Pull to refresh

Повсеместное внедрение HTTPS вместо HTTP, возможно, опасно

IT-companies
Recovery mode
Статья отражает моё мнение на момент её написания.

Сразу предупрежу: будет политота. Не нравится — не читайте. И предупрежу, что я не уверен в своих выводах, я лишь хочу показать альтернативную точку зрения.

Последнее время многие компании продвигают повсеместное использование https и отказ от http. В первую очередь Google. Моя версия Google Chromium (53.0.2785.143) показывает букву i в кружке в строчке браузера, если сайт открыт по http, а не https. Дальше — больше. Google собирается со времнем отображать http-соединение как всё более небезопасное, пугая пользователей «опасным» http всё больше: www.opennet.ru/opennews/art.shtml?num=41263 (новость, правда, от 2014-го года, но по сути, как мне кажется, ничего не поменялось, там есть ссылка на английский оригинал от Chromium).

Недавно появился HTTP/2.0. Он был создан на основе SPDY, который был создан Google. «Несмотря на то, что спецификация допускает создание нешифрованных соединений, разработчики Firefox и Chrome намерены обеспечить работу HTTP/2.0 только поверх TLS» ( www.opennet.ru/opennews/art.shtml?num=41684 ). Напомню, что TLS — это современное развитие SSL. https сейчас обычно работает поверх TLS.

Недавно Google создал QUIC. И опять-таки, шифрование в QUIC обязательно. «Why does QUIC always require encryption of the entire channel?» — цитата из QUIC FAQ (ссылка с блога Chromium). В этом же посте в блоге написано, что QUIC даёт «High security similar to TLS», что в свете постоянных уязвимостей в HTTPS/SSL/TLS и его реализациях выглядит иронией.

Итак, компании продвигают https и отказ от http. В то же время в https и его реализациях постоянно находят уязвимости (Heartbleed, POODLE и т. д.). И есть полно указаний на то, что, возможно, американские спецслужбы знают о многих пока неопубликованных уязвимостях в https, а может быть даже, внедряют свои. Подчеркну: я в этом не уверен, я лишь обращаю внимание на то, что такое возможно. На это указывают утечки Сноудена, публикации в блоге Шнайера. Можно найти огромное количество упоминаний этого в интернете, покажу лишь одну ссылку: www.opennet.ru/opennews/art.shtml?num=37846.

Итак, американская компания Google продвигает https, который американские же спецслужбы предположительно умеют расшифровывать. А российские — предположительно не могут. В том числе потому, что у американских спецслужб есть рычаги для внедрения уязвимостей в тексты стандартов, потому что они могут сотрудничать с производителями компьютеров, смартфонов, операционных систем, с крупнейшими сайтами (Google, Facebook), с крупнейшими IM (Skype, Whatsapp) и так далее (опять-таки, полно упоминаний в интернете).

Сейчас в центре внимания инициативы российского правительства по расшифровке https и прочего трафика: habrahabr.ru/post/310576. И авторов инициативы можно понять. Ведь американские спецслужбы могут расшифровывать, а наши — нет. То есть, скажем, соединение российского пользователся с Facebook'ом американские спецслужбы предположительно видят, а наши — нет. Вот и приходится как-то выкручиваться. Я ни в коем случае не оправдываю эти российские инициативы. Я просто обращаю внимание на то, что за ними стоит некоторая логика.

Процитирую ещё раз уже упомянутый QUIC FAQ:
Why does QUIC always require encryption of the entire channel? As we learned with SPDY and other protocols, if we don’t encrypt the traffic, then middle boxes are guaranteed to (wittingly, or unwittingly) corrupt the transmissions when they try to “helpfully” filter or “improve” the traffic.

С учётом вышесказанного этот абзац выглядит сарказмом. Да, нешифрованный трафик читают и изменяют все кому не лень. Всевозможные «middle boxes». А шифрованный трафик, который зашифрован с помощью QUIC, который обладает «high security similar to TLS» (а мы уже поняли, насколько безопасен TLS), видимо, смогут расшифровать только «middle boxes» американских спецслужб. Но (в данный момент) не российских.

Я пишу всё это просто чтобы показать, что существует альтернативная точка зрения. Если теперь в новостях вида «Chrome показывает ещё более страшный значок, предупреждающий о нешифрованном трафике» не все комменты будут поддерживать нововведение, а будут ещё и несогласные, то я буду считать свою миссию выполненной.

И ещё раз: я против слежки в любом виде. Ни российские, ни американские спецслужбы не должны расшифровывать трафик.

UPD от 2016-11-16 20:31. Я ни в коем случае не призываю использовать http вместо https. https безопаснее http. Просто я обращаю внимание на то, что в продвигании https, особенно Google и особенно путём постепенного запрещения http, не всё так однозначно.
Tags:
Hubs:
Total votes 83: ↑21 and ↓62 -41
Views 11K
Comments Comments 127