| 1.1, Анониматор (?), 10:53, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Вирусы давно уже в мировых масштабах перенапрвляют вендоюзеров на свои собственные фейсбуки контактиги и прочее.
Vrisign ломать ради этого - даже не надо.
| | |
| |
| 2.2, skJ (?), 11:32, 03/02/2012 [^] [^^] [^^^] [ответить]
| +13 +/– |
Вы мыслите очень мелко и в обратном направлении.
Перенаправить виндоюзеров в масштабах одного ботнета, пусть и очень большого - это далеко не то же самое, что перенаправить всех, да еще и независимо от системы.
| | |
| |
| 3.3, тоже Аноним (ok), 11:51, 03/02/2012 [^] [^^] [^^^] [ответить]
| +8 +/– |
 Причем "всех" включает в себя не только пользователей, но и сервера, обменивающиеся информацией...
| | |
| 3.9, Аноним (-), 14:25, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Перенаправить виндоюзеров в масштабах одного ботнета, пусть и очень большого - это
> далеко не то же самое, что перенаправить всех, да еще и
> независимо от системы.
А знаешь, правительство США нажавшее на верисайн так может сделать на раз-два-три, выписав себе через них сертификат что они - все подряд, от вконтакта до яхи. И фиг оспоришь - факт того что они не верблюд завизирован крЮтым удостоверяющим центром.
| | |
| |
| 4.31, Аноним (-), 17:46, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> А знаешь, правительство США нажавшее на верисайн так может сделать на раз-два-три,
> выписав себе через них сертификат что они - все подряд, от
> вконтакта до яхи. И фиг оспоришь - факт того что они
> не верблюд завизирован крЮтым удостоверяющим центром.
Точно также как правительство РФ может надавить на удостоверяющий центр в РФ, удостоверяющих центров больше тысячи - на все страны хватит.
| | |
| |
| 5.34, Andrey Mitrofanov (?), 18:30, 03/02/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> правительство США нажавшее на верисайн
>правительство РФ может надавить на удостоверяющий центр в РФ,
> удостоверяющих центров больше тысячи - на все страны хватит.
В Христиании -- есть? Чтоб "правительство" ещё меньше давило.
| | |
| |
| 6.37, the joker (ok), 20:05, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
 Куда уж меньше-то? :-)
P.S.: Очень давно читал о них. Было интересно. Смутно представляю себе, как там сейчас.
| | |
|
| 5.53, Аноним (-), 00:58, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Точно также как правительство РФ может надавить на удостоверяющий центр в РФ,
> удостоверяющих центров больше тысячи - на все страны хватит.
Может. При этом если честно мне не так уж важно, какое именно правительство или хакер сделает подделку. Просто сам факт: протокол свою задачу не выполняет. Совсем. Декоративная хрень.
| | |
|
|
|
| 2.7, Anonplus (?), 13:51, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Тут, как в известном анекдоте, "есть один нюанс". При условии, что сайт поддерживает https, вирусы могут обперенаправляться до усеру, но браузер будет показывать, что сертификат самоподписанный/поддельный. А вот заломав VeriSign мы можем нагенерировать себе полностью валидные сертификаты для любого домена.
| | |
| |
| 3.40, Анон (?), 20:10, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
>При условии, что сайт поддерживает https, вирусы могут обперенаправляться до усеру, но браузер будет показывать, что сертификат самоподписанный/поддельный.
вирусу достаточно добавить свой CA в список системных и не будет.
| | |
| |
| 4.68, Аноним (-), 02:23, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> вирусу достаточно добавить свой CA в список системных и не будет.
Иди расскажи это комодохакеру, лихо выписавшему себе сертификат "дигинотаром клянусь, я весь из себя гугл, мозилла, скайп и яху". В браузерах по дефолту некислая пачка дятлов внесена как "trusted" CA. И любой из этой оравы может удостоверить кому угодно чего угодно. И когда их 1500 штук - логично что их _будут_ ломать и лихо удостоверять что вот я - это пэйпэл и ваш банк, так что давайте ваши пароли сюда!
| | |
|
| 3.47, arisu (ok), 20:43, 03/02/2012 [^] [^^] [^^^] [ответить] | +/– |  во-первых, как сказали выше, достаточно добавить 171 поддельный 187 сертифик... большой текст свёрнут, показать | | |
| |
| 4.67, Аноним (-), 02:18, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> во-первых, как сказали выше, достаточно добавить «поддельный» сертификат в
> пул — и ОПА! уже никто ничего не говорит.
Самое жесткое - что в случае взлома верисайнов и подобных ничего добавлять как раз и не надо. Они и так уже в пуле trusted CA висят и все что они подписывают будет захавано за чистую монету. А вот это уже реальная подстава, я бы сказал. Потому что достаточно взломать одного из "типа доверяемых" CA и от его лица выписать кому-то что-то. И все остальные это скушают. Жопа а не протокол.
| | |
|
|
| 2.45, anonimous (?), 20:27, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Внезапно! 1. Существуют не только "вендоюзеры"(андройды, айосы, другие сервера). 2. Вирусом еще заразить нужно(читай затраты на покупку вируса/распространение). 3. Вирус можно вычислить и вылечить на локально взятой машине.
Вот поэтому VeriSign ломать очень даже выгодно.
| | |
|
| 1.4, ананим (?), 12:00, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
интересно, на чём у них инфраструктура.
<троль>и какой очередной бсдссш винлват.</троль>
| | |
| |
| 2.10, Аноним (-), 14:28, 03/02/2012 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> <троль>и какой очередной бсдссш винлват.</троль>
<эльф>В прошлый раз помнится был виноват неизвестный 0day в винде, видимо позволяющий ремотно получить SYSTEM </эльф>
| | |
|
| 1.6, arisu (ok), 13:15, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
потому что эта идея «сертификации» defective by design. но до сих пор есть люди, которые верят, что «https — это надёжно!» например, такие идиоты сидят в гитхабе.
| | |
| |
| 2.11, Аноним (-), 14:29, 03/02/2012 [^] [^^] [^^^] [ответить]
| –2 +/– |
> есть люди, которые верят, что «https — это надёжно!» например, такие
> идиоты сидят в гитхабе.
Я честно говоря вообще не понимаю смысла в шифровании этого траффика. Чего такого секретного в работе с публичным репозиторием который и так всем доступен? :)
| | |
| |
| 3.13, MaMoHT (?), 15:12, 03/02/2012 [^] [^^] [^^^] [ответить]
| +5 +/– |
Ник + пароль тоже в открытом виде передавать ? А никто не покоцает мой репозиторий?
Наверное это по большой части все таки для целостности данных.
| | |
| |
| |
| 5.18, MaMoHT (?), 15:42, 03/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Это понятно, но результат вашего предложения - реализация соственного протокола-велосипеда, гарантирующего целостность. Который надо отладить, и еще помимо прочего надо внедрить везде и всюду, дабы просто накручивать полезный функционал. И это вместо того, чтобы воспользоваться уже готовыми проверенными решениями, которые работают везде.
Оно стоит того?
| | |
| |
| 6.20, Иван Иванович Иванов (?), 15:55, 03/02/2012 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Это вы минус поставили, да?
Так вот я вас огорчу - вы сейчас какую-то хрень выдумали - на куче сайтов подобная схема реализована (на JavaScript, естественно) и работает как часы.
Если не согласны или, хуже того не знаете, не надо ставить минусы. За умного сойдёте.
| | |
| |
| 7.23, Andrey Mitrofanov (?), 16:19, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>какую-то хрень выдумали -
> на куче сайтов подобная схема реализована (на JavaScript, естественно) и работает
> как часы.
Почему у Вас реализация "какой-то хрени" на js, которую по какому-то недоразумению ещё не взломали/отэксплойтили, вызывет _больше _доверия, чем получившая своё система CA ?
> Если не согласны или, хуже того не знаете, не надо ставить минусы.
> За умного сойдёте.
да ну, какой вэтом профит.....
| | |
| |
| |
| |
| 10.69, Аноним (-), 02:33, 04/02/2012 [^] [^^] [^^^] [ответить] | +/– | Получил допустим Вася в не-США центре сертификат того что он - Вася Сертифициро... большой текст свёрнут, показать | | |
|
|
|
|
|
| 5.30, Кирилл (??), 17:29, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Извините, и как вы себе это представляете? Причём тут расшифровка? К тому, что вы собрались зашифровывать?
Честно, совершенно не понятно.
| | |
| 5.32, Аноним (-), 17:49, 03/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Попробуйте sha512(соль + пароль) расшифровать - нобелевку получите
Осталось придумать как передать пароль на сервер при регистрации через интернет :)
| | |
| |
| 6.33, Аноним (-), 18:06, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> Попробуйте sha512(соль + пароль) расшифровать - нобелевку получите
> Осталось придумать как передать пароль на сервер при регистрации через интернет :)
И как защитить хэш от перехвата, разница не велика войти в аккаунт под перехваченным паролем, сессионной cookie или хэшем от пароля.
| | |
| |
| 7.65, Аноним (-), 02:11, 04/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> И как защитить хэш от перехвата,
Легко. Самый примитивный вариант:
sever -> client: а ты это правда ты? Вот те long_random_number, битов так 512.
server:
local_result = sha512 (password + long_random_number)
client:
response = sha512 (password + long_random_number)
client -> server: это я! вот пруф: response.
server:
if (local_result != response) pls_fxxxoff("да ты самозванец?!");
Заметьте, в этой схеме нигде не передается ни пароль ни даже его хеш. Передается хэш от конкатенации пароля с рандомом. Рандом каждый раз разный чтобы предотвратить replay (вероятность выиграть в лотерею "1 из 2^512" вам не понравится).
Это, если что, простейший вариант challenge-response авторизации, довольно баянное изобретение человечества.
| | |
| |
| 8.75, Аноним (-), 12:26, 04/02/2012 [^] [^^] [^^^] [ответить] | +/– | Эта схема подразумевает генерацию после успешной проверки сессионного идентифика... текст свёрнут, показать | | |
| |
| 9.78, Аноним (-), 15:52, 04/02/2012 [^] [^^] [^^^] [ответить] | +/– | Эта схема подразумевает что клиент и сервер где-то внутри себя знают пароль и мо... большой текст свёрнут, показать | | |
| |
| |
| 11.81, arisu (ok), 02:02, 05/02/2012 [^] [^^] [^^^] [ответить] | +/– | вообще-то бОльшую при правильной реализации и тебе это изо всех сил пытались по... текст свёрнут, показать | | |
| |
| |
| 13.96, arisu (ok), 12:43, 05/02/2012 [^] [^^] [^^^] [ответить] | +/– | а тебе тут пытались пояснить, что даже хэши надёжней, чем 171 шифрование 187 ... текст свёрнут, показать | | |
| 13.107, Аноним (-), 16:07, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | Не вижу никакого смысла в шифровании моей активности по браузингу публичного реп... большой текст свёрнут, показать | | |
|
|
|
|
|
| 8.99, Кирилл (??), 15:30, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | А как вы будете обеспечивать синхронность примеси Этот велосипед уже до Вас соз... текст свёрнут, показать | | |
| |
| |
| |
| 11.106, arisu (ok), 15:56, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | я O_O с тех пор, как я таки зарегистрировался, я анонимусом уже не пишу и в ди... большой текст свёрнут, показать | | |
| |
| 12.109, Аноним (-), 16:36, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | Просто ты иногда похоже на меня мыслишь, наверное поэтому и путают Я бы даже ск... большой текст свёрнут, показать | | |
| |
| 13.114, arisu (ok), 16:53, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | взаимно - видимо, надо к каждому посту disclaimer добавлять наподобие 171 ... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 4.54, Аноним (-), 01:27, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Ник + пароль тоже в открытом виде передавать ? А никто не
> покоцает мой репозиторий?
Ну это да, для авторизованых юзеров оно оправдано. Но для гуестов которые пришли на проект посмотреть это вообще ничего кроме тормозов не дает. Ну побраузил я гит репо. И на кой для этого SSL мне втюхивать?
> Наверное это по большой части все таки для целостности данных.
В SSL она довольно декоративная. Сколько там из 1500 торговцев доверием сломали и сколько и каких фэйковых сертификатов гуляет - да кто же его знает?!
| | |
|
| 3.17, Andrey Mitrofanov (?), 15:41, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> есть люди, которые верят, что «https — это надёжно!» например,
> Я честно говоря вообще не понимаю смысла в шифровании этого траффика.
Главное же, не путать аутентифткацию, про которую речь в связи с сертификатами, с шифрованием. Нет?
> Чего такого секретного в работе с публичным репозиторием который и так всем доступен? :)
Это модно и трЭндово! Вы точно B)) не понимаете!!!!
...хотя... ну, анонимность, например.
| | |
| |
| 4.55, Аноним (-), 01:29, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> ...хотя... ну, анонимность, например.
Анонимность браузинга публичного репа? Факт моего конекта к нему виден по src/dst IP в пакетах как ни крути. Что я примерно делал можно восстановить по тайминг атакам, например. А учтя что сырец и так публично вывален, не вижу особого смысла прятать этот траффик вообще. Тем более что SSL - весьма декоративная безопасность.
| | |
|
| 3.21, тоже Аноним (ok), 16:04, 03/02/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
Насчет "публичный и всем доступен": https://github.com/plans
Если бы гитхаб был просто бесплатной кодосвалкой, он бы давно уже прекратил работу за нерентабельностью.
А люди, которые готовы ему платить, явно не хотят, чтобы их оплаченные аккаунты вдруг стали публичны и всем доступны.
| | |
| |
| 4.41, arisu (ok), 20:13, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
только непонятно, как отсюда вытекает «…потому давайте включим https всем принудительно». а я вот — не хочу https, например. мне жалко на это процессорных тактов. поэтому пользуюсь гитхабом как просто местом для бэкапа репозиториев (впрочем, багтрекер и вики там такие убогие, что всё равно оно больше ни для чего не подходит).
| | |
| |
| 5.82, anonymous (??), 02:56, 05/02/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
Без HTTPS проснифить твои куки (или пароль, если он будет в открытом виде передаваться, без хеширования на стороне клиента) кому-то из локальной сетки не составит большого труда,
а с ними и залогиниться можно ;)
| | |
| |
| 6.83, arisu (ok), 03:02, 05/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Без HTTPS проснифить твои куки (или пароль, если он будет в открытом
> виде передаваться, без хеширования на стороне клиента) кому-то из локальной сетки
> не составит большого труда,
> а с ними и залогиниться можно ;)
кэп! что-то дофига вас развелось нынче. а ты не думал, что я вполне, например, это понимаю, и всё равно хочу возможность послать в пень https? помимо того, что никому не упёрлось снифать мой логин, есть и ещё нюанс: ну и что они будут делать с моим паролем и логином на гитхабе? вытрут репы? тю, как будто это единственная копия. пойдут гадить от моего имени другим в багтраки и ты пы? так это меня совершенно не волнует, да и смысл подобного действа нулевой. не надо меня «защищать», если я об этом не просил.
| | |
| |
| 7.95, Аноним (-), 11:35, 05/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> кэп! что-то дофига вас развелось нынче. а ты не думал, что я
Сделают от вашего имени троянский коммит в каком-нибудь проекте, который вам доверяет. Доберутся до закрытый репозиториев. Но мы же обсуждаем GitHub как отвлечённый пример, а вы сейчас пытайтесь спустить всё на ненужность защиты как таковой.
| | |
| |
| 8.97, arisu (ok), 12:48, 05/02/2012 [^] [^^] [^^^] [ответить] | +/– | бугога давай, я тебе дам пароль от аккаунта, а ты попробуешь сделать коммит, а ... большой текст свёрнут, показать | | |
|
|
| 6.94, Аноним (-), 11:32, 05/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Без HTTPS проснифить твои куки (или пароль, если он будет в открытом
> виде передаваться, без хеширования на стороне клиента)
Я бы ещё добавил, что имея возможность перехвата трафика, не представляет труда перехватить нужные для хеширования на стороне клиента.
| | |
| |
| 7.98, arisu (ok), 12:56, 05/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Я бы ещё добавил, что имея возможность перехвата трафика, не представляет труда
> перехватить нужные для хеширования на стороне клиента.
да? наивно спрашивать, но всё таки: тебе ничего не говорят слова «Diffie–Hellman key exchange»?
вопрос, снова, не в том, чтобы вести шифрованый обмен по ненадёжному каналу. вопрос в том, можно ли доверять https. и ответ очевиден: до тех пор, пока существуют trused authorities в их нынешнем виде — нет, доверять нельзя. и если хочется действительно безопасного канала, то https отпадает сразу.
p.s. для особо въедливых: самоподписаные сертификаты проблему тоже не решают, тащемта. необходим механизм независимой множественной проверки сертификатов, которого сейчас элементарно нет.
| | |
| |
| 8.110, Аноним (-), 16:44, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | Эти криведки никогда не слышали о подобных схемах Они только минусы умеют винти... большой текст свёрнут, показать | | |
| |
| 9.117, arisu (ok), 17:07, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | это костыль, в общем-то, а не полноценное решение потому я и сказал, что 171 ... текст свёрнут, показать | | |
|
|
|
|
|
| 4.56, Аноним (-), 01:29, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Если бы гитхаб был просто бесплатной кодосвалкой, он бы давно уже прекратил
> работу за нерентабельностью.
Как же тогда публичные кодосвалки типа гиториуса работают до сих пор?
| | |
|
| 3.39, arisu (ok), 20:10, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Я честно говоря вообще не понимаю смысла в шифровании этого траффика. Чего
> такого секретного в работе с публичным репозиторием который и так всем
> доступен? :)
на самом деле гитхаб сделан для хомячков, так что я погорячился: полагаю, авторы гитхаба вполне осознают, что *принудительный* https там и нафиг не упёрся. но эта фича помогает привлекать микроцефалов, которые свято уверены в том, что сайт с принудительным https безопасней сайта с поциональным https или вообще без оного.
| | |
| |
| 4.57, Аноним (-), 01:30, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> упёрся. но эта фича помогает привлекать микроцефалов,
Ну хоть какая-то польза: научатся хорошей системой контроля версий пользоваться.
| | |
| |
| 5.59, arisu (ok), 01:33, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
так приходят-то не потому, что https, а именно потому, что git. а вот среди вариантов выбирают в том числе и за «безопасность».
| | |
| |
| 6.63, Аноним (-), 01:58, 04/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> так приходят-то не потому, что https, а именно потому, что git. а
> вот среди вариантов выбирают в том числе и за «безопасность».
Ни разу не видел такого. Скорее за удобные средства взаимодействия. Хотя может особо отмороженные корпорастивные манагеры и ведутся, черт их там знает. Честно говоря, таких напыщенных дураков не очень жалко.
| | |
| |
| 7.64, arisu (ok), 02:08, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Скорее за удобные средства взаимодействия.
ни одного, кстати, не нашёл. какие-то непонятной ценности ошмётки неизвестно чего. хотя, конечно, при отсутствии списков рассылки и нормальной вики оно может показаться удобным.
| | |
| |
| 8.66, Аноним (-), 02:15, 04/02/2012 [^] [^^] [^^^] [ответить] | +/– | Да просто у некоторых и такого нет Вика у гитхаба кстати действительно угребищн... текст свёрнут, показать | | |
| |
| 9.70, arisu (ok), 02:34, 04/02/2012 [^] [^^] [^^^] [ответить] | +/– | пользуются и даже тем, что у гитхаба называется 171 багтрекер 187 тоже поль... текст свёрнут, показать | | |
| |
| 10.72, Аноним (-), 03:18, 04/02/2012 [^] [^^] [^^^] [ответить] | +/– | Можно я пользуясь случаем толкну long hateful rant Или несколко полезных со... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
| |
| 3.43, arisu (ok), 20:14, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Если считаешь её дефективной, значит есть с чем сравнивать?
помимо того, что дефекты можно видеть и без сравнений, скажу ещё, что да, есть: с любым сайтом, где мне дают возможность выбрать, хочу ли я использовать http или https. а когда за меня решают, что мне таки лучше — это начинает напоминать некие известные корпорации.
| | |
| |
| 4.49, Anonymouse (?), 20:51, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> да, есть: с любым сайтом, где мне дают возможность выбрать, хочу
> ли я использовать http или https. а когда за меня решают,
Ариша - ответь на два вопроса:
1 - пользуешь ли Вы он-лайн банкинг? ,
2 - и если да - должен ли банк давать Вам возможность юзать это пр http ?
| | |
| |
| 5.50, arisu (ok), 21:44, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Ариша — ответь на два вопроса:
> 1 — пользуешь ли Вы он-лайн банкинг?
нет. на всякий случай: это не значит, что я не в курсе, что оно такое и как организовано. в том числе и «изнутри» (нет, я сам в банке не работал; а вот мой хороший друг — таки да, и в немаленьком, и как раз там, где этим занимаются).
> 2 — и если да — должен ли банк давать Вам возможность
> юзать это пр http ?
да. вполне возможно, что только после того, как я авторизуюсь и в настройках поставлю галку «идите в пень вместе со своим https, дайте мне просто http», но возможность должна быть.
к тому же, «банковский https» не более «надёжен», чем любой другой. защита, которую он предоставляет, увы, иллюзорна.
| | |
| 5.58, Аноним (-), 01:32, 04/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> 1 - пользуешь ли Вы он-лайн банкинг? ,
> 2 - и если да - должен ли банк давать Вам возможность юзать это пр http ?
Скажи честно, что помешает митму при столь декоративной секурности этого протокола влезть в середину с левым сертификатом "мамой клянусь, я твой банк" и немного поменять парметры транзакции? Секьюрити не бывает второй свежести, как и рыба. Или протокол защищает, при том от всех, от школьника Васи до NSA, или это декоративная фигня от которой мало толку.
| | |
| |
| 6.80, Michael Shigorin (ok), 00:07, 05/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > Или протокол защищает, при том от всех, от школьника Васи
> до NSA, или это декоративная фигня от которой мало толку.
Категорические утверждения абсолютно неверны! (ц)
Как и в любом споре щита и меча, есть вопрос паритета. При этом школьнику Васе вполне может хватить брони неуловимого Джо от направленных атак или неприбыльности ресурсов -- от ненаправленных...
| | |
| |
| 7.112, Аноним (-), 16:47, 06/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Категорические утверждения абсолютно неверны! (ц)
> Как и в любом споре щита и меча, есть вопрос паритета.
В случае криптографии факт взлома величина довольно-таки бинарная: ваши данные или уж перехватывают успешно, или уж нет.
| | |
| |
| 8.115, arisu (ok), 16:56, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | ну, не совсем так в принципе, иногда играет роль время, необходимое на дешифров... текст свёрнут, показать | | |
|
|
| 6.103, Кирилл (??), 15:39, 06/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Бывает и второй, и третьей, и сто пятидесятой свежести. Это вопрос управления рисками, а не некой абстрактной непробиваемой безопасности.
| | |
| |
| 7.111, Аноним (-), 16:45, 06/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Бывает и второй, и третьей, и сто пятидесятой свежести. Это вопрос управления
> рисками, а не некой абстрактной непробиваемой безопасности.
В случае текущего механизма https оно вообще один сплошной большой риск.
| | |
|
|
|
|
|
| 2.19, playnet (ok), 15:51, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
 > потому что эта идея «сертификации» defective by design. но до сих пор
> есть люди, которые верят, что «https — это надёжно!» например, такие
> идиоты сидят в гитхабе.
Поясните пожалуйста развернуто. Ну и какие аналоги тогда должны использоваться.
| | |
| |
| 3.44, arisu (ok), 20:17, 03/02/2012 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Поясните пожалуйста развернуто.
мнэ… до сих пор кому-то надо пояснять, почему централизованые системы (пусть с несколькими центрами, но) без средств взаимного контроля являются epic fail? увольте, для Кэпа это слишком длинная лекция.
> Ну и какие аналоги тогда должны использоваться.
аналоги *чего*? ты тоже из лагеря тех, у кого большие проблемы с русским? таки я тогда поясню, что «аналог» подразумевает аналогичную функциональность. зачем делать аналог системы, которая defective by design? это ReactOS получится.
| | |
| 3.61, Аноним (-), 01:47, 04/02/2012 [^] [^^] [^^^] [ответить] | +/– | Поясняю любой козел может кому угодно удостоверить что угодно в меру своей дуро... большой текст свёрнут, показать | | |
|
|
| 1.8, Аноним (-), 14:23, 03/02/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> В результате взломов инфраструктуры Verisign злоумышленники похитили данные и,
> возможно, произвели какие-то другие действия, масштаб которых до сих пор неизвестен.
Ну что, делаем ставки что еще подпишет себе ComodoHacker или кто-нибудь еще.И бурно доверяем SSL и аналогичным по смыслу протоколам с удостоверяющими центрами, ага. При том что один их главных центров так красиво обделался.
| | |
| |
| 2.29, Andrey Mitrofanov (?), 17:26, 03/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Этого давно стоило ожидать. Схема с УЦ довольно ущербная.
За сколько _лет_ до сообщений о Комодо начали этого ждать Вы? Ваши посты на опеннет, например, не предъявите?
А так, 3+ за старательность, 2- за внушаемость и стадность. Конфетка на полке, деньги в бидоне.
| | |
| |
| 3.100, Кирилл (??), 15:33, 06/02/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
Изначально. Со знакомства с SSL/TLS-ом. Другое дело, что я не склонен эту проблему драматизировать. У любой широкодоступной технологии есть свой существенные издержки, без которых она бы не стала столь массовой.
ЦА элементарно подвержены банальному ректальному взлому паяльником.
| | |
|
|
| |
| 2.87, arisu (ok), 04:27, 05/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> А зачем конторе гарант доверия? Она что, себе не доверяет?
гарант нужен (по логике ссл) третьей стороне. которая смотрит на сертификат, выданый васисуалию лоханкину, и видит, что это не самодел, а Большие Серьёзные Парни выдали. значит, васисуалий — он хороший, ему можно доверять. идея была неплохая: не заставлять пользователя задумываться над каждым сертификатом, а считать, что сертификаты, подписаные некими конторами, по-умолчанию «хорошие». а получилось как обычно и получается с закрытыми централизованными системами.
| | |
| |
| 3.88, Аноним (-), 04:33, 05/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Логика немножко странная, но приму во внимание. И все-таки было бы неплохо ссылочку на то кто-где-и как использует подобные сертификаты, please!
| | |
| |
| 4.89, arisu (ok), 04:39, 05/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Логика немножко странная, но приму во внимание. И все-таки было бы неплохо
> ссылочку на то кто-где-и как использует подобные сертификаты, please!
google:<i>https, google:</i>ssl
оно, кагбэ, всё на этом основано. зайди у себя в браузере в управление сертификатами и умились.
p.s. вот те самые authorities — это Большие Парни. сертификатам с их подписью браузер доверяет и не задаёт глупых вопросов. такие дела.
| | |
| |
| 5.90, Аноним (-), 04:45, 05/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> Логика немножко странная, но приму во внимание. И все-таки было бы неплохо
>> ссылочку на то кто-где-и как использует подобные сертификаты, please!
> google:<i>https, google:</i>ssl
> оно, кагбэ, всё на этом основано. зайди у себя в браузере в
> управление сертификатами и умились.
> p.s. вот те самые authorities — это Большие Парни. сертификатам с их
> подписью браузер доверяет и не задаёт глупых вопросов. такие дела.
Спасибо, поизучаю на досуге :-)
| | |
| 5.91, anonimouse (?), 05:13, 05/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Ну хорошо - тебе эта схема не нравится. Я правильно понял?
Тогда предлагай что по твоему надо внедрять.
Только учти - я банк, "кольцо доверия" и прочее тут не сработает :)
| | |
| |
| 6.102, Кирилл (??), 15:35, 06/02/2012 [^] [^^] [^^^] [ответить]
| +/– |
Не кольцо, а сеть ;)
В действительности эффективной массовой альтернативы нет.
| | |
| |
| 7.105, arisu (ok), 15:45, 06/02/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> В действительности эффективной массовой альтернативы нет.
потому что её не сделали. в принципе, даже «перекрёстные подписи» уже повышают уровень доверия (натурально, если они делаются по-уму, а не «стопицот омериканскех компаней подпейсали друх у друха»). но это всё, конечно, полумеры, потому что централизованые системы именно в силу централизованности обречены на факапы.
| | |
| |
| |
| 9.116, arisu (ok), 17:00, 06/02/2012 [^] [^^] [^^^] [ответить] | +/– | оно, конечно, хорошо только слабо работоспособно проверено не только личным оп... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
