The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Let's Encrypt перешёл к проверке с использованием разных подсетей

23.02.2020 10:39

Некоммерческий удостоверяющий центр Let's Encrypt, контролируемый сообществом и предоставляющий сертификаты безвозмездно всем желающим, объявил о внедрении новой схемы подтверждения полномочий на получение сертификата для домена. Обращение к серверу, на котором размещён используемый в проверке каталог "/.well-known/acme-challenge/", теперь будет осуществляться с использованием нескольких HTTP-запросов, отправляемых с 4 разных IP-адресов, размещённых в разных дата-центрах и принадлежащих к разным автономным системам. Проверка признаётся успешной только, если как минимум 3 из 4 запросов с разных IP оказались успешными.

Проверка с нескольких подсетей позволит минимизировать риски получения сертификатов на чужие домены путём проведения целевых атак, перенаправляющих трафик через подстановку фиктивных маршрутов при помощи BGP. При использовании многопозиционной системы проверки атакующему потребуется одновременно добиться перенаправления маршрутов для нескольких автономных систем провайдеров с разными аплинками, что значительно сложнее, чем перенаправление единичного маршрута. Отправка запросов с разных IP, кроме того, повысит надёжность проверки в случае попадания единичных хостов Let's Encrypt в списки блокировки (например, в РФ некоторые IP letsencrypt.org попадали под блокировку Роскомнадзора).

До 1 июня будет действовать переходный период, допускающий генерацию сертификатов при успешном прохождении проверки из первичного дата-центра при недоступности хоста с остальных подсетей (например, такое может случиться, если администратор хоста на межсетевом экране разрешил запросы только с основного дата-центра Let's Encrypt или из-за нарушения синхронизации зон в DNS). На основе логов будет подготовлен белый список для доменов, у которых наблюдаются проблемы с проверкой с 3 дополнительных дата-центров. В белый список попадут только домены с заполненными контактными данными. В случае если домен не попал в белый список автоматически заявку на помещение также можно отправить через специальную форму.

В настоящее время проектом Let's Encrypt выдано 113 млн сертификатов, охватывающих около 190 млн доменов (год назад было охвачено 150 млн доменов, а два года назад - 61 млн). По статистике сервиса Firefox Telemetry общемировая доля запросов страниц по HTTPS составляет 81% (год назад 77%, два года назад 69%), а в США - 91%.

Дополнительно можно отметить намерение компании Apple прекратить в браузере Safari доверие к сертификатам, время жизни которых превышает 398 дней (13 месяцев). Ограничение планируется ввести только для сертификатов, выписанных начиная с 1 сентября 2020 года. Для полученных до 1 сентября сертификатов с длительным сроком действия доверие будет сохранено, но ограничено 825 днями (2.2 года).

Изменение может негативно отразиться на бизнесе удостоверяющих центров, продающих дешёвые сертификаты с длительным сроком действия, доходящим до 5 лет. По мнению Apple генерация подобных сертификатов создаёт дополнительные угрозы безопасности, мешает оперативному внедрению новых криптостандартов и позволяет злоумышленникам длительное время контролировать трафик жертвы или использовать для фишинга в случае незаметной утечки сертификата в результате взлома.

  1. Главная ссылка к новости (https://community.letsencrypt....)
  2. OpenNews: Проект dehydrated сменил владельца
  3. OpenNews: Разработанный проектом Let's Encrypt протокол ACME утверждён в качестве интернет-стандарта
  4. OpenNews: Проект Let's Encrypt опубликовал планы на 2019 год
  5. OpenNews: Доверие к Let's Encrypt обеспечено во всех списках корневых сертификатов
  6. OpenNews: Let's Encrypt опубликовал описание атаки и план по устранению проблемы
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/52419-letsencrypt
Ключевые слова: letsencrypt, cert
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (159) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Омноним (?), 11:05, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –12 +/
    Вот только выложил свой хук для dehydrated - и тут новость про LE, моё почтение
     
     
  • 2.9, OpenEcho (?), 12:04, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    И каким образом новость влияет на dehydrated ?
    Он по протоколу либо получает "успех", либо "облом" вне зависимости от методов проверяющего...
    Или вы в хуках контролируете логи веб сервера как часто и с каких ИП вас проверяют ?  
     

  • 1.2, LeNiN (ok), 11:11, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    А что за «учётная запись в ACME»?
     
     
  • 2.25, Аноним (25), 13:54, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Работает так же, как и остальная продукция ACME.
     

  • 1.3, Аноним (3), 11:31, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    красавцы!
     
  • 1.4, Аноним (4), 11:38, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Первое: баг опеннета, что у меня в заголовке окна новость отображается как:"Let’s Encrypt..." -- HTML Entity вместо нормального апострофа. Было бы неплохо это поправить.

    Второе: Safari, как ни парадоксально, повлияет на рынок сертификатов. То есть, производители браузеров обладают рычагом воздействия. Лично мне это как-то неожиданно.

     
     
  • 2.5, Долбоним (?), 11:46, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Safari?
    Закопай!
     
     
  • 3.18, Ilya Indigo (ok), 12:45, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Ага, закопаешь его, когда каждый 1-ый директор считает своим долгом использовать исключительно гейское оборудование, и проверяет работу сайта на нём.
     
     
  • 4.23, анон (?), 13:51, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    перестаньте их "кормить" оптимизациями под сафари и прогибатся, и они перестанут юзаєть єто покусаное говно.
     
     
  • 5.26, Аноним (25), 14:04, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Нет, они просто уволят гомофобов, наймут нового админа, толерантного к эппл. Каминг-оут можно при этом не совершать.
     
     
  • 6.32, пох. (?), 14:59, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Каминг-оут можно при этом не совершать.

    если у них нет divercity квот.

     
     
  • 7.66, Аноним (66), 20:32, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Квот ... чего?! Городов для пловцов?!
     
  • 5.30, Ilya Indigo (ok), 14:46, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > перестаньте их "кормить" оптимизациями под сафари и прогибатся, и они перестанут юзаєть
    > єто покусаное говно.

    Это они меня кормят, в прямом смысле!

     
     
  • 6.61, FSA (??), 19:22, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это они меня кормят, в прямом смысле!

    Ты сам себя кормишь, а они у тебя основную часть заработка забирают.

     
     
  • 7.89, пох. (?), 09:11, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    одна проблема - если они вдруг перехотят забирать а на самом деле платить - ... большой текст свёрнут, показать
     
     
  • 8.136, Аноним (136), 23:12, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Знаешь, ты в принципе и без труда сталевара перетопчешься Набедренную повязку м... текст свёрнут, показать
     
     
  • 9.151, пох. (?), 10:38, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    главное, верить, что ты такой же ценный трактор, как и сталевар, и если не выйде... текст свёрнут, показать
     
  • 6.68, Аноним (-), 20:36, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это они меня кормят, в прямом смысле!

    А сами они, типа, альтруисты или даже может быть, деньги печатают? :) Ну и лично я бы уволился нафиг из конторы с такими пи... :)

     
  • 6.72, Аноним (-), 21:52, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Эксплуата́ция — присвоение результатов труда другого человека [...] с предоставлением взамен товаров (услуг, денег), стоимость которых *меньше*, чем стоимость, созданная трудом этого человека за рабочее время.
    --
    https://ru.wikipedia.org/wiki/Эксплуатация_труда
     
     
  • 7.91, пох. (?), 09:18, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    именно так он и эксплуатирует своих начальников. Присваивает результат их тяжкого организационного труда, взамен предоставляя васянскую ит. Которая вряд ли стоит своих денег, просто так принято.

    Я, если что, примерно то же самое делаю, бизнес без меня совершенно точно обойдется. Просто у него лишних денег много, часть из них можно тратить на то, что не приносит никакого дохода.

    И только больные у6людки, перечитавшие религиозной сектантской литературы, думают что их труд чего-то стоит. Почему-то обижаются, если им предлагают стандартный метод перевоспитания таких сектантов позапрошлого века - повозить песочек на тачке из одного угла двора в другой. А потом попробовать его есть, что-ли - ведь "труд кормит!" - и вроде трудился-то побольше чем сидя на жопке за столом.


     
     
  • 8.131, patients (?), 21:59, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ыыыы, матерые в-ва ... текст свёрнут, показать
     
  • 8.135, Аноним (-), 23:06, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не, вот пардон, если кастомер мне бабки дает - наверное, по его мнению, труд чег... текст свёрнут, показать
     
     
  • 9.152, пох. (?), 10:44, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    если ты лично этого ло кастомера развел на бабло - наверное, стоит, но всегда о... большой текст свёрнут, показать
     
  • 2.11, Аноним (11), 12:07, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    firefox - windows
     
  • 2.17, N (?), 12:35, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Firefox, Ubuntu. Подтверждаю.
     
  • 2.20, пох. (?), 13:37, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    похоже и яблу занесли нормально денег за повлияние.
    Никаким другим разумным образом это не объяснить.

    Кому-то стоящему за letshitcrypt очень, очень хочется полностью ликвидировать возможность проверки сертификата, а не слепого доверия непонятным м-кам. Чем больше подобных странных решений под видом "безопастносте", тем меньше сомнений что это именно м-ки.

     
     
  • 3.41, None (??), 16:01, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, кто-нибудь может толково объяснить, почему LE взлетел, а DANE - нет?
     
     
  • 4.49, Тфьу (?), 16:34, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Потому что LE просто работает везде, а dane это не пойми что?
     
  • 4.52, suffix (ok), 17:01, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Разумеется всем было хорошо если бы в браузерах была бы поддержка tlsa dane под ... большой текст свёрнут, показать
     
  • 4.53, OpenEcho (?), 17:07, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    DANE:
    - TLS клиент и сервер работают без центра сертификации, - потеря контроля над sheeple
    - Не подерживается популярными браузерами, что практически убивает идею на корню

    Let's Encrypt:
    - ничего нового изобретать не надо, можно дергать ниточки LE т.к. они зависят от спонсоров,
      заинтересованных в сливе в certificate transparency
    - Централизованный контроль
    - люди любят халяву и в конечном итоге большинство слетятся как мухи, как это есть с
      халявным емаилом и прочим "бесплатным сыром"

     
     
  • 5.73, пох. (?), 22:18, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    потеря контроля над sheeple
    Потому и: - Не подерживается популярными браузерами

    поправил, не благодари.

    > люди любят халяву и в конечном итоге большинство слетятся как мухи

    а кто не слетится - тому ябл заблокирует сертификат (дайте угадаю - без кнопки "продолжить" и возможности самому решать за себя)

     
  • 5.83, xm (ok), 23:29, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Собственно, из-за потенциальной потери контроля и доходов CA от продажи TLS сертификатов и есть главный фактор, почему DNSSEC/DANE последовательно и целенаправленно не поддерживают разработчики браузеров.
     
     
  • 6.92, пох. (?), 09:32, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    какие еще доходы у летсшиткрипты От торговли логами Вряд ли за это много платя... большой текст свёрнут, показать
     
     
  • 7.172, Аноним (172), 23:19, 27/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Что за бред Как SNI влияет на ценность сертификата И почему ты винишь SNI вне... большой текст свёрнут, показать
     
     
  • 8.173, пох. (?), 10:15, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    банально - сертификат теперь не подтверждает что сервер принадлежит или хотя бы ... большой текст свёрнут, показать
     
  • 4.84, xm (ok), 23:31, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что это куда как меньшая угроза бизнесу CA в частности, и контролю над всей системой TLS сертификатов в целом, чем DNSSEC / DANE.
     
  • 4.109, Аноним (109), 14:11, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что LE решил проблему с сохранением обратной совместимости: помимо процесса выпуска сертификата (который все равно не стандартизирован никак) ничего менять не надо.

    Кстати, не вижу, как DANE позволит решить проблему, адресуемую обсуждаемым изменением в LE. А проблема серьезная.

     
     
  • 5.156, evkogan (?), 11:31, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вы о какой проблеме Я для себя увидел только одну, пока еще потенциальную, но у... большой текст свёрнут, показать
     
     
  • 6.174, пох. (?), 10:19, 28/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Что сертификаты для всех внутренних сервисов придется выписывать на 1 год.

    чего это на год? Это просто временное решение, на переходный период. Сертификат надо выписывать на час! Иначе это нисесюрно-нисисюрно и его кто-то уже мог перехватить!

    > Вот мне больше делать нечего чем каждый год перевыписывать сертификаты на все
    > системы и по новому их дружить между собой.

    поэтому тебя заставят отказаться от доверия сертификатам вообще - даже самовыписанным.

    Поставишь чудесный самоапдейтящийся сервис в докере под докером в докере (по другому этот набор палок и костылей, обмазанных дерьмом, запустить будет все равно нельзя), и он тебе будет автоматически раз в час все перегенерять. Доверять ты должен исключительно гуглезиле, они лучше тебя знают, что безопастно.

     
  • 2.35, Аноним84701 (ok), 15:17, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Второе: Safari, как ни парадоксально, повлияет на рынок сертификатов. То есть, производители браузеров обладают рычагом воздействия. Лично мне это как-то неожиданно.

    С удачной разморозкой!
    Парадоксально и неожиданно тут разве что "производитель браузера" в этом случае оказался не гуглом:

    https://www.opennet.ru/opennews/art.shtml?num=51271
    > В Chrome 77 и Другом Браузере Гугля 70 будет прекращена маркировка сертификатов с расширенной верификацией

    https://www.opennet.ru/opennews/art.shtml?num=46941
    > В Chrome и Другом Браузере Гугля будет прекращено доверие к удостоверяющему центру Symantec

    (В заголовках ошибочно именовали "другой, финансируемый почти исключительно гуглом браузер" каким-то "firefox" - поправил)

     
     
  • 3.43, пох. (?), 16:06, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    уже не парадоксально palemoon https www opennet ru opennews art shtml num 52... большой текст свёрнут, показать
     
     
  • 4.81, Аноним (-), 22:36, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Походу мозг поха был зохаван ящерками...
     
     
  • 5.93, пох. (?), 09:34, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    походу у вас мозгов нет вообще, ящерики сдохнут с голоду.
     
  • 2.59, Аноним (109), 18:51, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В заголовке все нормально. Это баш вашего браузера.
     
     
  • 3.60, Аноним (109), 18:52, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Баг*
     
     
  • 4.63, Аноним (63), 20:04, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Баш вашего браузера" тоже норм звучит.
     
     
  • 5.69, Аноним (109), 21:42, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ну а что, гит на баше вон написали уже, можно и браузер
     

     ....большая нить свёрнута, показать (41)

  • 1.6, AlexBO (?), 11:59, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вроде и полезное пытаются сделать - а всё печальнее станет.

    При переносе домена между хостингами, теперь ещё дольше ждать придется, чтобы получить этот сертификат, ибо нужно было, чтобы один ДНС сервер ответилЮ что сайт уже на новом хостинге, а теперь 3 разных должны- а это увеличивает время, пока 3-и из 4-х в разных местах обновят нс-записи.

     
     
  • 2.10, Аноним (10), 12:06, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это какбэ намек: "Хватит прыгать туда сюда".
     
  • 2.13, Аноним (13), 12:18, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Со своей персоналки, с которой админишь оба сервера, получи вручную сертификат через DNS Challenge и залей его на новый сервер ДО ПЕРЕЕЗДА. После этого переезжай. А уже после этого - настраивай автоматическое получение сертификатов на новом сервере.

    Если по какой-то причине нет возможности использовать DNS Challenge, просто скопируй сертификат со старого сервера на новый.

     
     
  • 3.116, AlexBO (?), 15:42, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Гемор переноса уведичится - так из ISP в ISP автоматом архивы переносятся, а тут нужно лезть и ковырять, легче подождать заливки нс-записей на 3 сервера.

    Тут конечно не фатальная задержка - лишний час-два, в принципе не так серьезно. А защита все-таки с 3-х серваков запрос, это уже что-то, поэтому, будем ждать, не переломимся.

    А уже если у кого-то нагруженный сайт, то он явно один, а не 1200 как у меня, он может и руками там поковырять сертификат, чтобы переехать, это мне нужно сотни сразу переносить, если ехать на другой хостинг, там руками не проканает.

     
  • 2.16, OpenEcho (?), 12:34, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    1. А зачем менять сертификат, если домен тот же самый ???

    2. Я понимаю что без DNS challenge не обойтись, когда нужен сертификат для интранет ресурсов, недоступных извне, но для публичных ресурсов ИМХО верификация через веб быстрее и менее геморойная

     
     
  • 3.74, пох. (?), 22:19, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > А зачем менять сертификат, если домен тот же самый

    а затем что срок годности три дня, уже истек, пока ты возился с переносом.

     
  • 3.117, AlexBO (?), 15:48, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Только сейчас почитал что это такое DNS Challenge - :)
    Нет, это не для меня. У меня более полутора тысяч доменов на более чем 300 аккаунтах у 89 хостеров.

    Никаких челенджев быть не может для меня в принцип, и никаких ручных переносов сертификатов тоже - только новое авто-получение на новом месте.

     
  • 3.144, rvs2016 (ok), 02:49, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > 1. А зачем менять сертификат, если домен тот же самый ???

    А у меня "зачем" по другой теме:

    > 2. Я понимаю что без DNS challenge не обойтись,
    > когда нужен сертификат для интранет ресурсов,
    > недоступных извне

    Зачем делать https на внутренних ресурсах, недоступных извне, если в недоступные извне сайты никакой вредитель типа Ростелекома и ему подобных хакерских группировок и при голом http не вставит паразитов со своей спамерской рекламой, ведущей на t mail ru ?

     
     
  • 4.154, пох. (?), 10:58, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зачем делать https на внутренних ресурсах, недоступных извне, если в недоступные извне

    затем, что они иначе - не работают, если устроены чуть посложнее одной странички в html 3.2

    Благодари за это мурзилу и гугля - они позаботились о твоей безопастносте.

     
  • 4.164, OpenEcho (?), 20:42, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Зачем делать https на внутренних ресурсах, недоступных извне...

    Затем чтобы шибко умные работники и инсайдеры не просматривали трафик с паролями и чтобы не бегать по 400 рабочим станциям раположенных на 2-х этажах и устанавливать self-signed сертификат на который лаются браузеры

     
  • 2.22, Аноним (22), 13:43, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Подтвердите через днс
     
     
  • 3.115, AlexBO (?), 15:36, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В ISP 5 Lite еще ни разу не удалось подтвердить оп DNS на пачке разных хостеров.
     
     
  • 4.142, Аноним (109), 02:06, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И виноват в этом, конечно, letsencrypt, а не кривые панели для неосиливших шелл-скриптинг.
     
     
  • 5.169, AlexBO (?), 22:33, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Дело не в этом - у меня овер 1500 сайтов, я что, буду разбираться в чем-то,что не массово используется на хостингах?

    Есть хостинг, есть ISP 5 Lite в быстрым API, есть 100-200 доменов на аккаунт (на 40-70 IP), есть код (в php, или cgi) который все эти домены может быстро спаковать и перенести и развернуть на другом хостинге с ISP 5 Lite - расскажите плиз мне про инструменты, чтобы я мог по DNS 200 доменов этих подтвердить и перенести к другому хостеру с сертификатами?

     
     
  • 6.171, Аноним (109), 17:43, 26/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Судя по описанию, это какая-то сеота. Вот уж точно пофиг на проблемы сеошников.
     

  • 1.7, Аноним (7), 11:59, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > контролируемый сообществом
    > с 4 разных IP-адресов, размещённых в разных датацентрах

    То есть в "сообществе" не нашлось больше 4 мало-мальски крупных и заслуживающих доверия субъектов, которые могли бы предоставить проекту мощности для выполнения таких запросов, чтобы проверить сайт не с 4, а с сотен адресов. Показательно.

     
     
  • 2.12, Аноним (10), 12:10, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какое еще сообщество? Летс энкриптом управляет вполне себе корпорация. Сообщества хакеров я бы и не подпустил выдавать сертификаты или что-то проверять они все будут проверят каждый в свою пользу.
     
     
  • 3.161, mommy (?), 18:18, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да хакерам веры нет, пойду ядро линукса закапаю, зато вот компании летсов прям можно и ключи от дома доверить, они честные
     
  • 2.14, OpenEcho (?), 12:22, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А вы знаете таких крутых пацанов, которые не зная из какого IP пула прийдет проверяющий запрос могут напакастить в более чем 4 BGP, в реальном маштабе времени ?
     
     
  • 3.19, Аноним (7), 13:12, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –4 +/
    А Вы можете дать гарантию, что их нет? Я вот подозреваю, что если Агентство Национальной безопасности США мягко намекнёт владельцу какой-либо АС что неплохо бы на часик-другой внести вот такие изменения в свои анонсы и таблицы маршрутизации, то маршрутизация для целевых АС таки поменяется с оптимальной на "правильную".
     
     
  • 4.37, Аноним (37), 15:33, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Чувак, специально для тебя существует даркнет с луковыми адресами или вообще локальной адресной книжкой в i2p. Если тебе нужно залезть на официально зарегистрированный сайт какой-то фирмы, то не удивляйся, что он подчиняется законам, насколько незаконными бы эти законы не были. Ты правда думаешь, что твои котики и гиги пурна - важная стратегическая статистика? Люди, которым правда это важно, не используют подобные сервисы, а если таки пришло время этого самого, то они скачают это торрентом или ещё как-нибудь, причём там материал даже понинтереснее найти можно.
     
     
  • 5.48, Аноним (7), 16:25, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Какой даркнет? Какие луковые адреса? Здесь вообще речь идёт о другом - о том, что никогда нельзя быть уверенным в том, что где-то за пределами твоего контроля всё происходит так, как тебя пытаются убедить.
     
     
  • 6.55, Crazy Alex (ok), 17:37, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А ещё нельзя быть уверенным, что мир существует, когда ты его не воспринимаешь. И что? Это бессмысленная позиция, не имеющая никаких продуктивных практических последствий.
     
  • 6.80, Аноним (-), 22:35, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Фокус в том что луковый адрес таки достаточно однозначно подтверждает владение вон того типа вон тем ключом, и вот этому факту более-менее можно доверять :)
     
  • 3.33, Аноним (25), 15:01, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Любой путь в результате пройдёт через AS, через которые ДЦ подключены к инету. Их и будут атаковать.
     
     
  • 4.57, OpenEcho (?), 17:58, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    "We’ll make multiple validation requests from different network perspectives." != DC

    На сколько я понял, проверять будут из рандомных, бросовых ИП разнесенных географически, а не с ИП выделенных на датацентры, также как shodan прячется

     
     
  • 5.90, Аноним (25), 09:17, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А речь и де об их ASах, а об ASах рядом по маршруту с ASами дейтацентра, где сайт хостится.
     
  • 3.108, Аноним (108), 14:07, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Интернет рип. Вон недавно выяснил, что инфинитичан закрыли без суда и следствия по надуманной причине. Про запрещённый контент это ложь, любой незаконный контент там удаляли в течении минуты, а нарушителю выдавали пермабан. Сомнительные обсуждения тоже через пару минут удалялись. А всё от того, что какие-то шизофреники выбрали его в качестве своей площадки для привлечения внимания (к себе). О каком интернете при таких раскладах можно говорить? Человечество совершенно растеряло остатки разума.
     

  • 1.15, Аноним (15), 12:32, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    One ring to rule them all...
     
     
  • 2.158, InuYasha (?), 11:56, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    throw it in the fire!
     

  • 1.21, Аноним (25), 13:41, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >теперь будет осуществляться с использованием нескольких HTTP-запросов, отправляемых с 4 разных IP-адресов, размещённых в разных датацентрах и принадлежащих к разным автономным системам.

    Генералиссимус Очевидность подсказывает, что достаточно атаковать какую-либо из общих AS в пути. Напр. AS ЦОД. Но я не спец в BGP, не исключаю что  вообще достаточно атаковать AS, через которую маршрут не проходил, чтобы образовался новый маршрут через неё и AS атакующего.

     
     
  • 2.44, пох. (?), 16:10, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    генераллисимус спит. А его адьютант подсказывает, что надо просто зайти в гости к админу сайта - и никаких сложных ходов, оставляющих массу следов в неподконтрольных логах.

    Необязательно при этом с мигалкой и взводом зомби в скафандрах, можно просто найти дырочку в модном-современном http2 сервере. И слегка пропатчить ему certbot.

     
     
  • 3.51, Аноним (25), 16:51, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >найти дырочку в модном-современном http2 сервере

    А есть быстрые серверы типа энджинкса, но на ржавчине/goвне?

     
     
  • 4.87, Аноним (7), 01:06, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Назвал бы воду, но не помню на чём она, а гуглить лень.
     
     
  • 5.146, Аноним (-), 05:43, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Назвал бы воду, но не помню на чём она, а гуглить лень.

    На сях, естественно. А из гопников с растишкой разве что caddy припоминается.

     
  • 3.139, Аноним (-), 01:47, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > генераллисимус спит.

    Мозг у вас спит, Капитан в том случае - имя, а не звание.

     

  • 1.24, Аноним (25), 13:51, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    Зато многим сайтам вообще нaсрaть на TLS и на пользователей Им просто ОК, что у... большой текст свёрнут, показать
     
     
  • 2.27, Школьный админ (?), 14:08, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +7 +/
    > Зачем тратить ресурсы сервера на безопасность и приватность пользователей,

    Угу. До сих пор, в 2020 после титанических усилилий Гугла и прихлеваев, можно скачать картинку с котиками по открытому (о ужас) каналу.

     
     
  • 3.94, пох. (?), 09:38, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    мне кажется, этой вакханалии несесьюрности уже явно приходит конец? В ближайшее время небезопастные котики будут доступны уже только разьве что в локалке. И то недолго, получите и распишитесь "страницу" с надписью "нисисюрнанисисюрна", без объяснений что там не понравилось (с идиотским внутренним кодом ошибки, который нахер никому не нужен) и без кнопки "продолжить", разумеется.

    Заметьте - эта глупость тоже давным-давно во всех браузерах, включая васянские.

     
  • 2.29, Аноним (29), 14:42, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лень разбирать все примеры, отвечу про несколько из того что знаю:
    Сайты debian и ubuntu доступны по https, OCSP сломан и никто на него давно не смотрит.
    Зеркала репозиториев делают сторонние команды, это их дело делать ли доступным свое зеркало по https или нет, для того чтобы было пофиг - существуют цифровые подписи, а уязвимости точно так же будут находить и при использовании https. Кроме того, использование https сломает тот простейший в эксплуатации и настройке cdn который делают для зеркал, т.к. всем придется раздавать сертификаты этого cdn.
     
     
  • 3.31, Аноним (25), 14:56, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Да ну https archive ubuntu com ubuntu pool universe n ninja-build ninja-build... большой текст свёрнут, показать
     
     
  • 4.104, Аноним (104), 11:17, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    В винде обновления также по http передаются. У старых версий дисирибутивов не все пакетные менеджеры умели в https.У вас похоже https головного мозга
     
  • 2.34, Аноним (34), 15:11, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Зачем шифровать соединение говноtls-ом, когда передаваемые по нему файлы имеют криптографические подписи?
     
     
  • 3.36, Аноним (25), 15:20, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    гoвноtlsсом вообще не надо ничего ни аутентифицировать, ни шифровать. Нужно нормальным TLSом. Нормальный - это имеющий A+ на ssllabs + дополнительное упрочнение в виде HPKP и орг и техн мер, вроде HSM и блог-поста с оправданием на каждую смену сертификата.
     
     
  • 4.40, Аноним (7), 15:50, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Нормальный - это имеющий A+ на говноssllabs + дополнительное говноупрочнение в виде говноHPKP и орг и техн говномер, вроде говноHSM и говноблог-поста с оправданием на каждую смену говносертификата.

    Пофиксил за тебя. Можешь не благодарить.

     
  • 3.56, OpenEcho (?), 17:43, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > передаваемые по нему файлы имеют криптографические подписи?

    Подписанные неизвестно кем ?

    Или верить что их веб сервера не взломаны и верификационные хэши не подмененны?

    А может верить публичным ключам опубликованным на еле дышащих кей-серверах?
    Ну так поройте здесь мою хистори, я уже расказывал как лет 10 назад стал "секюрити офицером" от фряхи не являсь таковым.

    А еще оказывается криптографические подписи "надежно спрячут ваш пароль к банку" ...

     
     
  • 4.106, пох. (?), 11:58, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ко=ко=ко=кой ужос!

    Вот от обертки в https - сразу все верификационные хэши станут настоящими, и вебсервера невзломанными, и в сам пакет кто-то с ключом майнтейнера ничего лишнего не добавит.

    > Ну так поройте здесь мою хистори, я уже расказывал

    "бабка - врет!"(c)

    > А еще оказывается криптографические подписи "надежно спрячут ваш пароль к банку" ...

    пока не проимеешь подпись - надежно. А если ты ее проимел и вместе с паролем - то это https головного мозга в чистом виде.

     
  • 3.79, Аноним (-), 22:34, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > когда передаваемые по нему файлы имеют криптографические подписи?

    Ну например чтобы не информировать потенциальных атакующих о версиях софта в системе. А то может им сразу еще и список вулнов скомпоновать для их удобства и повышения шансов на успех?
      

     
     
  • 4.107, пох. (?), 12:00, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    и какое же отношение список скачанных пакетов имеет к "версиям софта в системе"?

    И конечно же если они о нем не знают, их эксплойты волшебным образом нельзя будет просто попробовать.

    Эксперты опеннета... вот гугель - гугель все правильно делает, да?

     
     
  • 5.147, Аноним (-), 05:49, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > и какое же отношение список скачанных пакетов имеет к "версиям софта в системе"?

    Это же элементарно, Ватсон! Если софт скачали, скорее всего и установили. Так можно более-менее реконструировать что за софт у адресата стоит.

    > И конечно же если они о нем не знают, их эксплойты волшебным
    > образом нельзя будет просто попробовать.

    Одно дело гасить сплойтами на деревню дедушке (так можно долго лупить с нулевым результатом вникуда) и совсем другое - зная версию и тип софта пойти, зазырить список CVE и уже прицельно и информированно укатать уже вот этим, зная что это должно работать.

     
     
  • 6.150, пох. (?), 10:31, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    так он в репо лежит - можешь для простоты считать что все версии на васян сервер... большой текст свёрнут, показать
     
  • 2.38, Аноним (37), 15:38, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы боитесь того, что кто-то может отследить то, что вы тыкаете на общедоступном сервисе? Ну такое. Больше бесит другой факт, что когда вы уже <b> авторизуетесь </b>, шифрование не появляется, и абсолютно вся реально важная инфа (если вы не по приколу регистрируетесь где попало) идёт открытым каналом. А так хз, без захода в свой аккаунт впринципе на той же википедии шифрование нафиг не нужно, разве что чтобы ркн не брызгало слюнями и не банило отдельные странички эта технология полезна.
     
     
  • 3.42, Аноним (42), 16:02, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >когда вы уже <b> авторизуетесь </b>, шифрование не появляется

    Так везде?
    Или где-то появляется?

     
  • 2.39, Аноним (7), 15:48, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > нaсрaть на TLS

    Мне тоже. Шифроваться можно с тем, с кем ты предварительно встретился в офлайне и обменялся ключами, и только при использовании проверенного ПО. Сертификат сайта заверен УЦ, сертификат УЦ включён в поставку броузера или ОС, пользователь установил или согласился на использование ПО - никого из этих людей пользователь не знает, он доверяет всем этим людям, фактически, по слухам. Поэтому TLS на сайте - это иллюзия защищённости.

     
     
  • 3.45, Crazy Alex (ok), 16:11, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эта иллюзия прекрасно защищает хоть от невменяемого провайдера, хоть от пионер... большой текст свёрнут, показать
     
     
  • 4.75, пох. (?), 22:24, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Эта "иллюзия" прекрасно защищает хоть от невменяемого провайдера, хоть от пионера-хакера Васи

    и от атак рептилоидов. конечно же.

    Что твой г-носайт хостится у невменяемого провайдера, траффик проходит через mitm "заботливой" клаудфлари, и уже взломан пионером Петей, если, конечно, пионер Сережа, его админ-вебдизайнер-и-владелец не разместил этого трояна сам - и что это в сто раз вероятнее - больной мозг воспринимать не в состоянии.

    Как и то, что все механизмы, хоть как-то способные помочь в этих случаях - уничтожены. Старательно, с мельчайшей точностью, всеми поголовно, включая каких-то совсем уж васянов, о которых и не знал толком никто.

     
  • 3.47, Аноним (25), 16:21, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Нет Это защищённость от говнопровайдера Сколько провайдеров в мире Сколько за... большой текст свёрнут, показать
     
     
  • 4.145, Аноним (145), 04:18, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ничего она не удерживает Позиция и влияние сами по себе это пустые слова У... большой текст свёрнут, показать
     
     
  • 5.168, Аноним (25), 21:30, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Let's Encrypt основана не корпорацией, а правозащитной организацией EFF.
     

  • 1.28, Аноним (25), 14:29, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Угрозы безопасности - это когда сертификат поменялся, но никто, кроме поменявшег... большой текст свёрнут, показать
     
     
  • 2.46, Crazy Alex (ok), 16:19, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Ну вот поэтому делают то, что возможно, а не "расслабляют булки", раз уж идеала достичь нельзя. Усложнили атаки, сделали их  дороже - вот и отлично. А перфекционизм - это к академическим случаям, которые на практике не только невозможны, но и никому не интересны. Я абсолютно уверен, что фирмварь в моём железе не будет пытаться утянуть реквизиты моей банковский карты или аккаунт в социалке, и рекламу впихивать на загружаемые веб-страницы - тоже. И что это же не будет делать софт из репозитириев Дебиана - тоже. А от левых личностей в вебе как раз https меня и прикроет.
     
     
  • 3.50, Аноним (25), 16:43, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Я тоже уверен в этом, если речь идёт о биосе Это низкий уровень, системный Для... большой текст свёрнут, показать
     
     
  • 4.54, Crazy Alex (ok), 17:34, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Теоретически да. А на практике - где-то да засветились бы уже. А теоретически игры ума как-то не интересны
     
     
  • 5.58, Аноним (25), 18:20, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >А на практике - где-то да засветились бы уже.

    А вы думаете есть желающие за такую цену искать чёрных лебедей? Вы всё ещё надеетесь вот что вот за вас лично кто-то это сделает?

     
  • 4.88, Ordu (ok), 01:20, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно Если отказаться от бинарной логики -- а от неё надо отказаться, потому... большой текст свёрнут, показать
     
     
  • 5.96, Аноним (25), 09:50, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Для профайлеров фикс не такой большой нужен Только распознать метку, внедрённую... большой текст свёрнут, показать
     
     
  • 6.105, Ordu (ok), 11:49, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Про какую метку ты говоришь Просто останавливаем процесс и смотрим где он остан... большой текст свёрнут, показать
     
     
  • 7.124, Аноним (25), 20:43, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Если контроллировать машину, на которой этот профайлер собирается, и эта машина ... большой текст свёрнут, показать
     
     
  • 8.130, Ordu (ok), 21:56, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не, это если контролировать _все_ машины, на которых этот профайлер собирается ... большой текст свёрнут, показать
     
     
  • 9.138, Аноним (25), 00:07, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Именно Да Но разработчики профайлеров, компиляторов, отладчиков, декомпиляторо... большой текст свёрнут, показать
     
     
  • 10.143, Ordu (ok), 02:09, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Нет Приоритетные цели -- это _потенциальные_ разработчики профайлеров, компилят... большой текст свёрнут, показать
     
     
  • 11.153, Аноним (25), 10:47, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен А вот в это верится с большим трудом Список всех самодельных и недоде... большой текст свёрнут, показать
     
  • 8.148, Аноним (-), 06:01, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    то всегда есть шанс что удак-системщик соберет его таки на соседнем компе, п... текст свёрнут, показать
     

     ....большая нить свёрнута, показать (13)

  • 1.62, Аноним (62), 19:39, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну не будет у хомячков безопасной работы с такими сайтами. эпл нас#рать на своих юзеров, а всем остальным на эппл ;)
     
  • 1.64, Аноним (64), 20:05, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > РФ некоторые IP letsencrypt.org попадали под блокировку Роскомнадзор

    На каком основании? Точный юридический ответ.

     
     
  • 2.67, Аноним (66), 20:33, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > На каком основании? Точный юридический ответ.

    Незачем технологическому гетто с орками всякие продвинутости.

     
     
  • 3.70, Аноним (64), 21:43, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е.

    > нарушения синхронизации зон в DNS

    неизбежны?

     

  • 1.65, Геймер (?), 20:14, 23/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Единственным условным плюсом https является типо защита от "говнопровайдеров, которые захотят шпионскую малварь в траффик вставлять". Для защиты от "шпионской малвари" имеется uBlock и прочая. Тем более в основном  шпионскую малварь в траффик вставляют не провайдеры а хозяева сайтов. От сбора персональных данных https не защищает никак.

    Тем более https не спасает от атак хакера Васи, например, через банальную СКЛ-инъекцию, так как https принципиально не защищает от дыр в кривом php-коде крутого бэкендера Пети

     
     
  • 2.71, Аноним (64), 21:46, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не всегда декларация совпадает с целью. Вспомним secureboot (и прочие сейфбуты) UEFI. От чего они защищают?
     
     
  • 3.76, пох. (?), 22:28, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    внезапно - вот от твоего желания порыться в моем ноуте - защищают. 100%
    Кодить ты не умеешь, а если бы и умел - все равно это было бы весьма и весьма непросто использовать.

    От г-на майора - не защищают, ну так ему и не надо - "разблокируйте, пожалуйста, ваш ноутбук, добровольно и с искренним желанием мне помочь, или вон через ту дверь - добро пожаловать в федеральную тюрьму. Она находится на экстерриториальной площади, поэтому гринкарту вы в ней не получите, и по отбытии срока в двести лет за отказ в законном требовании - будете депортированы".

     
     
  • 4.78, Аноним (-), 22:32, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > внезапно - вот от твоего желания порыться в моем ноуте - защищают. 100%

    Это как? Порыться в твоем ноуте хватит даже блин винды, и ее ключи подписаны и доверяемы, и хрен ты их удалишь в половине случаев, чтоб не скучно было.

     
  • 3.82, Геймер (?), 22:40, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    secureboot в UEFI можно выключить. Что все и делают.
     
  • 3.98, Геймер (?), 09:56, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А в целом верно: цель и secureboot и https совсем не в декларируемой "безопасности"
     
  • 2.77, пох. (?), 22:31, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Единственным условным плюсом https является типо защита от "говнопровайдеров, которые захотят
    > шпионскую малварь в траффик вставлять".

    но зачем васяны так жаждут поделиться с ними как минимум инфой о посещаемых сайтах - по прежнему совершенно неясно. Ну, вероятно, эти русские любят страдать.

    > Тем более https не спасает от атак хакера Васи, например, через банальную СКЛ-инъекцию,

    круче - он увеличивает поле для атак, и о дырках в прекрасном http2 сообщают раз в месяц. Так что крутой бэкэндер петя мог хоть static html использовать - вас все равно поимеют.

     
     
  • 3.99, Аноним (25), 09:58, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >дырках в прекрасном http2 сообщают раз в месяц.

    Требую пруфы.

     
  • 2.85, Аноним (85), 23:31, 23/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Стоит добавить, что в определённых странах сетям контент-провайдинга динамически выдаются прозрачные сертификаты для переподписывания трафика, да так, чтобы юзер не мог их отличить от натуральных сертификатов... Отличаются они только более коротким сроком.
     

  • 1.97, Геймер (?), 09:51, 24/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Показательный пост висит в топе на хабре "Вы не смотрите рекламу во время разработки? Непорядок". Делатель сайтиков, в которых как обычно  напихано куча рекламы и трекеров, жалуется что интернет-провайдер тоже впихивает конечному пользователю свою рекламу. В данном случае делатель сайтиков и конечный пользователь оказались в одном лице. В комментариях ад, трэш и Израиль, и такие же делатели сайтиков требуют полного запрета http и тотального внедрения https.
     
     
  • 2.100, Аноним (25), 10:03, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >такие же делатели сайтиков требуют полного запрета http и тотального внедрения https.

    Всё правильно делают. А грузить скрипты с внешних ресурсов, особенно с ресурсов гугла, абсолютно неприемлимо. Я на мгновение поверил, что это гугл решил карты монетизировать:


    > When you have eliminated the JavaScript, whatever remains must be an empty page.
    > must

    Слово must говорит о том, что это осознанное политическое решение.

     
     
  • 3.103, Геймер (?), 10:15, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Реклама и трекеры, которую делатели сайтиков пихают в свои поделия, на 99,9% это  скрипты с внешних ресурсов.  И грузятся они отлично по https
     
     
  • 4.112, VEG (ok), 14:53, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    По крайней мере у владельца сайта есть возможность выбора. Вот сделали вы такой сайт, весь из себя скромный такой, никакой рекламы и трекеров. И вам какой-то Васян пихает свою рекламу, без вашего спроса. Не думаю, что вы будете рады.
     
     
  • 5.159, Геймер (?), 12:02, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Выбор есть всегда. Хостинг-провайдеры за услугу бесплатного хостинга для скромных таких сайтов размещали собственные рекламные банеры на этих сайтах. Можно вспомнить такой народный хостинг narod.ru. Или же можно купить по отдельному тарифу полноценный хостинг без рекламы со стороны хостинга.

    Если владелец сайта не скромный и хочет монетизации, то он или пихает посетителям свою рекламу, нагло требуя посетителей отключать адблоки. Или как-нибудь собирает с посетителей деньги как опеннет.ру.

    Описанный на хабре случай рекламы со стороны интернет-провайдера последней мили - это тоже попытка монетизировать свои услуги. Особенно бесплатные и дешёвые тарифы всяких бесплатных вайфаев в метро, музеях и прочих богадельнях. Почему хостинг-провайдерам и делателям сайтов можно пихать рекламу пользователям, а провайдерам доступа в Сеть нельзя? И говорить о вмешательстве в работу сайта здесь как раз очень сложно - провайдер доступа не модифицирует файлы на сайтах. С таким же успехом можно утверждать, что телекомпания вмешивается в работу киностудии, перемежая рекламой трансляцию сериала. Вопросы могут быть разве что у потребителя "последней мили", но никак у делателей сайтов. И здесь тоже есть выбор. Или же менять провайдера, или менять на дорогой тариф где явно прописано отсутствие рекламы. Или же не разбираясь, кто пихеат рекламу, резать её адблоком к чёртовой матери.

     
     
  • 6.160, VEG (ok), 13:01, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Как хорошо, что развивающие интернет люди так не думают, и планомерно ведут веб к полному отказу от HTTP без TLS. Достаточно успешно, хочу сказать. Вангую, что лет через 10 HTTP останется разрешён только для localhost, и любители вмешиваться в трафик чужих сайтов останутся у обочины.
     
     
  • 7.162, Геймер (?), 19:14, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Развивающие интернет люди - кто все эти господа?! И что ж, господа интернета, будете после http запрещать - html в пользу тотального вебассемблера? Ведь html - это так небезопасно!

    Как хорошо, что люди использующие с пользой для себя и других этот интернет так не думают. И будут использовать в интернете именно то, что им нужно, а не то что им укажут представители каких-то интернет-господ.

    У меня давным давно имеется свой собственный скромный такой сайт с документацией и результатами собственных исследований. Конкуренция на рынке хостинга позволяет давно купить себе недорогой тариф безо всякой рекламы от хостера. На моём сайте нет ни рекламы, ни трекинга персональных данных в том числе и через рекламу, ни регистрации, ни СМС. И поэтому посетители моего сайта в полной безопасности, хотя работает он на чистом http. А вот обслуживать веб-сервер я захожу через клиент ssh - потому как это реальная безопасность без покупки всяких доверенных сертификатов от людей монетизирующих безопасность в Сети. И да, ком мне регулярно на мыло приходят предложения купить сертификатик для https, иначе господа интернета забанят в Гугле.

    Кстати, будущее интернета это, например, ещё и устройства IoT. У меня самого имеется пару wifi-контроллеров, на которых крутятся простенькие http-серверочки, и я могу через браузер проверить датчик уровня воды в унитазе. Не подскажете как прикрутить к ним сертификаты "летсенкрипта" безопасности ради?

    А в браузере я использую Privacy Badger и uBlock, хотя многие креативные веб-дизайнеры считают это подменой трафика с их сайта.

     
  • 5.163, Геймер (?), 19:21, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А когда вы установили адблок, вам не кажется что вы срезаете рекламу безо всякого спроса и владелец сайта очень рад этому?
     
  • 2.101, Джафар (?), 10:04, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хабр помойка для рекламшиков и про двигателей курсов.
    Делать там нечего, впрочем как и во всем рунете в целом.
     
     
  • 3.120, Аноним (85), 17:42, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    После цикла статей на хабре про штаб Навального... Заходить туда как-то стрёмно.
     
     
  • 4.137, Джафар (?), 23:26, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Так и не ходите, я вообще аккаунт оттуда удалил.
     
     
  • 5.167, Аноним (25), 21:23, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А я аккаунт не удалил, но после того как они повторно меня забанили (был забанен на хабре, разбанился на гиктаймсе, написав статью (на хабре не стал разбаниваться, ибо его внесли в Реестр, а ГТ - нет), после слияния хабра и ГТ разбаненный акк потерялся, а поддержка дала явно понять, что такие им не нужны) я на этот ресурс, относящийся к пользователям как к говну, не напишу ничего. На медиум, кстати, тоже ничего не напишу, там хоть кармадрочерства и нет, но отношение такое же сквозит сразу с формы логина. Да и логотип иногда включают цвета ЛГБТ флага, пришлось написать скрипт, убирающий это, чтобы знакомые не подумали, что я из "этих".
     
  • 4.140, Аноним (109), 02:02, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Боитесь, что товарищ майор за чтением застанет?
     

  • 1.102, Аноним (102), 10:13, 24/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Почему я противник всяких https, ssl и т.д. Потому-что мы все под колпаком этих всяких удостоверяющих центров и гуглов. А они под колпаком АНБ и ЦРУ. И геморроя от подписи этих сертификатов и их прикручивания полным-полно. И самое главное какой от них толк в большинстве случаев?
     
     
  • 2.110, VEG (ok), 14:28, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Чтобы всякие васяны не вмешивались в работу сайтов, типа как тут:
    https://habr.com/en/post/489528/
     
     
  • 3.118, Аноним (85), 17:15, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Т.е. вмешиваться будут только те васяны, которые контролируются всякими АНБ и ЦРУ...
     
     
  • 4.125, админ яндекса (?), 20:52, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да вроде меня пока анб не контролирует, я вообще в Нижнем Новгороде.

    А подсунуть тебе суперсикьюрным https'ом вместо файлика из репо твоего дермияна что-то поинтереснее (и транспорт поуязвимее - начиная со всеми любимого нами http2) мне совершенно без проблем.

    Но наивные васяны продолжают думать, что https спасет их от багов в apt, а не наоборот, сделает их еще более уязвимыми - из-за багов в самой https-реализации, хотя, конечно, и баги в apt никто тоже не отменял.

     

  • 1.122, Аноним (122), 20:20, 24/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > например, в РФ некоторые IP letsencrypt.org попадали под блокировку Роскомнадзора

    кому вообще в голову придёт размешать сервер в датацентре который выполняет фильтр РКН.

     
     
  • 2.123, тов. майор (?), 20:43, 24/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Где-где, говорите, вы разместили сервер с персональными данными граждан Ресурсной Федерации?

    Не трудитесь никуда выходить - за вами уже выехали.


     
     
  • 3.141, Аноним (109), 02:02, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А где в протоколе ACME персональные данные? :-)
     
  • 3.149, Аноним (-), 06:06, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Где-где, говорите, вы разместили сервер с персональными данными граждан Ресурсной Федерации?

    В Антарктиде, разумеется!

    > Не трудитесь никуда выходить - за вами уже выехали.

    Счастливого пути :)

     
     
  • 4.155, товарищ майор (?), 11:06, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> Где-где, говорите, вы разместили сервер с персональными данными граждан Ресурсной Федерации?
    > В Антарктиде, разумеется!

    ну вот сейчас тебя отведут в 302ю комнату - будешь там рассказывать про антарктиду.

    >> Не трудитесь никуда выходить - за вами уже выехали.
    > Счастливого пути :)

    э..грхм...гражданин, так ведь не за вашим сервером выезжали, он, поди, где-нибудь в васян-клауде, в whois - Сейшеллы, в traceroute - Румыния, добывать его оттуда долго и незачем, у нас хлама без него хватает.
    Выехали за вами - как злостным нарушителем законодательства. А вы, как нам совершенно точно известно, гораздо ближе.

     
     
  • 5.157, InuYasha (?), 11:50, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А что там в тов. Юлием О'санжем сейчас, кстати?
     
     
  • 6.170, тов. майор (?), 22:41, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Мы за него боремся. К сожалению, основные орудия борьбы конфисковали проклятые норвежцы, поэтому решение об экстрадикции все еще вполне возможно - у нас, конечно, поставки диверсифицированы, но пока происходит обмен товар-деньги-товар, суд уже может принять нежелательное решение, тем более что в эту игру может играть и вторая сторона.

     

  • 1.165, Геймер (?), 20:51, 25/02/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Изобретают велосипед. Кому оно действительно надо давно используют .onion.
     
     
  • 2.166, Геймер (?), 20:54, 25/02/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не туды запостил
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру