The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Mozilla обсуждает прекращение доверия к удостоверяющему центру WoSign

30.08.2016 21:32

Уязвимость в WoSign, одном из крупнейших китайских удостоверяющих центров, позволила злоумышленникам получить корректно заверенные сертификации для многих известных сайтов, допускающих размещение пользовательской информации на поддоменах. В частности, удалось выписать фиктивные сертификаты для сайтов GitHub, Microsoft и Alibaba.

Проблема вызвана недоработкой в системе верификации заявки. Для получения сертификата WoSign следует подтвердить владение сайтом, для чего достаточно разместить на сайте специально предоставленный проверочный ключ. Суть уязвимости в том, что злоумышленник может запросить сертификат для поддомена и заодно получить сертификат на основной домен, подтвердив лишь контроль над поддоменом. Например, имея возможность размещения информации на сайте test.github.io, можно получить сертификат и для github.io.

При анализе последствий уязвимости выявлено 33 сертификата, выписанных для основных доменов на основе верификации через поддомен. Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны, а остальные WoSign соглашается отозвать только после заявки владельца домена. Игнорирование требований устранить уязвимость привело к обсуждению разработчиками Mozilla возможности исключения WoSign из поставляемого в Firefox хранилища корневых сертификатов. Решение пока не принято, но большинство участников обсуждения уже высказались за блокировку.

  1. Главная ссылка к новости (http://www.percya.com/2016/08/...)
  2. OpenNews: Уязвимость удостоверяющего центра StartSSL позволяла получить сертификат для чужого домена
  3. OpenNews: Comodo пытается завладеть брендом Let's Encrypt
  4. OpenNews: StartCom запустил сервис по автоматической выдаче SSL-сертификатов
  5. OpenNews: Сертификат удостоверяющего центра был использован для перехвата трафика произвольных доменов
  6. OpenNews: В Chrome будет прекращено доверие к сертификатам удостоверяющего центра CNNIC
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45049-cert
Ключевые слова: cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (101) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, sabakka (?), 22:58, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "Примечательно, что о наличии уязвимости WoSign было сообщено ещё 14 месяцев назад и до сих пор проблема остаётся неисправленной. Более того, лишь часть полученных подобным путём сертификатов отозваны"

    что они там курят-то эти китаёзы?

     
     
  • 2.7, Аноним (-), 00:05, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +15 +/
    > то они там курят-то эти китаёзы?

    Бамбук же!

     

  • 1.3, Аноним (-), 23:04, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +16 +/
    Удаляют правильно, нафиг такое раздолбайство в трастах держать. На опеннете может перехать на что-то другое, например LetsEncrypt? А то тут, неожиданно, тоже WowSign.
     
     
  • 2.5, Аноним (-), 23:31, 30/08/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Только самоподписанный сертификат. Только хардкор.
     
  • 2.30, Аноним (-), 09:05, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Хорошо бы чтобы они и к американским удостоверяющим центрам так же относились. Потому что сейчас китайцев-раздолбаев банят на раз, а про штатовские центры потрындят и забудут.

    Демократия-съ

     
     
  • 3.98, Аноним (-), 21:57, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вот кстати да, комоду давно надо было гнать тряпками.
     
  • 2.36, t28 (?), 10:37, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Удаляют правильно

    В том то и дело, что не удаляют, а ограничиваются deep concern-ами.

     
  • 2.84, Anon43210 (?), 20:08, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Удивляюсь, что так долго ждали: 14 месяцев.
     
     
  • 3.117, Аноним (-), 20:04, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Удивляюсь, что так долго ждали: 14 месяцев.

    Ты хоть когда-нибудь работал в коллективе свыше 50 чел? Не в Рога-И-Копыта-Инкорпорейтед?

     
  • 2.99, Аноним (-), 22:00, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я с Восайном попрощался еще год назад, как появился ЛетсЭнкрипт!
     

  • 1.4, S.Atahl (?), 23:19, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    то оперу хакнули то этих теперь. Небось обвал цен на рис у кетайцев
     
  • 1.6, Crazy Alex (ok), 23:40, 30/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ну а пока - напоминаю, можно и ручками вынести у себя
     
     
  • 2.11, anonymous (??), 00:35, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Запилите man плз, я ленивое #%#%@#@ и, думаю, ряд анонов тоже.

    [сообщение отредактировано модератором]

     
     
  • 3.13, Crazy Alex (ok), 01:03, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Seamonkey:

    Edit - Preferences - Privacy and Security - Certificates. Кнопка Manage Certificates. Долистываем в конец, видим раздел WoSign, для каждого подпункта в нём: тыкаем на подпункт чтобы выбрать, тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке выбираем пункт (обычно он там один), тыкаем Ok

    Pale Moon:

    edit - Preferences - Advanced - Certificates, кнопка View Certificates. Долистываем в конец, видим раздел WoSign, для каждого подпункта в нём: тыкаем на подпункт чтобы выбрать, тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке тыкаем Ok

    Больше никаких браузеров под рукой нет, у кого хромиум - могут добавить.

     
     
  • 4.17, Аноним (-), 03:01, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Есть смысл ставить Seamonkey на OS X?
     
     
  • 5.18, Crazy Alex (ok), 03:28, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Откровенно говоря, его и на линукс ставить нет большого смысла, сижу потому что почтовик его я тоже использую, и он так жрёт существенно меньше, чем thunderbird + pale moon по отдельности. Плюс у меня довольно специфичные настройки - uMatrix, NoScript + uMatrix рубят всё, что можно и нельзя (т.е джаваскрипт почти нигде не включён и страницы сильно обрезаны), и куча вкладок, для которой памяти жалко. А так -  сотня вкладок + почтовик - 1 гиг virt, 700M res.

    Но вообще - SeaMonkey подтупывает на джаваскрипте. Pale Moon существенно быстрее - уж не знаю, почему, но разница очень заметна.

     
     
  • 6.20, Crazy Alex (ok), 03:32, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да. ещё одна особенность - сборщик Pale Moon наотрез отказывается поддерживать в нём MSE. В SeaMonkey же оно есть.
     
     
  • 7.24, Другой анон (?), 06:40, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это как он отказывается? В альфе уже завезли.
     
     
  • 8.44, Crazy Alex (ok), 13:47, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хм, не знал Он ругался на форуме, что это извращение и здесь он прав , которог... текст свёрнут, показать
     
  • 7.34, iPony (?), 10:10, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Об этих полтора фурфагах как-то смешно говорить в тоне "наотрез".
    Они вчера так, а завтра уже так. Естественно они идут следом с отставанием от фурифокса.
     
  • 4.37, Аноним (-), 11:24, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ... тыкаем кнопку Delete or Distrust внизу, в открывшемся окошке тыкаем Ok
    Нажимаем View Certificates. Долистываем в конец, видим раздел WoSign, всё удалённое на месте, как было.
     
     
  • 5.48, Crazy Alex (ok), 13:59, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Покопал - не всё так страшно.

    Встроенные сертификаты не убиваются, но у них отбирается доверие (что, по факту, то же самое). НО. Требуется рестарт браузера чтобы изменения вступили в силу.

     
  • 4.43, vantoo (ok), 13:45, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Подскажите, действительно ли Pale Moon работает заметно быстрее Firefox-а? Есть смысл переходить на него?
     
     
  • 5.49, Crazy Alex (ok), 14:01, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Из моего опыта - да, быстрее, на сайтах вроде Amazon очень заметно. А в seamonkey морда приятнее :-)
     
  • 5.91, Zampolit (?), 21:01, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Жрет существенно меньше оперативки и быстрее грузит страницы.
    Одно НО имеются проблемы с работой некоторых сайтов. Например невозможно залогиниться на хабре.
    Palemoon x64 ос Win7 x64
     
  • 3.108, Аноним (-), 09:16, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Обычное ленивое ;%№% и не размещает на этих сайтах ничего. Всем до одного места, пока любимый банк клиент не хакнут.
     
  • 2.31, ано (?), 09:29, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Пользуясь случаем..
    А можно сделать белый список корневых сертификатов? Тормозилла и хромиум.

    И ещё чтобы синхронизация этих сертификатов меж браузерами была. Но не было автоматического выкачивания из интернетов, только руками.

    Было бы неплохо ещё у нужных сайтов запоминать сертификаты, кем и кому выданы и т.д. и при изменении громко возмущаться

     
     
  • 3.51, Crazy Alex (ok), 14:07, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Насчёт синхронизации - теоретически можно, хромиум использует гномовское хранилище, файрфокс - см. cert8.db и key3.db (Berkeley db) в профиле. Но после обновления сертификатов явно придётся файрфокс перезапускать.

    Для "запоминания" (pinning) - http://patrol.psyced.org/

     
     
  • 4.52, Crazy Alex (ok), 14:09, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ага, для файрфокса: https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/Tools/certutil
     

  • 1.8, t (??), 00:06, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    WoSign - на деле единственный, кто сейчас выдавал сертификаты бесплатно, да ещё на три года. startssl скатился в нечто совсем дурное. Поэтому и opennet в том числе, и куча других ресурсов (включая, тот что в зоне моей ответственности) используют сертификаты от китайцев.
    Новость удручающая. Китайцы как обычно - раздолбаи.
    Менять сертификаты нет желания :-(
     
     
  • 2.9, X2asd (ok), 00:11, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Менять сертификаты нет желания

    Ну запили тогда скрипт, который будет это делать за тебя (каждые 60 дней)

     
     
  • 3.15, xm (ok), 01:18, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Менять сертификаты нет желания
    > Ну запили тогда скрипт, который будет это делать за тебя (каждые 60
    > дней)

    Да там даже и скрипта не надо - официальный клиент всё умеет.
    Типа certbot renew && service www restart по крону раз в неделю.

     
  • 2.12, Аноним (-), 00:53, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Letsencrypt же. Один раз засетапил и забыл.

    Официальный клиент, конечно, у них стремный и тянет ненужное, но он и не нужен, есть прекрасная альтернатива на bash:
    https://github.com/lukas2511/letsencrypt.sh

     
     
  • 3.14, xm (ok), 01:15, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да кроме python и некоторых библиотек ничего и не тянет, собственно.
    Но pure shell кошернее, конечно.
     
     
  • 4.21, Ergil (?), 04:37, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Помимо python и шелла там еще гора вариантов, надо заметить, вплоть до работы через луашку в openresty, которая вообще дает автоматическое генерение сертификатов самим веб-сервером, один раз настроил и забыл, при чем настраивается и возможность генерения при первом обращении к домену(у меня так на одном из доменов слушается *.domain.tld и отвечается, а при первом обращении получается сертификат).

    При этом сам я, после долгого перебора имеющихся средств остановился на https://github.com/hlandau/acme, в качестве основного, а openresty остался там, где именно он и используется, не возникло желания все nginx'ы на него менять.

     
     
  • 5.56, Аноним (-), 15:06, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Мне не нравится идея делать из nginx-а апач. (Ну или systemd).

    При вменяемой раскладке конфигурации нет никаких проблем с получением списка серверов шелл-скриптом в пару строк. Если в конфигурацию добавляем ручками, запустить еще один скрипт перед service nginx reload не проблема, если автоматически генерируем - так там же, после генерации, его и дергать.

     
     
  • 6.63, rob pike (?), 16:50, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне не нравится идея делать из nginx-а апач

    Никому не нравится. Но что делать, если на Апач все забили давно и основательно.

     
     
  • 7.100, Аноним (-), 22:02, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    nginx прекрасен декларативностью и очевидностью конфига, модуль rewrite - ошибка юности, которую Сысоев сам признает.

    А почему забили? mod_perl работать перестал разве?

     
     
  • 8.103, rob pike (?), 01:17, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Игорь вместе с этим советует побольше копипастить и ничего никогда не реюзать Т... текст свёрнут, показать
     
     
  • 9.111, Аноним (-), 15:27, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Копипастить лучше, чем разгребать приоритеты в апаче копипасту можно заменить г... текст свёрнут, показать
     
  • 6.81, Ergil (?), 19:33, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Анон, ты не понимаешь, что я о возможности слушать *.domain.tld и получать автоматом сертификат при обращении к ЛЮБОМУ домену третьего уровня на автомате? И моментальный корректный ответ с валидным сертификатом. Как ты это планируешь реализовать что-то где-то читая?
     
     
  • 7.93, Аноним (-), 21:51, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Прям вообще к любому?

    А если я на твой сервачок запущу что-то такое:

    while :; do curl -I https://1.2.3.4/ -H Host:$(cat /dev/urandom | tr -dc 'a-zA-Z0-9' | head -c $(($RANDOM / 512 + 1))).domain.tld; done

    через сколько минут он сломается? :-)

     
     
  • 8.101, Ergil (?), 23:00, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Про ограничения на стороне nginx и iptables на количество коннектов анон не поду... текст свёрнут, показать
     
     
  • 9.112, Аноним (-), 15:32, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если кому-то понадобится - могут и через список проксей, или вообще ботнетом В ... текст свёрнут, показать
     
  • 4.47, Аноним (-), 13:51, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А нафига мне python на веб-фронтенде, где кроме nginx ничего нет?
     
     
  • 5.105, Аноним (-), 05:16, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    скоро и там понадобится, не сглазьте ;)
    вона уже и в bind и в netfilter c nft - бидон тянут и в даже в ядра управление ажно(один из экспериментальных вариантов modultils :)
     
  • 5.109, Past (?), 11:25, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если не нравится питон используйте letsencrypt.sh, например.
     
  • 5.113, Аноним (-), 15:41, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А нафига мне python на веб-фронтенде, где кроме nginx ничего нет?

    у меня его там тоже нет, а серты есть. Магия!

     
  • 3.58, Я (??), 15:24, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Извращение это. Вместо нормального сертификата лазающий в интернеты скрипт.
     
  • 2.32, winadmin (?), 09:30, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    летсэнкрипт.
     

  • 1.16, Аноним (-), 02:26, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надо не обсуждать, а отзывать, и как можно быстрее.
     
     
  • 2.19, Crazy Alex (ok), 03:29, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С Comodo вообще не собрались...
     
     
  • 3.27, Аноним (-), 08:37, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Комодо — свободный демократический уц, выпускающий левые серты во славу либеральных ценностей, а этот ваш восигн — тоталитарный конкурент, небось ещё и с химическим оружием.
     
     
  • 4.53, Crazy Alex (ok), 14:11, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Кстати, в этом есть доля истины - в том плане, что аудитить комодо куда как проще.
     

  • 1.22, Аноним (-), 05:01, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Пока они думают в это время идут векторы аттак.
     
  • 1.23, iCat (ok), 06:15, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    Да вообще пора ликвидировать такой дырявый институт как "доверенные удостоверяющие центры"!
    Коррупция, разгильдяйство и недобросовестность разрушили всю идею доверия. И "замочек" в строке браузера уже ни о чём серьёзном не говорят.
     
     
  • 2.28, Аноним (-), 08:37, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    > Да вообще пора ликвидировать такой дырявый институт как "доверенные удостоверяющие центры"!
    > Коррупция, разгильдяйство и недобросовестность разрушили всю идею доверия. И "замочек"
    > в строке браузера уже ни о чём серьёзном не говорят.

    что тебе мешает управлять доверием своего браузера, болезный?

     
  • 2.54, Crazy Alex (ok), 14:12, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И на что заменить? Ну хотя бы чтобы соседский Вася трафик не смотрел и это не требовало никаких действий от пользователя?
     
     
  • 3.67, Аноним (-), 16:57, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Заменить на Namecoin и *.bit домены.
     
     
  • 4.75, Crazy Alex (ok), 18:07, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну разве что. Но там до промышленного применения совсем далеко.
     
  • 3.104, iCat (ok), 02:00, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И на что заменить? Ну хотя бы чтобы соседский Вася трафик не
    > смотрел и это не требовало никаких действий от пользователя?

    Вот сейчас при всём разнообразии и изобилии "доверенных удостоверяющих центров" пресловутый соседский Вася трафик смотрит, да ещё и посмеивается над всеми этими индикаторами защищённости...
    Это не беспокоит?

     
     
  • 4.119, Аноним (-), 20:08, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> И на что заменить? Ну хотя бы чтобы соседский Вася трафик не
    >> смотрел и это не требовало никаких действий от пользователя?
    > Вот сейчас при всём разнообразии и изобилии "доверенных удостоверяющих центров" пресловутый
    > соседский Вася трафик смотрит, да ещё и посмеивается над всеми этими
    > индикаторами защищённости...
    > Это не беспокоит?

    Иллюзия безопасности хуже отсутствия безопасности (с) Брюс

     
  • 4.124, Аноним (-), 12:48, 08/07/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Больной совсем?
     

  • 1.25, Аноним (-), 07:17, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде как везде написано, что сертификаты очень серьезное дело и потому странно что не убрали из доверенных в первый же день
     
     
  • 2.29, Аноним (-), 08:41, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Они любят себе пихать радуги и всякие вещи в одно место перед выпиливанием.
    Brendan Eich не одобряет.
     

  • 1.33, CHERTS (??), 09:59, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Как у какого-нибудь COMODO или другого УЦ выдача левым людям сертификатов, дак все шито крыто, это случайно мы для google.com выдали сертификаты васе пупкину, он чисто поиграться их взял, не не не, никаких MITM не будет.
    А как WoSign то, да, нужно удалить, они же китайцы, да еще прямые конкуренты LetsEncrypt, а кто у нас крышует LetsEncrypt, всем известно!
    В ж..у этот LetsEncrypt с их 3-х месячными сертификатами, поставил от WoSign на 3 года и забыл про это как страшный сон.
     
     
  • 2.45, Аноним (-), 13:48, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ты шоле руками серты letsencrypt обслуживал? лучше в ж..у эту жизнь, лежи дома на печи и забудь всё как страшный сон
     
  • 2.64, rob pike (?), 16:52, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а кто у нас крышует LetsEncrypt, всем известно

    Ротшильды или Рокфеллеры?

     
     
  • 3.106, Аноним (-), 05:17, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> а кто у нас крышует LetsEncrypt, всем известно
    > Ротшильды или Рокфеллеры?

    рептилоиды.
    рептилоиды, бро.
    и мертвые с косаме - вдоль дорог стоят. русыми.

     

  • 1.35, t28 (?), 10:35, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > привело к обсуждению разработчиками Mozilla возможности исключения
    > WoSign из поставляемого в Firefox хранилища корневых сертификатов.
    > Решение пока не принято

    Deep concern.

     
     
  • 2.38, Andrey Mitrofanov (?), 11:51, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Deep

    https://duckduckgo.com/?q=certificate-authority+deep-packet-inspection О-о! Глубже.

     

  • 1.39, Анончег (?), 12:56, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Кто юзает этот треш, когда есть Let's Encrypt?
     
     
  • 2.82, sorrymak (ok), 19:40, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я юзаю.
     
     
  • 3.97, Аноним (-), 21:54, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И это печально...
     
  • 2.114, Ilya Indigo (ok), 17:49, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже использую, как и админ этого сайта, и много других вэб-разработчиков и админов некоммерческих проектов.
     

  • 1.40, Анончег (?), 12:57, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тем более доверять безопасность китаезам, с какой стати?
     
     
  • 2.115, Ilya Indigo (ok), 17:50, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Тем более доверять безопасность китаезам, с какой стати?

    Ну конечно же, только пендосам и супермену, куда да них китайцам?

     

  • 1.41, Анончег (?), 12:58, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Мне во всей этой истории непонятно, какого ляда Мозилла ждала целый год.
     
  • 1.42, Анончег (?), 12:59, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я вообще не понимаю как люди жили до появления Let's Encrypt, это была катастрофа!
     
     
  • 2.46, Аноним (-), 13:49, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я вообще не понимаю как люди жили до появления Let's Encrypt, это
    > была катастрофа!

    копошились руками в восигне и старттлсе, а если было лень — пользовались самодельными сертами

     
     
  • 3.57, Crazy Alex (ok), 15:14, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего, через пару лет будут все подобное как страшный сон вспоминать
     
     
  • 4.65, rob pike (?), 16:54, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как сейчас вспоминают хардверную защиту от buffer overflow в Burroughs B5000 1961 года?
     
     
  • 5.73, Crazy Alex (ok), 18:02, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Нет. Эту хрень никто даже не помнит.
     
     
  • 6.85, rob pike (?), 20:30, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это ведь довольно странно. Каждый день публикуют очередные эксплойты, 90% которых именно buffer overflow, и никто не помнит. А ведь могли бы радоваться каждый день, что прогресс, хардверной защиты нет, эксплойты на каждом шагу, счастье наступило, не то что при царском режиме.
     
     
  • 7.88, angra (ok), 20:38, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Еще в 80186 добавили инструкцию bound для проверки выхода за границы массива и что изменилось от наличия такой хардварной проверки?
     
  • 5.80, angra (ok), 19:32, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Поделись, чем этот факт тебя так впечатлил, что ты носишься с ним из треда в тред как дурак с писаной торбой?
     
     
  • 6.86, rob pike (?), 20:31, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Отпишись и не читай.
     
     
  • 7.90, angra (ok), 20:42, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А по существу ответить слабо?
     
  • 5.107, Аноним (-), 05:18, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Как сейчас вспоминают хардверную защиту от buffer overflow в Burroughs B5000 1961
    > года?

    судя по темпам внедрения NXP/DEP во всех архитектурах по Power, Sparc и hitach, r500, включительно - вполне позитивно смотрят =)

     
  • 2.116, Ilya Indigo (ok), 17:53, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я вообще не понимаю как люди жили до появления Let's Encrypt, это
    > была катастрофа!

    Ты не поверишь, или вообще не использовали https, или использовали само подписанные сертификаты на 10 лет.

     
     
  • 3.120, Crazy Alex (ok), 01:35, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, то есть хреново жили
     
     
  • 4.123, Ilya Indigo (ok), 19:59, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, то есть хреново жили

    Хреново было, когда не было nic.ua и pp.ua, и зарегистрировать бесплатный домен в зоне org.ua было очень геморно и почти нереально. И от провайдера получить реальник было геморно и дорого. А сейчас, 2 клика, смс-ка или код в телеграмме и бесплатный домен в зоне pp.ua, с бесплатным dns готов. А Триолан аж 2 реальника даёт бесплатно.
    А на https было просто насрать, да и сейчас он нужен лишь для галочки, что бы пользователи видя зелёный замочек испытывали чувство защищённости. Хотя, если бы http2 работал бы без него, и input type="password" не ругался бы на его отсутствие, то срал бы на него до сих пор.
    А вот если Китайцев выкинут из списка доверия, то вот теперь-то и будет хреново.
    Но думаю, разбирутся, как и с Комодо.

     

  • 1.59, Аноним (-), 15:53, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Плохо что мозилла теряет в рейтинге, браузером пользуется все меньше людей, им бы поменьше распыляться на сторонние проекты и заняться браузером...
     
     
  • 2.66, rob pike (?), 16:55, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    XUL мешает. Вот выпилят XUL, сделают всё остальное как в Chrome - тогда и займутся.
     
     
  • 3.102, Crazy Alex (ok), 01:16, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, гугловцы
     
  • 3.122, Аноним (-), 10:16, 02/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    так уж-ж.
    помаленьку начиная с 38 версии - выпиливают XUL покомпонентно и втаскивают Bink туда(правда форкнутый лихо).
    применительно к креведке это где-то 2.11/2.12 версия, например, про тандерберд и прочие проекты(оттуда тоже XUL выпихивают но с меньшим нажимом и кое-где - решилми оставить, например в средствах для разработки веб-а).
     

  • 1.77, Аноним (-), 18:44, 31/08/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Лол. Мозилле китайцы как всегда занесут, сделают видимость устранения уязвимости, и дядя Ляо из партии и дальше будет продолжать читать вашу переписку как ни в чем ни бывало.
     
     
  • 2.95, Аноним (-), 21:52, 31/08/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Есть подтверждение твоим словам? Кто там заносит мозилке?
     
     
  • 3.110, Аноним (-), 13:57, 01/09/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А текста этой новости недостаточно?

    По уму они должны были в ту же секунду обновить версию и заставить полмира валить на другой УД. Но нет, затаились, намекая, что сумма за молчание слишком маленькая.

     

  • 1.121, Аноним (-), 07:23, 02/09/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Думаю всем тем, кто редко пользуется китайскими сайтами, лучше всего отключить его самим, не дожидаясь пока в Мозилле раздуплятся, и в Хроме и в IE тоже...
     
  • 1.125, KonstantinNuh (?), 10:11, 08/05/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обходились как-то до этого без всяких сертификатов, сейчас приходится бегать по всяким Хострадарам с выпученными глазами, разыскивать хостинг с дешёвым или бесплатным SSl.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру