|
| 1.2, Аноним (2), 12:48, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +13 +/– |
Разработчикам придется сертификаты издавать для себя валидные даже для внутренних серверов?
| | |
| |
| |
| 3.7, нах. (?), 12:55, 07/02/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
полная его бессмысленность для серверов разработки и опасность для окружающих (внезапно, ага - борцуны за всеобщую сесурить такие борцуны, что не видят ничего опасного в пихании всем разработчикам сертификата CA, способного подписать любой хост).
Нет, мы не боимся уборщицу. Мы значительно больше боимся своих разработчиков, которые имеют время, вдохновение и техническую грамотность (а иногда и мотив нагадить) - и прямой доступ к серверу, поэтому никакой https от них волшебным образом не защитит.
| | |
| |
| 4.12, deriving Show Eq (?), 13:30, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Для полноты картины замечу, что во всяких там интранетовских сертификатах, выписанных на какой-нибудь *.staging-app.intranet нет ничего плохого.
| | |
| |
| 5.17, llolik (ok), 13:41, 07/02/2020 [^] [^^] [^^^] [ответить]
| +16 +/– |
 Но, как правильно внизу пошутили, следующий шаг в такой политике может быть таким:
"Самоподписаные сертификаты это несекурно, хрен его знает чего и как вы там сами себе наподписывали, а теперь на наш браузер бочку катите. Мы запрещаем использовать любые сертификаты кроме официально одобреных Гуглом".
| | |
| |
| 6.24, deriving Show Eq (?), 13:54, 07/02/2020 [^] [^^] [^^^] [ответить]
| –4 +/– | |
Это именно что шутка. Даже не столько шутка, как невежественный наброс толстого тролля.
Самоподписанные сертификаты и так и так для использования показываются с большим предупреждением, _если только их корни цепочки доверия_ не ведут к чему-то системному.
У гугла нет столько власти, чтобы под себя переработать логику использования _системных_ сертификатов во всех типах ОС.
Максимум – игнорировать всё системное и держать внутри свою связочку root CA... хотя постойте, где-то такое уже видели, кажется?
| | |
| |
| 7.27, llolik (ok), 14:18, 07/02/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Максимум – игнорировать всё системное и держать внутри свою связочку root CA...
Именно это конкретно я и имел ввиду.
> У гугла нет столько власти, чтобы под себя переработать логику использования _системных_ сертификатов во всех типах ОC
Но есть громадные рекламные возможности. Достаточно пару-тройку лет постепенно запускать тему, что "по-старому" небезопасно и не молодёжно, мы тут, кстати, сделали "крутую, новейшую и перспективную технологию прямо в браузере", и с существенной долей вероятности к этому и прийти. Разве Гугл не так работает вё время своего существования?
| | |
| 7.28, Аноним (28), 14:52, 07/02/2020 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Самоподписанные сертификаты и так и так для использования показываются с большим предупреждением, _если только их корни цепочки доверия_ не ведут к чему-то системному
Пффф... как будто это такая проблема для пользователя напихать на своей машине самоподписанных корневых сертификатов куда ему вздумается. Пока, во всяком случае.
Речь в том каменте шла о том, что Гугол и в этом начнёт пользователя ограничивать - "ой, чувак, у тебя тут корневой сертификат какого-то "My test CA", тебя, походу, взломали, я его сотру, заблэклистю и отошлю в Маунтин-вью для анализа"
| | |
| 7.50, jrthw (??), 17:31, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>У гугла нет столько власти, чтобы под себя переработать логику использования _системных_ сертификатов во всех типах ОС.
Пока нет...
| | |
|
| 6.52, нах. (?), 17:49, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> "Самоподписаные сертификаты это несекурно"
давно уже. Попробуй загрузить внешний код (с _разрешенным_ заголовком x-origin) с таким сертификатом, или, вон, вебсокет открыть - внезапно, ты даже сообщение об ошибке не получишь. (Потому что его просто некуда вывести - оно нонеча "страница", а страница - занята)
И нет, никаким разумным способом обойти эту заshitу нельзя. Только добавлять левый CA и подписывать сертификат им - со всеми вытекающими.
Но назойливое "этот сертификат подписан неодобренным CA" таки наводит на мысли, что и с ними скоро постараются покончить.
| | |
| |
| 7.124, Анонимус2 (?), 13:39, 08/02/2020 [^] [^^] [^^^] [ответить]
| –3 +/– | |
>Но назойливое "этот сертификат подписан неодобренным CA" таки наводит на мысли, что и с ними скоро постараются покончить.
Это в каком наркоманском бреду ты такое увидел? Добавляешь CA в браузер и пользуешься без уведомлений. Даже key pinning уже отовсюду выпилили.
| | |
|
|
| 5.40, нах. (?), 16:44, 07/02/2020 [^] [^^] [^^^] [ответить] | +/– | для подвальных интранетов - ничего плохого А для неподвальных где админ не оди... большой текст свёрнут, показать | | |
| |
| 6.120, RomanCh (ok), 12:00, 08/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Хоть мне и не нравится обычно ваш цинизм, но совершенно не понимаю зачем в данной ситуации вас заминусовали. Видимо хипсторы на гироскутерах, из стартапов в 5 человек, у которых "всё будет от гугла, всё будет в кайф", а описываемые вами проблемы кажутся чем-то невероятным.
| | |
| |
| 7.140, нах. (?), 09:20, 09/02/2020 [^] [^^] [^^^] [ответить] | +/– | потому что среда обитания местных опеннетчиков - именно подвальные конторы, по п... большой текст свёрнут, показать | | |
|
| 6.125, Анонимус2 (?), 13:44, 08/02/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Не осилил сделать журнал выписываемых сертификатов и аутентификацию на сервере который их выписывает? Не удивительно что у тебя подгорает от любых нововведений - ты просто некомпетентность ходячая.
| | |
|
|
| 4.19, Celcion (ok), 13:41, 07/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Вам, наверное, стоило бы обратить внимание, что речь идет о загрузке файлов с сайтов, открытых по HTTPS. В смысле, если сам сайт был изначально открыт по HTTP - то всё спокойно скачается.
Ограничение на скачивание чего-либо по HTTP с сайтов, открытых по HTTPS - вполне логичное и еще в незапамятные времена даже IE спрашивал "тут сайт с безопасным прдключением пытается что-то открывать через небезопасное соединение, открывать?"
| | |
| |
| 5.23, тоже Аноним (ok), 13:50, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Народ смотрит в будущее и экстраполирует продолжение таблички в колонках "87 and later".
| | |
| 5.41, нах. (?), 16:46, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
пока он _спрашивал_ - с этим все было в полном порядке.
К сожалению, больше никто ничего не спрашивает, все считают в порядке вещей решить за тебя.
| | |
|
| 4.21, user (??), 13:45, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Некоторые разработчики предпочитают не иметь прямой доступ к серверу, как раз чтобы потом не обвиняли.
| | |
| 4.22, Аноним (4), 13:49, 07/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Это каких еще окружающих должно парить наличие у разработчиков на компьютерах в компании своего ЦА ? Внутренние ресурсы окружающих не касаются вообще ни с внешним ЦА ни с внутренним. А уж с безопасностью внутри мы какнить сами.. без вас. Доверия _своему_ ЦА всяко больше чем длинной простыне рутовых ЦА непонятно кем контролируемых и что проверяющих перед выдачей сертификатов, что есть в ОС по умолчанию.
А если вы своим сотрудникам не доверяете.. а доверяете сотрудникам гугла.. ну да, тяжело.
| | |
| |
| 5.42, нах. (?), 16:49, 07/02/2020 [^] [^^] [^^^] [ответить]
| –6 +/– | |
с чего я тебе должен доверять, васян? Я тебя не нанимал. И я знаю кто у меня тырит печеньки со стола.
Поводов мне напакостить у тебя, внезапно, может оказаться гораздо больше чем у гугля - тот мой номер кредитки или кошелек точно не заинтересован стырить, у него цели поглобальнее будут.
Не говоря уже о том что ты (судя по комменту на опеннете) просто роспи...ень, и твои ключи уже давно перешли в общественное достояние.
Я даже не увижу, что альфабанк подписан этим ключом - спасибо гуглю за уничтоженные индикаторы и pkp.
| | |
| |
| 6.80, Аноним (80), 19:52, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
будто все рутовые сертификаты неприкосновенные и их знают исключительно рептилоиды... так, стоп
| | |
| |
| 7.96, нах. (?), 22:20, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
ха, смотрите - до него начинает доходить! ;-)
На самом деле именно так - любой CA _сейчас_ чтобы попасть в список доверенных гуглю, должен выполнить не одну, десяток серий приседаний и отжиманий, в том числе - продемонстрировать аудиторам, неумеющим собственный сайт нормально настроить, зато уважаемым, как именно ограничен и регламентирован доступ к основным и вторичным ключам, включая физический (то есть в квартире поднять васян-ca даже при бесконечных деньгах не выйдет), что нет зазора между выпуском сертификата и отметкой в логгерах и т д.
Так что не то чтобы неприкосновенные, но нам с тобой - не прикоснуться.
А хозяевам нашим, разумеется, ковровая дорожка. Никто ведь не обещал что у них нет копий, сделаных еще до аудита.
| | |
|
|
|
| 4.103, Аноним (103), 23:37, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Это не бессмысленно. Или вы никогда не пробовали MITM через ARP-спуфинг?
| | |
|
| 3.30, Нанобот (ok), 15:19, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 >кто мешает сделать свой ЦА "для внутренних серверов"?
здравый смысл мешает
| | |
| 3.60, Аноним (60), 18:01, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Хром считает его не валидным, не смотря на то что ca сертификат добавлен
| | |
| |
| 4.65, нах. (?), 18:05, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
покажи как сделал - у меня все в полном порядке.
Поскольку ровно от такой гадости зависит один ключевой уже для компании сервис.
Если очень стесняешься гордого имени своей васянлавка.local - показывай вместо сертификата конфиги openssl и параметры командной строки.
| | |
|
| 3.63, Аноним (63), 18:03, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> кто мешает сделать свой ЦА "для внутренних серверов"?
Как это выглядит для вебморты вон того длинка, интересно? "Поставьте наш сертификат"? Блин, а вы потом google.com им не подпишете?
| | |
| |
| 4.66, нах. (?), 18:08, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
не подпишут - ну сам посуди, гуглецом-то им - зачем?
Подпишут что-нибудь другое, более ценное.
Кто там еще наезжал на дойчтелеком ag? Ребята пошли на кучу расходов и геморроя пятнадцать лет назад - зато сегодня, внезапно, им не приходится страдать.
Но вы так не можете - у вас нет денег дойчтелекома, да и сегодня пройти проверку гораздо сложнее.
| | |
| |
| 5.75, Аноним (-), 19:23, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
А чего подписывать то? Сертификат на 192.168.0.1? Так айпишник малость не уникальный... :)
| | |
| |
| 6.81, нах. (?), 19:55, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
ну сам понимаешь - у дойчтелекома нет проблем с уникальными ip (сказки про их "дефицит" придуманы известно кем - кстати, гугль тут тоже руку приложил) - самому себе он их всегда выдаст.
А для васянов надо придумать какой-нибудь новый id, раз уж они, гады, не разводятся заплатить за доменные имена - тем более что в поле altNames все равно что понапихивать.
Гугель - придумает, не боись.
А если ты не про участие в гуглевых затеях - то в _твоей_ сети - он вполне уникальный. И да, ты можешь сам себе на него выдать сертификат - _пока_ - только плохо различимое "этот CA не кого надо CA" говорит о его "неправильности".
Я, собственно, выдаю, в тех случаях, когда бессмысленно давать этому имя. Правда, хожу туда не гуглем.
| | |
| |
| 7.89, Аноним (-), 20:52, 07/02/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
1) Я таки не очень понимаю,
- Какие сертификаты, как и кем будут выписаны?
- Если они будут выписаны, а что помешает например, мне, взять айпи и сертификат тех господ? Ну а вот прямо из их железок, допустим?
- Более того - так можно даже что-нибудь malicious клиенту сбагрить без лишнего бухтежа.
2) Какие, к дьяволу, "сказки" если IP устройств выпущено уже чуть не больше чем адресное пространство? Ты там можешь вякать что угодно, но ipv6 таки начинают активно юзать, просто потому что жизнь заставляет.
3) Васяны - это длинк какой-нибудь? Ну или как поход на вебморту вон того длинка должен выглядеть? И бэкапнуть конфигурацию с него гугл теперь не даст, хехе :)
| | |
| |
| 8.98, нах. (?), 22:45, 07/02/2020 [^] [^^] [^^^] [ответить] | +1 +/– | заметно Эксперты опеннета, они редко разбираются в теме Вот там изначально пос... большой текст свёрнут, показать | | |
| |
| 9.160, Аноним (-), 01:07, 13/02/2020 [^] [^^] [^^^] [ответить] | +/– | У вебморды длинка приватный ключ на его айпишник таки должен быть, очевидно Пос... большой текст свёрнут, показать | | |
| |
| 10.164, нах. (?), 17:35, 13/02/2020 [^] [^^] [^^^] [ответить] | +/– | и В чем проблема-то Я и легальный сертификат на alfabank ru могу реюзать воо... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
| 3.138, bOOster (ok), 07:00, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Apple.
Давно юзаю эту схему и с приходом IOS 13 это кромешный ад. При любом обновлении корневой слетает, и сервисы, типа mail перестают работать. Восстановление корневого проблему не решает - приходится перенастраивать учетку с нуля. Причем сертификаты выданы с учетом
https://support.apple.com/en-us/HT210176
| | |
|
| 2.6, гугель (?), 12:52, 07/02/2020 [^] [^^] [^^^] [ответить]
| –4 +/– |
Ненадолго.
Ваши самоподписанные сертификаты - сплошная увизгвизьмость и должны быть запрещены! letshitcrypt еще не собрал о вас достаточную информацию, которую вы смеете утаивать!
Будут ограничено (только в копроративной версии и только после установки пяти волшебных флагов, один из которых обнуляется при каждом запуске, трех параметров командной строки, и специального танца с бубном) доступна возможность использования сертификатов, подписанных корпоративным CA, но это неточно.
| | |
| 2.168, Аноним (168), 10:30, 18/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
>> Enterprise and education customers can disable blocking on a per-site basis via the existing InsecureContentAllowedForUrls policy by adding a pattern matching the page requesting the download. | | |
|
| 1.3, Аноним (3), 12:50, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Безопасность https несколько переоценена, но в целом это равно пора сделать. Ведь твой трафик может модифицировать не только лишь провайдер, но и сосед Вася, и уборщица Маша. И даже бомж Петя. Каждый раз расстраиваюсь, когда не дают возможности сравнить хэши (хотя бы) и подписи.
| | |
| |
| 2.10, A.Stahl (ok), 13:07, 07/02/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Да вот только возни много. Есть огромное количество файлов менять которые бессмысленно даже для соседа Васи, уборщицы Маши и бомжа Пети. Есть целые сайты которые нафиг никому не упёрлись для подмены трафика. Одно дело сообщить пользователю что канал не зашифрован, а другое дело вообще блокировать передачу данных.
| | |
| |
| |
| 4.44, нах. (?), 16:51, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
расскажи это гуглю, выкинувшему из поиска "нисисюрные" сайты?
| | |
|
| 3.133, трурль (?), 01:46, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Есть целые сайты которые нафиг никому не упёрлись для подмены трафика
За исключением провайдера, пихающему туда баннеры с рекламой и впаривающему левые подписки. Или поменяющему ответы со статусом 404 своей рекламной парашей.
| | |
| |
| 4.141, нах. (?), 09:28, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Ну так не пользуйся таким провайдером.
Он еще и деньги твои ворует, и паспортные данные пацанчикам продал, данные о том какие торренты ты качаешь - копирастам, а остальные - товарищмайору. Один-то раз начав, уже трудно отделить, где ты белый и пушистый, а где свинячье рыло торчит.
У меня вот нормальные провайдеры, которым хватает развлечений по поддержке своей сети, чтобы еще оставалось время на вредительство.
| | |
|
|
| 2.14, Корец (?), 13:36, 07/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
В любом случае, надо позволять пользователю решать, через какой протокол грузить, а не делать выбор за него.
| | |
| |
| 3.20, Ordu (ok), 13:42, 07/02/2020 [^] [^^] [^^^] [ответить]
| +7 +/– |
 99% пользователей не в состоянии сделать этот выбор.
| | |
| |
| 4.25, dmitry (??), 14:08, 07/02/2020 [^] [^^] [^^^] [ответить]
| +4 +/– |
 но оставшийся один процент является наиболее активным и продвинутым. И именно он помогает сделать выбор тем 99%. Или надо для них делать лаз в "свободу" или народ просто массово свалит с хрома, что, на мой взгляд, давно пора сделать.
А делается этот лаз уже много лет простым включением "режима администратора" с расширенными настройками и прочим.
| | |
| |
| 5.32, Аноним (32), 15:25, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> но оставшийся один процент является наиболее активным и продвинутым.
И должен пользоваться своим браузером. Но его... опаньки, нет.
| | |
| 5.34, Ordu (ok), 15:41, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
> но оставшийся один процент является наиболее активным и продвинутым. И именно он
> помогает сделать выбор тем 99%.
Да, гугл именно этим и занимается, помогает сделать выбор тем 99%.
> Или надо для них делать лаз в "свободу" или народ просто массово свалит с хрома, что, на мой взгляд, давно пора сделать.
Ну так сделай, раз пора. Но я не думаю, что это будет массовым явлением. 99% не пойдёт следом за 1%, просто потому, что этот 1% считает себя активным и продвинутым. До тех пор пока не появится альтернатива хрому, которая будет более привлекательна для хомячка, чем хром, никакого массового исхода с хрома не будет. И поддержка http -- это не то свойство браузера, которое может сподвигнуть хомячка на то, чтобы поставить альтернативу хрому.
| | |
| |
| 6.59, Аноним (-), 18:00, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Да, гугл именно этим и занимается, помогает сделать выбор тем 99%.
Скоро те 99% вообще не смогут зайти на свой роутер походу. А значит и пароль admin/admin не сменят, даже если захотят.
| | |
| |
| 7.69, гугель (?), 18:20, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Роутер, значит, сменят!
(Как их заставить это сделать - я уж придумаю, не сомневайся! И будут каждый свой роутер регистрировать в моих бездонных bigdata. Все для безопастности!)
| | |
| 7.115, Ordu (ok), 10:43, 08/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Скоро те 99% вообще не смогут зайти на свой роутер походу. А значит и пароль admin/admin не сменят, даже если захотят.
А они и так не заходят, и не меняют. Они не заметят разницы.
| | |
|
|
|
|
| 3.83, Анимус (?), 19:59, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Так никто не запрещает пользователю грузить его любимым протоколом. Хочешь через FTP - используй FTP-клиент, хочешь HTTP - используй HTTP-клиент, хочешь HTTPS - используй Хром.
| | |
|
|
| 1.13, Корец (?), 13:35, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Они своими огораживаниями добьются того, что надо просто послезает с хромого и на этом всё закончится.
| | |
| |
| 2.18, Аноним (18), 13:41, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ну не все основная масса будет сидеть и понимать что о ней заботиться компания Google.
Потом маленькая часть сопротивленцев забьет на это так как там уйма людей.
Так было почти со всеми массовыми сервисами - толпа решает и Google отлично это понимает.
С другой стороны вроде как толпа на толпу тоже рашет так мы помним срубили Internet Explorer.
| | |
| |
| 3.26, dmitry (??), 14:11, 07/02/2020 [^] [^^] [^^^] [ответить]
| –2 +/– |
Ну как, я начну своим знакомым ставить вместо хрома яндекс, или вообще хромиум. И гуголь в одночасье лишится человек 50. А таких как я очень много. А с учётом того, что пользователи не всегда понимают фразу "откройте браузер", то примут то, что я поставлю с удовольствием.
| | |
| |
| 4.33, Гуголь (?), 15:28, 07/02/2020 [^] [^^] [^^^] [ответить]
| +3 +/– |
Тогда на прийдётся устранить вас. От пользователей. Вы что-то больно технически грамотный.
| | |
|
|
|
| |
| 2.37, Аноним (37), 15:59, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Зло начнется когда для выдачи сертификата сайту надо будет пройти регистрацию дактилоскопию, потом проверку из правильной ли вы страны. И только потом вам может быть через месяц выдадут сертификат в порядке живой очереди на дискете 3.5 дюйма.
| | |
| |
| 3.46, нах. (?), 16:55, 07/02/2020 [^] [^^] [^^^] [ответить]
| –3 +/– | |
зачем? наоборот, для выдачи сертификата теперь не надо вообще ничего, кроме как на минутку захватить (возможно - частичный) контроль над сайтом - ни пользователи, ни владелец, никто ничего вообще не заметит, а заметят - не придадут значения - "что-то, видать, certbot сбойнул сегодня, лишний раз обновил - впрочем, он и сам попутно обновился, наверное, баг исправили"
"для того и брали"
А все технические ограничения, которые от этого защищали - старательно помножены гуглем на 0.
| | |
|
|
| 1.35, Аноним (37), 15:51, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
А что делать для загрузки в локальной сети? Выдавать сертификаты на айпи? Химичить сертификаты на любой чих? А как сертификаты рассылать другим пользователям локальной сети? В архиве который они не смогут скачать? Отказаться от локальных сетей?
| | |
| |
| 2.39, Аноним (39), 16:44, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Под локальной сетью Вы имеете в виду группу индивидуальных пользователей в единой "серой" сети? Letsencrypt позволяет подтвердить домен через создание dns-txt записи _acme-challenge.<domain name> с определенным значением. Соответственно нужен сервер, который позволит пользователям создавать свои поддомены и менять записи в них. Ну или пользоваться общедоступными. Собственные корневые сертификаты не вздумайте рассылать, они позволяют подписать любой домен.
| | |
| 2.55, Аноним (-), 17:57, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Wget/curl/axel? FUSE? Качать именно браузером, именно в локалке, именно файлы... эм... не очень удобно и прозрачно, чтоли.
| | |
| 2.61, нах. (?), 18:01, 07/02/2020 [^] [^^] [^^^] [ответить] | –2 +/– | Если тебя пользователей не беспокоит тот факт, что кто-то может выдать сертифика... большой текст свёрнут, показать | | |
| |
| 3.159, нах. (?), 22:39, 10/02/2020 [^] [^^] [^^^] [ответить] | +/– | кстати, я, оказывается, был не совсем прав по поводу невозможности ограничить де... большой текст свёрнут, показать | | |
|
|
| |
| 2.47, нах. (?), 16:57, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
жаль что оный ftp поддерживается только парой странных и страшных для незамутненного юзверя программ, а из браузеров (в которых и раньше-то поддерживался только хромой кастрированный вариант, например, не поддерживавший tls auth) уже, практически, выпилен, да?
Причем даже там где не выпилен - ссылку на ftp ты хрен откроешь.
| | |
| 2.57, Аноним (-), 17:58, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
При том протокол страшен как смерть и застревает на файрволах. А заодно жестоко тупит на передаче кучки мелких файлов.
| | |
| |
| 3.67, нах. (?), 18:13, 07/02/2020 [^] [^^] [^^^] [ответить]
| –3 +/– |
это проблема рукожопов, умеющих настроить файрвол только для работы гугла в гугле.
(потом, правда, в нем застрянет бестолковый webrtc, так что и гугль с гуглем будут работать не вполне нормально)
У меня тридцать лет нет проблем с ftp, еще со времен KA9Q - что я делаю не так?
Кучкой мелких файлов не надо гадить пользователю, ftp это не гипертекст, запакуй их в архив. Все равно они никому поштучно не нужны.
Вообще-то раньше были ftp-серверы, способные это делать за тебя, но такие давно уже немолодежны, немодны, вымерли вместе с вменяемыми админами, умевшими их настроить.
| | |
|
|
| |
| 2.54, Аноним (-), 17:56, 07/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Ну, как, попробуйте его пересобрать. Вдруг, чем черт не шутит, соберется?! Правда, въезд в гугловские технологии компила избавит нас от вас на пару месяцев... а в такой конфигурации и на пару лет, пожалуй.
| | |
| |
| 3.70, Дихлофос (?), 18:22, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
я думал тут есть продвинутые программисты...
вон есть же Mypal для Windos XP основанный на PaleMoon c заглушками для Win API
| | |
| |
| 4.77, Аноним (-), 19:28, 07/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> я думал тут есть продвинутые программисты...
Говоря за себя - у меня есть гораздо более интересные дела чем сношаться с окаменелой неподдерживаемой проприетарной операционкой и ее проблемы, забесплатно выполняя роль MSовских разработчиков и саппортов. Я не пользуюсь виндами - и не имею проблем с ними. В том числе и потому что новые операционки от MS сплощной кошмар и регресс какой-то.
| | |
|
|
| 2.56, Аноним (56), 17:57, 07/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
В виртуалбокс поставь вин 10 поставь туда хром. Включи интеграцию окон в виртуалбоксе чтобы хром казался нативным приложеним. ПРОФИТ!
| | |
| |
| 3.97, Дихлофос (?), 22:37, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
ага, а сколько этот вин 10 отъест места на ssd? я даже ни разу не устанавливал 10ку, но вроде слыхал 30 гигов? нее, такой вариант не подходит, да и 7ка тоже не очень - слишком мало места на ссд
| | |
| |
| 4.100, нах. (?), 23:06, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> ага, а сколько этот вин 10 отъест места на ssd?
поставь на hdd, если такой жадный.
Место отъест твой любимый хромог, а не десятка. Ему, если ты не в курсе, надо и самому немало, и кэши всякие где-то хранить, и в своп погадить.
Десятка сама по себе, вроде бы, умещалась в шести.
| | |
| |
| 5.102, Дихлофос (?), 23:22, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
я hdd не пользуюсь, потому что меня сильно раздражают шумы от hdd, а пока что я пользуюсь 2мя ссд - на одном ХР64, на другом 7ка
| | |
| |
| 6.108, нах. (?), 00:23, 08/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
страдай, чо, страдание очищает.
Я вот никакого hdd не слышу. Слышу вентиляторы, даром что они большие и тихоходные.
А на нем два десятка виртуалок, с кучей разных семерок, десяток и иногда даже ненужнолинуксов.
| | |
| |
| 7.162, Аноним (-), 01:09, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Странный чел - запускает что-то и рассказывает что это не нужно. Где логика, где разум? :)
| | |
|
|
|
|
|
| |
| 3.107, Дихлофос (?), 00:06, 08/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
оно не работает, я даже связывался с разработчиком - он обещал доделать, но похоже он забросил проект
| | |
|
|
| 1.53, Аноним (-), 17:55, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Э? То-есть вебморда роутера теперь даже пнгшку с логотипом вендыря рисовать не сможет? Голая хтмлка и ничего лишнего? Как аскетично!
| | |
| |
| |
| |
| 4.78, Аноним (-), 19:29, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Не, ну как, можно CSS прям в хтмылку вписать. И data:image или как там это порно правильно - туда же. Алилуя, ВОРКЭРАУНД!!!111
| | |
| |
| 5.85, нах. (?), 20:04, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– | |
это временно ;-) Помнится, мурзила уже что-то мурзила про "ниправильный-ниправильный data, мы его не будем показывать".
Плевать ведь на стандарты. Главное - забота о пользователях.
| | |
| |
| 6.94, Аноним (-), 21:10, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> это временно ;-)
Если учесть что css кажется, считается тюринг-полным XD я тогда мурзилле CSS-анимацию вместо apng заверну. Как раз последние юзеры на хром слиняют, т.к. перфоманс мозиллы на этом самом я видел :)
| | |
|
|
| 4.148, mumu (ok), 11:53, 09/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Так канвасом рисовать будут. Или зафигачат BMP сетку и раскарасят бакграунд каждого квадратика. Главное, шо секурно теперь, да.
| | |
|
|
|
| 1.64, Аноним (64), 18:05, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
эх, прощай sendfile()...сколько циклов cpu ты съкономил и энергии сохранил :) а может ну его нафиг этот гугл?
| | |
| |
| 2.86, нах. (?), 20:05, 07/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
proxy же ж никто не отменял. А ssl-фронтенду sendfile, в целом, без надобности.
Впрочем, на zfs он один хрен поломан.
| | |
|
| 1.71, Kuromi (ok), 18:23, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
 А видео и картинки то зачем блокировать? Чтобы ни у кого не осталось даже иллюзий о "швободке"?
| | |
| |
| 2.82, VEG (ok), 19:56, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
 Это необходимый шаг на пути к полному отказу от поддержки голого HTTP без S.
| | |
|
| 1.79, Аноним (80), 19:39, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>например, поражающее домашние маршрутизаторы вредоносное ПО может подменять загружаемые приложения или перехватывать конфиденциальные документы
Лол, оно и так уже может всё что угодно устроить, потому что МИТМ уже произошёл. Что за бредятина... Допустим мне не нужно шифрования, может я доверяю сети (локалка), или мне что теперь, все файлы гуглю отдавать на подпись их сертификатом? На иг этот хром, в край задолбали
| | |
| |
| 2.106, Аноним (103), 23:56, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Вообще-то я встречал такой вредонос в реале более 10 лет назад (ещё в нулевых). У меня был D-Link DIR-300, и однажды я обнаружил, что в каждую страницу вставляется обфусцированный скрипт. Вне зависимости от сайта. Кончилось тем, что я перепрошил роутер и перестало вставляться.
Так что IoT-малварь, это явление далеко не новое и была задолго до mirai.
P.S. через несколько месяцев тот длинк сдох (даже диоды ее мигали). Предполагаю, что его опять ломанули, но уже другие кулхацкеры, и попытались перешить, но ввиду кривости рук затёрли загрузчик.
| | |
| |
| 3.163, Аноним (-), 01:11, 13/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
mirai интересен разве что как пример кроссплатформенного програмизма под пингвин доведенного до абсолюта. Ему пофиг точная версия ядра, либ и прочего. Весьма забавно.
| | |
|
|
| |
| 2.93, Аноним (-), 21:09, 07/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Смерть городским локалкам
А они еще живые? Вот прям с сайтами на айпишнике и варезом на них?
| | |
|
| |
| 2.101, нах. (?), 23:08, 07/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> А потом отменят self-signed.
уже. cross-site уже не работает с такими сертификатами.
Даже вручную добавленными.
| | |
|
| 1.104, Аноним (103), 23:43, 07/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вместо того, чтобы запретить исполнение JavaScript, если все компоненты страницы не загружены по HTTPS, они заблокируют безобидные PNG, которые почти невозможно неверно распарсить - формат простой как три копейки.
| | |
| 1.109, Аноним (109), 01:01, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
А зачем роутеру 192.168.0.1 или 1.1 выдавать валидный сертификат для гугла, чтобы пользователь смог зайти на него? Нет запретим ему заход на роутер, т.к. это не бозопасно прогонять через сеть http запрос пароля.
А пока роутер не настроен и нету интернета, то мы не можем доверять самоподписанному сертификату, который предлагает нам принять роутер. Отказать. Нечего пользователю входить в админку роутера!
| | |
| |
| 2.114, Аноним (39), 08:31, 08/02/2020 [^] [^^] [^^^] [ответить]
| +2 +/– |
Keenetic предусмотрели такую гадость от гугла. Заходить на их роутеры положено не через ip, а по имени my.keenetic.net, DNS-proxy в роутере выдаст правильный ip. Если роутер получил доступ в интернет, то он просит сервер компании предоставить уникальное имя ([0-9a-f]{24}.keenetic.io) и подписать его сертификат у letsencrypt. Далее пользователь перебрасывается на это имя. Безопасность всего решения так себе, но гугл устраивает.
| | |
| |
| 3.117, zurapa (ok), 11:16, 08/02/2020 [^] [^^] [^^^] [ответить]
| –1 +/– |
 Нас готовят к IPv6, скоро наши маршрутизаторы будут доступны для всех. И компьютеры, и как бы вы должны быть привыкшими параноить теперь на каждом устройстве.
IP на всех не хватает, расширить его можно через IPv6, но обеспечить безопасность в IPv6 на уровне IPv4 значительно сложней, вот и выучивают нас заниматься ананизмом. Скоро запретят IPv4 и хрен у вас что будет работать. Закроют его поддержку в RED HAT, а потом пропихнуть в Debian и прочие, как с systemd было. А кому не нравится, тот пускай сам торвальдсом становится и пилит своё ядро. Всё катится к этому. Уж очень мы доверились этим негодяям, которые решают за нас теперь, как будет лучше для всей индустрии. А вы, челять! Приспосабливайтесь!
| | |
| 3.132, Имя (?), 23:50, 08/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
my.keenetic.net это то ещё ололо, упал интернет - на роутер не зайти, потому что он отрезолвиться не смог. А где увидеть его с сертификатом от LE? Попробовал на своём giga 3, по https не открывается вообще.
| | |
| |
| 4.136, Аноним (39), 04:34, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Вообще то это имя прописано на DNS-proxy роутера и ip-адрес в записи всегда прописан локальный текущий, а не фиксирован на 192.168.0.1. Так, что, работает даже если интернета нет и в случае, если провайдер использует 192.168.0.0/24.
Не нравится DNS провайдера? Роутер может использовать хоть DNS-over-https.
| | |
| |
| 5.150, Имя (?), 12:50, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
Я не понимаю, где что прописано. У меня в resolv.conf айпи роутера (192.168.1.1) написан, проверяю куда он ведёт вот так:
nslookup my.keenetic.net
Server: 192.168.1.1
Address: 192.168.1.1#53
Non-authoritative answer:
Name: my.keenetic.net
Address: 78.47.125.180
Это не выглядит локальным. И с тем, что с упавшим интернетом нельзя зайти по такому удобному адресу и убедиться, что это провайдер умер, я столкнулся сам лично, иначе бы не задумывался даже о таких материях.
| | |
| |
| 6.151, Аноним (39), 13:07, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Странно, раньше выдавал локальный адрес... Выдрав кабель провайдера, всё ещё отвечает 78.47.125.180, но назначает себе этот адрес и исправно отвечает. ttl ответа всегда 600, значит оно не кэше, а прописано в конфиге. От версии прошивки возможно зависит.
| | |
|
|
|
|
|
| 1.110, Гоголь (?), 01:37, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
вы ещё не трахались в установкой сертификатов в локалке?!
тогда мы идём к вам.
| | |
| 1.112, Аноним (112), 04:50, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– | |
>В Chrome 81 в настройках появится опция "chrome://flags/#treat-unsafe-downloads-as-active-content", которая позволит включить вывод предупреждений, не дожидаясь выхода Сhrome 82.
Во до чего техника дошла - теперь вместо флагов, позволяющих вернуть выпиленную фичу, стали добавлять флаги, позволяющие выпилить фичу ЕЩЕ БЫСТРЕЕ.
| | |
| |
| 2.142, нах. (?), 09:33, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
белки-истерички одобряют!
А гугль старательно воспитывает этих болванчиков - он умеет поднимать хайп, нужный только ему.
| | |
|
| 1.116, zurapa (ok), 11:10, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
Маразм в браузеростроении. Уже не знают что сделать, поэтому занялись обезопашиванием протоколов и исключении ошибок пользователей через браузер. Иносказательно получается так - Вы на столько дебилы, что мы для вас определим наиболее правильный путь использования технологии.
Интересно, сообщество ftp полностью не запретило. Может вообще порт 21,20 порты освободить. Чё?! Технология то не безопасная. Хочешь в домашней локалке гонять файлы, делай всё по "феншую", подымай кубернетис, подымай контейнеры, длеай центр сертификации, подписывай всё правильно, и только тогда уже можешь сделать фалопомойку с полными правами для всех и без пароля. Хотя! Надо ещё и все файл серверы ftp, nfs, samba закрутить, чтобы в них нельзя было без пароля входить, и чтобы авторизация только по керберос, с AD отдельным, и чтобы на шару нельзя было давать разрешения для всех, а только по группам, с обязательной группой Админов. И ещё трёхтомник издать, как это всё настраивать...
У меня вопрос только один - Фашизм точно искоренили в 45м?
| | |
| |
| 2.137, Аноним (39), 04:42, 09/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вообще то Chrome всегда позиционировался как браузер для идиотов. Строка ввода поиска и собственно фрейм контента, это всё, что нужно юзеру!
| | |
| |
| 3.143, нах. (?), 09:34, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Вообще то Chrome всегда позиционировался как браузер для идиотов.
а никаких других у вас - нет.
И уже не будет.
| | |
| |
| |
| 5.167, нах. (?), 17:30, 15/02/2020 [^] [^^] [^^^] [ответить]
| +/– | |
> Firefox есть
так он - от идиотов и для идиотов. Только еще и "всем хуже" и скоро про его поддержку вообще забудут.
Для людей он перестал быть давным-давно.
| | |
|
|
|
|
| 1.118, zurapa (ok), 11:17, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Интересно Seamonkey по этому же пути пойдёт? Других альтарнатив нефашиствующих не осталось уже?
| | |
| 1.119, Геймер (?), 12:00, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
То есть посмотреть видео с IP-камеры по локальной сети в Chrome уже не получится через веб-интерфейс. Вот тебе, бабушка, и IoT
| | |
| 1.122, Геймер (?), 12:29, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Вобщем все эти замечательные грабли в Хроме только для счастливых обладателей https-сайтов
| | |
| |
| 2.144, нах. (?), 09:36, 09/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
А не-https скоро будут возможны только в локальной сети и только без линков вовне.
И то не факт. Возможно - только в энтерпрайзной версии хрома.
| | |
|
| 1.123, Аноним (123), 12:59, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
Огорчает конечно, что они так медленно отрубают http и другие устаревшие технологии. Могли бы и рубануть с плеча и сделать это ещё в 7*
Позабавили комменты о локалках. Вы всерьез думаете, что их это коснется?) Пруфы?
| | |
| 1.126, Аноним (126), 15:35, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Так этот Block отключается или нет? Было бы крайне глупо не оставить даже флаг в about:config. Бедные хромоюзеры
| | |
| 1.127, Аноним (127), 17:09, 08/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
В логике браузера как операционной системы для веб-приложений из предлагаемых Гуглом (выдача поисковика чем не гугл плей?), это вполне адекватное решение.
| | |
| |
| 2.139, Аноним (139), 09:09, 09/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
А теперь объясни, на кой требовать шифровать пул общедоступных картинок? Чем тебе они помешали, "если страница открыта по HTTPS"?
| | |
| |
| 3.147, нах. (?), 09:41, 09/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> А теперь объясни, на кой требовать шифровать пул общедоступных картинок?
ему гугель так велел - сам же видишь, вместо своей головы - ссылка на мозгопромывочную мусорку.
| | |
|
| 2.146, нах. (?), 09:40, 09/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– |
> А истерички которые предлагают JS запретить... Але, он уже давно запрещен к загрузке с http
> протокола если страница открыта по https
ну да, прекрасно. Ведь кругом враги-враги, твой сосед шпионит за тобой (как он ухитряется в современной сети - загадка, но он точно это делает!)
А что единственный (даже не наиболее вероятный, а _единственный_) реальный вектор атаки - собственно взломанный васян-сайт (с https, а как же - вот, letshitcrypt только что выдал сертификат, каждый день новый!) - ни тебе, ни другим больным на голову в голову не приходит.
| | |
|
| 1.135, трурль (?), 02:12, 09/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
После внедрения этого ****ства поломается множество картинок в постах на форумах.
| | |
| |
| 2.145, нах. (?), 09:38, 09/02/2020 [^] [^^] [^^^] [ответить]
| +1 +/– | |
Не только на форумах - еще куча всяких (уцелевших) community-сайтов, где по разным (в основном, конечно, экономическим) причинам принято было тянуть картинки из внешних источников.
| | |
| 2.155, Аноним (155), 09:48, 10/02/2020 [^] [^^] [^^^] [ответить]
| +/– |
Не только форумы. Множество тематических сайтов. Тотальная зачистка веба. Марш в соцсети для сбора данных или в крупные коммерческие площадки вроде викии. Гугл веб приватизировал.
| | |
|
| 1.154, Аноним (154), 04:04, 10/02/2020 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 как же надоел этот повальный ssl'зм .., гореть вам в аду .. в своих чертовых шапочках из фольги!
| | |
|
