Некоммерческий удостоверяющий центр Let’s Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о внедрении новой схемы подтверждение полномочий на получение сертификата для домена. Обращение к серверу, на котором размещён используемый в проверки каталог "/.well-known/acme-challenge/", теперь будет осуществляться с использованием нескольких HTTP-запросов, отправляемых с 4 разных IP-адресов, размещённых в разных датацентрах и принадлежащих к разным автономным системам. Проверка признаётся успешной только, если как минимум 3 из 4 запросов с разных IP оказались успешными...Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52419
Вот только выложил свой хук для dehydrated - и тут новость про LE, моё почтение
И каким образом новость влияет на dehydrated ?
Он по протоколу либо получает "успех", либо "облом" вне зависимости от методов проверяющего...
Или вы в хуках контролируете логи веб сервера как часто и с каких ИП вас проверяют ?
А что за «учётная запись в ACME»?
Работает так же, как и остальная продукция ACME.
красавцы!
Первое: баг опеннета, что у меня в заголовке окна новость отображается как:"Let’s Encrypt..." -- HTML Entity вместо нормального апострофа. Было бы неплохо это поправить.Второе: Safari, как ни парадоксально, повлияет на рынок сертификатов. То есть, производители браузеров обладают рычагом воздействия. Лично мне это как-то неожиданно.
Safari?
Закопай!
Ага, закопаешь его, когда каждый 1-ый директор считает своим долгом использовать исключительно гейское оборудование, и проверяет работу сайта на нём.
перестаньте их "кормить" оптимизациями под сафари и прогибатся, и они перестанут юзаєть єто покусаное говно.
Нет, они просто уволят гомофобов, наймут нового админа, толерантного к эппл. Каминг-оут можно при этом не совершать.
> Каминг-оут можно при этом не совершать.если у них нет divercity квот.
Квот ... чего?! Городов для пловцов?!
> перестаньте их "кормить" оптимизациями под сафари и прогибатся, и они перестанут юзаєть
> єто покусаное говно.Это они меня кормят, в прямом смысле!
> Это они меня кормят, в прямом смысле!Ты сам себя кормишь, а они у тебя основную часть заработка забирают.
одна проблема - если они вдруг перехотят "забирать" (а на самом деле платить) - то они - перетопчутся (судя по его васян-коментам, это не смузи-it конторы, и вебня которую он для них делает - для них вовсе не центр вселенной), ну может немного упадут продажи, а может и не упадут вовсе.А такой васян как ты, внезапно, обнаружит что ни разу себя не кормит - сам. Потому что труд таки на самом деле ничего не стоит, а выращивать рис на кухне у тебя не получится.
Вот жил бы ты где-нибудь в Непале, или там в северной Индии (не надейся, легальный способ только один - выплысть в лодке на середину озера в нужный момент, и утопиться, произнося особую мантру - тогда есть шанс переродиться индусом) - тогда мог бы шлепать губой, что сам себя кормишь. Рис можно есть, и, если повезет - продать излишек соседу, и купить у него курицу. Одну на год. А всякой ИТ заниматься для души те вечерние пол-часа, которые у тебя иногда еще будут свободны (только непонятно, где деньги на электричество и компьютеры). До первого землятрясения или еще какого глобального катаклизма (они там регулярны), когда выяснится что твое просто выживание зависит от доброты чужого дяди. Ну или до первой болячки посерьезней гриппа. Когда просто помрешь.
Местные маоисты так и делают. И не парятся - они-то переродятся, если правильно похоронить.
> платить) - то они - перетопчутся (судя по его васян-коментам,Знаешь, ты в принципе и без труда сталевара перетопчешься! Набедренную повязку можно и без сталеваров соорудить. Палку-копалку в общем то тоже. Получается, сталевары - мерзавцы, которые всех эксплуатируют, полюбому.
Disclaimer: сталевары взяты как пример. Можно заменить на любую другую профессию :)
>> платить) - то они - перетопчутся (судя по его васян-коментам,
> Знаешь, ты в принципе и без труда сталевара перетопчешься! Набедренную повязку можноглавное, верить, что ты такой же ценный трактор, как и сталевар, и если не выйдешь на смену - случится что-то ужасное, мир откатится к палкам-копалкам и набедренным повязкам.
(на самом деле - нет)Отдельно интересно, они еще вообще-то в природе остались, хотя бы в китае? Или там выучили урок "доменной печи в каждой деревне", и тоже - одни операторы?
> Disclaimer: сталевары взяты как пример. Можно заменить на любую другую профессию :)
леваки, видишь ли, считают что руководить бизнесом - это не профессия. При том что на деле пользы от них значительно меньше, чем от хороших руководителей.
> Это они меня кормят, в прямом смысле!А сами они, типа, альтруисты или даже может быть, деньги печатают? :) Ну и лично я бы уволился нафиг из конторы с такими пи... :)
Эксплуата́ция — присвоение результатов труда другого человека [...] с предоставлением взамен товаров (услуг, денег), стоимость которых *меньше*, чем стоимость, созданная трудом этого человека за рабочее время.
--
https://ru.wikipedia.org/wiki/Эксплуатация_труда
именно так он и эксплуатирует своих начальников. Присваивает результат их тяжкого организационного труда, взамен предоставляя васянскую ит. Которая вряд ли стоит своих денег, просто так принято.Я, если что, примерно то же самое делаю, бизнес без меня совершенно точно обойдется. Просто у него лишних денег много, часть из них можно тратить на то, что не приносит никакого дохода.
И только больные у6людки, перечитавшие религиозной сектантской литературы, думают что их труд чего-то стоит. Почему-то обижаются, если им предлагают стандартный метод перевоспитания таких сектантов позапрошлого века - повозить песочек на тачке из одного угла двора в другой. А потом попробовать его есть, что-ли - ведь "труд кормит!" - и вроде трудился-то побольше чем сидя на жопке за столом.
>>именно так он и эксплуатирует своих начальниковЫыыы, матерые в-ва
> И только больные у6людки, перечитавшие религиозной сектантской литературы, думают что
> их труд чего-то стоит.Не, вот пардон, если кастомер мне бабки дает - наверное, по его мнению, труд чего-то стоит? :)
>> И только больные у6людки, перечитавшие религиозной сектантской литературы, думают что
>> их труд чего-то стоит.
> Не, вот пардон, если кастомер мне бабки дает - наверное, по его мнению, труд чего-то стоит? :)если ты лично этого ло..кастомера развел на бабло - наверное, стоит, но всегда остается осадочек - какой именно труд. Потому что возможно основных твоих усилий стоил как раз труд по разводу, а не два раза кликнуть верную мышь.
А мне вот кастомер ни копейки не заплатит, он вообще о моем существовании вряд ли догадывается. Насчет догадываются ли менеджеры, выжимающие с кастомера те копейки в поте лица своего - тоже не уверен.
Иначе я бы давно собачек на поводочке водил, а не глаза добивал о монитор. Тем более что явно умею это делать лучше, чем нанятые сервисами по выгулу. Проблема что с собачки оплату только какашкой можно получить, а чтобы получить деньги лоха - нужен сервис. Где собачки вообще не главное.
firefox - windows
Firefox, Ubuntu. Подтверждаю.
похоже и яблу занесли нормально денег за повлияние.
Никаким другим разумным образом это не объяснить.Кому-то стоящему за letshitcrypt очень, очень хочется полностью ликвидировать возможность проверки сертификата, а не слепого доверия непонятным м-кам. Чем больше подобных странных решений под видом "безопастносте", тем меньше сомнений что это именно м-ки.
Кстати, кто-нибудь может толково объяснить, почему LE взлетел, а DANE - нет?
Потому что LE просто работает везде, а dane это не пойми что?
Разумеется всем было хорошо если бы в браузерах была бы поддержка tlsa dane под dnssec (и она была в хроме - но выпилили гады !) - тогда все бы обходились бы самоподписанными сертификатами и с надёжностью был бы полный порядок.Но !
1. Не спешат (это мягко сказано) внедрять владельцы сайтов / доменов вндрять у себя dnssec
2. Без поддержки в браузерах валидация tlsa dane под dnssec не проста для домохозяйки:
а)
dig . DNSKEY | grep -Ev '^($|;)' > root.keysб)
dig +sigchase +trusted-key=./root.keys _443._tcp.www.babai.ru TLSA | cat -nДолжны получить если всё хорошо:
Ok this DNSKEY is a Trusted Key, DNSSEC validation is ok: SUCCESS
в)
dig +sigchase +topdown +trusted-key=./root.keys _443._tcp.www.babai.ru TLSA | cat -nДолжны получить если всё хорошо:
FINISH : we have validate the DNSSEC chain of trust: SUCCES
г)
На сайте https://www.huque.com/bin/danecheck проверяем валидность уже самой tlsa dane записи.
Никто в здравом уме так не будет постоянно проверять разумеется :)
Так что есть и способ и проверенное временем надёжное решение но без повсеместного внедрения dnssec и поддержки браузерами tlsa dane - всё это лишь мечты.
Так что пользуемся https и не жужим :)
DANE:
- TLS клиент и сервер работают без центра сертификации, - потеря контроля над sheeple
- Не подерживается популярными браузерами, что практически убивает идею на корнюLet's Encrypt:
- ничего нового изобретать не надо, можно дергать ниточки LE т.к. они зависят от спонсоров,
заинтересованных в сливе в certificate transparency
- Централизованный контроль
- люди любят халяву и в конечном итоге большинство слетятся как мухи, как это есть с
халявным емаилом и прочим "бесплатным сыром"
потеря контроля над sheeple
Потому и: - Не подерживается популярными браузерамипоправил, не благодари.
> люди любят халяву и в конечном итоге большинство слетятся как мухи
а кто не слетится - тому ябл заблокирует сертификат (дайте угадаю - без кнопки "продолжить" и возможности самому решать за себя)
Собственно, из-за потенциальной потери контроля и доходов CA от продажи TLS сертификатов и есть главный фактор, почему DNSSEC/DANE последовательно и целенаправленно не поддерживают разработчики браузеров.
> Собственно, из-за потенциальной потери контроля и доходов CAкакие еще доходы у летсшиткрипты? От торговли логами? Вряд ли за это много платят, там, скорее, бартер.
> последовательно и целенаправленно не поддерживают разработчики браузеров
разработчики браузеров последовательно и целенаправленно уничтожают CA, отличные от единственноверного с сертификатами действительными три дня.
dane - феерическое бесполезное гиперусложненное ненужно (и только это и спасает их от любителей потыкать пальчиком и найти десяток RCE во всем гуанософте). Инфраструктура CA была вполне нормальным решением, если бы не одно "но": их единственным назначением должно было быть - предоставление простого пути подтверждения, что васянсайт действительно принадлежит васяну. С этой задачей они до 2010го года вполне успешно справлялись за сравнительно невеликие деньги. Проверяли документы и соответствие их тому что заявлено.
Об остальном заботился certpatrol.
Кому-то очень, очень захотелось все это разрушить, и подсунуть фуфло. И они в этом преуспели настолько, что неокученными не остались даже совершенно васянские никому неведомые форки форков.
Начали с введения SNI. Сводящему ценность сертификата к х..ю, а заодно светящим кому попало, куда ты пришел. Продолжили сдвигом окна Овертона, когда mitm от кого надо не является mitm и вообще никто не видит в нем ни малейшей проблемы. Закончили уничтожением возможности контролировать хотя бы те сертификаты, владельцы которых не поддались на "уговоры".
Все для вашей безопастносте!
> Начали с введения SNI. Сводящему ценность сертификата к х..ю, а заодно светящим кому попало, куда ты пришел.Что за бред? Как SNI влияет на ценность сертификата? И почему ты винишь SNI (внедренный в браузерах в 2006) в палеве, когда сертификаты вплоть до TLS 1.3 (который стандартизирован только в 2018) как раз прекрасно выполняли эту функцию палева прямо со времен SSL (1995), т.к. передавались без шифрования. Или эксперт не в курсе элементарных вещей?
> Продолжили сдвигом окна Овертона, когда mitm от кого надо не является mitm и вообще никто не видит в нем ни малейшей проблемы.
Во-первых, окно Овертона пропагандистский миф.
Во-вторых, кто должен запрещать владельцу сайта вставлять между собой и юзерами mitm Cloudflare? CF не сам влез, его пригласила одна из сторон, между которыми идет трафик. Точно так же как юзеру никто не мешает поставить в систему антивирус, который будет митмить весь https трафик юзера и потенциально сливать создателю и спецслужбам, восприниматься как mitm это не будет, хотя согласие владельца сайта никто не спрашивал.
> Что за бред? Как SNI влияет на ценность сертификата?банально - сертификат теперь не подтверждает что сервер принадлежит или хотя бы частично находится под контролем того, кому он выдан. Он всего лишь подтверждает то, что тот, кому он выдан, подарил свой закрытый ключ еще и этим васянам, помимо широкого круга неизвестных тебе лиц.
Ну а попутно светит всем желающим, куда ты пришел. Я вот даже не знаю - это и правда "хуже чем преступление", и васяны дорвавшиеся до права коммитить свои правки, реально были такие т-пые (могу поверить, поскольку их нашествие именно с этими событиями и совпало), или все же кто-то кому-то хорошо занес.
Причем механизм определения хоста в протоколе http прекрасно без этого мусора обходится, а дальше можно было бы, при большом желании, переустановить сессию с правильным сертификатом - уже закрытую тем, который предъявлен по умолчанию. Но так бы ты мог узнать кое-что лишнее о том, кому на самом деле доверил свой траффик, и даже, о ужас, самостоятельно решить, стоит ли ему верить - а на это мы пойтить никак не могем. Поэтому, наоборот, renegotiation из https выпилен начисто.
Потому что это куда как меньшая угроза бизнесу CA в частности, и контролю над всей системой TLS сертификатов в целом, чем DNSSEC / DANE.
Потому что LE решил проблему с сохранением обратной совместимости: помимо процесса выпуска сертификата (который все равно не стандартизирован никак) ничего менять не надо.Кстати, не вижу, как DANE позволит решить проблему, адресуемую обсуждаемым изменением в LE. А проблема серьезная.
Вы о какой проблеме?
Я для себя увидел только одну, пока еще потенциальную, но уже похоже скоро придет.
Что сертификаты для всех внутренних сервисов придется выписывать на 1 год.
Вот мне больше делать нечего чем каждый год перевыписывать сертификаты на все системы и по новому их дружить между собой.
А эти "хорошие" люди давно положили на внутренние сервисы и ломают все с требованием соответствовать самым новомодным тенденциям в интернете.
Без права выбора у конечных пользователей.
И да, я уже вспоминаю с ностальгией времена IE6. Когда в нем все просто работало.
И было плевать на безопасность, потому что внутри сети все и так безопасно.
Но если вначале это закручивание гаек и правда было осмыслено, то давно осмысленность ушла.
А навязываемые решения все меньше мне нравятся.
И в те времена я мог ВЫБРАТЬ из приличных браузеров: опера, фаерфокс или что-то более редкое.
А сейчас фаерфокс скатился в ... и продолжает катиться, хромоподелия все одинаковые и еще хуже (пока). Но хороших нет.
А они продолжат безкомпромисную борьбу за наше "светлое" будущее...
> Что сертификаты для всех внутренних сервисов придется выписывать на 1 год.чего это на год? Это просто временное решение, на переходный период. Сертификат надо выписывать на час! Иначе это нисесюрно-нисисюрно и его кто-то уже мог перехватить!
> Вот мне больше делать нечего чем каждый год перевыписывать сертификаты на все
> системы и по новому их дружить между собой.поэтому тебя заставят отказаться от доверия сертификатам вообще - даже самовыписанным.
Поставишь чудесный самоапдейтящийся сервис в докере под докером в докере (по другому этот набор палок и костылей, обмазанных дерьмом, запустить будет все равно нельзя), и он тебе будет автоматически раз в час все перегенерять. Доверять ты должен исключительно гуглезиле, они лучше тебя знают, что безопастно.
> Второе: Safari, как ни парадоксально, повлияет на рынок сертификатов. То есть, производители браузеров обладают рычагом воздействия. Лично мне это как-то неожиданно.С удачной разморозкой!
Парадоксально и неожиданно тут разве что "производитель браузера" в этом случае оказался не гуглом:https://www.opennet.ru/opennews/art.shtml?num=51271
> В Chrome 77 и Другом Браузере Гугля 70 будет прекращена маркировка сертификатов с расширенной верификациейhttps://www.opennet.ru/opennews/art.shtml?num=46941
> В Chrome и Другом Браузере Гугля будет прекращено доверие к удостоверяющему центру Symantec(В заголовках ошибочно именовали "другой, финансируемый почти исключительно гуглом браузер" каким-то "firefox" - поправил)
> Парадоксально и неожиданно тут разве что "производитель браузера" в этом случае оказался не
> гуглом:уже не парадоксально:
palemoon: https://www.opennet.ru/opennews/art.shtml?num=52004
HPKP will eventually be removed (overall Internet concensus).Казалось бы, интернет-консенсунс пришел к выводу, что все технологии, ради которых только и держат PM - вредные нисисюрные нибизапастные и should be removed. Но почему-то зачесалось в этом случае - последовать за стадом.
То ли пастух махнул кнутом. То ли ящерики овладевают напрямую через мозг. То ли мозгов ни у кого и не осталось, купируют на первом курсе любой техничекой специальности.
Я еще готов поверить, что яблу кто-то занес - учитывая апетиты, туда завозить пришлось, но это окупает ценность клиентуры - на одного придурка Безноса, не желающего быть некаквсе, и за это жестко иметого даже простыми арабскими парнями, еще десять все же пользуются огрызком потому что это подчеркивает их статус.
Но на этого-то кто стал тратиться - хотя бы чтоб просто его вообще заметить?
P.S. хммм. а ведь выстраивается стройная картина. waterfox куплен ребятами, которые _якобы_ зарабатывают рекламой. А по факту - баннер 1x1 ничего не рекламирует.
Никто не отслеживает происходящее вокруг ungoogled chromium?
Походу мозг поха был зохаван ящерками...
походу у вас мозгов нет вообще, ящерики сдохнут с голоду.
В заголовке все нормально. Это баш вашего браузера.
Баг*
"Баш вашего браузера" тоже норм звучит.
ну а что, гит на баше вон написали уже, можно и браузер
Вроде и полезное пытаются сделать - а всё печальнее станет.При переносе домена между хостингами, теперь ещё дольше ждать придется, чтобы получить этот сертификат, ибо нужно было, чтобы один ДНС сервер ответилЮ что сайт уже на новом хостинге, а теперь 3 разных должны- а это увеличивает время, пока 3-и из 4-х в разных местах обновят нс-записи.
Это какбэ намек: "Хватит прыгать туда сюда".
Со своей персоналки, с которой админишь оба сервера, получи вручную сертификат через DNS Challenge и залей его на новый сервер ДО ПЕРЕЕЗДА. После этого переезжай. А уже после этого - настраивай автоматическое получение сертификатов на новом сервере.Если по какой-то причине нет возможности использовать DNS Challenge, просто скопируй сертификат со старого сервера на новый.
Гемор переноса уведичится - так из ISP в ISP автоматом архивы переносятся, а тут нужно лезть и ковырять, легче подождать заливки нс-записей на 3 сервера.Тут конечно не фатальная задержка - лишний час-два, в принципе не так серьезно. А защита все-таки с 3-х серваков запрос, это уже что-то, поэтому, будем ждать, не переломимся.
А уже если у кого-то нагруженный сайт, то он явно один, а не 1200 как у меня, он может и руками там поковырять сертификат, чтобы переехать, это мне нужно сотни сразу переносить, если ехать на другой хостинг, там руками не проканает.
1. А зачем менять сертификат, если домен тот же самый ???2. Я понимаю что без DNS challenge не обойтись, когда нужен сертификат для интранет ресурсов, недоступных извне, но для публичных ресурсов ИМХО верификация через веб быстрее и менее геморойная
> А зачем менять сертификат, если домен тот же самыйа затем что срок годности три дня, уже истек, пока ты возился с переносом.
Только сейчас почитал что это такое DNS Challenge - :)
Нет, это не для меня. У меня более полутора тысяч доменов на более чем 300 аккаунтах у 89 хостеров.Никаких челенджев быть не может для меня в принцип, и никаких ручных переносов сертификатов тоже - только новое авто-получение на новом месте.
> 1. А зачем менять сертификат, если домен тот же самый ???А у меня "зачем" по другой теме:
> 2. Я понимаю что без DNS challenge не обойтись,
> когда нужен сертификат для интранет ресурсов,
> недоступных извнеЗачем делать https на внутренних ресурсах, недоступных извне, если в недоступные извне сайты никакой вредитель типа Ростелекома и ему подобных хакерских группировок и при голом http не вставит паразитов со своей спамерской рекламой, ведущей на t mail ru ?
> Зачем делать https на внутренних ресурсах, недоступных извне, если в недоступные извнезатем, что они иначе - не работают, если устроены чуть посложнее одной странички в html 3.2
Благодари за это мурзилу и гугля - они позаботились о твоей безопастносте.
>Зачем делать https на внутренних ресурсах, недоступных извне...Затем чтобы шибко умные работники и инсайдеры не просматривали трафик с паролями и чтобы не бегать по 400 рабочим станциям раположенных на 2-х этажах и устанавливать self-signed сертификат на который лаются браузеры
Подтвердите через днс
В ISP 5 Lite еще ни разу не удалось подтвердить оп DNS на пачке разных хостеров.
И виноват в этом, конечно, letsencrypt, а не кривые панели для неосиливших шелл-скриптинг.
Дело не в этом - у меня овер 1500 сайтов, я что, буду разбираться в чем-то,что не массово используется на хостингах?Есть хостинг, есть ISP 5 Lite в быстрым API, есть 100-200 доменов на аккаунт (на 40-70 IP), есть код (в php, или cgi) который все эти домены может быстро спаковать и перенести и развернуть на другом хостинге с ISP 5 Lite - расскажите плиз мне про инструменты, чтобы я мог по DNS 200 доменов этих подтвердить и перенести к другому хостеру с сертификатами?
Судя по описанию, это какая-то сеота. Вот уж точно пофиг на проблемы сеошников.
> контролируемый сообществом
> с 4 разных IP-адресов, размещённых в разных датацентрахТо есть в "сообществе" не нашлось больше 4 мало-мальски крупных и заслуживающих доверия субъектов, которые могли бы предоставить проекту мощности для выполнения таких запросов, чтобы проверить сайт не с 4, а с сотен адресов. Показательно.
Какое еще сообщество? Летс энкриптом управляет вполне себе корпорация. Сообщества хакеров я бы и не подпустил выдавать сертификаты или что-то проверять они все будут проверят каждый в свою пользу.
Да хакерам веры нет, пойду ядро линукса закапаю, зато вот компании летсов прям можно и ключи от дома доверить, они честные
А вы знаете таких крутых пацанов, которые не зная из какого IP пула прийдет проверяющий запрос могут напакастить в более чем 4 BGP, в реальном маштабе времени ?
А Вы можете дать гарантию, что их нет? Я вот подозреваю, что если Агентство Национальной безопасности США мягко намекнёт владельцу какой-либо АС что неплохо бы на часик-другой внести вот такие изменения в свои анонсы и таблицы маршрутизации, то маршрутизация для целевых АС таки поменяется с оптимальной на "правильную".
Чувак, специально для тебя существует даркнет с луковыми адресами или вообще локальной адресной книжкой в i2p. Если тебе нужно залезть на официально зарегистрированный сайт какой-то фирмы, то не удивляйся, что он подчиняется законам, насколько незаконными бы эти законы не были. Ты правда думаешь, что твои котики и гиги пурна - важная стратегическая статистика? Люди, которым правда это важно, не используют подобные сервисы, а если таки пришло время этого самого, то они скачают это торрентом или ещё как-нибудь, причём там материал даже понинтереснее найти можно.
Какой даркнет? Какие луковые адреса? Здесь вообще речь идёт о другом - о том, что никогда нельзя быть уверенным в том, что где-то за пределами твоего контроля всё происходит так, как тебя пытаются убедить.
А ещё нельзя быть уверенным, что мир существует, когда ты его не воспринимаешь. И что? Это бессмысленная позиция, не имеющая никаких продуктивных практических последствий.
Фокус в том что луковый адрес таки достаточно однозначно подтверждает владение вон того типа вон тем ключом, и вот этому факту более-менее можно доверять :)
Любой путь в результате пройдёт через AS, через которые ДЦ подключены к инету. Их и будут атаковать.
"We’ll make multiple validation requests from different network perspectives." != DCНа сколько я понял, проверять будут из рандомных, бросовых ИП разнесенных географически, а не с ИП выделенных на датацентры, также как shodan прячется
А речь и де об их ASах, а об ASах рядом по маршруту с ASами дейтацентра, где сайт хостится.
Интернет рип. Вон недавно выяснил, что инфинитичан закрыли без суда и следствия по надуманной причине. Про запрещённый контент это ложь, любой незаконный контент там удаляли в течении минуты, а нарушителю выдавали пермабан. Сомнительные обсуждения тоже через пару минут удалялись. А всё от того, что какие-то шизофреники выбрали его в качестве своей площадки для привлечения внимания (к себе). О каком интернете при таких раскладах можно говорить? Человечество совершенно растеряло остатки разума.
One ring to rule them all...
throw it in the fire!
>теперь будет осуществляться с использованием нескольких HTTP-запросов, отправляемых с 4 разных IP-адресов, размещённых в разных датацентрах и принадлежащих к разным автономным системам.Генералиссимус Очевидность подсказывает, что достаточно атаковать какую-либо из общих AS в пути. Напр. AS ЦОД. Но я не спец в BGP, не исключаю что вообще достаточно атаковать AS, через которую маршрут не проходил, чтобы образовался новый маршрут через неё и AS атакующего.
генераллисимус спит. А его адьютант подсказывает, что надо просто зайти в гости к админу сайта - и никаких сложных ходов, оставляющих массу следов в неподконтрольных логах.Необязательно при этом с мигалкой и взводом зомби в скафандрах, можно просто найти дырочку в модном-современном http2 сервере. И слегка пропатчить ему certbot.
>найти дырочку в модном-современном http2 сервереА есть быстрые серверы типа энджинкса, но на ржавчине/goвне?
Назвал бы воду, но не помню на чём она, а гуглить лень.
> Назвал бы воду, но не помню на чём она, а гуглить лень.На сях, естественно. А из гопников с растишкой разве что caddy припоминается.
> генераллисимус спит.Мозг у вас спит, Капитан в том случае - имя, а не звание.
>По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 81% (год назад 77%, два года назад 69%), а в США - 91%.Зато многим сайтам вообще нaсрaть на TLS и на пользователей. Им просто ОК, что у них фактически нет TLS (работает только plain http), они монополисты, куда пользователь денется с подводной лодки. Примеры: гoвнoбунту, гoвнoбиан (для большинства можно юзать mirrors.kernel.org, но вот security. вообще не зеркалируются и доступны только без TLS, уязвимость в APT их так ничему и не научила), СTAN (привет малварь от NSA), sks-keyservers (приходится юзать keyserver.ubuntu.com), а также значительная часть ***сайтов госучреждений, включая сайты институтов и конференций (превед, закон о персональных данных). Более того, даже некоторые сайты самой Могиллы имеют плохую настройку TLS, напр. OCSP Stapling вообще нет.
Зачем тратить ресурсы сервера на безопасность и приватность пользователей, если на них можно просто нaсpaть?
> Зачем тратить ресурсы сервера на безопасность и приватность пользователей,Угу. До сих пор, в 2020 после титанических усилилий Гугла и прихлеваев, можно скачать картинку с котиками по открытому (о ужас) каналу.
мне кажется, этой вакханалии несесьюрности уже явно приходит конец? В ближайшее время небезопастные котики будут доступны уже только разьве что в локалке. И то недолго, получите и распишитесь "страницу" с надписью "нисисюрнанисисюрна", без объяснений что там не понравилось (с идиотским внутренним кодом ошибки, который нахер никому не нужен) и без кнопки "продолжить", разумеется.Заметьте - эта глупость тоже давным-давно во всех браузерах, включая васянские.
Лень разбирать все примеры, отвечу про несколько из того что знаю:
Сайты debian и ubuntu доступны по https, OCSP сломан и никто на него давно не смотрит.
Зеркала репозиториев делают сторонние команды, это их дело делать ли доступным свое зеркало по https или нет, для того чтобы было пофиг - существуют цифровые подписи, а уязвимости точно так же будут находить и при использовании https. Кроме того, использование https сломает тот простейший в эксплуатации и настройке cdn который делают для зеркал, т.к. всем придется раздавать сертификаты этого cdn.
>Сайты debian и ubuntu доступны по httpsДа ну: https://archive.ubuntu.com/ubuntu/pool/universe/n/ninja-buil...
>это их дело делать ли доступным свое зеркало по https или нет
Это дело разработчиков пакетного менеджера, запретить протокол http, или нет.
>для того чтобы было пофиг - существуют цифровые подписи,Как подпись защитила от уязвимости видно. Правило криптографии - сначала проверить integrity, потом уже делать вообще что либо. Только для такой схемы есть доказательство безопасности в общем случае. В случае plain http, даже если сам файл подписан, она нарушена.
>Кроме того, использование https сломает тот простейший в эксплуатации и настройке cdn который делают для зеркал, т.к. всем придется раздавать сертификаты этого cdn.
В ж*** пусть себе засунут свой простейший CDN. Они дело делать собрались или ныть, что им сложно и денег нет? Если у них денег на это нет или сложно, то пусть лавочку закрывают, какое можно дело сделать, если ресурсов банально нет?
В винде обновления также по http передаются. У старых версий дисирибутивов не все пакетные менеджеры умели в https.У вас похоже https головного мозга
Зачем шифровать соединение говноtls-ом, когда передаваемые по нему файлы имеют криптографические подписи?
гoвноtlsсом вообще не надо ничего ни аутентифицировать, ни шифровать. Нужно нормальным TLSом. Нормальный - это имеющий A+ на ssllabs + дополнительное упрочнение в виде HPKP и орг и техн мер, вроде HSM и блог-поста с оправданием на каждую смену сертификата.
> Нормальный - это имеющий A+ на говноssllabs + дополнительное говноупрочнение в виде говноHPKP и орг и техн говномер, вроде говноHSM и говноблог-поста с оправданием на каждую смену говносертификата.Пофиксил за тебя. Можешь не благодарить.
> передаваемые по нему файлы имеют криптографические подписи?Подписанные неизвестно кем ?
Или верить что их веб сервера не взломаны и верификационные хэши не подмененны?
А может верить публичным ключам опубликованным на еле дышащих кей-серверах?
Ну так поройте здесь мою хистори, я уже расказывал как лет 10 назад стал "секюрити офицером" от фряхи не являсь таковым.А еще оказывается криптографические подписи "надежно спрячут ваш пароль к банку" ...
ко=ко=ко=кой ужос!Вот от обертки в https - сразу все верификационные хэши станут настоящими, и вебсервера невзломанными, и в сам пакет кто-то с ключом майнтейнера ничего лишнего не добавит.
> Ну так поройте здесь мою хистори, я уже расказывал
"бабка - врет!"(c)
> А еще оказывается криптографические подписи "надежно спрячут ваш пароль к банку" ...
пока не проимеешь подпись - надежно. А если ты ее проимел и вместе с паролем - то это https головного мозга в чистом виде.
> когда передаваемые по нему файлы имеют криптографические подписи?Ну например чтобы не информировать потенциальных атакующих о версиях софта в системе. А то может им сразу еще и список вулнов скомпоновать для их удобства и повышения шансов на успех?
и какое же отношение список скачанных пакетов имеет к "версиям софта в системе"?И конечно же если они о нем не знают, их эксплойты волшебным образом нельзя будет просто попробовать.
Эксперты опеннета... вот гугель - гугель все правильно делает, да?
> и какое же отношение список скачанных пакетов имеет к "версиям софта в системе"?Это же элементарно, Ватсон! Если софт скачали, скорее всего и установили. Так можно более-менее реконструировать что за софт у адресата стоит.
> И конечно же если они о нем не знают, их эксплойты волшебным
> образом нельзя будет просто попробовать.Одно дело гасить сплойтами на деревню дедушке (так можно долго лупить с нулевым результатом вникуда) и совсем другое - зная версию и тип софта пойти, зазырить список CVE и уже прицельно и информированно укатать уже вот этим, зная что это должно работать.
> Это же элементарно, Ватсон! Если софт скачали, скорее всего и установили.так он в репо лежит - можешь для простоты считать что все версии на васян сервере именно такие. Вот если бы ты успел до обновления и знал бы точно какие версии там протухли - это бы чему-то еще и помогло.
> Так можно более-менее реконструировать что за софт у адресата стоит.
или что за софт он собрался обновить. В любом случае ценность этой информации изрядно преувеличена, а получать ее - далеко не общедоступное развлечение.
Если у тебя есть доступ к операторскому оборудованию, настолько крутой что ты можешь перехватывать траффик (и, что интереснее - если не настолько крутой, а обычный васянский) - ты наверняка можешь просто просканировать васян-хост, причем с адреса 1.1.1.1 - пользы будет в сто раз больше. Поскольку ты тут же узнаешь не что там теоретическим могло быть, а что там на самом деле есть и забыли прикрыть, причем, совершенно беспалевно.
Вы боитесь того, что кто-то может отследить то, что вы тыкаете на общедоступном сервисе? Ну такое. Больше бесит другой факт, что когда вы уже <b> авторизуетесь </b>, шифрование не появляется, и абсолютно вся реально важная инфа (если вы не по приколу регистрируетесь где попало) идёт открытым каналом. А так хз, без захода в свой аккаунт впринципе на той же википедии шифрование нафиг не нужно, разве что чтобы ркн не брызгало слюнями и не банило отдельные странички эта технология полезна.
>когда вы уже <b> авторизуетесь </b>, шифрование не появляетсяТак везде?
Или где-то появляется?
> нaсрaть на TLSМне тоже. Шифроваться можно с тем, с кем ты предварительно встретился в офлайне и обменялся ключами, и только при использовании проверенного ПО. Сертификат сайта заверен УЦ, сертификат УЦ включён в поставку броузера или ОС, пользователь установил или согласился на использование ПО - никого из этих людей пользователь не знает, он доверяет всем этим людям, фактически, по слухам. Поэтому TLS на сайте - это иллюзия защищённости.
Эта "иллюзия" прекрасно защищает хоть от невменяемого провайдера, хоть от пионера-хакера Васи, в общем и целои делая атаки дороже, а значит - сильно уменьшая число случаев, когда они вообще имеют смысл. Заодно - сильно усложняет слежку за трафиком. Добавь распространённость вайфая, который поднимает вообще кто угодно - и в сравнении с ними поставщики браузера и ОС и владельцы УЦ - явно меньшая угроза. При этом со стороны пользователя эта штука идеальна ИМЕННО потому что ему не надо ни с кем "встречаться в офлайне и обменитваться ключая", или предпринимать что-то другое. Ему вообще ничего не надо делать, а безопаснее ему стало. Кому надо что-то большее - вперёд, но там уже без геморроя не обойтись, а значит - массовым решение не будет. Но даже им есть профит от повсеместного HTTPS - можно замаскировать свой шифрованный трафик в куче другого шифрованного трафика.
> Эта "иллюзия" прекрасно защищает хоть от невменяемого провайдера, хоть от пионера-хакера Васии от атак рептилоидов. конечно же.
Что твой г-носайт хостится у невменяемого провайдера, траффик проходит через mitm "заботливой" клаудфлари, и уже взломан пионером Петей, если, конечно, пионер Сережа, его админ-вебдизайнер-и-владелец не разместил этого трояна сам - и что это в сто раз вероятнее - больной мозг воспринимать не в состоянии.
Как и то, что все механизмы, хоть как-то способные помочь в этих случаях - уничтожены. Старательно, с мельчайшей точностью, всеми поголовно, включая каких-то совсем уж васянов, о которых и не знал толком никто.
>Поэтому TLS на сайте - это иллюзия защищённости.Нет. Это защищённость от говнопровайдера. Сколько провайдеров в мире? Сколько захотят шпионскую малварь в траффик вставлять? Очень многие захотят - это дополнительный источник дохода. Уже были случаи среди мобильных и "бесплатного wifi" провайдеров.
Как этому противодействовать? А никак. Противодействовать этому может только уважающее себя население. А оно себя не уважает вообще никак. Если бы можно было вместо жёлтого и красного экрана выводить сообщение от провайдера, то все провайдеры бы делали MiTM, а в сообщении было бы написано "ставьте наш сертификат". Меньшинство ничего бы не решало и пришлось бы ему отказаться от интернета вообще.
Нужно понимать население. Оно себя не уважает, но и перенастраивать браузер ещё больше не желает. Если ты им скажешь "перенастрой браузер", оно скажет "я не умею, уметь не хочу, я вам плачу в том числе за то, чтобы не знать и не уметь и not to give a f**k, ждать специально обученных людей не хочу, уйду к конкуренту". Это если конкурент без этого будет. Если всех законом обязать так сделать, а не сделавших уничтожат (напр. проверяя каждый час и выписывая по штрафу каждую проверку), то конкурента не будет и население проглотит. Если ты им скажешь "мы вас взломаем, затрояним, отбэкдорим, вышпионим", они скажут "нам пофиг". Позиция разрабов Safari и Chrome (на позицию мозиллы всем пофиг) - это единственное, что удерживает рынок от перехода в устойчивое состояние, описанное выше, чисто рыночными методами.
> Позиция разрабов Safari и Chrome (на позицию мозиллы всем пофиг) - это единственное, что удерживает рынокНичего она не удерживает. "Позиция" и "влияние" сами по себе это пустые слова. Удерживать может только отсутствие технической возможности (или наличие возможностей у кого-то другого).
Пока встраивать рекламу и трояны в сайты сложно, а обнаружить и блокировать их просто, пока есть хотя-бы номинальная конкуренция на рынку интернет-услуг, заниматься этим будут только провайдеры-идиоты.
А закручивание гаек это всегда дорога в один конец. Сегодня команда разрабов хромого мнит себя черт знает кем, а завтра им тихо уменьшат штат до 2-х с половиной человек, как это случилось в Microsoft во времена IE 6. А урон уже нанесён: привилегия работы по plaintext-протоколу успешно передана в руки CDN, хостить контент без регистрации доменов становится нереально (посмотрите, сколько $$$ нужно платить в месяц за _владение_ блоком IP чтобы получить на него серт а-ля 1.1.1.1), для создания сайтов нужна регистрация по паспор^W в Let's Encrypt с ежемесячным мониторингом активности через certbot... Всё это добро контролируется горсткой людей - даже не госслужащих, а корпораций, который ни за что не отвечают.
Let's Encrypt основана не корпорацией, а правозащитной организацией EFF.
>По мнению Apple генерация подобных сертификатов создаёт дополнительные угрозы безопасностиУгрозы безопасности - это когда сертификат поменялся, но никто, кроме поменявшего, не знает почему: то ли сам сервер скомпрометировали вместе с сертификатом, то ли учётка админа сервера на CA, то ли скомпрометирован CA, то ли рутинное обновление для обновления криптостандартов.
>мешает оперативному внедрению новых криптостандартовПросто запретите не-TLS в своих браузерах и захардкодьте в исходниках.
>позволяет злоумышленникам длительное время контролировать трафик жертвы
Вот как раз постоянное обновление и позволяет: client-side TOFU пиннинг не сделать.
>использовать для фишинга в случае незаметной утечки сертификата в результате взлома.
В случае взлома можно просто иметь присутствие на сервере и получать всё напрямую с сервера. Никто не заметит. А если и заметит - исправить очень дорого.
Большинство компов заражено малварью, потому что домохозяйки и дети открывают .jpg.exe .pdf.exe, .doc.exe, .doc, .docx (поддерживают дофига устаревших никому не нужных форматов, в которых периодически находят уязвимости) из инета, да и просто имеют Flash, который никак не умрёт благодаря Хрому, который его бандлует (firefox же его просто дропнул вместе со всеми остальными npapi, но всяким бухгалтерам приходится юзать устаревшие версии или вообще IE, потому что всякие банки и госсайты это требуют, а раз Господин приказал - значит надо выполнять. Не стоит и говорить, что в остальной инет многие из них ходят через те же браузеры, где у них банки).
Если предложить им весь этот софт (лицензионный 1С с кастомными доработками от "программистов 1с" на русифицированном говнобейсике, в которые было вложена куча бабок и которые на другой комп не перенести без наёма специалиста по 1С) снести и переустановить систему, то будешь послан на ***.
Но даже если софт переустановить не проблема, проблемма с аппаратным обеспечением. В прошивки можно занести очень дорого удаляемый бэкдор.Это не принимая во внимание бэкдоры в аппаратном обеспечении зашитые в кремний и неизвестные зеродей дыры, которые можно использовать для забэкдоривания всего софта. Достаточно забэкдорить девтулзы, которыми собрано всё, после чего пользователь встаёт перед дилеммой:
* раскрутить весь софт (включая ОС и биос) с нуля, используя себя как компилятор и аппаратный программатор на своей логике. Очень дорого.
* Расслабить булки и получать удовольствие.
Ну вот поэтому делают то, что возможно, а не "расслабляют булки", раз уж идеала достичь нельзя. Усложнили атаки, сделали их дороже - вот и отлично. А перфекционизм - это к академическим случаям, которые на практике не только невозможны, но и никому не интересны. Я абсолютно уверен, что фирмварь в моём железе не будет пытаться утянуть реквизиты моей банковский карты или аккаунт в социалке, и рекламу впихивать на загружаемые веб-страницы - тоже. И что это же не будет делать софт из репозитириев Дебиана - тоже. А от левых личностей в вебе как раз https меня и прикроет.
> Я абсолютно уверен, что фирмварь в моём железе не будет пытаться утянуть реквизиты моей банковский карты или аккаунт в социалке, и рекламу впихивать на загружаемые веб-страницы - тоже.Я тоже уверен в этом, если речь идёт о биосе. Это низкий уровень, системный. Для малвари на этом уровне важна возможность взять под контроль ОС и спрятать другое вредоносное ПО, которое уже и будет и инфу тырить, и компилируемые программы анализировать и инфицировать, и факт компрометации скомпилированных программ прятать.
>И что это же не будет делать софт из репозитириев Дебиана - тоже.
А вот в этом я совсем не уверен. Софт из репозиториев дебиана собран компилятором. И невозможно быть уверенным в его невредоносности, если он сам может быть собран вредоносными инструментами. Инфицировав тулчейн, собирающий дебиан, ты инфицируешь весь софт, собранный им, то есть дебиан. Инфицировав дебиан ты инфицируешь всех пользователей дебиана, включая всех разрабов, а также другие дистры, разрабы которых сидят на дебиане. Инфицировав всех разрабов ты предотвращаешь возможность обнаружения ими компрометации. Всё, цикл замкнулся, уробурос укусил свой хвост. Теперь чтобы обнаружить компрометацию придётся сканить HDD неинфицированным софтом. При этом можно заражать только большие и сложные бинари, в которых хрен вы обнаружите вредоносную модификацию и сделать их несобираемыми версиями компиляторов до заражения всего мира, тогда референсного чистого бинаря не будет в принципе, с которым можно bit-per-bit сравнить.
Теоретически да. А на практике - где-то да засветились бы уже. А теоретически игры ума как-то не интересны
>А на практике - где-то да засветились бы уже.А вы думаете есть желающие за такую цену искать чёрных лебедей? Вы всё ещё надеетесь вот что вот за вас лично кто-то это сделает?
> А вот в этом я совсем не уверен. Софт из репозиториев дебиана собран компилятором. И невозможно быть уверенным в его невредоносности, если он сам может быть собран вредоносными инструментами.Возможно. Если отказаться от бинарной логики -- а от неё надо отказаться, потому что иначе нам про всё вообще придётся сказать "невозможно быть уверенным" -- то "быть уверенным" превращается в вероятностную оценку истинности высказывания.
> Инфицировав всех разрабов ты предотвращаешь возможность обнаружения ими компрометации.
Не, чем больше разработчиков ты инфецировал, тем ближе провал. Тут ведь какая штука, разработчик иногда отлаживает программу, и в интернете попадаются истории о том, как такая рутинная операция как отладка привела к обнаружению бага в процессоре или компиляторе. Это бывает редко, но чем больше разработчиков пользуется пропатченным компилятором, тем больше у них шансов заметить что-нибудь странное в поведении компилятора. Чем чаще такие странности замечают, тем больше шансов напороться на целенаправленное исследование этой странности, на сравнение работы разных компиляторов, на сравнении работы разных компиляторов на разных платформах, на эксперименты над кодом, с целью изучить влияние кода на изучаемую странность.
> Теперь чтобы обнаружить компрометацию придётся сканить HDD неинфицированным софтом.
Это если у компилятора есть мозги, то может быть. Но у компилятора нет мозгов, в нём есть лишь алгоритмы, а алгоритмы тупые. А раз так, значит при определённых условиях они начнут творить пургу. Дальше дело лишь в частоте возникновения этих определённых условий, но эта частота будет неизбежно расти по мере роста распространённости данного компилятора.
> При этом можно заражать только большие и сложные бинари, в которых хрен вы обнаружите вредоносную модификацию и сделать их несобираемыми версиями компиляторов до заражения всего мира, тогда референсного чистого бинаря не будет в принципе, с которым можно bit-per-bit сравнить.
Какая разница какого размера бинарь? Ты когда-нибудь ковырял непонятные баги? Тебе не случалось в процессе вваливаться в такие глубины фрустрации, когда ты начинаешь делать дурацкие изменения в коде, чтобы посмотреть как они по-дурацки же изменят поведение программы? Это уже чистой воды метод тыка: ты знаешь как программа сфейлится, если поменять "int a" на "size_t a", но ты уже ни в чём не уверен, и даже в своём знании, и поэтому всё равно берёшь и пробуешь это изменение. Если такие рандомные изменения наложатся на изменения привносимые компилятором...
Или прикинь, есть такая штука как профайлинг. Есть разные подходы к этому, но один из них -- это в рандомные моменты останавливать программу, и записывать IP (Instruction Pointer) точки останова. После этого, если мы посмотрим какие адреса попадались чаще, а какие реже, мы сможем судить о том, где и сколько времени программа потратила в процессе выполнения. Если твой компилятор не пофиксил профайлер, чтобы тот не учитывал бы адреса, по которым располагается вредоносный код, то этот вредоносный код начнёт светиться. Но профайлеры бывают разные, и бывают очень дорогие профайлеры, и люди реально платят за них. Как ты пофиксишь все?
А фаззеры? Ну вот прикинь, фаззер играется с тем, что он запихивает в программу, пытаясь найти условия, которые позволят прогонять программу по любому возможному пути выполнения. Если в программе есть вредоносная нагрузка, то фаззер (ничего не зная о вредоносности) попытается подобрать условия для активации её. Если ему не удастся, он об этом сообщит, предположив что это недостижимый код. Если ему это удастся, он начнёт подбирать условия для того, чтобы эта вредоносная нагрузка сделала бы всё, на что она способна. Тут крайне сложно не спалиться, не привнести никаких странностей в отчёт фаззера. И фаззеры, опять же, бывают разные.
Короче, чем удачнее проект по инфецированию компилятора, тем ближе этот проект к провалу.
>Но профайлеры бывают разные, и бывают очень дорогие профайлеры, и люди реально платят за них. Как ты пофиксишь все?Для профайлеров фикс не такой большой нужен. Только распознать метку, внедрённую в код, и скрыть помеченный код. Разумеется, сам код, который в профайлере выполняет скрытие, тоже помечен. Фаззер тоже можно пропатчить.
Единственный недостаток для атакующего - это требует фуллтайм работы некоторого коллектива, но это явно доступно любой небанановой (а возможно что и банановой тоже) республике.
>Если такие рандомные изменения наложатся на изменения привносимые компилятором...
Компилятор - не сильный ИИ. Все патчи реалистично проектировать исключительно человеком на определённые куски кодовой базы. А при изменении человеком кода, затрагивающего нужный кусок опасным образом достаточно вывалить ошибку пострашнее и понепонятнее. Очень трудно будет понять, в чём действительно дело, если твои инструменты тебя намеренно вводят в заблуждение. Пока он там возиться будет, пытаясь разобраться, откуда эта ошибка, команда из АНБ напишет новый патч и в новой версии компилятора или либ ошибка волшебным образом исчезнет. Разраб обрадуется, ему работать надо, а не чужой говнокод отлаживать.
>>Но профайлеры бывают разные, и бывают очень дорогие профайлеры, и люди реально платят за них. Как ты пофиксишь все?
> Для профайлеров фикс не такой большой нужен. Только распознать метку, внедрённую в
> код, и скрыть помеченный код.Про какую метку ты говоришь? Просто останавливаем процесс и смотрим где он остановился. Никаких изменений кода профайлер в таком режиме не делает.
> Разумеется, сам код, который в профайлере
> выполняет скрытие, тоже помечен. Фаззер тоже можно пропатчить.Как ты пропатчишь профайлер, если у тебя нет его сорцов, и даже за бинари тебе придётся отдать сотни тысяч нефти? Как ты пропатчишь пропатченный профайлер, который был пропатчен потому что разрабу очень специфичный вид профайлинга понадобился? Как ты пропатчишь наколенный профайлер, который разраб создал потому что ему заняться было нечем, или потому что он хотел понять, как пишут профайлеры?
>>Если такие рандомные изменения наложатся на изменения привносимые компилятором...
> Компилятор - не сильный ИИ. Все патчи реалистично проектировать исключительно человеком
> на определённые куски кодовой базы. А при изменении человеком кода, затрагивающего
> нужный кусок опасным образом достаточно вывалить ошибку пострашнее и понепонятнее. Очень
> трудно будет понять, в чём действительно дело, если твои инструменты тебя
> намеренно вводят в заблуждение.Если вывалится ошибка пострашнее и понепонятнее, то где-нибудь будет создан тред с заголовком "wtf", где вскоре соберутся люди, которые воспринимут "страшно и непонятно" как долгожданный вызов своему интеллекту, и начнут копать.
Ты чего-то не понимаешь: если разработчику его программа вываливает страшную и непонятную ошибку, то для него это сигнал о том, что он не понимает что его программа делает. Понятно, что ситуации бывают разные, и иногда не до того, дедлайны горят и надо сделать лишь бы работало. Но вообще-то это тревожный сигнал, и он вызывает желание разобраться, желание понять что происходит. И чем шире применение твоего компилятора, тем чаще возникают такие ситуации, тем больше вероятность нарваться на разработчика, у которого дедлайны не настолько горят, у которого есть время посидеть и поковырять.
> Пока он там возиться будет, пытаясь разобраться, откуда эта ошибка, команда из АНБ напишет новый патч и в новой версии компилятора или либ ошибка волшебным образом исчезнет. Разраб обрадуется, ему работать надо, а не чужой говнокод отлаживать.
Эээ нет. Тут ты просто не понимаешь разрабов. Да, разраб в режиме "дедлайны горят" будет рассуждать именно так. Но всегда есть разрабы, для которых "волшебным образом ошибка исчезла" -- это отличная возможность сравнить "исчезла" с "не исчезла" и понять, что изменилось. Плюс, если ты начинаешь распространять патчи, то как ты это будешь делать? У сотен и тысяч разработчиков стоят пропатченные компиляторы, как их все исправить? Отметь, тебе ведь придётся править и, например, гентушные компиляторы, которые упорно собираются из сорцов. Если ты не пропатчишь их, то ты дашь отличную возможность сравнивать дебиановский компилятор с гентушным и искать различия -- это огромная дыра в твоей теории заговора.
>Как ты пропатчишь профайлер, если у тебя нет его сорцов, и даже за бинари тебе придётся отдать сотни тысяч нефти?Если контроллировать машину, на которой этот профайлер собирается, и эта машина подключена к инету, то ни своровать код, ни пропатчить профайлер проблемы большой не будет.
>Как ты пропатчишь пропатченный профайлер, который был пропатчен потому что разрабу очень специфичный вид профайлинга понадобился?
Он же не весь профайлер патчить будет. Вполне вероятно, что скрывающий кусок не затронет.
>Как ты пропатчишь наколенный профайлер, который разраб создал потому что ему заняться было нечем, или потому что он хотел понять, как пишут профайлеры?
Разрабу наколенного профайлера делать больше нечего, кроме как им GCC профайлить.
>Если вывалится ошибка пострашнее и понепонятнее, то где-нибудь будет создан тред с заголовком "wtf", где вскоре соберутся люди, которые воспринимут "страшно и непонятно" как долгожданный вызов своему интеллекту, и начнут копать.
Если ошибка через день исчезнет после обновления версии компилятора, то никто даже не полезет выискивать, из-за чего в компиляторе такое было.
>Понятно, что ситуации бывают разные, и иногда не до того, дедлайны горят и надо сделать лишь бы работало.
В бизнесе всегда всё нужно уже вчера. Это гонка наперегонки, не впереди ты - деньги получают конкуренты и усиливаются ещё больше. Положительная обратная связь.
> Отметь, тебе ведь придётся править и, например, гентушные компиляторы, которые упорно собираются из сорцов.
Если у тебя весь мир инфицирован, в смысле все машины имеют агент, заражающий компилятор так, чтобы он заражал компиляторы и программы, то патчи можно наложить всем автоматически. Есть проблема с обновлениями патчей - некоторые машины могут быть без сети.
>>Как ты пропатчишь профайлер, если у тебя нет его сорцов, и даже за бинари тебе придётся отдать сотни тысяч нефти?
> Если контроллировать машину, на которой этот профайлер собирается, и эта машина подключена
> к инету, то ни своровать код, ни пропатчить профайлер проблемы большой
> не будет.Не, это если контролировать _все_ машины, на которых этот профайлер собирается. Если ты контролируешь лишь часть, то ты можешь столкнуться с тем, что разработчики заметят, что разные сборки профайлера выдают разные результаты.
>>Как ты пропатчишь пропатченный профайлер, который был пропатчен потому что разрабу очень специфичный вид профайлинга понадобился?
> Он же не весь профайлер патчить будет. Вполне вероятно, что скрывающий кусок
> не затронет.Вполне вероятно, да. Но если это повторится сто раз, то это будет менее вероятно.
>>Как ты пропатчишь наколенный профайлер, который разраб создал потому что ему заняться было нечем, или потому что он хотел понять, как пишут профайлеры?
> Разрабу наколенного профайлера делать больше нечего, кроме как им GCC профайлить.Это ещё почему? gcc -- это неплохая реалистичная тестовая нагрузка на процессор, которая всегда под рукой.
>>Если вывалится ошибка пострашнее и понепонятнее, то где-нибудь будет создан тред с заголовком "wtf", где вскоре соберутся люди, которые воспринимут "страшно и непонятно" как долгожданный вызов своему интеллекту, и начнут копать.
> Если ошибка через день исчезнет после обновления версии компилятора, то никто даже
> не полезет выискивать, из-за чего в компиляторе такое было.Ещё раз говорю: ты не понимаешь менталитета исследователя. Если оно внезапно и необъяснимо пропадёт, то от этого ещё интереснее.
>>Понятно, что ситуации бывают разные, и иногда не до того, дедлайны горят и надо сделать лишь бы работало.
> В бизнесе всегда всё нужно уже вчера. Это гонка наперегонки, не впереди
> ты - деньги получают конкуренты и усиливаются ещё больше. Положительная обратная
> связь.Это ты к чему сейчас сказал?
>> Отметь, тебе ведь придётся править и, например, гентушные компиляторы, которые упорно собираются из сорцов.
> Если у тебя весь мир инфицирован, в смысле все машины имеют агент,
> заражающий компилятор так, чтобы он заражал компиляторы и программы, то патчи
> можно наложить всем автоматически. Есть проблема с обновлениями патчей - некоторые
> машины могут быть без сети.Там очень много проблем с наложением патчей. Их надо разослать так, чтобы никто ни при каких настройках файрволов ничего бы не заметил. Чтобы никто бы не возмутился в зоопарке используемых версий компиляторов, ядер, библиотек, систем инициализаций, пакетных менеджеров. Нужно чтобы это произошло в весьма сжатые сроки, потому что если в мире будут существовать обновлённые компиляторы и необновлённые, то они будут генерить разные результаты, а это огромное палево: для исследователя безопасности изучать разницу гораздо переспективнее.
Тут столько граблей на пути, что обязательно что-нибудь пойдёт не так. Вон поспрашивай у Шигорина, тот занят доставкой обновлений на машины, он тебе лучше меня расскажет, насколько сложно ничего не сломать. Но его рабочие проблемы -- это детский лепет по сравнению с тем, с чем столкнётся организация, которая попытается доставлять обновления незаметно, доставлять их на безумный зоопарк конфигураций, и доставлять их быстро.
>>>Как ты пропатчишь профайлер, если у тебя нет его сорцов, и даже за бинари тебе придётся отдать сотни тысяч нефти?
>> Если контроллировать машину, на которой этот профайлер собирается, и эта машина подключена
>> к инету, то ни своровать код, ни пропатчить профайлер проблемы большой
>> не будет.
> Не, это если контролировать _все_ машины, на которых этот профайлер собирается.Именно.
>Если ты контролируешь лишь часть, то ты можешь столкнуться с тем, что разработчики заметят, что разные сборки профайлера выдают разные результаты.
Да. Но разработчики профайлеров, компиляторов, отладчиков, декомпиляторов, гипервизоров, биосов - это приоритетные цели.
Атакующий первым делом бы составил список категорий софта, которые могут быть ему полезны. Потом бы составил список всех продуктов. Потом бы подготовил патчи. Потом бы атаковал всех разрабов этих продуктов. В первую очередь - разрабов компиляторов и детектирующего софта. Компиляторов - потому что через них заразит всех остальных, разрабов детектирующего софта - чтобы никто не обнаружил, ибо софт должен скрыть. План в принципе очень маловероятный, можно налажать и спалиться. С другой стороны, если никто выискивать не будет и всем пофиг, то даже фатально налажав можно долгое время не палиться. Долгое - это достаточное для фикса.
> Вполне вероятно, да. Но если это повторится сто раз, то это будет менее вероятно.
Я сильно сомневаюсь, что во всём мире есть хотя бы десяток разрабов, патчащих профайлеры под свои нужды регулярно.
> Это ещё почему? gcc -- это неплохая реалистичная тестовая нагрузка на процессор, которая всегда под рукой.
GCC - это сложная программа, аномалии в поведении которой могут иметь много причин. Для теста профайлера она не подходит. Для теста профайлера нужны маленькие программы с полностью предсказуемым поведением и производительностью.
> Ещё раз говорю: ты не понимаешь менталитета исследователя. Если оно внезапно и необъяснимо пропадёт, то от этого ещё интереснее.
Может и интереснее, но у людей свои проекты, исследовать что там налажали разрабы компилятора никому не упёрлось.
> Это ты к чему сейчас сказал?
К тому что даже если дедлайны не горят, заниматься непрофильными исследованиями "шо там у разрабов компилятора за ошибка появилась и исчезла" в рабочее время ни один босс не позволит. "Исчезла, бизнес-процессы не блокирует - просто отлично, возвращайтесь к работе!" - скажет любой босс.
> Там очень много проблем с наложением патчей. Их надо разослать так, чтобы никто ни при каких настройках файрволов ничего бы не заметил.Но и файрволы, и DLP тоже можно пропатчить. Это если предположить, что ресурсы, выделенные на этот проект, достаточны. Я оценить ресурсы, необходимые для его реализации, не могу. Но явно меньше тысячи человек на фуллтайм требуется. АНБ точно по карману: AAA игры сравнимое количество разрабов делает.
>Чтобы никто бы не возмутился в зоопарке используемых версий компиляторов, ядер, библиотек
Релевантно.
>систем инициализаций, пакетных менеджеров.
Нерелевантно.
>Нужно чтобы это произошло в весьма сжатые сроки, потому что если в мире будут существовать обновлённые компиляторы и необновлённые, то они будут генерить разные результаты, а это огромное палево: для исследователя безопасности изучать разницу гораздо переспективнее.
Да. Спалиться можно. Но исследователей безопасности в мире не так много, и все заняты работой над конкретной программой. И скорее всего не над той, которые атакующему надо забэкдорить. Эксплоиты обычно ищут в браузерах, частях ОС, доступных из браузеров, сетевых сервисах, сетевом стэке, офисных пакетах и прочем прикладном софте, которым открывают что попало скачанное из инета, гипервизорах и всяком DRM типа SGX. И опять же, к исследователям безопасности можно найти особый подход.
> Тут столько граблей на пути, что обязательно что-нибудь пойдёт не так.
Грабель действительно более чем дофига. Но я не уверен, что те организации, которым такое по карману, могут это зафейлить. Они и не такое проворачивали прямо под носом своих конкурентов. Чего только краденная документация по манхеттанскому проекту стоит, которую тппа должны были яро охранять, не то что какой-то компилятор, на который всем нaсрaть, но компрометация которого де-факто компрометирует всё.
>>Если ты контролируешь лишь часть, то ты можешь столкнуться с тем, что разработчики заметят, что разные сборки профайлера выдают разные результаты.
> Да. Но разработчики профайлеров, компиляторов, отладчиков, декомпиляторов, гипервизоров,
> биосов - это приоритетные цели.Нет. Приоритетные цели -- это _потенциальные_ разработчики профайлеров, компиляторов... и далее по списку. В приоритете любой Васян, которому приспичит поковырять недра компилятора, или написать свой компилятор, или свой отладчик, или гипервизор. Любой такой Васян может напороться на странность, забить на свой проект компилятор-just-for-fun и заняться ковырянием непонятности, на которую он напоролся.
> Атакующий первым делом бы составил список категорий софта, которые могут быть ему
> полезны. Потом бы составил список всех продуктов. Потом бы подготовил патчи.
> Потом бы атаковал всех разрабов этих продуктов. В первую очередь -
> разрабов компиляторов и детектирующего софта. Компиляторов - потому что через них
> заразит всех остальных, разрабов детектирующего софта - чтобы никто не обнаружил,
> ибо софт должен скрыть. План в принципе очень маловероятный, можно налажать
> и спалиться. С другой стороны, если никто выискивать не будет и
> всем пофиг, то даже фатально налажав можно долгое время не палиться.
> Долгое - это достаточное для фикса.Тут ты сильно всё упрощаешь. Невозможно составить список всех продуктов. Разработчики вовсе не сидят все на одинаковых компиляторах и тем более на одинаковых версиях компиляторов. Они не пользуются одинаковыми тулзами, типа дебаггеров, профайлеров, бла-бла-бла. Каждый пользуется тем, что ему удобнее. У них при этом могут быть самописные утилиты. Любые из этих утилит могут не перекомплироваться годами -- нафига мне нужен распоследний gcc, если я не пользуюсь новыми фичами C? Разработчики могут работать с нескольких машин -- ноут, домашний десктоп, десктоп на работе, сборочный сервер, и на всех этих машинах могут стоять разные версии софта. Уже здесь возникает такой зоопарк, что проблема возникнет не на этапе составления списка софта, а уже на этапе составления списка возможных режимов провала, которые надо учесть разрабатывая схему инфецирования.
>> Вполне вероятно, да. Но если это повторится сто раз, то это будет менее вероятно.
> Я сильно сомневаюсь, что во всём мире есть хотя бы десяток разрабов,
> патчащих профайлеры под свои нужды регулярно.А не надо никакой регулярности. Достаточно чтобы в год писалась бы сотня наколенных профайлеров. И даже не важна дальнейшая судьба этих профайлеров, даже не важно чтобы из них получалось что-нибудь завершённое, даже неудачная попытка написать профайлер может вскрыть странное поведение компилятора. Так же как и неудачная попытка написать дебуггер или гипервизор. Такие неудачные попытки -- это отличный способ понять принципы работы профайлера, дебуггера или гипервизора. Сколько реально таких попыток в год происходит оценить сложно: неудачные проекты, которые не добрались до чего-то хотя бы похожего на правду, остаются гнить на жёстком диске разработчика -- мы про них не узнаем никогда, и посчитать их не можем.
>> Это ещё почему? gcc -- это неплохая реалистичная тестовая нагрузка на процессор, которая всегда под рукой.
> GCC - это сложная программа, аномалии в поведении которой могут иметь много
> причин. Для теста профайлера она не подходит. Для теста профайлера нужны
> маленькие программы с полностью предсказуемым поведением и производительностью.Маленькие тоже нужны, но gcc интересен как раз тем, что он выполняет много io, и вычислительно он нагружает процессор, и всякие заморочные структуры в памяти выстраивает. Тут тебе и парсинг, и всё что угодно. Плюс, ежели ты пишешь профайлер, то далеко не факт, что ты заглядывал в код файрфокса, а вот с кодом gcc скорее всего плюс-минус знаком, и поэтому он гораздо лучше подходит для тестов.
На простых тестовых программах ты можешь проверить, что твой профайлер делает именно то, что нужно. Но ты замучаешься придумывать тестовые программы, чтобы покрыть все edge cases, а если ты прогонишь свой профайлер через реалистичную нагрузку, вот тут эти самые edge cases и полезут изо всех щелей. Что позволит тебе написать тестовые программы, демонстрирующие эти edge cases.
>> Ещё раз говорю: ты не понимаешь менталитета исследователя. Если оно внезапно и необъяснимо пропадёт, то от этого ещё интереснее.
> Может и интереснее, но у людей свои проекты, исследовать что там налажали
> разрабы компилятора никому не упёрлось.Вот сейчас ты рассуждаешь о разрабах так, будто они все одинаковы. Разработчики люди, а это значит, что они разные. Среди них есть такие, которые работают за еду, и всё за что не платят им не упёрлось. Но среди них есть и такие, для кого исследовательская деятельность является терминальной ценностью, то есть для того, чтобы заняться исследованием не нужно причин, достаточно найти возможность. И среди таких есть у кого есть на это время. И, я заверяю тебя, таких людей предостаточно.
>> Это ты к чему сейчас сказал?
> К тому что даже если дедлайны не горят, заниматься непрофильными исследованиями "шо
> там у разрабов компилятора за ошибка появилась и исчезла" в рабочее
> время ни один босс не позволит. "Исчезла, бизнес-процессы не блокирует -
> просто отлично, возвращайтесь к работе!" - скажет любой босс.Начхать на этого босса. Дома я могу заниматься тем, что мне больше нравится, а не только тем, что хочется боссу.
>> Там очень много проблем с наложением патчей. Их надо разослать так, чтобы никто ни при каких настройках файрволов ничего бы не заметил.
> Но и файрволы, и DLP тоже можно пропатчить. Это если предположить, что
> ресурсы, выделенные на этот проект, достаточны. Я оценить ресурсы, необходимые для
> его реализации, не могу. Но явно меньше тысячи человек на фуллтайм
> требуется. АНБ точно по карману: AAA игры сравнимое количество разрабов делает.Тебе придётся пропатчить все файрволлы. Для некоторых из них у тебя не будет сорцов. Тебе придётся пропатчить все антивирусы -- в венде они популярны, и они суют свой нос куда ни попадя. Они тоже подчастую без сорцов. Тебе придётся активно заниматься реверс-инжинирингом, и готовить бинарные патчи, и обновлять эти патчи при каждом минорном обновлении версии. Прежде чем пальцем в небо тыкать предполагать количество людей необходимых под такое, попробуй оценить количество пунктов в списке софта, который надо пропатчить, а потом посчитать суммарное количество обновлений версий софта из этого списка за год.
>>Нужно чтобы это произошло в весьма сжатые сроки, потому что если в мире будут существовать обновлённые компиляторы и необновлённые, то они будут генерить разные результаты, а это огромное палево: для исследователя безопасности изучать разницу гораздо переспективнее.
> Да. Спалиться можно. Но исследователей безопасности в мире не так много, и
> все заняты работой над конкретной программой.Исследователем безопасности становится любой, кто напоролся на непонятность, заинтересовался, разобрался в причинах, и причина оказалась отличной от его ошибки. Я не являюсь исследователем безопасности, но со мной бывает, что я напарываюсь на что-то непонятное, и начинаю копать, просто для того, чтобы понять. Когда-то давным-давно я запускал снифер на сетевом интерфейсе и смотрел какие пакеты пролетают, и находя непонятный мне пакет начинал разбираться. Не потому, что я искал дыры, просто потому, что мне было интересно. Если бы в этот момент компилятор решил бы скачать обновлённый свой патч, я бы очень заинтересовался неожиданными пакетами. Если бы они не повторились бы, я бы нашёл способ отлавливать их и писать в лог информацию когда они возникают.
Последний раз я компилировал в ассемблер код наверное полгода назад -- я не помню, что там было, но происходило что-то непонятное мне, и я не понимал как так: у меня программа не работала так, как я задумал, и я не понимал что не так. Поэтому я начал втыкать в ассемблерные дампы, и сопоставлять инструкции ассемблера и строки исходного кода. Когда я разобрался в чём мой косяк, я ещё немного поигрался с кодом, уже чисто по фану, разглядывая на какие оптимизации компилятор способен, а на какие нет.
А, ещё тут как-то была моя попытка скомпилировать rust'овый код под дос -- там всё вообще было интересно, и пришлось разбираться с тем, что там rustc генерит, что там генерит llvm, как научить и тот и этот генерить 16-bit код, бла-бла-бла.
Года два назад, я компилировал в ассемблер потому что мне было интересно, что получится если на rust'е писать под avr. Сейчас я планирую заняться компиляцией в ассемблер mips -- мне сам mips любопытен, и... ну и под mips некоторые rust'овые пакеты не собираются (особенно из криптографии), потому как там оптимизации на ассемблере, а mips недостаточно популярен, я хочу поспособствовать исправлению ситуации. Но ты ж понимаешь, что прежде чем писать на асме, я приложу все усилия к тому, чтобы написать на rust'е, получив ту же производительность. А это значит, многократные компиляции в ассемблер с повышенным уровнем оптимизации, эти компиляции будут непонятны и запутанны, поэтому я начну компилировать в бинарь, и потом отлаживать инструкция за инструкцией, ну и... и значит что ежели компилятор будет добавлять лишний код, то я начну искать зачем он добавляет, я начну искать причину добавления, чтобы устранить эту причину. Возможно этой причиной будет несовершенство оптимизатора, возможно что-то ещё. Может быть причина будет неустранима, может быть нет. Но если у меня возникнут сомнения, я пойду обсуждать это с другими.
Я не исследую безопасность, но я нечаянно могу напороться на дыру в безопасности.
>> Тут столько граблей на пути, что обязательно что-нибудь пойдёт не так.
> Грабель действительно более чем дофига. Но я не уверен, что те организации,
> которым такое по карману, могут это зафейлить. Они и не такое
> проворачивали прямо под носом своих конкурентов. Чего только краденная документация по
> манхеттанскому проекту стоит, которую тппа должны были яро охранять, не то
> что какой-то компилятор, на который всем нaсрaть, но компрометация которого де-факто
> компрометирует всё.Я по пунктам разберу написанное тобой:
1. Сложность проекта такого рода оценивается количеством грабель, на которые можно наступить, и я не уверен, что хоть одна из организаций, которое такое по карману, когда-нибудь сталкивалась с таким количеством граблей.
2. На манхеттенский проект ты смотришь, но видишь не то, что нужно. Манхеттенский проект было гораздо проще сокрыть, нежели инфекцию всех компиляторов, и тем не менее это не удалось.
3. На компилятор и возможность его компрометации не всем нacpaть. Тут иногда проскакивают новости о компиляторе C, написанном на схеме, которая написана на C. Мне лень искать ссылки, но там вся фишка в том, чтобы сделать bootstrappable компилятор C. Как ты думаешь, зачем люди этим заняты? А воспроизводимые сборки софта -- это зачем, как ты думаешь? Одна из причин заниматься и тем и этим -- избавиться от влияния существующего компилятора. И даже если это не даёт 100% защиты, это добавляет ещё больше граблей на пути у тех организаций во всемогущество которых ты веришь.
> Нет. Приоритетные цели -- это _потенциальные_ разработчики профайлеров, компиляторов...
> и далее по списку. В приоритете любой Васян, которому приспичит поковырять
> недра компилятора, или написать свой компилятор, или свой отладчик, или гипервизор.Согласен.
> Любой такой Васян может напороться на странность, забить на свой проект
> компилятор-just-for-fun и заняться ковырянием непонятности, на которую он напоролся.А вот в это верится с большим трудом.
> Тут ты сильно всё упрощаешь. Невозможно составить список всех продуктов.
>У них при этом могут быть самописные утилиты. Любые из этих утилит могут не перекомплироваться годамиСписок всех самодельных и недодельных утилит действительно составить нельзя. Зато можно насоздавать заготовок таких утилит на гитхабе. Разумеется, это не гарантирует, что этими заготовками захотят пользоваться. И опять же, для работы никто не будет использовать самоделку, если есть готовая утилита и суть работы не есть в создании самоделки. Если чего-то не хватает, то скорее пропатчат готовую опенсорсную, и на неё опять же наложется патч.
>Разработчики вовсе не сидят все на одинаковых компиляторах и тем более на одинаковых версиях компиляторов.
Версий конечное число и друг от друга они мало отличаются. Большинство сидит на версиях из пакетов дистров, потому что пересобирать часами gcc/llvm самому мало кому упёрлось.
>Разработчики могут работать с нескольких машин -- ноут, домашний десктоп, десктоп на работе, сборочный сервер, и на всех этих машинах могут стоять разные версии софта. Уже здесь возникает такой зоопарк, что проблема возникнет не на этапе составления списка софта, а уже на этапе составления списка возможных режимов провала, которые надо учесть разрабатывая схему инфецирования.Вполне возможно. Но это зависит от определения провала.
> А не надо никакой регулярности. Достаточно чтобы в год писалась бы сотня наколенных профайлеров. И даже не важна дальнейшая судьба этих профайлеров, даже не важно чтобы из них получалось что-нибудь завершённое, даже неудачная попытка написать профайлер может вскрыть странное поведение компилятора.
Согласен. Скрыть кампанию по массовому инфицированию скорее всего не получится даже при ресурсах АНБ.
> На простых тестовых программах ты можешь проверить, что твой профайлер делает именно то, что нужно. Но ты замучаешься придумывать тестовые программы, чтобы покрыть все edge cases, а если ты прогонишь свой профайлер через реалистичную нагрузку, вот тут эти самые edge cases и полезут изо всех щелей. Что позволит тебе написать тестовые программы, демонстрирующие эти edge cases.
Аргумент принят.
> Тебе придётся пропатчить все файрволлы. Для некоторых из них у тебя не будет сорцов.
Для файроволов можно патчить не сам файрвол, а механизм захвата. Для ОС можно пропатчить ядерные функции для работы с ФС: при вызове не из загрузчика вырезать маркированный код. Правда это открывает способ обхода: сделать кастомный загрузчик. Но если предположить, что это этап "раскрутки" системы удастся, то получить исходники софта уже будет не проблема. А пропатчить их всех - это исключительно вопрос финансирования и количества специалистов достаточного уровня, готовых работать на такие организации.
Обновления не должны быть большой проблемой - модифицировать придётся относительно редко изменяемые части. Вроде считывания с диска.
> Я не исследую безопасность, но я нечаянно могу напороться на дыру в безопасности.
Абсолютно верно. Далее всё зависит от вашей решимости ковырять конкретно эту дыру и от ресурсов, требуемых на это.
> 1. Сложность проекта такого рода оценивается количеством грабель, на которые можно наступить,
> и я не уверен, что хоть одна из организаций, которое такое
> по карману, когда-нибудь сталкивалась с таким количеством граблей.Я тоже. Но я - пессимист.
> 2. На манхеттенский проект ты смотришь, но видишь не то, что нужно.
> Манхеттенский проект было гораздо проще сокрыть, нежели инфекцию всех компиляторов, и
> тем не менее это не удалось.Манхэтаннский проект сам по себе и его цели было невозможно скрыть. Но было возможно скрыть результаты его работы. Но это тоже сфейлили благодаря советским шпионам.
> 3. На компилятор и возможность его компрометации не всем нacpaть. Тут иногда
> проскакивают новости о компиляторе C, написанном на схеме, которая написана на
> C. Мне лень искать ссылки, но там вся фишка в том,
> чтобы сделать bootstrappable компилятор C. Как ты думаешь, зачем люди этим
> заняты? А воспроизводимые сборки софта -- это зачем, как ты думаешь?
> Одна из причин заниматься и тем и этим -- избавиться от
> влияния существующего компилятора.Вот это - очень хороший и правильный проект. Но реально заработает только если он будет self-hosted. То есть если есть доверенная железка, типа fpga, на которой софт-процессор, на котором крутится bare metal компилятор, получающий ввод с доверенных железок типа самодельного сканнера, подключённого к gpio, и выводящий на магнитную ленту.
Одна проблема - дорого.
> Если контроллировать машину, на которой этот профайлер собирается,...то всегда есть шанс что *удак-системщик соберет его таки на соседнем компе, притащит, и... таки затроллирует экспертов по всему )))
ну не будет у хомячков безопасной работы с такими сайтами. эпл нас#рать на своих юзеров, а всем остальным на эппл ;)
> РФ некоторые IP letsencrypt.org попадали под блокировку РоскомнадзорНа каком основании? Точный юридический ответ.
> На каком основании? Точный юридический ответ.Незачем технологическому гетто с орками всякие продвинутости.
Т.е.> нарушения синхронизации зон в DNS
неизбежны?
Единственным условным плюсом https является типо защита от "говнопровайдеров, которые захотят шпионскую малварь в траффик вставлять". Для защиты от "шпионской малвари" имеется uBlock и прочая. Тем более в основном шпионскую малварь в траффик вставляют не провайдеры а хозяева сайтов. От сбора персональных данных https не защищает никак.Тем более https не спасает от атак хакера Васи, например, через банальную СКЛ-инъекцию, так как https принципиально не защищает от дыр в кривом php-коде крутого бэкендера Пети
Не всегда декларация совпадает с целью. Вспомним secureboot (и прочие сейфбуты) UEFI. От чего они защищают?
внезапно - вот от твоего желания порыться в моем ноуте - защищают. 100%
Кодить ты не умеешь, а если бы и умел - все равно это было бы весьма и весьма непросто использовать.От г-на майора - не защищают, ну так ему и не надо - "разблокируйте, пожалуйста, ваш ноутбук, добровольно и с искренним желанием мне помочь, или вон через ту дверь - добро пожаловать в федеральную тюрьму. Она находится на экстерриториальной площади, поэтому гринкарту вы в ней не получите, и по отбытии срока в двести лет за отказ в законном требовании - будете депортированы".
> внезапно - вот от твоего желания порыться в моем ноуте - защищают. 100%Это как? Порыться в твоем ноуте хватит даже блин винды, и ее ключи подписаны и доверяемы, и хрен ты их удалишь в половине случаев, чтоб не скучно было.
secureboot в UEFI можно выключить. Что все и делают.
А в целом верно: цель и secureboot и https совсем не в декларируемой "безопасности"
> Единственным условным плюсом https является типо защита от "говнопровайдеров, которые захотят
> шпионскую малварь в траффик вставлять".но зачем васяны так жаждут поделиться с ними как минимум инфой о посещаемых сайтах - по прежнему совершенно неясно. Ну, вероятно, эти русские любят страдать.
> Тем более https не спасает от атак хакера Васи, например, через банальную СКЛ-инъекцию,
круче - он увеличивает поле для атак, и о дырках в прекрасном http2 сообщают раз в месяц. Так что крутой бэкэндер петя мог хоть static html использовать - вас все равно поимеют.
>дырках в прекрасном http2 сообщают раз в месяц.Требую пруфы.
Стоит добавить, что в определённых странах сетям контент-провайдинга динамически выдаются прозрачные сертификаты для переподписывания трафика, да так, чтобы юзер не мог их отличить от натуральных сертификатов... Отличаются они только более коротким сроком.
Показательный пост висит в топе на хабре "Вы не смотрите рекламу во время разработки? Непорядок". Делатель сайтиков, в которых как обычно напихано куча рекламы и трекеров, жалуется что интернет-провайдер тоже впихивает конечному пользователю свою рекламу. В данном случае делатель сайтиков и конечный пользователь оказались в одном лице. В комментариях ад, трэш и Израиль, и такие же делатели сайтиков требуют полного запрета http и тотального внедрения https.
>такие же делатели сайтиков требуют полного запрета http и тотального внедрения https.Всё правильно делают. А грузить скрипты с внешних ресурсов, особенно с ресурсов гугла, абсолютно неприемлимо. Я на мгновение поверил, что это гугл решил карты монетизировать:
> When you have eliminated the JavaScript, whatever remains must be an empty page.
> mustСлово must говорит о том, что это осознанное политическое решение.
Реклама и трекеры, которую делатели сайтиков пихают в свои поделия, на 99,9% это скрипты с внешних ресурсов. И грузятся они отлично по https
По крайней мере у владельца сайта есть возможность выбора. Вот сделали вы такой сайт, весь из себя скромный такой, никакой рекламы и трекеров. И вам какой-то Васян пихает свою рекламу, без вашего спроса. Не думаю, что вы будете рады.
Выбор есть всегда. Хостинг-провайдеры за услугу бесплатного хостинга для скромных таких сайтов размещали собственные рекламные банеры на этих сайтах. Можно вспомнить такой народный хостинг narod.ru. Или же можно купить по отдельному тарифу полноценный хостинг без рекламы со стороны хостинга.Если владелец сайта не скромный и хочет монетизации, то он или пихает посетителям свою рекламу, нагло требуя посетителей отключать адблоки. Или как-нибудь собирает с посетителей деньги как опеннет.ру.
Описанный на хабре случай рекламы со стороны интернет-провайдера последней мили - это тоже попытка монетизировать свои услуги. Особенно бесплатные и дешёвые тарифы всяких бесплатных вайфаев в метро, музеях и прочих богадельнях. Почему хостинг-провайдерам и делателям сайтов можно пихать рекламу пользователям, а провайдерам доступа в Сеть нельзя? И говорить о вмешательстве в работу сайта здесь как раз очень сложно - провайдер доступа не модифицирует файлы на сайтах. С таким же успехом можно утверждать, что телекомпания вмешивается в работу киностудии, перемежая рекламой трансляцию сериала. Вопросы могут быть разве что у потребителя "последней мили", но никак у делателей сайтов. И здесь тоже есть выбор. Или же менять провайдера, или менять на дорогой тариф где явно прописано отсутствие рекламы. Или же не разбираясь, кто пихеат рекламу, резать её адблоком к чёртовой матери.
Как хорошо, что развивающие интернет люди так не думают, и планомерно ведут веб к полному отказу от HTTP без TLS. Достаточно успешно, хочу сказать. Вангую, что лет через 10 HTTP останется разрешён только для localhost, и любители вмешиваться в трафик чужих сайтов останутся у обочины.
Развивающие интернет люди - кто все эти господа?! И что ж, господа интернета, будете после http запрещать - html в пользу тотального вебассемблера? Ведь html - это так небезопасно!Как хорошо, что люди использующие с пользой для себя и других этот интернет так не думают. И будут использовать в интернете именно то, что им нужно, а не то что им укажут представители каких-то интернет-господ.
У меня давным давно имеется свой собственный скромный такой сайт с документацией и результатами собственных исследований. Конкуренция на рынке хостинга позволяет давно купить себе недорогой тариф безо всякой рекламы от хостера. На моём сайте нет ни рекламы, ни трекинга персональных данных в том числе и через рекламу, ни регистрации, ни СМС. И поэтому посетители моего сайта в полной безопасности, хотя работает он на чистом http. А вот обслуживать веб-сервер я захожу через клиент ssh - потому как это реальная безопасность без покупки всяких доверенных сертификатов от людей монетизирующих безопасность в Сети. И да, ком мне регулярно на мыло приходят предложения купить сертификатик для https, иначе господа интернета забанят в Гугле.
Кстати, будущее интернета это, например, ещё и устройства IoT. У меня самого имеется пару wifi-контроллеров, на которых крутятся простенькие http-серверочки, и я могу через браузер проверить датчик уровня воды в унитазе. Не подскажете как прикрутить к ним сертификаты "летсенкрипта" безопасности ради?
А в браузере я использую Privacy Badger и uBlock, хотя многие креативные веб-дизайнеры считают это подменой трафика с их сайта.
А когда вы установили адблок, вам не кажется что вы срезаете рекламу безо всякого спроса и владелец сайта очень рад этому?
Хабр помойка для рекламшиков и про двигателей курсов.
Делать там нечего, впрочем как и во всем рунете в целом.
После цикла статей на хабре про штаб Навального... Заходить туда как-то стрёмно.
Так и не ходите, я вообще аккаунт оттуда удалил.
А я аккаунт не удалил, но после того как они повторно меня забанили (был забанен на хабре, разбанился на гиктаймсе, написав статью (на хабре не стал разбаниваться, ибо его внесли в Реестр, а ГТ - нет), после слияния хабра и ГТ разбаненный акк потерялся, а поддержка дала явно понять, что такие им не нужны) я на этот ресурс, относящийся к пользователям как к говну, не напишу ничего. На медиум, кстати, тоже ничего не напишу, там хоть кармадрочерства и нет, но отношение такое же сквозит сразу с формы логина. Да и логотип иногда включают цвета ЛГБТ флага, пришлось написать скрипт, убирающий это, чтобы знакомые не подумали, что я из "этих".
Боитесь, что товарищ майор за чтением застанет?
Почему я противник всяких https, ssl и т.д. Потому-что мы все под колпаком этих всяких удостоверяющих центров и гуглов. А они под колпаком АНБ и ЦРУ. И геморроя от подписи этих сертификатов и их прикручивания полным-полно. И самое главное какой от них толк в большинстве случаев?
Чтобы всякие васяны не вмешивались в работу сайтов, типа как тут:
https://habr.com/en/post/489528/
Т.е. вмешиваться будут только те васяны, которые контролируются всякими АНБ и ЦРУ...
Да вроде меня пока анб не контролирует, я вообще в Нижнем Новгороде.А подсунуть тебе суперсикьюрным https'ом вместо файлика из репо твоего дермияна что-то поинтереснее (и транспорт поуязвимее - начиная со всеми любимого нами http2) мне совершенно без проблем.
Но наивные васяны продолжают думать, что https спасет их от багов в apt, а не наоборот, сделает их еще более уязвимыми - из-за багов в самой https-реализации, хотя, конечно, и баги в apt никто тоже не отменял.
> например, в РФ некоторые IP letsencrypt.org попадали под блокировку Роскомнадзоракому вообще в голову придёт размешать сервер в датацентре который выполняет фильтр РКН.
Где-где, говорите, вы разместили сервер с персональными данными граждан Ресурсной Федерации?Не трудитесь никуда выходить - за вами уже выехали.
А где в протоколе ACME персональные данные? :-)
> Где-где, говорите, вы разместили сервер с персональными данными граждан Ресурсной Федерации?В Антарктиде, разумеется!
> Не трудитесь никуда выходить - за вами уже выехали.
Счастливого пути :)
>> Где-где, говорите, вы разместили сервер с персональными данными граждан Ресурсной Федерации?
> В Антарктиде, разумеется!ну вот сейчас тебя отведут в 302ю комнату - будешь там рассказывать про антарктиду.
>> Не трудитесь никуда выходить - за вами уже выехали.
> Счастливого пути :)э..грхм...гражданин, так ведь не за вашим сервером выезжали, он, поди, где-нибудь в васян-клауде, в whois - Сейшеллы, в traceroute - Румыния, добывать его оттуда долго и незачем, у нас хлама без него хватает.
Выехали за вами - как злостным нарушителем законодательства. А вы, как нам совершенно точно известно, гораздо ближе.
А что там в тов. Юлием О'санжем сейчас, кстати?
Мы за него боремся. К сожалению, основные орудия борьбы конфисковали проклятые норвежцы, поэтому решение об экстрадикции все еще вполне возможно - у нас, конечно, поставки диверсифицированы, но пока происходит обмен товар-деньги-товар, суд уже может принять нежелательное решение, тем более что в эту игру может играть и вторая сторона.
Изобретают велосипед. Кому оно действительно надо давно используют .onion.
Не туды запостил