать шифровать пул общедоступных картинок? Чем тебе они помешали, "если страница открыта по HTTPS"?
> А теперь объясни, на кой требовать шифровать пул общедоступных картинок?ему гугель так велел - сам же видишь, вместо своей головы - ссылка на мозгопромывочную мусорку.
> А истерички которые предлагают JS запретить... Але, он уже давно запрещен к загрузке с http
> протокола если страница открыта по httpsну да, прекрасно. Ведь кругом враги-враги, твой сосед шпионит за тобой (как он ухитряется в современной сети - загадка, но он точно это делает!)
А что единственный (даже не наиболее вероятный, а _единственный_) реальный вектор атаки - собственно взломанный васян-сайт (с https, а как же - вот, letshitcrypt только что выдал сертификат, каждый день новый!) - ни тебе, ни другим больным на голову в голову не приходит.
После внедрения этого ****ства поломается множество картинок в постах на форумах.
Не только на форумах - еще куча всяких (уцелевших) community-сайтов, где по разным (в основном, конечно, экономическим) причинам принято было тянуть картинки из внешних источников.
Не только форумы. Множество тематических сайтов. Тотальная зачистка веба. Марш в соцсети для сбора данных или в крупные коммерческие площадки вроде викии. Гугл веб приватизировал.
Картинки только папаспарту!
Давно пора закопать HTTP.
Вот такая история у меня приключилась с VPN из-за отсутствия шифрования у сайта https://www.linux.org.ru/forum/general/13247305?cid=14122097
как же надоел этот повальный ssl`зм .., гореть вам в аду .. в своих чертовых шапочках из фольги!
вэлком ту мир вендо-хомячков
- Сынок, а что это ты там в интернете делаешь? Опять голый HTTP качаешь!?