Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 41
Вас работадатель с вероятностью 90% установил на рабочем ПК корневой сертификат, который будет расшифровывать весь ваш трафик у администратора сети.
… если вы работаете в крупной компании с профессиональным ИТ-отделом. Если взять вообще все компании, то с вероятностью 90% ваш работодатель вообще не знает, что такое «корневой сертификат».
Так же с вероятностью 90% ваш работодатель будет требовать от вас (от ИТ-отдела) предоставить такой анализ активности работников в сети, который требует расшифровку HTTPS с подменой сертификатов.
Так же с вероятностью 90% ваш работодатель будет требовать от вас
С вероятностью 99.9% под этим требованием будет пониматься список посещаемых сайтов и время их посещения, а не подробный перечень фоток, которые лайкают бухгалтера во вконтактике. Что-то большее случается только в секьюрных конторах. И то, это защита от дурака, т.к. хоть десять раз подменяй сертификаты HTTPS, это не поможет, например, узнать содержание защищённой PGP переписки.
Развлекательные сайты смотрятся на смартфоне.
Зачем работодателю расшифровывать трафик? Кто всё это будет анализировать? И если я как сисадмин расшифровываю и всё вижу, то куда мне смотреть?
Зачем работодателю расшифровывать трафик? Кто всё это будет анализировать? И если я как сисадмин расшифровываю и всё вижу, то куда мне смотреть?
Руками обычно никто и не смотрит, но на рабочих ПК часто можно встретить заблокированные интерфейсы на ПК и один единственный доступный вариант утечки — интернет, тут собственно и требуется анализ трафика.
Подавляющее большинство руководителей в бизнесе любого размера не терпят нецелевое использование рабочего компьютера. Да, есть смартфон, но куда приятнее смотреть видеоприколы на мониторе весь рабочий день. Трафик анализируют так же с целью предотвратить либо зафиксировать факт утечки.
Кое-где с сисадмина требуют докладывать о поиске работы сотрудниками на соотвествующих порталах.
Ну и есть такой распространенный синдромом: Control freak — такие начальники желают знать о подчиненных всё.
Кое-где с сисадмина требуют докладывать о поиске работы сотрудниками на соотвествующих порталах.
Ну и есть такой распространенный синдромом: Control freak — такие начальники желают знать о подчиненных всё.
прЕвысила
Опрос:
> Поддерживете ли вы стимулирование перехода на HTTPS
Нет, шифрование это плохо
Зачем такие провокационные варианты ответа, ради очередного холивара? Уже сколько раз везде обсуждали, что https — нужен далеко не на 100% процентов сайтов.
> Поддерживете ли вы стимулирование перехода на HTTPS
Нет, шифрование это плохо
Зачем такие провокационные варианты ответа, ради очередного холивара? Уже сколько раз везде обсуждали, что https — нужен далеко не на 100% процентов сайтов.
Добавил бы вариант в опросник «Да, но в пределах разумного»
А в каких именно пределах?
Ну здесь уже не раз обсуждалось, что не на всех сайтах нужно шифрование. Вот допустим захочу я какую нибудь игрушку с вебсокетами написать, никакой ценной информации для перехвата нет, а скорость нужна, т.е. шифрование только мешает.
Вы удивитесь, но WSS будет работать быстрее чем WS из-за игнорирования потока данных при проходе через прокси и различные анализаторы.
PS Вебсокет вообще очень не нравится прокси серверам, особенно корпоративных и если есть возможность его лучше оборачивать…
PS Вебсокет вообще очень не нравится прокси серверам, особенно корпоративных и если есть возможность его лучше оборачивать…
Например, отдача тяжелого статического контента типа видео или файлов игр (Steam, Origin,...) не имеет смысла поверх HTTPS. И если с клиентами понятно — там свой протокол, то отдать видео в HTTPS-страницу по HTTP проблематично без ругани браузера.
В декабре, в debian-security пролетало:
[https://lists.debian.org/debian-security/2016/12/msg00016.html](https://lists.debian.org/debian-security/2016/12/msg00016.html)
[https://lists.debian.org/debian-security/2016/12/msg00018.html](https://lists.debian.org/debian-security/2016/12/msg00018.html)
И таких ситуаций, где не нужно сквозное шифрование, а достаточно проверки подписи — довольно много.
[https://lists.debian.org/debian-security/2016/12/msg00016.html](https://lists.debian.org/debian-security/2016/12/msg00016.html)
[https://lists.debian.org/debian-security/2016/12/msg00018.html](https://lists.debian.org/debian-security/2016/12/msg00018.html)
> > What with Let's Encrypt now active, there is no excuse to not move > everything to HTTPS for updating. 1. Bandwidth. It's fairly easy to proxy/cache HTTP, but HTTPS prevents that (unless you break HTTPS). This not only affects the server side (I have no idea about the amount of "traffic saved" for Debian), but also sites running multiple machines with Debian installed. Setting up a mirror is more work than just running a squid. 2. That brings us to: Mirrors. There's quite a bunch of them, and I'm quite sure that some of them (even primary mirrors) are not "Debian Project hardware". That way it's not just "throw a switch and everything is SSL", and it even creates some interesting questions like third parties (those non-Debian mirror admins) having access to debian.org SSL keys. First point is an inconvenience, second point requires a lot of work to resolve.
И таких ситуаций, где не нужно сквозное шифрование, а достаточно проверки подписи — довольно много.
Не удержался:
"… Наиболее часто встречающиеся слова в передаваемом по https трафике: [тут перечень слов]…
По данным телеметрии Firefox."
"… Наиболее часто встречающиеся слова в передаваемом по https трафике: [тут перечень слов]…
По данным телеметрии Firefox."
А Яровая то не в курсе :)
Проясните пожалуйста вопрос. Все SSL сертификаты которые продаются в РФ — реально выпускаются американскими компаниями. Если США имеют доступ к SSL-сертификату который выдали моему сайту, значит они (АНБ) могут и расшифровать весь трафик между моим сайтом и клиентом?
Есть ли чисто российские SSL сертификаты?
Есть ли чисто российские SSL сертификаты?
Все SSL сертификаты которые продаются в РФ — реально выпускаются американскими компаниями.
Нет, можете найти центр сертификации из другой страны.
(АНБ) могут и расшифровать весь трафик между моим сайтом и клиентом?
Генерация приватного ключа может происходить у вас на сервере и никуда не передаватся => трафик между сервером и клиентом нельзя расшифровать. Единственное что можно сделать — подписать другой сертификат, который будет валидный для вашего домена и устроить MITM — эти (и другие) нарушения делали китайские центры сертификации, ща что их выкинули из доверия большинства браузеров.
Есть ли чисто российские SSL сертификаты?
Не слышал, и маловероятно, что они появятся, по законам РФ шифрование должно быть ГОСТ а не то, которое весь мир использует.
Единственное что можно сделать — подписать другой сертификат, который будет валидный для вашего домена и устроить MITM — эти (и другие) нарушения делали китайские центры сертификации
1. Значит это не единственные возможные нарушения.
2. Как будут поступать, если на таких нарушениях попадутся крупнейшие американские компании?
ps
Сама новость ни о чём. За год трафик сместился с разных сайтов на некоторые одинаковые крупные, которые исторически на https.
Вопрос в другом, почему американские компании так переживают за то, что мой провайдер в РФ (или другой стране) увидит мои сообщения? И почему насильно не внедряют pgp? Почему компания firefox не доказывает, что если вы обмениваетесь почтовыми сообщениями с абонентом более одного раза, то пошлите ему даже в почте публичный ключ и если именно в этот момент никто его не перехватил — всю жизнь переписывайтесь с товарищем шифровками.
Я просто не понимаю этого.
2. — выкинут из доверяемых
Американским компаниям глубоко насрать наш рынок, их больше волнует свой, в котором взломы через публичный wi-fi — не редкость.
А зачем тут pgp?
Американским компаниям глубоко насрать наш рынок, их больше волнует свой, в котором взломы через публичный wi-fi — не редкость.
А зачем тут pgp?
2. — выкинут из доверяемых
Хорошо.
Американским компаниям глубоко насрать наш рынок, их больше волнует свой, в котором взломы через публичный wi-fi — не редкость.
А зачем тут pgp?
Всё таки если весь вопрос в защите пароля, то его не надо передавать, надо хеш передавать. Как я понимаю, защищать надо платёжные данные (номер карты) или собственно сообщения в личку. Чтобы вы могли мне писать в личку всё, что думаете о политиках и не волноваться о СОРМ и прочей мути. Я не прав?
Ваш работодатель с вероятностью 90% установил на рабочем ПК корневой сертификат, который будет расшифровывать весь ваш трафик у администратора сети.
Это и троян, я так понимаю, может свой сертификат поставить? Вообще, как можно определить, что установлен сторонний сертификат?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Доля HTTPS трафика в интернете превысила 50%