Comments 596
Потому что в 2022 году это делается совершенно бесплатно одним флажком в панели хостера или 10 строчками в nginx, смотря что там у вас.
/thread
Простота этого действия может объяснить причину, но не цель. Ну например, "Мы хотим, чтобы наш сайт был безопасным" . Очень многие вещи в современном мире делаются легко, но всё равно требуют какой-то мотивации.
Нежелание видеть на своём ресурсе несогласованную рекламу от %isp_name% с функцией снятия денег в один клик, а так же предупреждение возможной кражи паролей им же (или кем-то посередине, вроде перенаправившего ваш трафик на свою версию сайта зловредный сосед / майора по середине) является достаточной мотивацией?
Вообще, в таких данных может идти местоположение, а так и потихоньку можно отслеживать положение человека, если жсон регулярно просит мобильное приложение, передавая данные gps. Это что я с головы только придумал.
Плюс давно на хабре была история, как у человека jquery.min.js заменился рекламой мегафона. Надо ли говорить, что может прилететь подпорченная версия либы (хотя сейчас фронт чаще через npm билдится).
От всех, кто будет между опсосом и сервачком с погодой. Никто же не гарантирует, что там прекрасные сети, которые ну вообще никто не рассматривает под лупой.
С другой стороны никто вроде http не отменял. То что на него ругаются популярные браузеры… ну так их типичный клиент не в состоянии сам понять, где https точно нужен, так что пусть лучше везде ругаются.
А если серьёзно, меры безопасности должны соответствовать ценности данных. Службам, которые не обладают никакими там личными кабинетами, регистрациями и вообще чем-либо, где пользователь оставляет какую-то свою информацию, HTTPS действительно не нужен.
Злоумышленник может подрисовать фейковый личный кабинет с регистрацией и вынудить пользователя оставить информацию
Подменённый сертификат будет отклонён браузером, а подменить домен в принципе нет никакой технической возможности
Подменённый сертификат будет отклонён браузером, а подменить домен в принципе нет никакой технической возможности
Ну как это нет? Домен идёт в нешифрованной части заголовка. Перехватил первый же запрос к целевому сайту, вернул в ответ на него 301 редирект на фишинговый сайт с визуально похожим доменом, и с валидным сертификатом на этот домен. И всё будет прекрасно работать для куда большего количества пользователей, чем тех, которые вдруг внезапно захотят зарегистрироваться на сайте прогноза погоды.
Перехватил первый же запрос к целевому сайту
Или не перехватил, потому что домен находится в HSTS Preload List. Это во-первых, а во-вторых — а вы уверены, что первый же запрос будет выполнен именно в подконтрольной злоумышленнику сети? Я вот не уверен. А если первому запросу повезёт пройти в безопасной сети, то дальнейшую защиту в сетях со злоумышленниками уже обеспечит всё тот же HSTS
Или не перехватил, потому что домен находится в HSTS Preload List. Это во-первых, а во-вторых — а вы уверены, что первый же запрос будет выполнен именно в подконтрольной злоумышленнику сети?
Я лишь в одном уверен — что вероятность, целесообразность и реализуемость подобной атаки на сайтах с коммерческой/приватной информацией многократно выше, чем искажение HTTP-трафика на сугубо информационных сайтах в каких-либо злонамеренных целях, кроме вставки рекламы некоторыми сумасшедшими провайдерами. Поэтому смысла борьбы с HTTP-трафиком везде и всегда я не вижу.
Перехватил первый же запрос к целевому сайту
По httpS (это если там tls v1.2, с 1.3 уже не сработает), и…
вернул в ответ на него 301 редирект
по простому http? И браузер проглотит такую смену протокола вообще без согласования?
По httpS
А вот не факт, здесь DrPass прав в том, что такая атака теоретически возможна. Злоумышленник может заблокировать первый https-запрос, и тогда по умолчанию браузер подумает, что https на сайте не настроен, и откатится на выполнение http-запроса, который будет радостно перехвачен злоумышленником. Поэтому надо или принудительно запрещать http на уровне браузера, или добавлять сайт в тот самый HSTS Preload List
Что снова аргумент в пользу текущего поведения, а не против…
Отката с HTTPS на голый HTTP не бывает. Такой откат полностью подрывает безопасность.
Очень даже бывает, иначе все HTTP-сайты тупо перестанут открываться.
Введите в адресную строку, например, тот же самый 192.168.1.1 для доступа к вашему роутеру и проследите, какие запросы будет отправлять браузер (спойлер: сперва попытается HTTPS, не осилит и откатится на HTTP).
сперва попытается HTTPS
Нет.
sudo tcpdump -i any -n host 192.168.1.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
14:29:54.580442 IP 192.168.2.101.48252 > 192.168.1.1.80: Flags [S], seq 2918243634, win 64240, options [mss 1460,sackOK,TS val 3805508699 ecr 0,nop,wscale 7], length 0
Если только на домене нет HSTS и ранее на него не было заходов
Перехватил первый же запрос к целевому сайту, вернул в ответ на него 301 редирект
Браузер в этом месте должен вывести сначала invalid certificate, а уже потом, после accept risk and continue - обработать редирект.
я уже видел майнеры в виде джаваскрипта. Думаю, легко подкидывать его в случае контроля над каналом в незашифрованный трафик
да дело в том, что если вы заходите на сайт с https, то провайдер знает только домен сайта, ip-адрес сайта, тип протокола, версия протокола, порт, размер пакета. Но содержание сайта провайдер может узнать, только если поставить MITM-сертификат от самого опсоса, с помощью которого провайдер расшифрует весь трафик с этого сайта. В том числе пароли. А такими сайтами могут не только банки, но и почта, поисковики, соцсети, мессенджеры и т.д., онлайн-магазины, даже какой-нибудь форум(неважно, на какую тематику), может требовать авторизации(то есть ввод логина и пароля для входа на сайт). HTTPS без mitm-сертификата невозможно расшифровать, можно узнать только то, что я написал в первом предложении. Остальное- недоступно.
1) ну с сайтами погоды все ясно. Кроме GPS и IP-адреса компьютера опсос ничего не узнает. Только если вы зашли на какой-то сайт погоды, где есть возможность авторизации и входа в аккаунт(например, Яндекс.Погода и т.д.). Тогда уже опсос узнает не только саму погоду, но и пароль от аккаунта в этом сервисе.
2) Провайдеры часто подменяют код сайтов и вставляют свою рекламу, даже на сайты погоды. Потому что с http провайдеру доступен код сайта, а значит он может внести какие-то изменения в этот код. Никто же не хочет видеть в каком-нибудь "Гисметео", AccuWeather, Яндекс.Погоде и т.д. рекламу, которую вставил Ростелеком, Акадо.Телеком, Дом.ру, Мегафон, Билайн, МТС, МГТС, Skynet или другой провайдер. От любого провайдера в принципе, не только от выше перечисленных. От этого страдают владельцы самих сайтов, которые показывают погоду. И не только о сайтах погоды речь. О любых сайтах речь идет. Владельцы сайтов теряют доходы, потому что на сайте есть реклама, которую они не вставляли. Ведь есть реклама, на которой зарабатывает не сайт, а провайдеру денежка уходит за такую рекламу. P.S. я могу быть в чем-то неправ, можете поправить меня, если я что-то недопонимаю.
Это еще не говоря о сломанной верстке и скриптах, что уже вредительство.
В нынешних условиях если это ещё не нарушение, то оно быстро станет таковым: любое нынешнее государство рабо будет продемонстрировать таким образом заботу о своих гражданах: и для бюджета не обременительно, и всем понравится.
Кроме того, есть вопрос, что считать паразитной рекламой. Для меня паразитной рекламой является любая реклама на сайте. Впрочем, я часто ее просто не вижу из-за постоянно развивающейся баннерной слепоты.
И думаю, со мной тут согласятся и сами рекламодатели: CTR от меня равен нулю, исключая разве что случайные промахи мышкой. Ну, а в воронку продаж я этим путем вообще не попадаю.
А если кто-то встроит майнер? Или фишинговую ссылку? Или какой-нибудь вредонос, который эксплуатирует уязвимости браузера?
Вы просматривали погоду все время в LA, а теперь заинтересовались погодой в Whistler на конкретные даты.
Что из этого следует?
А потом вы зашли на другой сайт, на котором у вас тоже нет личного кабинета. И засветили авиакомпанию, визы и загранпаспорта. UPD: И мыло до кучи.
статических сайтов
Вы серьезно не понимаете, что в недоверенной среде (а http — это оно и есть) статический сайт станет динамическим в вашем браузере?
Вот уж от вас не ожидал.
У меня опсосы не подставляют рекламу в статические сайты. А вот электронная читалка, которую я купил в 2015-м и которая уже лет пять не получала апдейты, некоторые HTTPS-сайты открывать не может. Хотя по процессору-памяти, состоянию аккумулятора, и так далее — вполне себе нормальная железка.
и что? Windows XP тоже отправили на свалку истории. Это же хорошо даже.
То есть, мне надо выкинуть читалку и купить новую, чтобы читать блог какого-нибудь программиста, потому, что… почему?
вообще-то да. У каждого устройства есть расчетный срок службы. То, что ты его превысил - ну, молодец. Бережное использование техники. Но ты же не ноешь, что не можешь на андроид образца поколения анроид 2.xx установить свежую прошивку и программы из плей маркета? Это твой личный выбор - использовать устаревшее оборудование и страдать. Либо придумай его использование, которое позволит не пользоваться этим функционалом. Или исправь эту железку... или время настоящих хакеров прошло?
Меня лично тоже претит, что мы вынуждены выкидывать полностью работоспособное оборудование, только лишь потому что "пришло время". Но c'est la vie.
Только вот по-хорошему, расчётный срок службы устройства должен определяться его физическим износом, а не устареванием софта. Иначе это получается отличный способ принуждения покупать новые устройства чаще. Ну или другое решение — ввести законодательное требование, что если разработчик прекращает поддержку ПО, он должен передавать его в свободный доступ, чтобы энтузиасты могли заниматься дальнейшим развитием самостоятельно.
Осталось ввести план по выявлению багов — не больше одного зеродея в год, сам зеродей должен быть не младше 12-ти лет.
Вот тогда заживем )))
Кто в данном случае виноват? MS, которая не внедрила в WinMobile 5 поддержку шифрования? Производители железа? Или современные требования безопасности?
По мне, лучше пожертвовать частью старых устройств в угоду безопасности, чем тащить на плечах легаси 15-20-летней давности.
Если мы считаем плохим провайдера, который подсовывает рекламу в http, то почему мы не можем считать плохим производителя, который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?
То есть, раз производители курильщика бросают поддержку своих устройств, то надо не чинить причину, а лечить симптомы, везде открывая дорогу скрипткиддисам и шпионажу.
Какое удивительное двоемыслие, по сравнению с этим.
У вас какие-то опсосы курильщика, чините причину, а не симптомоы.
Вы сейчас очень изящно (нет) опустили, во-первых, суть обсуждаемой меры и причины ее принятия (вместе с существованием скольки уже — четырех? шести? — миллиардов гораздо менее квалифицированных пользователей интернета).
Во-вторых, свой личный мотив, который уже заставил вас пойти на подмену (я купил устройство и его производитель забил на поддержку — это не я дурак, и не производитель мудак, это все условный Let's Encrypt виноват!).
В третьих, проигнорировали, уже не первый раз, то, что вмешиваться может не только провайдер, но и любой скрипт-кидди — о чем этот сказал уже не раз, в том числе в предыдущем сообщении.
Знали бы вы, как это утомительно — разочаровываться в людях…
На подмену чего? Давайте конкретно, по пунктам.
Собственно, выжимку вы сами же процитировали абзацем ниже.
Мне откровенно не нравится …
Простите, а как вы умудрились ниже проигнорировать условный Let's Encrypt и сделать из этого далеко идущие выводы?
Если это было сделано по невнимательности, то, может, вы и в другом тоже можете быть невнимательны, а вина каджита в том, что он посмел заметить явные несоответствия и логические дыры и указать на них?
Если же намеренно, то это уже фарс.
В любом случае, остальные выводы в цепочке после компрометации первого оказываются ложными.
который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?
потому что пользователь сам покупает дешевую железку. Какой-нибудь условный oppo или digma. В этом случае странно пенять на производителя. Получено ровно столько, за сколько уплачено. А вот ситуация, когда так делают производители первого эшелона... типа самсунга и sony... хотя, wait, oh, sh~~~ Apple же так не делает... У них поддержка и старых телефонов есть.
Ну, и ответьте на свой вопрос по-другому - готовы ли Вы переплатить за телефон х2-х3-х4, если его поддержка будет продлена на 5 лет?
Ну тогда надо идти по вот такому пути.
КДПВ
Max 2, купленную в 2019-м, тоже уже перестали поддерживать, последний апдейт был прошлым летом. Выйдет какой-нибудь TLS 1.4, потом пяток версий хроме, и всё, приплыли.Не надо преувеличивать. Современный Chrome поддерживает Android 6+, который стоит на устройствах 7-8 летней давности. Вместе с собой он тащит поддержку новых протоколов и в том числе и свежие сертификаты. Firefox делает так же.
До сих пор актуальный TLS 1.2 доступен нативно даже в древней Windows 7. Когда открываешь HTTPS-сайты в IE11, они обычно ломаются не из-за слишком нового TLS, а из-за совершенно других вещей, потому что мир не стоит на месте, и ожидать, что современные сайты будут нормально работать в древних браузерах как-то странно.
Я же правильно понимаю что у iPad'ов теперь трансфлективный дисплей или что то вроде SR-NLT(комбинация транслфективного и нормального)? (Иначе КАК они он будет нормально работать под ярким солнцем? за счет дикой мощности подсветки? И сколько батарея выдержит?)
Для того что называют читалкой а не планшетом — возможность под светом работать — важна, в том числе за то их и любят.
Если мы считаем плохим провайдера, который подсовывает рекламу в http, то почему мы не можем считать плохим производителя, который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?
Как мне сдаётся, есть колоссальная разница между «лезет ко мне без спроса на мой личный компьютер» и «не согласился подарить обществу свои собственные разработки после того, как они перестали приносить ему прибыль». Я не вижу во втором ничего предосудительного, осуждать за такое — это все равно что осуждать вас за то, что вы, после того, как перестали носить какую-то одежду, положили её в шкаф, а не постирали её хорошенько, прогладили, упаковали и отдали нуждающимся. Да, если отдали — молодец. Но если не отдали, ничего страшного, ваше право.
Можно установить прокси сервер который будет соединятся с сайтом по https а с читалкой общатся на http.
Ну, вот у меня в сети есть сервер 2012 года выпуска, в web-морду удалённого управления к которому я не могу попасть со своего компьютера - приходится ходить с виртуалки под XP, т.к. в современных браузерах...
ошибка:
Кажется вам пора обновить ваш сервер. В нем дыр на любой вкус уже есть наверняка. С готовыми эксплойтами.
Автору надо убить пару суток, чтобы там все перелопатить ради «безопасности»? Или все-таки реальная безопасность обеспечивается тем, что это локальная сеть с ограниченным доступом?
Вы в курсе что JS прямо с этой странички может отправить запрос на тот сервер?
Пора забыть все эти глупости что NAT хоть от чего-то защищает.
А как он по вашему должен помочь в этом случае?
Вы про Cross-origin policy слыхали?
Для некоторых GET и POST запросов проверка cross-origin выполняется после отправки запроса — по заголовкам из пришедшего ответа. И если этот запрос проэксплуатирует какой-нибудь выход за пределы какого-нибудь буфера — провал проверки Cross-origin уже не будет иметь никакого значения.
Дальше не читал. Да, железяки с прямым IP должны обновляться.
PS У меня по этой и другим подобным причине браузер живет на виртуалке, с которой доступа к любым хостам в локалке нет.
PPS Кстати, такая атака, если она неприцельная (то есть, вы — типа того Неуловимого Джо), несложно палится довольно простым мониторингом DNS.
Парадоксально - багфиксы к фирмварям всех компонентов выходят регулярно, последний - от февраля этого года, но вот обновлений к аналогу iLO (это не более привычный мне HP, но функционально весьма близкое поделие) - нет. Понятно, что тот, кто его закупал в дальний регион сам себе злобный Буратино, так как сэкономил пару сотен долларов на брэнде (и уровне поддержки), но эксплуатировать приходится и 10 лет спустя, т.к. со своими задачами железка справляется, а лишних полутора миллионов в бюджет не заложено.
Это чудесным образом напоминает диалог с ковид-диссидентами:
— Вирус гнездится в слизистой, поэтому иммунная система не увидит его, пока он или продукты его распада не попадут в ткани. Это значит, что человек становится заразным до того, как почувствует недомогание — токсикоз от продуктов распада или реакцию иммунитета. Маска защищает окружающих от твоих выдыхаемых капель, полных вирусных частиц.
— Зачем мне носить маску, если я не болею?
Если что-то не укладывается в лично ваш паттерн, то миллиарды более обычных людей — на ура укладываются.
Не стоит заниматься верованием в справедливый мир и генерализировать единичный случай на всю популяцию. Тем более не стоит на основании этого демонстрировать selection bias, который виден вот тут:
электронная читалка, которую я купил в 2015-м и которая уже лет пять не получала апдейты, некоторые HTTPS-сайты открывать не может
Вас ведь никто не заставлял покупать устройство с ограниченным сроком поддержки, так ведь? Моргните левым глазом дважды, если это не так.
Впрочем, полгода назад каджит об этом вам уже говорил. Видимо, бесполезно.
Скорее всего — что мне интересно, как будут у моего знакомого дела в этом городе.
Если есть корреляция с происшествиями, то возможно. Но обычно это означает отпуск. Что выдает сразу периоды вашего возможного отсутствия, количество денег, которые вы готовы потратить на отдых (люди, как правило, готовы довольно легко расстаться с некоторыми дополнительными деньгами в отпускной период — и более активно реагируют на рекламу).
Блин, у меня наконец-то появился загран, ура!
Подставьте любой другой документ, без которого вас не пропустит таможенный контроль и который можно использовать в качестве посадочного талона.
чините причину
Именно это и сделано: небезопасный протокол, позволяющий любому на пути траффика (а это, внезапно, не только опсос и владелец вашего сайта, но и множество персонала, так или иначе имеющего доступ к траффику и/или возможность поснифать вас ваш plain http голышом пока вы так уверены в своей защищенности: подменные точки доступа, script-kiddie neighbour, dns spoofer в локальной сети провайдера, штатные отчеты кальмара на столе директора по развитию, name them all by yourself)
Единичная утечка мало что даст, да.
А вот постоянное наблюдение вкупе с принципиальным нежеланием ему противодействовать…
Но давайте посмотрим, что можно выжать из этого дальше.
Вот вы весь такой красивый, истово верующий в собственную непогрешимость и не уфакапливаемость, заказываете билеты через сайт, соответствующий вашим религиозным воззрениям: без скриптов, чисто на формах, фреймах и, может быть, немного css.
Как вы думаете, что может пойти так?
А примерно вот что:
Ваш номер телефона и мыло (для информирования, очень полезная штука ;) ) сканы или текстовое представление подтверждающих личность документов (какая вкуснота), информация о брони, если агрегатор/авиаперевозчик заботливо предоставит возможность снять номер не отходя от кассы (а это уже местонахождение и время).
Если вы летите не один, то заодно в не те руки попадут данные вашей семьи/друзей. Пока еще ничего фатального, верно?
Или таки нет? Примерно такой сценарий реалистичен для обычного человека.
Секретный вопрос на мыле подобран так, что его знаете только вы и ваша семья, ну еще несколько близких в то время людей, которые уже не вспомнят об этом.
Вы сами забыли его, и ответ на него, но немедленно вспомните, когда его зададут, потому что это имя вашей любимой кошки, трагически умершей за несколько дней до регистрации вами первого почтового ящика.
Прошло уже двадцать лет, вы забыли о том событии, оно вымылось из памяти, заслонилось другими перипетиями и заботами. Однажды вы решили завести новую кошку, и память услужливо подсунула имя. Кошка послушна, спокойна, привита и чипирована (значит есть ветпаспорт), и вы без тени сомнения берете ее с собой.
Каким будет один из документов, добровольно переданный вами по открытым каналам вместе с мылом? )
Pwned!
каково матожидание количества людей, которых он заразит и которые не имеют возможности позаботиться о своём иммунитете.
А правильный ответ тут — «абсолютно не важно». Потому что даже если оно будет околонулевое, это не исключает вероятность того, что конкретно этот индивидуум станет началом цепочки заражений, в которой у кого-то будет смертельный исход. Маска — это не панацея от ковид, как https — не панацея от хакеров.
Но https статистически снижает вероятность взлома, и как верно заметил мой собеседник в другой ветке, в принципе, ничего не стоит для владельца сайта. Точно так же и маска, она статистически снижает распространение заболевания, и при этом точно так же ничего не стоит для её носителя. Поэтому их возражения, скажем так, не обоснованы.
Нет, про маски был не личный выпад.
Вашу позицию мы уже обсуждали, где-то зимой.
Вот и с HTTPS для погоды или личного блога так же.
Пока вы продолжаете самоизолировать свой небезопасный блог внутри защищенного периметра — да.
Вы спрашивали про меня — я ответил про себя. Теперь вам это не нравится.
Генерализация. Каджиту не нравится генерализация.
Я не против расстаться с деньгами по делу.
В отсутствие финансового давления никто не против.
А как насчет навязывания? Да, конечно, вы наверняка ему не подвержены. Но посмотрите за окно. Там — уже семь миллиардов непохожих на вас (сюрприз!) людей. Чье существование, в свою очередь, позволяет существовать лично вам.
Ваш же пойнт в том, что личное неудобство >>> исполнения вашей части договора о нераспространении и неубийстве бабушек.
Нужно ли объяснять, почему, поддержка небезопасной среды, в конце концов, этих условных бабушек убивает? Механизм примерно таков же, как с тетраэтилсвинцом, если помните ту историю.
Заказывать я буду через HTTPS, конечно. Вы подменили тезис.
Замечательно. ВЫ. Генерализация, помните? Остальные — не будут.
Это не считая той мелочи, что если в угоду вам не будет повального https, то мы вернемся к ситуации лет 10 назад — и закажете вы через простой http, потому что всем плевать и вы это поощрили.
Я просто не считаю их необходимыми на моём личном сайте.
Вы считаете необходимым, чтобы вам их свободно мог повесить соседский мальчишка с Kali и aircracker-ng, или что пока лично с вами этого не случилось — то этого не может быть, потому что этого не может быть никогда?
Должно же что-то лежать под этим пофигизмом.
вы куда-то пропали после предложения перейти к конкретным векторам атак
А точно не перечислил несколько?
Не у всех есть время неделями спорить с анонимами в интернетах. Некоторым надо работать, а серьезные разговоры на замороченную голову не ведутся.
Давайте не будем добавлять к текущему недопониманию еще и ковидно-масочный срач, несмотря на определенные параллели.
Если желаете, можем детально разобрать в мессенджере (за бутылочкой чего-нибудь вкусного этому будет не по карману трансатлантик).
Задавайте изначально вопросы нормально, чтобы все ваши апелляции к большинству сразу было видно.
Давайте проясним очевидное.
Вы не один на планете.
Интернет-пользователей уже миллиарды.
У подавляющего большинства из них квалификация на порядки уступает квалификации любого IT'шника, даже если тот устанавливает npm-пакеты откуда попало и курлбашит.
Обсуждаемая мера затрагивает всех людей на планете.
Это не первая и не последняя мера за десятилетие, усиливающая защиту траффика.
И эти меры улучшают зашиту конечного неграмотного пользователя. Возможно, ненадолго, некоторые могут оказаться совсем неэффективны на поверку — но это типичная война меча и щита.
Из этого и возникает применимость ответов к генеральной совокупности.
Потому что речь идет о ней (совокупности) изначально.
Если по этим пунктам разногласий нет, то вам должно быть очевидно, что ваша позиция эмоциональна (а значит, не конструктивна) и смещена.
А значит, так же очевидно, что вас можно понять и посочувствовать… до определенных пор, пока вы не пытаетесь свести генеральную совокупность, о которой идет речь, к себе одному.
Я и 10, и 15 лет назад заказывал через https, инфа соточка.
Рад за вас. Но у нас, еще раз, изначальный вопрос поставлен о генеральной совокупности, а у вас — личный пример, которым вы пытаетесь контрить наглядную иллюстрацию.
И вариантов, что это, на выбор не много: демагогия, когнитивные искажения, жирный троллинг или просто непроходимая тупость.
Сложный выбор. Понимаете, почему в соседней ветке этот писал про разочарование?
Если соседский мальчишка с aircrack-ng может вклиниться в мой трафик, то https будет недостаточно, чтобы уберечься от всех угроз.
А кто-то обещал, что еще один уровень обороны даст защиту от всех угроз?
Плюньте ему в глаза.
За сертфикаты сроком жизни в пару лет — отдельная сковородка в аду.
а сколько у них должен быть срок жизни, по-вашему?
Я аж поперхнулся от ваших слов. Дальше не продолжайте, пожалуйста
а почему нет?
почему для условной метеостанции я не могу сделать вечный сертификат? ну окажется, что через 20 лет можно будет подобрать приватный ключ на калькуляторе, ну и ладно.
почему для условной метеостанции я не могу сделать вечный сертификат?
потому что вечным он by design быть не может. Вы можете попробовать выпустить на 99999 лет или на 100 лет. Но хорошая практика выпускать сертификаты максимально часто - в пределе на одну сессию )))) но это уже совсем клиника. Можно ограничиться сертификатами с ежедневным выпуском. Касательно браузеров - я уже встречался с ситуацией, что современные браузеры реджектят сайты с сертификатами, выпущенными более, чем на два года.
Ну, и несомненный вопрос - а каким таким браузером через 20 лет Вы будете на метеостанцию заходить? А если уж так приспичило - ну, сделайте себе faketime, переведите часы на 20 лет назад - сертификат внезапно вдруг станет действительным... Или думаете, что это знание тоже станет чем-то вроже потерянных свитков египтян?
Домен протухает с вероятностью около 146% . Если проект заброшен, лучше пусть сначала протухает сертификат.
За сертфикаты сроком жизни в пару лет
Не бывает. Ну точнее работать с хромом и сафари — не будет.
Все хуже.
398 дней максимум.
https://thehackernews.com/2020/09/ssl-tls-certificate-validity-398.html
https://chromium.googlesource.com/chromium/src/+/HEAD/net/docs/certificate_lifetimes.md
Это просто кормушка, мне кажется. Как водительские права со сроком годности. Или загранпаспорт.
для кого? Учитывая, что сертификаты бесплатные для всех (LE). Или стоимость за последнее время для коммерческих сертификатов как будто и не изменилась (ну, да, вы не сможет теперь купить серт на два года И ЧТО?)
Доходы коммерческой компании удваиваются, вот и всё. Были сертификаты раз в два года, стали раз в год.
купить — сможете.
цена как раньше будет x за год,
просто если раньше вам за 3x можно было получить сертификат на 3 года то тут — придется бесплатно перевыпускать каждый год.
Затем. Что куча людей забывают обновлять сертификаты спустя два года. Не поверите - любой крупный Энтерпрайз этим болеет, сколько бы отражённые процессы в нем не были.
Но выглядит обычно как. Сформировалась фича команда. Они активно начали разрабатывать. В какой-то момент выкатываются в прод. Они резервируют доменное имя feature.sberbank.ru. Выписывают на него двухлетний сертификат. Пользователи начинают пользоваться ресурсом. В какой-то момент продукт овнер (который серт заказывал у респектабельного УЦ) уходит в закат в другую компанию. Команда разработки тоже - кого-то распределяют на другие проекты, кто-то ротируется. В общем. Через два года уже никто в принципе не знает - где покупал, кто покупал. Не знают, что в принципе есть такой ассет. И обычно выясняется уже тогда, когда у пользователей случилась Жопа.
А теперь смотрите. Короткоживущие сертификаты эту проблему исправляют. Каким образом? А тем, что вам изначально приходится строить процесс грамотно - через автоматизацию выпуска этих гребаных сертов. Заодно идеально для них сделать мониторинг. И начать наконец-то вести учёт. Поверьте - с автоматизацией это делать существенно легче, чем если бы был бумажный журнал учета сертификатов. Понимаете? И на самом деле по чесноку если вы процессы отладили - вас уже глубоко все равно - выпускать сертификаты ежедневно, раз в три месяца или раз в год! Вы готовы к любому интервалу.
А что делать с EV сертификатами? Или, скажем, если у человека shared хостинг?
Собственно в описанном вами случае при кровавый энтерпрайз такое может произойти и с LE — кто-то настроил, потом оно сломалось по той или иной причине, а тот кто делал уже ушел в другое место и никто не знает кто там чего и как настраивал. Проблема же не в сертификатах, а в процессах, выстроенных в компании.
Никогда не натыкались на то, как LE сертификаты протухают? Я такое видел и не раз при серфинге. Да, как правило (если certbot не сломался совсем) оно само исправится в течении часа-суток, но все равно приятного мало, особенно если это раз в 3 месяца происходит.
я думаю, что Вы сами понимаете, что это бред. Во-первых, LE работает так, что он заранее начинает обновлять сертификат. Не в последний момент времени, когда все уже пропало, а за недельку. Пробует. Один раз, второй раз. Третий. Если все хорошо - не дожидаясь окончания старого получаете новый. Если же что-то пошло не так - ну, в ручном режиме точно лучше не будет. Во-вторых, единственные две проблемы, которые тут могут быть - это или мы уперлись в лимиты LE, или у нас сертбот какой-то старой версии, ребята поменяли АПИ, а мы это даже и не заметили. То, что Вы говорите, больше похоже на то, что одноразово сертификат LE получили, а вот автообновление не настроили. Да, такое бывает. Но почему в этом тогда LE виноват? Я уж не говорю о том, что когда я говорю про автоматизацию выпуска - речь идет не только и не сколько про LE, сколько про процессы (в первую очередь) и про тулинг (во вторую). А дальше - хоть на hashicorp vault pki собирайте (тем более, что мир не ограничивается только лишь сертификатами для внешних пользователей). Тем более - вообще идеально - когда мы говорим о девелоперских стендах. Которые короткоживущие. Мы для них в ручном режиме просто умрем сертификаты выписывать.
А что делать с EV сертификатами?
а вот это правильный вопрос ) Ну, здесь вроде как тоже самое - проверки со стороны выдающих организаций не то, чтобы сильно глубокие. Честно - пока ручками ставим. Но надеюсь, что тоже есть потенциал к автоматизации.
Или, скажем, если у человека shared хостинг?
в этом случае сертификат должен предоставлять этот самый шаред хостинг. Тот же клаудфларь (это не шаред хостинг, но пример хороший) посмотрите - прекрасно ишьюит для всех своих клиентов сертификаты, тебе об этом думать не нужно. А вообще шаред хостингом пользоваться не надо ) дрянь это
я думаю, что Вы сами понимаете, что это бред
На самом деле есть нюанс: нужно не только получить новый сертификат, но и ещё заставить все службы использовать его. Если забыть сделать условный "systemctl reload nginx", то в итоге может получиться ошибка о протухшем сертификате, даже если certbot успешно отработал. А некоторые службы могут вообще не поддерживать перезагрузку сертификатов на лету, а в некоторых эта фича появилась относительно недавно
спасибо за уточнение, но коллега, как я понял, говорил именно про ситуацию, что сертбот не отработал. То есть до перезапуска сервиса даже не дошло
. А некоторые службы могут вообще не поддерживать перезагрузку сертификатов на лету, а в некоторых эта фича появилась относительно недавно
полностью согласен. Этот процесс тоже должен быть настроен и отлажен
Сейчас в очередной раз наткнулся и вспомнил про наш с вами разговор. Вот сайт мобильного оператора, на нем LE сертификат, который протух 10 дней назад:
Общее имя (CN) simtravel.ru
Организация (O) <Не является частью сертификата>
Подразделение (OU) <Не является частью сертификата>
Общее имя (CN) R3
Организация (O) Let's Encrypt
Подразделение (OU) <Не является частью сертификата>
Дата выдачи четверг, 5 января 2023 г., 13:33:24
Срок действия среда, 5 апреля 2023 г., 13:33:23
У вас какие-то опсосы курильщика, чините причину, а не симптомоы.
Что тут можно сделать кроме как сделать собственный ОПСОС? Если у вас ВСЕ провайдеры в стране так делают, а оформление ВНЖ в другую пока в процессе?..
статический сайт станет динамическим в вашем браузере
Если вы опасаетесь, что это сделает провайдер, то я не понимаю, почему вы доверяете провайдеру больше, чем владельцу сайта. Если это сделают преступники, то для таких дел есть полиция, и, в целом, она справляется.
Ну, и доступ по HTTPS никто, вроде, отменять не собирается.
Или можно ставить NoScript для своего браузера.
Если вы опасаетесь, что это сделает провайдер, то я не понимаю, почему вы доверяете провайдеру больше, чем владельцу сайта.
не понял пассажа, простите.
Если это сделают преступники, то для таких дел есть полиция, и, в целом, она справляется.
для того, чтобы полиция начала интересоваться преступниками - должен быть нанесен ущерб (1), он должен быть нанесен достаточному количеству пострадавших (2). Иначе дело даже никто рассматривать не будет.
Ну, и доступ по HTTPS никто, вроде, отменять не собирается.
никто обычно не делает и то, и то. Делают HTTPS, а HTTP оставляют только для редиректа. Если же делают HTTP, то большой вопрос к админам - будут ли они заморачиваться на HTTPS. Мое ощущение - скорее всего нет.
не понял пассажа, простите.
Я в равной мере a priori (не) доверяю и провайдеру, и владельцу сайта. И не вижу никакой объективной причины, почему кому-то из них я должен a priori доверять больше или меньше.
для того, чтобы полиция начала интересоваться преступникамиВероятность того, что я стану первым или, там, десятым пострадавшим от такогой редкой и не имеющей особых последствий атаки, как, к примеру, майнинг в браузере, я оцениваю крайне низко. Ну, к примеру, как что я стану жертвой ограбления в людном месте. Впрочем, эта оценка зависит от обстоятельств: одно дело, когда иду в соседний магазин, другое — когда несу по какой-то надобности котлету денег из банка. Принимаемые меры — соответственно.
никто обычно не делает и то, и то.
А почему? Технически нет никаких причн убирать привязку к HTTP или настраивать редирект на HTTPS.
Если же делают HTTP, то большой вопрос к админам — будут ли они заморачиваться на HTTPS
Я, в свое время — заморачивался: когда интернет в целом еще не был болен SSLитом, а на сайте фирмы был закрытый раздел «для партнеров», куда по чистому HTTP ходу не было.
Осталось научить подключенные к интернету миллиарды отличать https от http, пользоваться NoScript и uBlock, не открывать подозрительные письма и вообще разбираться в безопасности.
<sarcasm>Очень простая и реалистичная задача, на час работы. Приступайте, завтра доложите о результатах.</sarcasm>
Осталось научить подключенные к интернету миллиарды отличать https от http, пользоваться NoScript и uBlock, не открывать подозрительные письма и вообще разбираться в безопасности.
Ваш сарказм неуместен. Потому что в этой борьбе есть ещё один участник — государство. Которое, в соответствии со своей задачей делать, чтобы жизнь не стала адом, пресекает преступления. Сейчас от обычного человека жизнь в нормальном современном государстве, в отличие от Дикого Запада, не требует владения огнестрельным оружием. Точно так же и в области кибербезопасности пресекать явные преступления — это, задача, прежде всего, государств. И они, по моим сведениям, на данном участке справляются: по крайней мере скандальных случаев внедрения скриптов на стороне провайдера в незащищенный канал с целью хищения я не припоминаю.
Ну, а что до рекламы, то тут многое зависит от самих пользователей. Если это станет серьезным раздражающим фактором для населения, то практика показывает что нынешнее государство на это реагирует (из недавних случаев: отмена централизованного внедрения QR-кодов, скандал с Башкирской содовой компнией и шиханами, отмена строительства храма в Ебурге).
Вы являете еще один пример крайне избирательной слепоты.
Во-первых, если у вас нет денег на собственную пиринговую инфраструктуру с владельцем сайта, то вам приходится доверять множеству разнокалиберных провайдеров между вами.
Во-вторых, даже наличие денег не гарантирует желания владельца. Не говоря уже о том, что они не появятся у остальных миллиардов интернет-пользователей.
В-третьих, наряд полиции, приехавший ловить скрипт-кидди, не поймает кого-то более опасного, что ухудшит криминогенную обстановку в вашем же районе. А это уже приводит напрямую к трагедии общин.
А все из-за того, что кому скучно настолько, что он, должно быть, прикола ради, воюет не в ту сторону.
Вы являете еще один пример крайне избирательной слепоты.А вы — туннельного зрения. Будем переругиваться дальше (да, я в это тоже умею — учился в том самом «это-детка-интернете»), или будем взаимно фильтровать
Теперь по сути.
Во-первых, если у вас нет денег на собственную пиринговую инфраструктуру с владельцем сайта, то вам приходится доверять множеству разнокалиберных провайдеров между вами.Ну да, приходится. Но это — не уникальное только для только для доступа в Интернет явление. Например, точно так же мне приходится доверять цепочке поставщиков продуктов питания — что они туда чисто по приколу, например, слабительного не впрыснут.
Во-вторых, даже наличие денег не гарантирует желания владельца. Не говоря уже о том, что они не появятся у остальных миллиардов интернет-пользователей.Это — обычная для рынка ситуация. Однако рынок же, если он не стал «рыночком», ее и разруливает — как-то: кому-то лично это может не понравиться, как, но в общем случае — наиболее оптимальным для общества образом из доступных. И да, чтобы два раза не вставать: предоставление контента — это типичный рыночек, с засилием монополий на нем — Альфабета(Гугла), Фейсбука и иже с ними (не будете, надеюсь против этого факта спорить?).
В-третьих, наряд полиции, приехавший ловить скрипт-кидди, не поймает кого-то более опасного, что ухудшит криминогенную обстановку в вашем же районеКак говорил кто-то из древних греков (именовашихся софистами), «каждая вещь имеет две стороны». Давайте я вторую сторону вашего тезиса вам покажу: потенциальный скрипт-кидди, разочаровашийся в хакерстве из-за его сложности, становится нормальным пацаном на раёне и начинает заниматься свойственнми пацанам на раёне занятиями: мобилу там у лоха отжать, чужому, на раён забредшему, морду начистить и т.д. В результате, криминальная обстановка все равно оказывается ухудшеной, и тот самый наряд, которому пришлось бы иначе ловить скрипт-кидди, занят тем, что закрывает вместо этого того пацана на раёне.
А все из-за того, что кому скучно настолько, что он, должно быть, прикола ради, воюет не в ту сторону.Если вы тут поищете в моих коментариях к этой статье, то найдете примеры, как лично мне отсутсвие шифрования помогало, а его наличие (вместе с жабогадюкингом корпораций и государства, в котором я бы иначе не участвовал) мне мешало.
Как-то так.
Ну да, приходится …
Ага-аа. Только поставщик еды отвечает за результат, в т.ч. уголовно, а поставщик интернета не отвечает ни за что, если у вас не подписан SLA, стоящий совершенно особенных денег, и предусматривающий максимум досрочный разрыв контракта с символической компенсацией.
Все еще считаете аналогию корректной?
Давайте я вторую сторону вашего тезиса вам покажу
Если в вашем районе выбор настолько узок и бинарен, то или вы пишете из тюрьмы, или разводите демагогию.
как лично мне
Это уже пояснялось в одной из соседних веток…
Только поставщик еды отвечает за результат, в т.ч. уголовно, а поставщик интернета не отвечает ни за что,
Вы таки уверены, что за умышленное распространение вредоносных (например, мошеннических) скриптов он действительно не отвечает, даже будучи в этом уличен? Насколько мне известно, такие действия составляют состав преступления даже в отсутствии SLA.
Если в вашем районе выбор настолько узок и бинарен, то или вы пишете из тюрьмы, или разводите демагогию.Нет, просто, принимая за исходную посылку наличие субъекта с антиобщественными наклонностями, показываю разные способы реализации этих наклонностей в ситуациях с разной доступностью этих способов. То есть, в целом, следую вашему же методу рассуждений (только не надо, пожалуйста, обзывать благородную софистику низким словом «демагогия»).
И минимум дважды в этом обсуждении был упомянут реальный, а не умозрительный кейс, когда провайдер подмешивает в нешифровнаный трафик свою рекламу, но почему-то этот кейс настойчиво не замечают, снова и снова возвращаясь к несекретности данных на сайте с погодой.
Результат-то одинаков: реклама в браузере.
PS Вы, как мне показалось, там как-то ближе к регулированию интернетов законом. Скажите, а там нет никаких поползновений изадь закон, чтобы бить по рукам провайдерам, когда они это делают с госсайтами. Ведь, в таком случае, можно было бы информационные страницы с госсайтов отдавать по HTTP и не иметь нынешних проблем с сертификатами, про которые вы тут постоянно рассказываете.
Не, я понимаю, что с Госуслугами с их персональной информацией так делать нельзя. Но уж, к примеру, статистику-то по коронавирусу можно, наверное, в незашифрованном виде передавать?
Так закон "О связи" и подзаконные НПА это и так явно запрещают. Поймать сложно, доказать - еще сложнее, заставить контрольно-надзорные принять меры (а это вплоть до отзыва лицензии) - квест 99 уровня.
PS Про методы побуждения государства и перспективы такового я, с вашего позволения, говорить не буду: это уже политика, а я политические дискуссии на Хабре традиционно не веду, предпочитаю для этого другие площадки.
Хабр я использую как специализированный чисто технический ресурс.
Реклама. Реклама везде. Вставка рекламы провайдером на http сайт это реальный массовый кейс.
Ну и общая лень и любовь к универсальным решениям. Никто не хочет разбираться что вот тут банк, тут биржа, тут сайт знакомств их защищаем. А тут статичные котики их не защищаем. Проще заставить всех один раз настроить https и забыть о проблемах.
Нам не под силу изменить общество. Для этого надо было в политику или образование идти.
А вот сделать и продвинуть универсальные решения которые в среднем делают лучше всем мы можем. Принудительный https везде из разряда таких решений.
Это и не должно быть хорошо, если это — необходимо. Ползунок Удобно(хорошо)<—>Безопасно или не работает или крутится для всех разом.
А с чего вдруг "удобно = хорошо", собственно?
Потому что 0xd34df00d страдает от безопасности (ему не удобно), и хочет удобства (находящегося на противоположном конце шкалы).
Эксперимент можно и расширить.
Третья фрактальная часть: выкиньте из любого безопасного языка небезопасные части, написанные на C(++), asm, shell, make. А потом попробуйте его собрать и, если получится, применить, не теряя в производительности.
Этот опасается, что облом случится еще на этапе компиляции — компилятора ли или самой программы.
Но вы, почему-то, выбрали стезей функциональщину, а не кресты. Хотя с вашими способностями и там бы ваш код наверняка был бы хорош.
Так почему вы дистанционируетесь от UB на работе и в хобби, но так яро его алчете по одному конкретному вопросу?
Вопрос риторический.
И? Сгорел сарай — гори и хата?
Ну так вы озвучиваете созвучную позицию, вот в чем шутка.
вероятность (и последствия для меня лично) UB сильно выше, чем провайдера, засунувшего рекламу
И снова рад за вас… Но, снова, проблема глобальная, а вы пытаетесь решить за всех и в свою пользу, руководствуясь личным, исключительным, примером, на цели исходного метода вообще никак не натягивающимся.
Блин, даже интересно, сколько пацанов на
районенейборхуде знают про aircrack-ng?
Не бином Ньютона. Когда у пацанов есть интерес, они мобильный TeamViewer легко усваивают. И удалённую блокировку iPhone.
И оценивать все надо в конкретных случаях. И, как я понимаю, мы тут, в принципе, все вместе занимаемся как раз такой оценкой для конкретного случая HTTP vs HTTPS.
И в большинстве случаев получается, что HTTPS ничего не ухудшает, а в некоторых (которых тоже очень много) - необходим. Большинство голосует за ;)
Ты думал, если двое молчат, то и третий должен быть за/забыв уточнить, чем ты зашил ему рот
Большинство — кого?
Владельцы сайтов, живущие за счет рекламы (эта модель финансирования мне тоже не нравится, однако в реальности таких большинство) которым чисто ради денег нужна криптографическая защита целостности переданного контента, голосуют за HTTPS, т.к. более подходящей альтернативы нет. Альтернативы нет, т.к. «IT-сообщество» (за которым стоят цифровые монополии) нужный протокол не разрабатывает, т.к. цифровые ионополии заинтересованы, скорее, во всеобщем шифровании. Провайдеры последней мили, которым шифрование мешает, голоса не имеют.
Ну, а государства не голосуют — у них другие методы.
Как-то так.
Считать же сложившуюся (где угодно) ситуацию рационально наилучшей в общем случае нельзя
PS А ещё меня удивляет, что поборники HTTPS-only как-то слишком уж горячо, с душой, отстаивают свою точку зрения, в результате некоторые их агументы выходят за рамки рациональной дискуссии. Но это так, к слову.
Провайдеры последней мили, которым шифрование мешает, голоса не имеют.
Отвечаю со стороны провайдера. Мне пофиг. Единственное, что напрягает - желание гос-Вп всем присунуть СОРМы, но это не желание провайдера… ни разу
Отвечаю со стороны провайдера.
Испанского (судя по вашему местоположению в профиле)?
Нет, российского. Сколько можно до профиля докапываться ?
Сколько можно до профиля докапываться?Ну, пока вы не приучитесь указывать свои особые обстоятельства, обосновывающие противоречия (ведь про них же посторонние не в курсе, да?). А то получается неудобно, как в том анекдоте про трусы и крестик, несмотря на то, что там было вполне допустимое сочетание: Брит мила производится на 8-й день жизни младенца, а креститься можно потом в любом возрасте.
PS Вы на меня, пожалуйста, не обяжайтесь: для меня анализ профиля — это не лично против вас, а чисто мера информационной гигиены: а то больно много в интернетах «крымчанок, дочерей офицера» развелось.
Провайдеры последней мили, которым шифрование мешает
Да ну? Провайдер нужен чтобы байты пересылать. Шифрованные байты пересылать не сложнее чем нешифрованные.
Владельцы сайтов, живущие за счет рекламы
Да. Они предоставляют нам контент (как правило бесплатно), разумно к ним прислушаться.
Ну, а государства не голосуют
Разве их кто-то лишил голоса? Голосуют. Кто то пытается в MITM, кто то в firewall. Но избиратели (там где их мнение кому-то интересно) не одобряют.
Ну и потребителей контента неплохо бы спросить. Без добровольно - принудительного шифрования, например, пользоваться публичными сетями было бы просто невозможно.
Считать же сложившуюся (где угодно) ситуацию рационально наилучшей в общем случае нельзя
Это как демократия. Плохой метод управления, безусловно. Но альтернативы ещё хуже.
Да ну? Провайдер нужен чтобы байты пересылать. Шифрованные байты пересылать не сложнее чем нешифрованные.
Провайдер нужен, чтобы предоставлять услуги, например — разные. В свое время, когда трафик от какой-нибудь ОПГ («объединенная пиринговая группа», была такая, не подумайте ничего плохого) имел цену за байт, и вообще, внешние каналы были существенно уже внутренних, локальный прокси был весьма востребован — не клиентами, а самим провайдером, для экономии расходов. Прямо сейчас это не так, но не факт, что ситуация не изменится на противоположную.
Да. Они предоставляют нам контент (как правило бесплатно)
Помните, где бесплатный сыр, да? В данном случае бесплатность примерно такая же: контент идет в комплекте с рекламой, сбором персданных для ее таргетрирования и прочими использованиями, и т.д. Вот я бы предпочел честно заплатиь деньги, вместо того, чтобы получать весь этот мусор вкупе с попытками меня поиметь — и это при том, что я, вообще-то, в рынке контента участвую на правах «зайца» («за что платить — трамвай и так едет»): на баннеры не кликаю, в воронку продаж не проваливаюсь… Но все равно — достает.
Разве их кто-то лишил голоса? Голосуют.
Нет, у государств совсем другой способ действия, ни разу не рыночный: они предписывают, а потом силой добиваются выполнения своих предписаний, и побочные эффекты от этого им, в общем-то, побоку (если эффекты невелики, конечно). Ну, а я потом сталкиваюсь с тпкими побочными эффектами — типа (этот пример я уже приводил), что областной сайт с инфой про уханьку был заблокирован моим провадером: потому что государство повелело заблокировать неких мошенников из Краснодарского края (торговля медкнижками ЕМНИП), а сайт оказался с ними на Cloudflare на одном IP — ну, а провайдер в анализ SNI через DPI не умел, а тупо, получив РКН-овскую выгрузку, пререводил хостовые части имен страничек с https оттуда в IP и блочил к ним подключения на 443 порт.
Вот оно мне надо, такое счастье? А ведь любители шифрования хотят навязать теперь ещё и ECH, от которого и DPI не поможет…
Ну и потребителей контента неплохо бы спросить. Без добровольно — принудительного шифрования, например, пользоваться публичными сетями было бы просто невозможно.
Дык, пользовались же: радио, телевидение…
Очень много контента реально по сути от них мало отличаются — это открытая информация, предназначенная неопределенному кругу лиц.
Вот для передачи всякой закрытой информации — оплаченного контента, или, там, персональной — там шифрование, как я писал, уже нужно.
Но зачем стричь всех под одну гребенку?
Это как демократия. Плохой метод управления, безусловно. Но альтернативы ещё хуже.
В разных случаях — по-разному. Например, как высказлся кто-то из французских деятелей по итогам подготовки Франции ко 2-й Мировой войне (которую Франция, как известно, провалила начисто), «Демократия для войны непригодна».
Но когда на горизонте нет тени серьезной войны, когда идет мирное развитие, цели и пути которого a priori не определены — там да, демократия лучше.
Впрочем, у меня возникает ощущение, что мы с вами уже повторяемся. Как вы насчет того, чтобы на этом закругиться?
Вот я бы предпочел честно заплатиь деньги, вместо того, чтобы получать весь этот мусор вкупе с попытками меня поиметь
Почему вы уверены, что вместо, а не вместе? ;) То, что вы платите субъекту А за информационные услуги, совершенно не означает, что субъект Б не желает от вас чего то поиметь. Скорее даже наоборот, если есть поток настоящих денег, обязательно найдутся желающие от него откусить. Сейчас, когда вы ни копейки не платите - сложно с вас чего то поиметь.
Вот для передачи всякой закрытой информации — оплаченного контента, или, там, персональной — там шифрование, как я писал, уже нужно.
А как вы собираетесь отличать байты персональной информации от байтов открытой информации?
Почему вы уверены, что вместо, а не вместе? ;) То, что вы платите субъекту А за информационные услуги, совершенно не означает, что субъект Б не желает от вас чего то поиметь.
Желать-то он может, и может даже попытаться — но тогда у его конкурента возникают дополнительные конкурентные преимущества: видимое отсутствие рекламы, непопадание в скандалы, желающих поднять которые, причем — имеющих необходимую для этого квалификацию, весьма немало, особенно когда такое желание подкрепляется возможностью что-нибудь отсудить. Впрочем, пока что — в основном, гипотетичекие возможности, к тому же — не по нашей теме.
А как вы собираетесь отличать байты персональной информации от байтов открытой информации?
Например, в это вполне может владелец ресурса. Если он не может — то сваливает с рынка: из-за штрафов за нарушение чего-нибудь типа GDPR, из-за необходимости возместить деньги, которые которые клиенты потеряли из-за его халатности и т.д. Про платный контент я уж не говорю: халявный доступ к нему кого попало — это прямая потеря бабла.
Ну, и пользователи, когда речь об их кровных деньгах идет — они тоже вполне обучаемы. Ну, или если не вполне обучаемы, то можно на их внимания не особо обращать — много денег у них все равно нет, по жтой самой причине.
Например, в это вполне может владелец ресурса.
Владельцу ресурса проще шифровать всё подряд.
Ну, и пользователи, когда речь об их кровных деньгах идет — они тоже вполне обучаемы.
Пользователи предпочитают, чтобы всё делали за них, чем обучаться в безопасность. Изучать каждую ссылку с инспектором траффика, не фишинг ли это?
Итого, в том интернете, который имеется, шифрование не мешает никому. Кроме Роскомнадзора и парочки гиков с ардуиной. В чебурнетах, конечно же, может быть всё иначе. Но я не уверен что к этому нужно стремиться.
Владельцу ресурса проще шифровать всё подряд.
Вообще-то, это — деньги: я тут уже где-то приводил разницу в ценах и системных требованиях для балансировщиков одного и того же производителя с поддержкой «SSL offload».
Итого, в том интернете, который имеется, шифрование не мешает никому.Ваша позиция мне понятна (и вы, в целом, уже повторяетесь): решать — каждый за себя — использовать шифрование, или нет, должны не поставщики услуг, не пользователи и, ни в коем случае, не государство. А решать, за всех, должны благодетели из некоего просвещенного анонимного «IT-сообщества», формально независимого, и ни за что не отвечающего, но (внезапно) реально финансируемого корпорациями-монополиями.
Свое отношение к этой точке зрения, и на чем оно основано, я тоже уже где-то выразил, и неоднократно, так что смысла в дальнейшей дискуссии больше не вижу.
Вообще-то, это — деньги
Никто вроде не жаловался. Есть информация, что услуги хостинга с 2000 года по 2022 год сильно подорожали?
Вообще-то, это — деньги: я тут уже где-то приводил разницу в ценах и системных требованиях для балансировщиков одного и того же производителя с поддержкой «SSL offload».
Сколько раз вам надо повторить что нет там денег? Современное шифрование почти бесплатно. Ресурсы уходят на него смешные.
Почти бесплатно, пользователя защищает, приватность пользователя повышает, лазить кому не положено не дает. Выглядит идеальным решением для раскатки на 100%.
Разница между «нет» и «почти нет» таки существет. И я вам рассказал историю, где я ее видел вполне наглядно.
лазить кому не положено не дает
Кому — не положено-то?
Вот вы там чуть раньше стращаете человека тем, что у него на сайт в периметре кто-то снаружи через JS в браузере влезет. А ведь HTTPS от вредоностного JS на сайте источника не защищает ни разу. То есть, по факту, вы требуете, чтобы пользователи доверяли больше поствщику контента, чем провадерам, чере которых он поставляется. Тогда «внимание, влпрос:» почему пользователи должны доверять поставщику контента больше — в нашем-то реальном мире, где есть взломы сайтов, спецслужбы недружественных государств (в том числе — и тех, в чьей юрисдикции находится сайт и/или его владелец) и безобразно жадные до денег корпорации, которые как вы, наверное слышали, ради 300% прибыли могут пойти очень на многое?
Трафик ходит невообразимыми путями. Кто там на нем сидит никто не знает. Но все точно знают что ближайшая к пользователю точка обычно не защищена никак или почти никак.
Вот никому и не положено. Чтобы не пытаться решить нерешаемую проблему доверия ко всем кто передает трафик.
PS А непредсказуемость путей — она скорее затрудняет атаку.
PPS Вопрос «кем положено», я больше поднимать не буду. Просто имейте в виду, что на каждое «положено» автоматически спрашивается «кем?», «надо» — «кому?» и т.д.
Решаем всегда одну проблему за раз. Не пытаемся сделать мир идеальным сразу. Маленькими шажками.
Мы проблему всех провайдеров решили. Мы молодцы. Про атаки со стороны провайдеров можно не думать. Вот прям вообще.
Мы это IT сообщество. Давшее людям возможность не переживать о том кто и как их трафик передает. Простой человек теперь даже не задумывается об этом вопросе. Все просто хорошо и безопасно. И даже как я уже ни раз говорил по сути бесплатно.
Мы это IT сообщество.
Когда я слышу подобные громкие слова, у меня возникает совершенно стандартный и логичный для сторонника материалистического подхода вопрос — чей интерес (под словом «интерес» естественно следует понимать «деньги») отстаивает это сообщество? Ответа, в рамках материализма, возможно два. Первый — общий интерес участников сообщества: т.е. чтобы айтишники больше бабала могли поднять, но тут тогда встают вопросы, и первй из них — как именно реализуется чисто технически определение этого общего интереса, и откуда берутся деньги на работу по реализации общего интереса. Так вот, для аморфного сообщества правильный ответ — никак и ниоткуда: для определения и реализации общего интереса нужна организация. Таковой я здесь не вижу.
И тогда остается лишь второй вариант ответа — «IT-сообщество» реализует интересы того, кто финансирует это сообщество. То есть — крупные корпорации, зачастую занимающие монопольное положениена рынке.
Дальнейшие выводы, думаю, очевидны — но это уже про политику.
Выгоды IT сообщества очевидны. Вы зарплаты видели?
Больших денег в интернете не было бы без доверия и безопасности для всех. Кусочек этих денег достается каждому из нас.
как именно реализуется чисто технически определение этого общего интереса
PS Но я вообще-то рад, что монополии не совсем жадничают, а делятся с работниками соответствующей специальности. Пока делятся. И, кстати, большие деньги в интернетах действительно есть, но — не благодаря, а вопреки наличию в них доверия и безопасности (их там — примерно столько же, как и на средневековой большой дороге, которая с разбойниками: вон, для примера, посмотрите чуть выше, как человека пугают тем, что в его внутренню сеть залезть элементарно). Правда, потом из Калифорнии приходят вести, что другим, которые не-айтишники, плохо. Получается, этот праздник — он за счет других?
PPS Мне лично — не достанутся. Моя основная специализация сейчас (вместе с опытом работы, что существенно) — администратор иефраструктуры предприятия на базе решений MS, а сейчас это — бесперспективняк: по эту сторону холма — импортозамещение, по другую — Azure.
В программирование я тоже умею, но не имею подтвержденного опыта работы в сколь-нибудь актальный период времени, и, в общем-то, шансов его получить.
Вы очень странный. ITшники выстроили безопасную и надежную сеть для всех и богатеют благодаря ней. И даже это вам не нравится. Нищими наверно всем надо было быть?
Любой администратор учит Питон, полсотни баззвордов и становится модным девопсом с зарплатой 300к/наносекунда. Тем более что вероятно на работе тоже самое что и сейчас делать придется. В коллективах девопсов хорошим админам работа всегда найдется. Продакшен newer changes.
ITшники выстроили безопасную и надежную сеть для всех и богатеют благодаря ней.
Под словом «ITшники» вы, наверное, имели в виду «корпорации»?
Нищими наверно всем надо было быть?Не находите, что это — несколько ложная дилемма — между «всем нищими» и «корпорации богатеют». То есть, тут не дилемма — есть и ещё варианты.
Любой администратор учит ПитонНу, а я Powershell выучил, давным давно: без него невозможно работать со сколь-нибудь большими массами серверов, а в Exchange — джае с отдельным сервером. Но легче мне от этого не стало. On-premises инфраструктура от MS все равно обречена умереть, потому что ее сам производитель убивает.
DevOps — это нужен опыт с Linux, а у меня он — только со Slackware образца конца прошлого века.
PS Впрочем — это все лирика. Пойду-ка лучше развлекусь, исходники ASP.NET Core поковыряю.
Под словом «ITшники» вы, наверное, имели в виду «корпорации»?
Нет, обычные простые работники. Вы все-таки посмотрите уровень зарплат.
Не находите, что это — несколько ложная дилемма — между «всем нищими» и «корпорации богатеют». То есть, тут не дилемма — есть и ещё варианты.
"Много получать работая на нищую контору" вызывает вопросы к логике.
Можно работать на стартап в надежде разбогатеть вместе с ним. Тут вопросов нет.
On-premises инфраструктура от MS все равно обречена умереть, потому что ее сам производитель убивает.
Вакансий MS стека полно. На AD живут примерно все крупные ребята. Альтернативы все хуже. Умирания не наблюдается. Историю как немцы на Линкусы переезжали госами пора заносить в учебники. Можно выбрать фирму и вакансию по вкусу. Денег там не меньше чем девопсам платят.
Я все еще не понимаю проблему.
вот почему-то проблема доверия в цепочке поставщиков продуктов решаемая
Хакер и солонка. Просто таргетированную атаку сложно организовать: неизвестно, кто именно купит отравленный арбуз
Примерно нет. В траффика все байты подписаны, любой узел знает, кто отправитель, кто получатель. Без шифрования - у любого провайдера широчайшие возможности для вмешательства и анализа. С шифрованием - только блокировка по ip. Неплохо.
Можете не отвечать: я уже, кажется, все возможные варианты ответов видел, из них — ни одного действительно рационально обоснованного.
Потому что поставщиков на порядки больше, чем провайдеров? И между ними конкуренция? Даже если это олигополия?
Потому что поставщик заинтересован в том, чтобы данные от него до клиента дошли максимально нетронутыми по дороге?
И он же не заинтересован в том, чтобы обмен данными был виден ещё кому-то? Кроме тех персон, кому поставщик сам сливает данные клиента?
Потому что поставщиков на порядки больше, чем провайдеров?Что это принципиально меняет?
И между ними конкуренция? Даже если это олигополия?Нет, при олигополии с конкуренцией плохо: они там завсегда могут договориться между собой, как баранов стричь. И реально им в такой ситуации может помешать либо организация клиентов-потребителей (я, правда, плохо представляю, как это может действовать), либо столь не любимое тут на Хабре государство.
Потому что поставщик заинтересован в том, чтобы данные от него до клиента дошли максимально нетронутыми по дороге?
И он же не заинтересован в том, чтобы обмен данными был виден ещё кому-то? Кроме тех персон, кому поставщик сам сливает данные клиента?
Последнее ваше предложение отлчино разъясняет, почему поставщикам доверять можно точно так же, как и провайдерам: «Я доверял ему как брату, иными словами, не доверял вообще»((с)Корвин, принц Амберский)
почему это вдруг поставщику следует доверять больше, чем постредникам-провайдерам, а не наоборот?
Ну вы же к кому обращаетесь за контентом? Если не доверяете поставщику контента - ну я тогда не знаю.. Зачем тогда вам этот контент?
Особенно в плане самого контента: например, чтобы ориентироваться в политике, я сейчас регулярно читаю, как минимум РИА, РБК и BBC, ну и ещё парочку избранных телеграммных каналов, а потом сопоставляю информацию и делаю выводы (какие именно — это не для обсуждения на Хабре: об этом администрация специально просила), а если для выводов нужны другие источники — лезу в эти источники. Ну — и много думаю.
PS По поводу сбора персональной информации и прочих художеств поставщиков в чисто техническом плане я тоже принимаю адекватные меры. Но об этом — как-нибудь потом.
Уже писал где-то: вот почему-то проблема доверия в цепочке поставщиков продуктов
Неужели? Надеюсь, это была шутка. Ну, и в реальном мире айти - все ещё есть атаки на цепочки поставок, это когда тебе через зависимость внедряют трояна. А потом привет ситуация а-ля stuxnet. И если бы проблема была решаема, то она уже была бы решена. А пока даже наметок нет
Ну, и в реальном мире айти — все ещё есть атаки на цепочки поставок, это когда тебе через зависимость внедряют трояна. А потом привет ситуация а-ля stuxnet.
Атака на цепочку поставок, цель которой — массовый потребитель, слишком легко обнаруживается, а потому когда ее эффект — что-то большее, чем нечто безобидное, типа показа рекламы — карается чисто полицейскими мерами вполне эффективно.
Ну, а сложные прицельные атаки — это не та угроза которая опасна для массового потребителя: все-таки, он обычно не держит у себя на даче завод по обогащению урана.
PS По-моему, мы тут уже по третьему кругу пошли: вы почему-то поставщикам ресурсов доверяете больше, чем провайдерам, а я не доверяю им в равной степени.
Ну, и как-то несбалансировано относитесь к балансу сложность/эффект в модели угроз.
Думаю, пора это обсуждение завязывать: мы все равно останемся при своем мнении.
Вообще-то, это — деньги: я тут уже где-то приводил разницу в ценах и системных требованиях для балансировщиков одного и того же производителя с поддержкой «SSL offload».
чьи деньги? Поставщика ресурса? Но Вы же понимаете, что сегодня ему нужен SSL на 10 эндпойнтов, а завтра их будет 100. И что? Эти защищаем, а остальные не защищаем? Или впереди SSL offload штуки еще nginx очередной строить? Но опять же - это так не работает. Защита должна быть всеобъемлющая, иначе это не защита вовсе, а профанация.
А истории, когда тебе не хватает производительности, и надо апгрейдить WAF"ы, прокси и все такое? Ну, так заранее считай и выгружай все, что не профильное на CDN...
Но Вы же понимаете, что сегодня ему нужен SSL на 10 эндпойнтов, а завтра их будет 100. И что? Эти защищаем, а остальные не защищаем?
А почему бы нет? Что-то мешает?
и выгружай все, что не профильное на CDN
А что, CDN нынче халявные? Или — тоже деньги?
Ну, и почему CDN доверять можно (если речь о банке — что он в страничку с переводом бабла какой нибудь нехороший JS не встроит), а провайдеру — нельзя?
Или впереди SSL offload штуки еще nginx очередной строить?
Абсолютно бессмысленное занятие IMHO: как этот ваш nginx будет зашифрованный трафик кэшировать (и что вы там собрались с ним делать), объясните, пожалуйста.
а сайт оказался с ними на Cloudflare на одном IP — ну, а провайдер в анализ SNI через DPI не умел, а тупо, получив РКН-овскую выгрузку, пререводил хостовые части имен страничек с https оттуда в IP и блочил к ним подключения на 443 порт.
Типичный пример «скажи дураку богу молиться - он лоб расшибет»
Почему-то в случае закончившегося баланса - провайдеры не стремаются подсовывать левачные днс записи, а забанить домен с вредоносом они не могут… или не хотят? Потому что если блокировка по ip - очевидно, что впн они не отключат, а если отключат, то сломают связь куче корпоратов. Поэтому все блокировки должны быть максимально простыми. Чего там sni отлавливать? Кто хочет - тот все равно обойдёт…
Была у меня мысль на них телегу накатать, но потом передумал: раз в день (чаще там делать нечего) зайти с планшета (у Мегафона с DPI все OK) мне было не настолько влом, чтобы тешить свое чувство справедливости, которое у меня по жизни слабое.
Поэтому все блокировки должны быть максимально простыми.
Потому что есть еще Роскомнадзор и его желание ставить в сети провайдеров еще и аналог RIPE Atlas Probe но для мониторинга блокировок. И выписывать штрафы если коробочка говорит что блокировки нет (исходники коробочки разумеется закрыты). Нет, конечно можно и в суде все оспорить… может даже получится. Потом.
Что с этим делать — не знаю, лично я — за просвещение с целью улучшения способности оценивать, благо само функционирование рынка этому весьма способствует (но пострадавших все равно жалко).
В смысле, что только идиоты хотят пользоваться современным обществом?
Никто не хочет разбираться…
Проще заставить всех один раз настроить https и забыть о проблемах.
Иная простота хуже воровства. Например, было бы проще ввести одинаковый скоростной режим для автомобилей и во внутридворовых проездах, и на автомагистралях. Однако — разбираться пришлось.
Аналогия это как котенок с дверцей.
Я общего-то ничего не вижу. А вы про различия начинаете.
Точно так же как котики и банк выглядят в целом похоже — это веб-сайты, которрые в браузере смотрят, автострада и внутридворовый проезд тоже выглядят в целом похоже — это полосы земли, покрытые асфальтом (или, иногда, бетоном), по которым ездят автомобили. И, одновременно, и там, и там есть нюанс.
Так понятно?
Я скорее про потенциальные траты и потенциальные плюсы.
У вас траты это жизни людей, деньги и время. Всех людей, даже не управляющих машинами. Преимущества вообще их не окупают.
В вопросе https везде все ровно наоборот. Траты это время администраторов давно заброшенных сайтов, деньги фирм для переделки внутренних сетей и поддержки старых устройств ну и страдания гиков с ардуинами. В обмен получаем получаем защищенность и приватность для всех. Вообще для всех, даже ничего не понимающих в этом. Обмен стоит того.
То есь в обоих случаях можно брать и считать эти деньги. И почти наверняка выяснится, что оптимален некий промежуточный вариант.
Я не зря использовал слово все. Всеобщность часто дает оптимальное решение в крайних точках.
Ну а если учесть, что большинству потребителей технологии HTTPS реально требуется не шифрование, а проверка неизменности контента (для которой перечисленные недостатки сильно смягчены), то оптимальное решение тем более оказывается неочевидным.
вычислительные затраты
не проблема
невозможность кэширования контента провайдером
выше уже сказали - нехрен вообще кэшировать провайдеру ничего. Сколько говна я поел из-за того, что криво настроенный сквид отдавал протухшие данные. А для статики есть CDN. Кстати, Вас тезис ложен. У провайдеров вполне себе стоят акселераторы интернета от Гугла, которые позволяют ютубы отдавать конечным пользователям быстрее. И https не помеха.
не проблема
Ваше ничем не обоснованное мнение. А мне вот приходилось видеть весьма недешевую железку — аппаратный балансировщик нагрузки, помимо самой балансировки нагрузки разгружающий серверы от занятия шифрованием. Тогда как его аналог — программный балансировщик на ту же нагрузку, но без SSL offload — стоил по корпоративным меркам копейки и разворачивался на виртуалке с не сильно большими системными требованиями к хосту. Конкретно там, где я это видел, без HTTPS было нельзя — это было в банке. Но всеобщая HTTPSизация создает те же проблемы там, где без шифрования можно было бы и обойтись.
выше уже сказали — нехрен вообще кэшировать провайдеру ничего.Это — не указание свыше, а всего лишь ваше недостаточно обоснованное мнение, не более того. Я принял его к сведению, но вы меня не убедили. А вот пользу от локального кэширования я наблюдал.
Сколько говна я поел из-за того, что криво настроенный сквид отдавал протухшие данные.
Я — тоже, только причина была несколько другая: написанная мышкой на ASP (тогда это было-стильно-модно-молодежно) самопальная CMS не отдавала адекватных заголовков Expires(если программировать мышкой — то так оно обычно и бывает), и пришлось что-то делать с этим уже на уровне IIS.
А для статики есть CDN.
Есть. Но это — дополнительные деньги, отдаваемые на сторону, которые повышают цену рекламы на сайте со всем вытекающими. Плюс — дополнительные глобальные риски (у CDN тоже uptime не 100%). А кэширование у провайдера для владельца сайта бесплатно и проблемы с ним — локальные, на доступность сайта для широкого круга клиентов почти не влияющие.
Кстати, Вас тезис ложен. У провайдеров вполне себе стоят акселераторы интернета от Гугла, которые позволяют ютубы отдавать конечным пользователям быстрее. И https не помеха.
Недостаток у этих железок от Гугла один: они — от Гугла. И, к примеру, в РФ сейчас с ними есть некие проблемы. А ещё — они конкретно для YouTube. И не кэшируют контент какого-нибудь другого, альтернативного видеохостинга (вот, в РФ сейчас, к примеру, набирается популярность у RuTube, пусть, зачастую — и добровольно-принудительными мерами всех заинтересованных сторон, но набирается). То есть эти ускорители — инструмент монополизации рынка, которую общепринято считать нехорошим явлением.
браузер не обладает ИИ, чтобы понять, что за сайт перед ним. Поэтому надо помечать небезопасным.
только что открыл http://example.com/ в chrome и ff
Как минимум опсос не сможет натыкать рекламы. И не сможет от имени сайта показать формочку для ввода слива пароля от Facebook например.
Вот к примеру я на ардуинке левой пяткой наколхозил себе мониторинг погоды и чтобы показывало для нескольких городов из списка + часики, я сильно рад, а данные беру из url-ки, к которой обращаюсь по http. Мне глубоко фиолетово, что и кто там отследит. А данные в xml / json со своей структурой и рекламу туда воткнуть никак не выйдет.
А если внезапно запретить http и заменить на обязательный https — всё у меня там навернётся.
Или например курсы валют с CBR — до сих пор можно забирать по http. Запретят — сколько сервисов навернётся…
То что http-трафик можно подменить незаметно — это ясно как день, но какой в этом прок, если ты запрашиваешь просто статический файл с раз в час формирующимся прогнозом погоды?
Никакого. Но зато, благодаря стимулированию внедрения HTTPS, удастся заставить использовать HTTPS те ресурсы, которым он не повредит, но владельцы которых забивали на поддержку HTTPS.
Стопорить этот процесс ради какой-то погодной странички — слишком велика честь. Надо же, какой важный курица этот погодный сайт.
Реальный пример: у нас во двор дома каждый день ходят мочиться десятки людей, распивающих вечерами пиво в расположенном рядом сквере. На глазах коллег по распитию им мочиться зазорно, поэтому они обоссывают угол нашего дома. Аромат в жару стоит просто потрясающий. Чтобы бороться с этим, жильцы дома будут ставить забор. И вот представим, найдётся Вася, у которого обоняние атрофировано, которому забор мешает (это же надо сдавать деньги на установку забора, да и каждый раз при выходе из двора кнопочку нажимать, чтобы калитку открыть — лишнее движение). Все остальные должны нюхать ссанину, потому что Вася против?
Никакого. Но зато, благодаря стимулированию внедрения HTTPS, удастся заставить использовать HTTPS те ресурсы, которым он не повредит, но владельцы которых забивали на поддержку HTTPS.
Вот вы, насколько я помню, сторонник личной свободы и личной инициативы.
В таком случае скажите мне, а почему за меня кто-то там имеет право решать, что мне лучше не использовать HTTP, если ни я, ни владелец сайта не против?
Я вот как-то против всяких попыток из благих побуждений стимулировать то, что имеет сомнительную пользу, методами того русского из анекдота про то, как простимулировать кошку жрать горчицу: благими побуждениями, говорят, дорога в ад вымощена.
В таком случае скажите мне, а почему за меня кто-то там имеет право решать, что мне лучше не использовать HTTP, если ни я, ни владелец сайта не против?
не используйте [эти сайты]. Или Вы сторонник того, что на автозаправках должно быть топливо отличное от 95/98/и евродизеля? Или может быть сторонник ненужности личной гигиены (не мыть руки перед едой, после туалета? Не пользоваться презервативами и пр.)?
Например, что касается лчиной гигиены, то я свободно пью у себя дома некипяченую воду из под крана, но делать это где-нибудь в поселке в Астраханской области, где можно таким путем получить не только ПТИ, но что-нибудь посерьезнее, вплоть до холеры, не буду.
Аналгично насчет мытья рук: одно дело — после моего любимого сортира у себя дома — размывать особо не надо, а если спешишь сильно — можно и пропустить, совсем другое — после «туалета типа сортир» где-нибудь на вокзале, там желательно мыть так, как врачи в кино моют.
Или Вы сторонник того, что на автозаправках должно быть топливо отличное от 95/98/и евродизеля?
Тут уже решаю не я, а производитель двигателя: на какое минимальное ОЧ он рассчитал свой весьма сложный, весьма нагруженный и весьма теплонапряженный агрегат. Я могу лишь выбрать марку автомобиля и двигателя. Ну, или доработку двигателя — в СССР, например была распространена установка прокладок под блок головок, чтобы Жигуль на 76-м бензине мог ездить.
вы знаете разницу между HTTPS и HTTP, а среднестатический пользователь нет.
Браузер не умеет оценивать знания пользователя, а ещё он не понимает, это сайт погоды, сайт банка или фишинговая страница со слизанным дизайном банка, с тем же доменом + без протокола в адресной строке.
Ну, а пользователь дожен хоть немного обучиться, чтобы пользоваться Интернет-банком. Например, как он обучился дверь запирать, даже когда на пять минут выходит из дома (в деревнях наши предки это часто не делали) Или — заблокировать интернет-банк.
Я, вот, считаю, что я обучился недостаточно. Потому — заблокировал.
Вообще «В наше время верить нельзя никому. Порой — даже себе.»(с). Вы вот описния случаев чисто телефонного мошенничества с переводом средств «на безопасный счет» читали? Если нет, то зря: поучительно.
в том то и дело, что пользователь может уметь пользоваться интернет банком, но не сможет отличить фишинговую страницу с HTTP от оригинала с HTTPS.
Да и вы не сможете, если, допустим, почистили кэш браузера (или не был изначально включен HSTS) и начали использовать WiFi/VPN контролируемый злоумышленником: картинки попиксельно совпадать будут, потому что браузеры не показывают протокол в url.
то есть это не попасться на социальную инженерию, а технический взлом.
так в том то и дело, что если б он на http не ругался, вы бы не поняли, что это соединение - небезопасное.
PS Если чо, я могу и цепочку доверия сертификата проверить: я этому обучен.
ещё раз, нет никакой цепочки. Есть фишинговый сайт с HTTP. Да, у него не будет замочка. Но вероятность незаметить отсутствие замочка или забыть проверить наличие замочка больше чем вероятность незаметить Not Secure и тем более проигнорировать "А вы точно хотите открыть этот небезопасный сайт?"
Я на 92 езжу. А 98 нафига?
То что http-трафик можно подменить незаметно — это ясно как день, но какой в этом прок, если ты запрашиваешь просто статический файл с раз в час формирующимся прогнозом погоды?
если ты решился на то, что твой бизнес зависит от погоды (планирование закупок, еще что-нибудь серьезное), то сломанный прогноз может вынудить тебя произвести какие-то действия (или наоборот - ты их не сделаешь), что в дальнейшем приведет к убыткам для твоего бизнеса (мало ли тебя конкурент заказал), либо к расширению хакерской атаки. Например, эти статические данные на самом были не такие статические и вызвали переполнение буфера в браузере пользователя - дальше RCE и поехали (фантастика, да, но лучше перестраховаться)
Или например курсы валют с CBR — до сих пор можно забирать по http. Запретят — сколько сервисов навернётся…
о! отличный пример! Если эти данные используются в процессе принятия решений.... то вы в беде
Если бизнесу можно навредить таким способом, то явно можно сделать что-нибудь и поинтереснее
не исключено. Но мы же понимаем, что может быть бизнес может использовать самые защищенные системы - WAF'ы, файрволлы, наладить процессы. А сломается из-за какой-то тупости - вроде того, что разработчики забыли, что нельзя ничего передавать или получать по недоверенным каналам связи.
Учитывая, что есть доступ к каналу связи (а для подмены трафика он просто обязан быть).
достаточно этот доступ иметь не со стороны клиента - а в любом месте тракта МЕЖДУ сайтом и клиентом.
если ты решился на то, что твой бизнес зависит от погоды
ОК, давайте для таких случаев оставим возможность получать информацию по HTTPS — для тех немногих случаев, когда надежность источника действительно имеет значение. Ну и, заодно — для параноиков.
В большенстве же случаев сам по себе прогноз погоды недостаточно надежен, чтобы опасаться ещё и его искажения злоумышленником.
PS К новостным сайтам это тоже в полной мере относится: уровень достоверности их сообщений обычно и так крайне низок, чтобы искажение в процессе передачи что либо дополнительно испортило.
PS К новостным сайтам это тоже в полной мере относится: уровень достоверности их сообщений обычно и так крайне низок, чтобы искажение в процессе передачи что либо дополнительно испортило.
с точки зрения содержимого информации - да. Но с точки зрения других побочных вещей - вроде внедрения дополнительных нежелательных скриптов в МОЙ браузер - это вообще зашквар. Я прекрасно понимаю, что эти самые новостные сайты и так уже напичканы трекерами действий пользователя по самые гланды, но зачем это еще и усиливать?
PS А вообще-то я тут немного параноик: я хожу в интернет с отдельной виртуалки, изолированной брандмауэром от локальной сети. Так что пусть внедряют: уж аномальную-то активность я увижу. Например, когда у меня тихо и внезапно сдох кулер на процессоре, и он свалился в тротлинг, я это увидел.
http надо запрещать или помечать небезопасным, чтобы пользователь понимал, что на этом сайте нельзя оставлять свои данные.
А данные в xml / json со своей структурой и рекламу туда воткнуть никак не выйдет.
Ну как это не выйдет. {"weather": "+12, сильная облачность. Зонтики со скидкой, телефон ..."}
Вот к примеру я на ардуинке
Web делается не для ардуинок, а для пользователей, которые пользуются им через браузер. Если решили использовать Web не по назначению, то не надо удивляться, что получилось неудобно.
А я знаю правильный ответ! Потому что разные люди делают разные части, и тот, кто настраивал https мог вообще не знать, какие там ходят данные, потому что к коду приложения (или чего ещё) не имеет никакого отношения.
И, вероятно, это лучше, чем наоборот - не настроить https для важных данных.
Едва ли разработчики браузера будут заморачиваться и определять содержимое JSON-файла и определять секретность данных в нём.
Вполне достаточной, но только с перенаправлением трафика как мне кажется мимо - если злоумышленник создал свою версию сайта и смог вас на неё перенаправить, скорее всего и сертификат у него тоже будет.
я создал копию online.sberbank.ru на своём серваке и через WiFi отдал вам DNS server, который для этого hostname даст вам IP моего сервака. Осталась одна деталь.
Не подскажете, где я могу на online.sberbank.ru взять сертификат, чтоб ваш Chrome не орал, что этот сертификат не подписан ни одним известным ему CA?
Эх, жаль браузеры помечают http небезопасным, а то б я тупо отдавал HTTP а вы бы даже и не заметили - кто ж на протол сильно смотрит, особенно когда его выкосили из адресной строки?
Опсосы недавно взяли моду в чужие http сайты свою рекламу встраивать. Вы даже не будете знать, что ваш сайт кому-то рекламу показывает. А кроме рекламы можно и трекеров понавешать...
Вы даже не будете знать, что ваш сайт кому-то рекламу показывает.
Правильно, владельцу сайта, зарабтывающему рекламой на нем, HTTPS нужен. Точнее, ему нужна всего лишь цифровая подпись отдаваемого контента, но с этим, увы, в реальном Интернете туго.
Как вы представляете цифровую подпись контента без шифрования?
Как вы представляете цифровую подпись контента без шифрования?
Одно от другого не зависит. Никто не мешает подписывать нешифрованные данные.
В IPSEC даже режим специальный есть - называется AH. И там(в отличие от ESP) контент как раз не шифруется, а именно подписывается.
Надеюсь, плюс в карму искупит мою ошибку.
АУТЕНТИФИКАЦИОННЫЙ ЗАГОЛОВОК (AH)
Поле "Данные аутентификации" содержат значение контроля целостности, рассчитанное по всем данным, которые не изменяются в пути следования пакета или предсказуемы на момент достижения им получателя. Значение ICV рассчитывается в зависимости от алгоритма, определенного в SA, например код аутентификации сообщения с ключом симметричного или асимметричного алгоритма или хэшфункции.
Хэш-функция это конечно не совсем шифрование, но тут мне не очень понятно, как предотвращается вариант, что хакер поменял данные и сам посчитал хеш-функцию. Ведь предполагается, что получатель как-то будет ее вычислять для сравнения, значит алгоритм известен. Методы с приватным/публичным ключом как раз и придуманы для предотвращения такой ситуации, а это опять же шифрование.
Хэш-функция это конечно не совсем шифрование, но тут мне не очень понятно, как предотвращается вариант, что хакер поменял данные и сам посчитал хеш-функцию. Ведь предполагается, что получатель как-то будет ее вычислять для сравнения, значит алгоритм известен. Методы с приватным/публичным ключом как раз и придуманы для предотвращения такой ситуации, а это опять же шифрование.
Алгоритм подсчета криптографического хэша обычно включает использование криптографического ключа (секретного, согласованного при создании SA или закрытого, если секретный ключ не согласуется), которого у хакера быть не должно.
Ну тогда это то же самое, что и HTTPS. Сами данные может и не шифруются, но это все равно предполагает, что на обоих сторонах соединения есть программный код, работающий с ключами шифрования, который проверяет корректность некоторых переданных данных. Разница только в их объеме. И браузеры все равно бы показывали предупреждение для тех сайтов, где такое подписывание данных отсутствует.
Ну тогда это то же самое, что и HTTPS. Сами данные может и не шифруются
Это — как раз не то же самое. Существеннаяя разница -она в том, что данные не шифруются, а потому, во-первых, передаваемая информация может быть прочитана посредником, а, во-вторых, сам процесс передачи требует существенно меньше вычислений: вычисление хэша от комбинации текста и секретного ключа против шифрования всего текста.
сам процесс передачи требует существенно меньше вычислений
Несущественно. Вычисление криптографических хешей - тяжелая операция. А AES многие процессоры уже умеют.
Вычисление криптографических хешей — тяжелая операция. А AES многие процессоры уже умеют.
Вы зря оцениваете чисто по текущему моменту.
Чисто по алгоритму AES и ему подобое шифрование — более тяжелая операция. А аппаратное ускорение криптографического хеширования будет точно так же реализовано в массовой продукции при достаточной его востребованности.
AES уже реализовано во всем массовом и уже не является тяжелым. Вы же про будет, если и тому подобное. Все уже сделано.
Менять работающую хорошую технологию на другую есть смысл только если у второй есть какие-то преимущества. Пока вы таких не перечислили.
PS Path dependence — она конечно есть в природе, но стоимость смены пути в данном случае сильно меньше, чем в реальном мире (например, стоимость смены ж/д колеи). Тем более, что криптография — это такое дело, в котором используемые алгоритмы вынуждены меняться, хотя бы количественно, по длине ключа: требования к криптостойкости неизбежно растут с ростом скорости вычислений, а потому всякие аппаратные ускорения тоже неизбежно будут меняться или добавляться.
Как сменится так и приходите. Пока у AES запас выглядит достаточным для любого реального использования на годы вперед.
Зачем его менять на что-то другое непонятно. Вы тоже так и не написали зачем надо переделывать все от процов до браузеров и стандартов. Тратить кучу денег и времени чтобы что?
Так как будут реальные причины для смены так и приходите. Зачем пытаться решать проблему которой нет? Никто не знает как, когда и почему AES может стать плохим. И соответственно никто не знает как после этого сделать снова хорошо.
Чтобы что вы так и не ответили. Лазить в чужой трафик нельзя. Забудьте. Ушли те времена. Любой новый стандарт приватность понижать не будет. Только повышать.
Чтобы что вы так и не ответили.Дык, это мы с вами вчера полночи обсуждали. И пришли к тупику, упирающемуся в моральный выбор ценностей, а потому рационально неразрешимому.
Лазить в чужой трафик нельзя. Забудьте. Ушли те времена.
Боюсь, что в реальности они только приходят. Причем — не только в России. Например, в разных странах идет борьба со сквозным шифрованием в мессенджерах без возможности доступа к передаваемой информации спецслужб.
Не приходят. Их борьба это их борьба. Там больше идет борьба чтобы мессенджеры хоть как-то сотрудничали с государством. Это реально и вероятно будет делаться. Метаданные и тому подобное будет передаваться.
Провайдеры аналогично. Метаданные без проблем. Вот этот юзер пересылал байтики во на эти адреса. Вот табличка.
Данные не отдаст никто вероятно никогда. Мир достаточно развит чтобы послать всех кто хочет в чужом белье копаться.
Данные не отдаст никто вероятно никогда. Мир достаточно развит чтобы послать всех кто хочет в чужом белье копаться.
Ваша вера заслуживает уважения — но это всего лишь вера. Более того, мне бы тоже хотелось в это верить, ибо шестое чувство советского человека — чувство глубокого удовлетворения от деятельности государства — мне ещё более не свойственно иназад в СССР я не хочу, совсем. Но, увы, верить в это у меня не получается. Впрочем, это — опять не технический вопрос.
Но, увы, верить в это у меня не получается.
Модульную арифметику над длинными числами вряд ли получится разизобрести обратно.
PS А ещё может получиться изобрести секретную теорему алгебры (кстати, ходили такие легенды в начале 90-х про КГБ, вместе с легендами про красную ртуть). Или — квантовый компьютер.
при достаточной его востребованности
Да.
Нужно всего лишь разработать протокол HTTPDS (вместо шифрования - цифровые подписи), выпустить серверы и браузеры с его поддержкой и подождать, пока производители оборудования наклепают аппаратных ускорителей. Чтобы что? Чтобы ББ было удобнее заглядывать через плечо, чего вы там читаете в википедии?
Чтобы что? Чтобы ББ было удобнее заглядывать через плечо, чего вы там читаете в википедии?
Нет. Чтобы снизить требования к вычислительной мощности устройств и чтобы облегчить локальное кэширование данных: про все это я уже писал.
Быстрее AES уже просто некуда. Там сумасшедшие скорости. Все максимально оптимизировано начиная от проца. Заметно быстрее вы не сделаете.
Локальное кеширование работает. Посмотрите в консоль браузера. 304 там регулярно бывает. А всем сидящем на трубе нефиг смотреть что там передается. Не их ума это дело. Тут есть мировой консенсус. Вы его не измените.
А всем сидящем на трубе нефиг смотреть что там передается. Не их ума это дело.Я вам уже писал, что иногда это приносит пользу лично мне.
Впрочем, эту тему мы уже обсудили до конца.
Тут есть мировой консенсус. Вы его не измените.Но я хотя бы попробую. Потому что этот консенсус не выглядит разумным. А то, что он существует — так это ещё Гегель в своей диалектике писал, что не все существующее есть действительное, а потому кое-что из этого сущетсвующего меняется. Но это уже философия, а философию на Хабре я тоже обсуждать не хочу.
И предсказывать, будет ли в реальности использоваться версия защиты информации на канале передачи данных для протокола HTTP без шифрования, но с подписью, не возьмусь.
Ну и с практической же точки зрения для проживающих в России еще важно, существует ли массовое аппартное укорение для ГОСТ.
Я вам уже писал, что иногда это приносит пользу лично мне. Впрочем, эту тему мы уже обсудили до конца.
Это не про лично вам. Это про провайдеров всех уровней. Начиная от владельца ВайФай точки в кафешке и заканчивая тир1 провайдерами. Им нефиг лазить в трафик. То что вы лично тоже не сможете это допустимое ограничение. На него мир пойдет.
И предсказывать, будет ли в реальности использоваться версия защиты информации на канале передачи данных для протокола HTTP без шифрования, но с подписью, не возьмусь.
Я возьмусь. Нет, не будет.
Это понижает приватность и не дает никаких преимуществ ни пользователю ни распространителю контента. Такие стандарты не имеют шанса даже до драфта RFC добраться.
Ну и с практической же точки зрения для проживающих в России еще важно, существует ли массовое аппартное укорение для ГОСТ.
Нет, не важно. Нет, не существует в массовом железе.
Сама необходимость внедрения в массы ГОСТ шифрования находится под вопросом. Плюсов не видно, минусов полно, стоит дорого, работает хуже, совместимость никакая. И зачем? Чтобы что?
Поэтому ничего и не делается. Никто не видит зачем оно нужно.
Сама необходимость внедрения в массы ГОСТ шифрования находится под вопросом. Плюсов не видно, минусов полно, стоит дорого, работает хуже, совместимость никакая. И зачем? Чтобы что?
Поэтому ничего и не делается. Никто не видит зачем оно нужно.
Это тольку в условиях сохранения единой технологической зоны. А это не гарантировано: по моим (и не только моим) оценкам сейчас человечество в реальности стоит на развилке: сохранение этой единой зоны или распсад ее на несколько независимых (но это — не вопрос для обсуждения на Хабре, потому что не технический). И вот, во втором варианте это будет, очевидно, нужно.
PS По всемм остальным вашим рассуждениям рациональная дискуссия упираются в ваш ценностный выбор. Который вам почему-то кажется единственно верным — но, на самом деле, ему существуют альтернативы, причем логически обосновать выбор из этих альтернатив невозможно (если чо, это не мой вывод, а из немецкой классической философии).
Давайте я вас продолжу расстраивать.
Нет, мир не развалится на части. Нет, не будет изолированных значимых частей. Нет, особые технологии не нужны и их тоже не будет.
Глобализация в виде RFC, общих технологий, алгоритмов, кода и совместимости всего со всем даёт очень много плюсов и ни одного минуса. Никто никуда не выйдет из этого.
У вас в корне неверные представления как все работает. Лучше пока не поздно обратить внимание на то как реальный мир устроен. И разобраться почему сделано так, а не иначе. Неглупые люди делали.
Давайте я вас продолжу расстраивать.Вы так пишете, будто претендуете на дар пророка. Или — будто вы посланец из будущего. Нет? Тогда ваш текст — это не более чем изложение вашего credo, символа веры. А так как убедить человека поменять credo практически никогда невозможно, то я и не буду это делать. Я всего лишь упомяну, что изложенный вами взгляд не имеет надежного обоснования.
Все вообще обсуждать не хочу, приведу лишь базовое, на мой взгляд, обстоятельство из области общественного бытия (которое определяет ощественное сознание), почему рисуемая вами картина мира неадекватна:
Глобализация… даёт очень много плюсов и ни одного минуса.Это — неверное утверждение. Удлиннение производственных цепочек за счет возрастающей специализации при глобализации приводит к увеличению рисков при сбое в каком-либо месте цепочки. То есть, глобализованная экономическая система оказывается весьма хрупкой. И, например, история с ковидом это наглядно продемонстрировала: даже вначале, когда ковид был локальной китайской проблемой, рынки уже почувствовали себя плохо, ну, а последующая пандемия — по сравнению с предыдущими весьма мягкая — вообще привела к серьезному расстройству мировой экономики. Складывается впечатление, что имеющиеся сейчас у человечества возможности по контролю за рисками недостаточны для надежного управления глобализованной экономикой.
У вас в корне неверные представления как все работает. Лучше пока не поздно обратить внимание на то как реальный мир устроенЯ в реальности уделяю немало сил, чтобы понимать, как устроен реальный мир. Кое-какие из моих наблюений, из числа неожданных, вы имели возможность видеть в ответах вам. И, в целом, получающийся из моих наблюдений результат оказывается плохо совместимым с благостной картиной т.н. «конца истории». Но это — не технический вопрос, а потому обсуждению на Хабре он, по моему мнению, не подлежит.
PS И вы меня не расстроили. Все, что вы написали, я, в том или ином варинате, видел неоднократно. А также — хорошо знаком с возражениями против вашей картины мира. Но все это — не технические вопросы, не те, которые я считаю подходящими для обсуждения на Хабре. Так что пусть они останутся без рассмотрения в рамках дискуссии.
RFC и стандарты это достаточно технические вопросы. Не про какие-то цепочки или что-то там. Именно про RFC, стандартные алгоритмы и стандартный код. IT чистое.
В мире есть стандарты и все. Есть некоторые застрявшие на более старых стандартах. Все развитие идет только от мирового уровня стандартов и софта. Развивать что-то застрявшим в прошлом нет никакого смыла, проще перейти на более новую мировую версию. Она точно лучше, чем все что они смогут придумать и сделать.
Есть люди которые могут делать стандарты и софт на мировом уровне. Так они это и делают. Кликхаус. Наши ребята, гордимся. И они ушли на мировой рынок, потому что иначе это не имеет смысла. Мир хорошо их принял и использует. Повысив общий уровень мировых технологий.
Дальше будет ровно так же. Любая крутая штука спокойно встроится в мировую систему и будет всеми использоваться. Так специально сделано. Максимальная гибкость и открытость.
А если кто-то не хочет или не может использовать лучшие мировые технологии, то они будут обречены сидеть на устаревших технологиях. Без возможности даже самыми лучшими ребятами сделать что-то крутое. Просто общего уровня не хватит.
RFC и стандарты это достаточно технические вопросы. Не про какие-то цепочки или что-то там. Именно про RFC, стандартные алгоритмы и стандартный код. IT чистое.
Нет. Стандарты делает стандартами только их принятие субъектами рынка. А это уже — не чисто технический вопрос. Он имеет много нетехнических аспектов.
PS То, что существование «мировой системы» просто-напросто не гарантировано, я уже писал выше. Поэтому, пожалуйста, не надо ссылаться на нее как на основной аргумент.
Простите, а куда мировое IT делось? Вы пишите со стандартного браузера, по стандартному https, на стандартном сайте со стандартным шифрованием.
Я даже больше скажу. Ничего друго просто не существует. Вообще в мире. Браузер или стандартный или его нет. Шифрование или стандартное или не работает. Сеть или стандартная или ее нет. И так все в IT.
Я больше скажу. Сделать тоже самое, но другое невозможно. И не имеет смысла. Значит это делать никто не будет. Люди способные создать такое понимают бессмысленность этого действия.
Сделать тоже самое, но другое невозможно.
Изобретатели дюймовой резьбы (ЭВМ Сетунь, языка GO.., системы SECAM) выронили монокль ;)
Я вижу прям очередь желающих написать свой браузер, свой аналог https и http, может быть даже tcp переписать стоит?, свое шифрование.
Я вижу аналоги всего Интернета сделанные на другом стеке, злобные капиталисты их просто не пускают.
Может хотя бы начнем с того что всем миром нормального конкурента Хрому сделаем? Одно очень полезное и важное дело. Не замахиваясь ни на что больше.
Простите, а куда мировое IT делось?
Да никуда оно особо не делось. Просто оно — не мировое, а совокупность организаций, к тому же ещё каждая — в соей юрисдикции.
Сеть или стандартная или ее нет.А вот тут вам пара примеров по жизни.
По совершенно замечательны и совершенно стандартный протокол IPv6. Первый — мой предыдущий основной, ныне резервный провайдер (у которого крысы кабель сгрызли) — хороший провайдер, но только IPv6 у него в сети нет. Наверное — потому что работает он давно и старое оборудование вовсю использует. И мне IPv6 не нужно — хотя бы по причине того, что NAT в IPv4 дает гарантию, что ко мне на устройства во внутренней сети из интернета никто просто так не подключится. С дополнительной блокировкой доступа во внутреннюю сеть для виртуалки, с которой я браузер использую, это — хорошая гарантия без гемора.
ВТорой аналогичный случай — некий банк, в котором я 4 года назад работал: IPv6 у них там тоже не было, даже в плане: много старого оборудования. А с учетом перспектив развития банка — продажа и использование имени чисто как брэнда — и смысла обновлять оборудование не было.
Шифрование или стандартное или не работает.Вот с криптографией как раз есть нюанс. Возьмем, к примеру алгоритмы ассиметричного шифрования на элиптических кривых. Там в качестве стандартных параметров используются некие константы, рекомендованые NSA. А вот почему они рекомендованы — сие мне неизвестно: то ли они дают особо хорошую криптостойкость, то ли, наоборот, для них у NSA бэкдор для понижения стойкости ко взлому есть. Лично мне это пофиг, мне от NSA скрывать нечего, но вот госорганы стран — например, разных — это не может не напрягать.
Сделать тоже самое, но другое невозможно. И не имеет смысла.Возможно. Но часто экономически не оправдано. Но в дело могут встпить и внеэконеомические соображения — как с криптографией. Или — даже вполне себе экономические: не платить патентные отчисления.
Да никуда оно особо не делось. Просто оно — не мировое, а совокупность организаций, к тому же ещё каждая — в соей юрисдикции.
Их совокупность и является мировым IT. Все кто реально работает и развивает. Опенсорс и стандарты тоже делаются в основном на деньги корпораций. Не вижу в этом ничего плохого.
А вот тут вам пара примеров по жизни.
И? Про проблему ipv6 все в курсе. Зачем менять, если и так работает в полный рост. О чем я вам и говорю. Тут даже более хороший стандарт внедрить не выходит, потому что и старый работает.
Она наконец-то начала решаться. ipv6 only сервисы делать еще рано. А поднимать оба стека на всех сервисах уже пора.
https://www.google.com/intl/en/ipv6/statistics.html
Возьмем, к примеру алгоритмы ассиметричного шифрования на элиптических кривых. Там в качестве стандартных параметров используются некие константы, рекомендованые NSA.
Вы это серьезно? Уже теории заговора пошли в ход?
Вы можете у себя везде перейти на Ed448 кривая для которого была сделана другими математиками. Если есть какая-то предвзятость. Никаких проблем. Стандарт разрешает.
Почитать можно тут https://crypto.stackexchange.com/questions/67457/elliptic-curve-ed25519-vs-ed448-differences И там же написать если считаете что-то небезопасным. Там разбирающиеся люди, не то что я.
Возможно. Но часто экономически не оправдано. Но в дело могут встпить и внеэконеомические соображения — как с криптографией. Или — даже вполне себе экономические: не платить патентные отчисления.
Вы о чем? Какие патенты? Все открытое и бесплатное. Стандарты бери, читай и пиши по ним код. Море кода под лицензиями которые позволяют делать с ним все. Вообще все. Хорошего, проверенного всем миром кода.
Как оно с криптографией вышло мы прекрасно видим. Оно уверенно и стабильно никому не нужно и в дикой природе не встречается. Меня такой результат устраивает. Ненужное умирает само.
Все остальное еще лучше. Даже в лаборатории не существует. Это просто идеальный результат. 0 траты ресурсов на ненужные штуки.
Я уверен что индустрия позаботится чтобы оно все ровно так же стабильно мертво оставалось. Это в интересах этой индустрии.
Опенсорс и стандарты тоже делаются в основном на деньги корпораций.
Замечательно! Из-за спин некоего аморфного и благородного «сообщества IT» наконец-то показываются реальные бенефициары всего этого блудняка — корпорации, которые деньги сначала дают, а потом хотят вернуть в кратном размере.
Вы это серьезно? Уже теории заговора пошли в ход?Вполне серьезно. А в теории заговра спецслужб я после разоблачений Сноудена вполне верю — тем более, когда предмет оказывается непосредственно в области их задач. Но, впрочем, сецслужбы тут — не самая интересная часть существующего блудняка.
Вы о чем? Какие патенты? Все открытое и бесплатное.Ой ли? Я тут для примера лучше вспомню старое, общеизвестное: помните такой формат изображений для интернетов — GIF, да? Если чо, он и сегодня не устарел. А уж 20 лет назад использовался вовсю. Только вот формат сжатия в нем тогда в нем был запатентован. Правда срок патента истек уже в 2003 году, но формат широко использовался и до того.
Я уверен что индустрия позаботится чтобы оно все ровно так же стабильно мертво оставалось. Это в интересах этой индустрии.
Я правильно понимаю, что слово «индустрия» в данном контексте следует читать как «копорации»? А то иначе смысл высказывания ускользает.
PS Корпорации я люблю ещё меньше, чем государство. Ибо государство подобно скотоводу: оно стадо выпасает и о нем по-свему заботится — не из благотворительности, а чисто потому что без стада ему кушать нечего будет. А корпорации подобны тут стае волков — ухватили, что смогли, а дальше — не их проблемы.
Замечательно! Из-за спин некоего аморфного и благородного «сообщества IT» наконец-то показываются реальные бенефициары всего этого блудняка — корпорации, которые деньги сначала дают, а потом хотят вернуть в кратном размере.
А кто их делать должен?
Есть консенсус что государства и чиновников подпускать нельзя. Достаточного числа бедных, голодных и гениальных художников в IT нет. И кто остается? Корпорации это совсем неплохой вариант. Особенно когда объединяются для согласования. Когда одна сама делает это уже не очень хорошо. Хром становится проблемой.
Назовем это IT сообществом и успокоимся. Вы тоже можете поучаствовать, если размера мозга хватает. Там легко берут.
Я тут для примера лучше вспомню старое, общеизвестное: помните такой формат изображений для интернетов — GIF,
Поновее совсем ничего не нашлось? В давние времена много всякого было. Пока не выработали правила как правильно делать.
Корпорации я люблю ещё меньше, чем государство
С таким подходом и IT делать нечего. Тут корпоративный мир. В крайнем случае независимые художники. И принято все доказывать и обосновывать. Перед очень придирчивыми людьми.
Ваш господход не имеет не единого шанса. Вам отправят GR отдел из директоров в костюмах. Они будут проводить долгие совещания, много говорить, писать длинные письма и отчеты. И делать все чтобы государство не влияло на стандарты и технологии. Вот это они делать будут очень эффективно. Большой успешный опыт есть.
Есть консенсус что государства и чиновников подпускать нельзя. Достаточного числа бедных, голодных и гениальных художников в IT нет. И кто остается? Корпорации это совсем неплохой вариант. Особенно когда объединяются для согласования.
Что ж, балгодарю вас, что вы прямо и без обиняков озвучили свою позицию. Считаю, что и на эту тему дискуссию следует окончить: это вопросы уже не технические, это — та самая политика, которую я обсуждать на Хабре не хочу. Разве что, кого-то ещё эта дискуссия заинтересует — но это вряд ли.
Назовем это IT сообществом и успокоимся. Вы тоже можете поучаствовать, если размера мозга хватает. Там легко берут.
Благодарю вас. Но я уж как-нибудь сам по себе, подальше от этого жабогадюнкинга между корпорациями и государствами.
Почему же. Футурология это такой вот способ экстраполяции ;) Сможете обосновать свое видение распада на отдельные изолированные зоны? В смысле зачем это нужно и кому?
Если обсуждать полностью, со всеми привходящими обстоятельствами — это IMO конкретно для Хабра офтопик (потому обсуждать не хочу), но вне Хабра это — достаточно распространенная тема.
Моя оценка (привожу для информации, не для обсуждения) — распад не неизбежен, но весьма вероятен.
Удлиннение производственных цепочек за счет возрастающей специализации при глобализации приводит к увеличению рисков при сбое в каком-либо месте цепочки.Глобализация не является причиной возникновения длинных цепочек. Причина — потребности промышленности, а глобализация только дает возможность включать в цепочки зарубежных производителей. То есть, вы буквально утверждаете, что ситуация, когда у промышленности меньше возможностей, лучше ситуации, когда у промышленности больше возможностей. Это утверждение, очевидно, неверное.
последующая пандемия — по сравнению с предыдущими весьма мягкая — вообще привела к серьезному расстройству мировой экономикиВ смысле? Что вы называете серьезным расстройством? Уж не снижение ли мирового ВВП на 3.3% в 2020 году, за которым последовал рост на ~11% в 2021 (то есть, падение было с лихвой отыграно)? На мой взгляд, если какой-то эпитет и подходит к оценке того, как мир справился с пандемией, то это «отлично». Даже и знаю, что можно назвать «серьезным расстройством мировой экономики». Разве что, с натяжкой, годы Великой Депрессии.
Вы, случайно, не коммунист? Это они любят рассуждать, что, дескать, капиталистическая экономика подвержена регулярным кризисам, хотя типичный капиталистический экономический «кризис» именно такой — снижение ВВП на пару процентов в течение нескольких лет. В то время как известные примеры кризисов в социалистических экономиках — это когда есть нечего и туалетной бумаги нет.
Глобализация не является причиной возникновения длинных цепочек. Причина — потребности промышленности, а глобализация только дает возможность включать в цепочки зарубежных производителей.
Правильно. Но вы забыли сделать ещё один шаг в рассуждении — что реальные субъекты глобального рынка вынуждены пользоваться этой возможностью — иначе их конкуренция сожрет раньше, чем риски материализуются.
В смысле? Что вы называете серьезным расстройством?
Ну вот совсем не тема для Хабра. Если вам таки действительно очень интересно, то могу например, подкинуть цитат про ситуацию на долговом рынке (мягко говоря, сложную), причем — не от наших доморощенных аналитиков, а от людей типа Золтана Пожара из Credit Suisse / ФРС США.
Вы, случайно, не коммунист? Это они любят рассуждать, что, дескать, капиталистическая экономика подвержена регулярным кризисам,
Нет, не коммунист. Наоборот, сторонник того, что условий для коммунизма или даже социализма сейчас нет (будут ли — не знаю, т.к. ни разу не пророк). А насчет регулярных кризисов знаю, что это неизбежное следствие эффективности работы рыночного регулирования — так же, как следствием сверманевренности современого боевого самолета является невозможность управления им вручную, без помощи электроники: причины там в целом похожи — неустойчивости из-за положительных откликов в каналах обратной связи.
Ну, а в социалистических экономиках (конкретно — в позднем СССР) проблемы (те самые, с которыми я неплохо так был знаком на своей шкуре) были вызваны, наоборот, неэффективностью обратной связи. Но все это я на Хабре стремлюсь не обсуждать.
но это — не вопрос для обсуждения на Хабре, потому что не технический
PS По всемм остальным вашим рассуждениям рациональная дискуссия упираются в ваш ценностный выбор. Который вам почему-то кажется единственно верным — но, на самом деле, ему существуют альтернативы, причем логически обосновать выбор из этих альтернатив невозможноВы неправы. Практически на все социальные (например, политические и экономические) вопросы, по которым спорят, в частности, на Хабре, можно дать четкие научно обоснованные ответы.
То есть, оптимальное устройство общества — это вполне технологический вопрос, а законы и общественные институты — это технологии.
А все эти споры люди ведут просто потому что некомпетентны. Более того — невежественны, потому что какие-то специальные глубокие знания обычно не нужны, достаточно здравого смысла.
Практически на все социальные (например, политические и экономические) вопросы, по которым спорят, в частности, на Хабре, можно дать четкие научно обоснованные ответы.
То есть, оптимальное устройство общества — это вполне технологический вопрос, а законы и общественные институты — это технологии.
А все эти споры люди ведут просто потому что некомпетентны. Более того — невежественны, потому что какие-то специальные глубокие знания обычно не нужны, достаточно здравого смысла.
А теперь настала моя очередь спросить — а вы сами точно не коммунист? Потому как слов про «четкие научно обоснованные ответы» я в молодости наслушался как раз от преподавателей разнообразного марксизма-ленинизма и от прочих лиц из числа видных деятелей КПСС.
Тем не менее, я считаю что Хабр — все равно не место для обсуждения этих ответов, даже если они действительно «четкие научно обоснованные» (в чем лично я сильно сомневаюсь, имея для этих сомнений вполне рациональные причины) — примерно по тем же причинам, почему Хабр — не место для обсуждения современных теорий физики (про которые тоже утверждается, что они четко научно обоснованы, и, обычно — куда лучше, чем любые экономические теории: чисто потому, что у физиков есть возможность провести контролируемый эксперимент и померить результаты, а у экономистов с этим по жизни плохо).
Чтобы снизить требования к вычислительной мощности устройств
Нужно сначала наклепать много-много новых устройств, несовместимых со старыми. Хитрый план ;)
облегчить локальное кэширование данных
В местах, где с интернетом плохо, это может быть востребовано. Хотя это не точно. Вместо быстрых линий связи строить датацентры для проксирования - какой-то странный прогресс получается.
Нужно сначала наклепать много-много новых устройств, несовместимых со старыми. Хитрый план ;)
Называется он «преодоление зависимости от пути». И иногда кое-где этим занимались. Например, перешивали ж/д колею на другой стандарт.
И про несовместимость тут речь не идет, скорее, просто будет добавлен новый блок ускорителя, старый же никуда не денется: при нынешней тенденции роста числа элементов в кристалле этого совсем не требуется.
Вместо быстрых линий связи строить датацентры для проксирования — какой-то странный прогресс получается.Такое вполне может быть. Например, из-за того, что старые линии менять не выгодно — не успели окупиться. AFAIK в США, где развитая инфраструктура на технологиях прндыущих поколений была построена давно, такое бывает регулярно.
Алгоритм подсчета криптографического хэша обычно включает использование криптографического ключа
Ошибаетесь. Или путаете с подписью.
PS Возможно, вас смутила терминология.
Методы с приватным/публичным ключом как раз и придуманы для предотвращения такой ситуации,
да
а это опять же шифрование
нет.
мы можем подписать открытое сообщение приватным ключом, при этом каждый, знающий публичный ключ, сможет проверить нашу подпись. злоумышленник же, не имеющий приватного ключа, не может подписать изменённое сообщение.
"подписать сообщение приватным ключом" это шифрование. Даже если вы делаете его не для всех данных, а для какой-то небольшой части.
Шифрование - это по определению сокрытие информации от посторонних. Подпись же ничего ни от кого не скрывает
Скрывает то, что шифруется приватным ключом. Даже если это просто хеш от открытых данных.
Я говорю о данных, к которым применяется приватный ключ. Результат отправляется на клиент, клиент применяет к нему публичный ключ, получает исходные данные, которые потом как-то использует для проверки. А данные, которые были таким образом подписаны, передаются отдельно в открытом виде, их видят все. Если в процессе вообще нет данных, которые скрываются, тогда и ключи не нужны.
Я может быть упускаю какие-то нюансы в силу незнания предметной области, можете предложить какой-то конкретный пример.
Ок, опишите пожалуйста, каким образом производится контроль, что в данные не внесли изменений. Клиент получает данные в открытом виде, дополнительно к ним некий хеш, у него уже есть публичный ключ, а что дальше?
Ещё майнеры встраивают.
Владельцу сайта при этом может и плевать, а как пользователь я стараюсь нттр избегать.
Мне кажется, проблема в том, что люди пользователи не осознают что опасно, а что неопасно. И то, что выглядит неопасным на самом деле внезапно может оказаться опасным. Поэтому, лучше сразу по умолчанию решить за недальновидного пользователя или недальновидного администратора сайта.
Пользователь постоянно посещает сайты и остается цифровой след. А следы (что смотрел, когда, почему) лучше не оставлять. Даже на ардуинке.
Если это ваш собственный сайт, который вы развернули для себя, и никто кроме вас туда не ходит - вы можете с собой договориться использовать браузер из 2000-х. Или игнорировать предупреждение о несекюрности ;)
А если это железка?
У меня имеется несколько разных железок, с просрачеными сертификатами, которые работу работают, новых версии ПО нет ( потому что железкам 10+ лет) а старыми версиями браузеров мне религия (и некоторые товарищи, которые совсем не товарищи) не позволяет пользоваться.
Да, сеть там технологическая, без всяких там интернетов.
с просрачеными сертификатами
правильный ответ - обновить.
новых версии ПО нет ( потому что железкам 10+ лет)
ничего страшного.
а старыми версиями браузеров мне религия (и некоторые товарищи, которые совсем не товарищи) не позволяет пользоваться.
ну, в этом случае народ выкручивается как может. Начиная от установки реверс-прокси перед этими железками, которая трафик перешифровывает. И кончая VDI - на которых стоят совместимые версии браузеров с нужными плагинами (если эти конченые железки требуют всякую срань типа activex). И доступ к железкам ограничен только с этих VDI
конченые железки требуют всякую срань типа activex
Вот, теперь я знаю, как называть длинковские маршрутизаторы, к примеру DES-1210. У нас подобных множество, и в конце прошлого года у всех отвалился Web интерфейс, теперь только телнетом, новых прошивок на них давно нет. Прощай красивые картинки, от них была польза (например в реальном времени можно было видеть, какие порты работают, какие глючат). Я правда так и не понял, зачем в браузерах совсем убили поддержку старых технологий, порушив кучу технологических применений.
ActiveX сдох, потому что это чисто мелкомягкая технология была. И слава богу. А еще небезопасная. Потому что позволяла с непонятных конченых железок устанавливать на компьютер непроверенный код. А уж конфликты версий этих самых плагинов... ох... А все потому что эти ребята не могли написать нормальный бекенд с HTML5 фронтом. Сейчас уже проблема не актуальна, потому что IE проиграл битву браузеров. Ну, и что бы я делал с ActiveX с MacOS, скажем, или андроида?
Поэтому сначала игнорируем, потом усиленно игнорируем, потом включаем опцию в браузере чтобы иметь возможность игнорировать, потом… генерим самоподписной сертификат лет на 100 и начинаем опять игнорировать, но теперь уже игнорировать другое… ну и к чему все эти палки в колёса?
Благодаря этим «палкам» HTTPS проник на ресурсы, где он совсем не лишний, но владельцы которых до этого не чесались его настроить.
самоподписанные никто никогда не запретит. Вы его только в доверенное хранилище добавьте, не забудьте. И все будет в порядке. И никаких предупреждений.
приложение (если это стороннее приложение) может реализовывать ssl pinning. Но тогда это проблемы совершенно другого порядка. Вообще же даже на iphone/android можно добавлять кастомные сертификаты в хранилище, чем успешно пользуются корпораты
самоподписанные никто никогда не запретит.
Почему-то не уверен в этом.
зачем вот эта вся морока, когда и так всё устраивает?
затем, что есть ситуация с внутренним нарушителем.... а там в локальной сети пароли администратора от AD открытым текстом идут...
PS Я в роли администратора предприятия с большим вниманием изучу рекомендации поставщика ПО, но хочу иметь возможность принимать решение сам: в конце концов, мне отвечать не только за безопасность (возможно, мистическую), но и за функциональность.
Начнем с того, что пароли администратора там в открытом виде просто не хранятся.
это не важно. Важно то, что я видел неоднократно ВНУТРЕННИЕ порталы, опубликованные по HTTP, с доменной авторизацией. Как Вы можете догадаться - оттуда угнать данные доступов как дважды два.
но и за функциональность.
функциональность при переходе на HTTPS не страдает.
Как Вы можете догадаться — оттуда угнать данные доступов как дважды два.
Я о таком почему-то не догадываюсь. Например, если аутентификация — по Kerberos (в IE, к примеру, она уже давным-давно была по дефолту): все, что видит от клиента сайт — это Service Ticket, зашифрованный на DC секретным ключом для учетной записи этого сайта. На *nix, кстати, Kerberоs от домена Windows настроить тоже не сложно, правда там уже одной мышью это не сделаешь. Ну, а если сайтостроитель сделал аутентифкацию в домене по Basic, то мне жалко и его, и пользователей.
функциональность при переходе на HTTPS не страдает.И при переходе на чисто TLS 1.3, который уже лет пять как очень активно тащат как единственно доступный (подозреваю, что именно это — причина ошибки на скриншоте в статье) — тоже? Свежо предание…
Ну, и отдавать статику или WebDAV по HTTPS в локалке с ее гигабитными скоростями может неслабо так нагружать процессор сервера. Всякое БУ уже может и не потянуть.
И при переходе на чисто TLS 1.3, который уже лет пять как очень активно тащат как единственно доступный (подозреваю, что именно это — причина ошибки на скриншоте в статье) — тоже? Свежо предание…
а вы ведь правда знаете почему его тащат? Буквально недавно же был HEARTBLEED, благодаря которому эффективность защиты SSL становилась нулевая... я уж не говорю о том, что потом почему-то вдруг SSL переименовали в TLS.
почему-то вдруг SSL переименовали в TLS.
Переименовали лет 20+ назад, вообще говоря. Просто всем было пофиг (как и на шифрование трафика заодно), пока не выключили поддержку более старых протоколов по SSL 3.0 включительно - SSL запомнился в своё время, и новая аббревиатура оставалась в тени.
Я плохо понимаю другое: зачем тащат HTTPS за пределы той области, где он необходим. И почему не разработают протокол, который гарантирует защиту целостности содержимого без шифрования: ведь в большинстве случаев, где криптографическая защита необходима, достаточно криптографической подписи, без шифрования. А ведь шифрование же — довольно требовательная к ресурам процессора операция.
А ведь шифрование же — довольно требовательная к ресурам процессора операция.
Нет, не требовательная. Она на всех массовых процах аппаратно ускорена.
Зачем плодить сущности? Зачем заставлять каждого пользователя лишний раз думать где свои данные отправлять безопасно, а где нет? Зачем учить всех админов двум технологиям и заставлять выбирать?
Она на всех массовых процах аппаратно ускорена.
Точно на всех? А то тут кто-то Ардуину вспоминал.
И всегда ли это ускорения не влияет существенно на цену даже не процессора — микроконтроллера?
Зачем заставлять каждого пользователя лишний раз думать где свои данные отправлять безопасно, а где нет?
Примерно затем же, зачем пешехода заставлять думать, где можно гулять свободно, а где — только в специально обозначенных местах и только на разрешающий сигнал светофора: чисто для устранения дополнительных издержек для всего общества, которые были неизбежны в обоих крайних вариантах.
Тем более, что этот выбор делается, в общем-то, разработчиком и/или администраторм сайта.
PS Технология там одна: протокол HTTP, а TLS — это только прослойка поверх нее, которая может присутствовать (в HTTPS), а может и отсутствовать. И, поскольку одним нешифрованным HTTP все потребности закрыть невозможно, админам приходится знать и про HTTP и про TLS.
Точно на всех? А то тут кто-то Ардуину вспоминал.
Это прям самый-самый корнер кейс. Купите хотя бы малину или подобное и нет проблем. Раздавать html напрямую с ардуины это прям для особых любителей.
И всегда ли это ускорения не влияет существенно на цену даже не процессора — микроконтроллера?
Задачи раздавать html с микроконтроллеров нет. Задача защищать весь этот iot есть. И она решается подходящими методами. И нераздача html напрямую с устройств это один из методов защиты.
чисто для устранения дополнительных издержек для всего общества, которые были неизбежны в обоих крайних вариантах.
Издержки шифрования всего минимальны. Общество часто идет на какие дополнительные затраты если результат стоит того. Тут баланс затраты/преимущества очевиден.
Тем более, что этот выбор делается, в общем-то, разработчиком и/или администраторм сайта.
Если бы. Каждый пользователь должен быть в курсе что вот тут логин/пароль или что-то такое вводить небезопасно и лайкать на этом сайте знакомств тоже небезопасно, а тут безопасно. Уровень среднего пользователя точно недостаточен чтобы разобраться в таких вопросах.
Технология там одна: протокол HTTP, а TLS — это только прослойка поверх нее, которая может присутствовать (в HTTPS), а может и отсутствоват
Она не может отсутствовать. Все просто. Берем любой типичное решение и прикручиваем отдельным слоем.
Купите хотя бы малинуДенег жалко. Я бы лучше их на что-то другое пустил.
Задачи раздавать html с микроконтроллеров нет.А внутри защищенного периметра? Для API, используемого на сайте управления?
Общество часто идет на какие дополнительные затраты если результат стоит того. Тут баланс затраты/преимущества очевиден.
Мне — нет. И со стороны затрат: дело не только в шифровании. Например, раньше провайдер локалки мог закэшировать часто используемые страницы у себя в локалке, потому что видел трафик. Сейчас — нет.
И со стороны преимуществ: сокрытия контенат для довольно многих его видов сомнительны.
Уровень среднего пользователя точно недостаточен чтобы разобраться в таких вопросах.
Ой ли? Даже бродячие собаки приучаются к тому, что по автодорогам бегать просто так небезопасно, а только — по переходу и на зеленый сигнал светофора. А человек — он ведь ко всему привыкает куда лучше собаки, про это даже пословица есть.
Она не может отсутствовать.
Как так? Я вот помню первый сайт, с которым не пришлось по жизни иметь дело (не создавать, но администрировать) на Русском Апаче — HTTPS там не было, совсем.
А внутри защищенного периметра? Для API, используемого на сайте управления?
Тем более. Раз хватило денег на периметр хватит и на реверс проксю. Это копейки по сравнению с периметром.
Например, раньше провайдер локалки мог закэшировать часто используемые страницы у себя в локалке, потому что видел трафик. Сейчас — нет.
И это замечательно. Не дело провайдера что-то там кешировать. И вообще в трафик лазить ему не позволено. Его дело байтики пересылать.
А человек — он ведь ко всему привыкает куда лучше собаки, про это даже пословица есть.
Против человека играет другой человек. Обычно более разбирающийся в нужном вопросе. Не зря фишинг живет и приносит деньги. Много денег. Лучше защититься по максимуму превентивно.
Как так? Я вот помню первый сайт, с которым не пришлось по жизни иметь дело (не создавать, но администрировать) на Русском Апаче — HTTPS там не было, совсем.
За окном 2022 год. Не может уже.
Тем более. Раз хватило денег на периметр хватит и на реверс проксю. Это копейки по сравнению с периметром.
А зачем тратить деньги когда можно их раздать
И это замечательно. Не дело провайдера что-то там кешировать. И вообще в трафик лазить ему не позволено. Его дело байтики пересылать.
Почему это должен решать кто-то, кроме провайдера и его клиентов, что дело провайдера, а что — не дело? Прокси в локалке в те времена, когда внешний канал оставлял желать лучшего, был большим подспорьем. И, кстати, далеко не факт, что такие времена не вернутся.
Против человека играет другой человек
А против такого вот человека, делового — полиция и вообще государство.
Лучше защититься по максимуму превентивно.
Не всегда лучше. Например, большинство автомобилей имеют никакую бронезащиту — хотя, теоретически, вас могут обстрелять по дороге (ну, чисто маньяк попадется). Однако тяжелая тачка, с броней жрет много бензина, а маньяки встречаются редко.
Ну и проблему фишинга HTTPS все равно целиком не решает.
И, кстати, далеко не факт, что такие времена не вернутся.
я не хочу в такие времена. Если вы там в своем мордоре такое хотите, то хотя бы остальных не тащите в это :-)
Ну и проблему фишинга HTTPS все равно целиком не решает.
ну, я соглашусь с тем, что и фишинговые сайты запросто могут иметь HTTPS сертификат. Тем более сейчас сертификат получается на язян. Другой вопрос, что можно попробовать закрыться проверками на госуслугах для получения доменов... Но это точно на корню убьет весь малый бизнес. И ничем особенным скорее всего не поможет
я не хочу в такие времена.
Хотите или нет, но ничего вас от этого не гарантирует: все эти процессы находятся вне вашей власти — технологи развиваются неравномерно, инвестиции в прошлые технологии могут не успевать окупаться и т.д., и т.п.
Другой вопрос, что можно попробовать закрыться проверками на госуслугах для получения доменов… Но это точно на корню убьет весь малый бизнес. И ничем особенным скорее всего не поможет
Не знаю, как там у вас в Испании, но в РФ сейчас идут очень интересные процессы по расширению и упорядочиванию использования квалифицированных электронных подписей. Я эти процессы особо не отслеживаю, но не исключено, что благодаря им дополнительные издержки на проверки станут настолько малыми, что их сможет позволить себе и малый бизнес.
PS Что до малого бизнеса, то за последние пять лет серьезный удар по нему нанесло сокращение возможностей по уходу от налогов из-за внедрения средств IT — общей БД в Налоговой, онлайн-касс и т.д. Но это уже офтопик, дальше обсуждать я его не буду.
ага, насколько упорядоченные процессы, что левачный УЦ может мне выписать ЭП. Прецеденты со скандалу в РФ уже были. Толку развивать технологии, когда люди точно такие же коррумпированные, и точно такие же разгильдяи.
А насчёт Вашего ура патриотизма у меня сомнений уже не возникает от слова совсем.
ага, насколько упорядоченные процессы, что левачный УЦ может мне выписать ЭП.
Стоп! Где вы увидели у меня «упорядоченные процессы» — я ведь писал всего лишь про процессы по упорядочению. И ни хода, ни достигнутых результатов этих процессов я не знаю (правда, я краем уха слышал про изменения в законодательстве касательно этих самых ЭЦП — но, лишь краем). СОгаситесь, что это — таки разные вещи.
Толку развивать технологии, когда люди точно такие же коррумпированные, и точно такие же разгильдяи.
Если вы считаете, что «эта страна» — место проклятое, и у нее ничего никогда не получится, то вынужден вас разочаровать на конкретном примере.
Был конкретный кейс, когда у государства Россия кое-что получилось: успешное внедрение средств IT в Налоговой инспекции, которое, как я понимаю, курировал тогдашний начальник Налоговой, он же — нынешний премьер. Я не скажу, что лично я от этого пострадал, но вот неким моим приятелям, к примеру, стало очень сложно работать: они обслуживали в пллане всяческого учета разный там мелкий бизнес, который, естественно до осуществления этого проекта работал вчерную, через помойки и обнал, а с этими аспектами работы после реализации проекта стало сильно хуже. В результате, один из них, как я знаю, выжден был уйти на заслуженный отдых (он на него заработал, да, еще в 90-х, но денег все равно много не бывает), про других — не совсем в курсе, но, вроде, никто не сел.
Это я все к тому, что нынешнюю власть и ее способность управлять страной не надо недооценивать — недооценка может реально поломать жизненные планы.
И да, с коррупцией (точнее, с обвинениями в ней) в России тоже происходят последние лет пять, если не семь, не самые хорошие вещи, начинающие мне напоминать о годах Культа Личности — только вот вместо обвинения в сотрудничестве с иностранными разведками нынешнее типичное обвинение для проигравшего борьбу в верхах стала коррупция и хищения. И сажать-то стали людей весьма серьезных. А Культ Личности — это тот период, в котором я желал бы оказаться даже меньше, чем в годы революции.
Так что и люди, и обстановка вокруг них — они тоже тут меняются (но не факт, что в лучшую сторону).
А насчёт Вашего ура патриотизма у меня сомнений уже не возникает от слова совсем.
Вы почему-то решили перейти на личности, вместо того, чтобы продолжать аргументи рованную дискуссию. Почему? Где вы увидели у меня патриотизм, да ещё и «ура»? В неверно прочитанной и понятой вами фразе?
Вообще-то, я — патриот только в очень некотором смысле: я хочу жить в стране, в которой жизнь не ухудшается, а улучшается. А потому готов поспособствоать улучшению жизни в стране, за соразмерную плату. Но при этом, в другом смысле я — не патриот, т.к. не готов безвозмездно жертвовать ради государства своими интересами.
Вам такой подход чем-то не нравится?
А зачем тратить деньги когда можно их раздать
пенсионерамработникам в качестве премии.
Это несерьезно. Задача поднять реверс прокси вот для этой пачки ценных но старых железок умеющих только http тривиальна. Она требует смешного времени от любого админа и совсем смешного железа.
Не преувеличивайте.
Почему это должен решать кто-то, кроме провайдера и его клиентов, что дело провайдера, а что — не дело? Прокси в локалке в те времена, когда внешний канал оставлял желать лучшего, был большим подспорьем. И, кстати, далеко не факт, что такие времена не вернутся.
Пользователи не должны разбираться почему у них что-то не работает. Да и не смогут.
Кеширование v2 уже давно сделали. CDN и GGC. Трафик кеширует владелец этого трафика, который понимает что там и знает что и как можно делать. Это хорошо работает и не допускает что трафик полезет неизвестно кто.
Времена когда любой мог лазить в трафик не вернутся. Это невозможно.
Ну и проблему фишинга HTTPS все равно целиком не решает.
Баланс трат и пользы. Вероятность что по вам будут стрелять на дороге пренебрежимо мала. Вероятность что вам попробуют подсунуть левый сайт банка на случайном вайфае достаточно высока. Платить за бронирование надо много и всем. Платить за https надо совсем немного и тоже всем.
Это несерьезно. Задача поднять реверс прокси вот для этой пачки ценных но старых железок умеющих только http тривиальна.. Она требует смешного времени от любого админа и совсем смешного железа.
Но есть нюанс — домашняя сеть. Оборудование там может быть очень старым, админа нет, регистрации в DNS узлов локальной сети — тоже.
Пользователи не должны разбираться почему у них что-то не работает. Да и не смогут.
Не смогут сами — попросят приятеля-админа. Или — местную компьютерную скорую помощь. Тут ситация аналогична ремонту: простой пользователь вряд ли сам сможет отремонтировать какой-нибудь смартфон, но желание производителей ограничить возможность ремонта таких устройств вызывает предсказуемую и неслабую реакцию — требование «права на ремонт». И эта реакция уже достаточно сильная, чтобы ей заинтересовались политики.
Кеширование v2 уже давно сделали. CDN и GGC. Трафик кеширует владелец этого трафика, который понимает что там и знает что и как можно делать. Это хорошо работает и не допускает что трафик полезет неизвестно кто.
Есть нюансы. В CDN трафик кэширует владелец CDN (вы доверяете ему больше чем провайдеру? А почему?). А GGC — это часть монополии Гугла, со всем вытекающими отсюда последствиями.
Баланс трат и пользы. Вероятность что по вам будут стрелять на дороге пренебрежимо мала. Вероятность что вам попробуют подсунуть левый сайт банка на случайном вайфае достаточно высока.
Я — сторонник того, чтобы смещать этот баланс коллективными усилиями, а не индивидуальными. А то ведь это я в IT что-то соображаю, а стреляю-то очень плохо.
В частности, научить пользователя понимать разность правила допустимого поведения для сайтов банков и сайтов котиков — это вполне посильная для пользователей задача. Они вполне успешно в других областях жизни решают подобные задачи: например, практически любой взрослый понимает, что пачка денег и с пачка бумаги требует разного поведения — что, к примеру идти с пачкой денег в руках, уткнувшись в смартфон — это плохая идея.
Но есть нюанс — домашняя сеть. Оборудование там может быть очень старым, админа нет, регистрации в DNS узлов локальной сети — тоже.
Вы буквально на сообщение выше говорил про виланы и периметр безопасности. Вы уж определитесь. Или гик дома или предприятие. Решения для этих случаев будут полностью разными.
И вот и в другом случае решения несложные и доступные целевой аудитории.
Но есть нюанс — домашняя сеть. Оборудование там может быть очень старым, админа нет, регистрации в DNS узлов локальной сети — тоже.
Вы серьезно? Накладывать на пользователей еще больше проблем с непонятными решениями просто так? Кривой кеш по пути до сервера довольно сложно диагностируется. И прям очень сложно чинится. В процессе починки надо писать очень много писем, которые вероятно будут проигнорированы.
И все это ради чего?
Есть нюансы. В CDN трафик кэширует владелец CDN (вы доверяете ему больше чем провайдеру? А почему?). А GGC — это часть монополии Гугла, со всем вытекающими отсюда последствиями.
Конечно. С согласия и под контролем владельца ресурса. Ему даже платят за это. Выглядит как хорошая сделка для всех.
GGC это пример. Провайдеры без проблем на тех же условиях ваш сервер поставят. Если вы будете генерировать столько же трафика как Гугл. Рыночек все быстро разрулит.
В частности, научить пользователя понимать разность правила допустимого поведения для сайтов банков и сайтов котиков — это вполне посильная для пользователей задача.
Нет. Это нереально. Проходили уже лет 20 назад.
Информационная безопасность это очень сложно и очень неочевидно. И очень больно когда ломают.
Тут с паролями пользователей бы обучить простейшим правилам. А вы на такие высокие материи замахиваетесь.
Вы буквально на сообщение выше говорил про виланы и периметр безопасности. Вы уж определитесь. Или гик дома или предприятие. Решения для этих случаев будут полностью разными.
И вот и в другом случае решения несложные и доступные целевой аудитории.
Я не «определяюсь» — я стараюсь рассмотреть максимум возможных сценариев. Потому что уверен, что для значительной части из них обязательный HTTPS есть излишество.
Вы серьезно? Накладывать на пользователей еще больше проблем с непонятными решениями просто так?
Почему «на пользователей» — на людей, которые способны решить их проблему за небольшую плату. И аналогия с ремонтом из моего предыдущего комментария тут достаточно полная.
Конечно. С согласия и под контролем владельца ресурса. Ему даже платят за это. Выглядит как хорошая сделка для всех.Не совсем: я тут не вижу гарантии со стороны владельца CDN пользователю: они отношениями не связаны — в отличие от провайдера.
GGC это пример. Провайдеры без проблем на тех же условиях ваш сервер поставят. Если вы будете генерировать столько же трафика как Гугл. Рыночек все быстро разрулит.
Как хорошо, что вы вы использовали крайне точное слово для описываемой ситации: «рыночек» — т.е. нечто, на рынок формально похожее, но неконкурентное: либо с доминированием одного или малого количества участников, либо с неравными правилами игры. Это слово многое проясняет в обстановке: тот же Гугл имеет возможность давить на провайдеров — потому что рыночек, потому что он — монополия. И все гарантии отсутствия злоупотреблений основываются на добропорядочности Гугла, надеяться на которую, вообще-то наивно.
Нет. Это нереально. Проходили уже лет 20 назад.Почему вы пригнорировали мои слова, написанные после цитированного вами отрывка?
Я не «определяюсь» — я стараюсь рассмотреть максимум возможных сценариев. Потому что уверен, что для значительной части из них обязательный HTTPS есть излишество.
Я могу обсуждать любой конкретный кейс который вызывает затруднения. А вот все сразу не готов. Там все слишком по разному.
Кейс фирма с дорогим старым оборудованием - реверс прокси и хорошо что их наконец-то заставили хотя бы немного спрятать это оборудование. Им же лучше будет.
Кейс гик с кастомной штукой на ардуине - галочка воон там. А лучше поставь наконец-то хаб который все это проксировать будет. И спрячь свою кастомную ерунду подальше от доступа. Пока не сделали DDOS через миллиард ардуин. Я знаю у тебя код скопипащен с типового. И там таже уязвимость есть.
Кейс IOT - бегом на работу через хаб переходить. Иначе ваш дом точно взломают завтра.
И тому подобное
Почему «на пользователей» — на людей, которые способны решить их проблему за небольшую плату. И аналогия с ремонтом из моего предыдущего комментария тут достаточно полная.
Я не готов с уверенностью продиагностировать проблему со внешним кешем, если я не контролирую сервер. Довольно высокую вероятность дать могу, но это прям работа и без гарантированного результата. Не стоит оно того. А вы тут про случайных людей говорите. Не нужно оно им. Дешевле гарантированно байтики пересылать провайдером.
Как хорошо, что вы вы использовали крайне точное слово для описываемой ситации: «рыночек»
Вы переоценили долю моего сарказма. Часть про монополии, преимущества и тому подобное я заложил, но это именно небольшая часть. В целом оно не влияет.
Тут важнее тот же договор с большими провайдерами на вашем рынке что они ваш трафик бесплатно брать будут. Допустим на М9. Вот тут прям война постоянная идет.
Почему вы пригнорировали мои слова, написанные после цитированного вами отрывка?
Оно не имеет значения. Я уверен что обычного человека, допустим водителя автобуса, не нужно всему этому учить. Должно быть интуитивно понятно и абсолютно логично и безопасно для него. Гораздо лучше если мы сядем подумаем, потом поработаем и в итоге сделаем так чтобы им тоже хорошо стало. Даже если они не поймут что именно им лучше стало.
Для примера возьмите своих родителей или бабушек/дедушек они такие же пользователи которые и деньги через интернет банки проводят и сидят на сайтах про которые не хотят чтобы знали все вокруг. Аниме по ночам смотрят. Стыдно и хочется одновременно.
Я не готов с уверенностью продиагностировать проблему со внешним кешем, если я не контролирую сервер.
А вам оно точно надо — продиагностировать эту проблему? Может, пускай провайдер делает на свой страх и риск, а пользователи оценят его деяния суммой денег, как и положено на рынке?
Не нужно оно им. Дешевле гарантированно байтики пересылать провайдером.
Вы опять определяете, что другим нужно, а что нет — а это противоречит самому духу частной инициативы как движущей силы развития общества и рынка как средства ее реализации. Вы сторонник социализма, я правильно вас понимаю? Или нет — тогда задумайтесь — может, социализм лично вам, при зрелом размышлении, покажется неплохой штукой? Он ведь и по жизни — неплохая штука, только у него чисто технические проблемы с реализацией.
Должно быть интуитивно понятно и абсолютно логично и безопасно для него.
Кому оно это должно (вопрос — чисто автоматическая реакция на слово «должно»)?
Для примера возьмите своих родителей или бабушек/дедушек
Увы, не могу: мои родители умерли ещё в Перестройку, ну, а бабушки-дедушки — в основном, сильно раньше.
И я сейчас сам в предпенсионном возрасте. Так вот, лично я для себя интернет-банк отключил: сценариев, когда он мне мог бы понадобиться, я практически не вижу, а зачем нести лишние риски — пусть даже я их хорошо понимаю.
Ну, а сображения «стыдно» явно не являются объективными, и на объективные причины не использовать HTTP не влияют.
PS Как я заметил, у нас с вами по жизни сильно разные ценностные ориентации, поэтому вести дискуссию с вами дальше я смысла не вижу: свои позиции мы в достаточной для посторонних мере изложили, а к консенсусу мы с вами все равно не придем — из-за этой самой разницы в ценностях.
а что, есть браузер, который вообще не даёт на http зайти? Везде же можно принудительно игнорировать вроде...
Ага, мой хостер предложил $150 ежегодно. Покажите мне, у какого зарубежного хостера это делается одним кликом совершенно бесплатно?
А на ESP8266?
Потому что в 2022 году это делается совершенно бесплатно одним флажком в панели хостера или 10 строчками в nginx, смотря что там у вас.
в некоторых случаях да, а в некоторых, увы, нет.
вот вам задача: сделать устройство, которое будет отдавать через веб-интерфейс температуру, например, и которое можно будет включить через 50 лет и воспользоваться.
есть хоть какой-нибудь способ выдачи сертификатов, которые будут валидны через 50 лет?
в другую сторону проблема тоже есть, обновление сертификатов letsencrypt, например, показало её: куча устройств имеет прошитые старые корневые сертификаты и не предусматривает обновление. в результате проблематично создать сайт, который сможет быть открыт как современными, так и старыми устройствами.
вот вам задача: сделать устройство, которое будет отдавать через веб-интерфейс температуру, например, и которое можно будет включить через 50 лет и воспользоваться.
какой-то огромный горизонт планирования... Кто подпишется под гарантиями? Тут промышленную электронику не всегда могут так сделать - та же проблема с бессвинцовыми припоями...
хорошо, сделайте железку, которую я смогу включить хотя бы через 5 лет и обратиться к ней по https без ругани браузера
не сделаю, выше уже приводили примеры железяк, которые требовали activex для запуска админ панели. Или какую-то древнюю версию джавы - в новой не работает и точка. Что делать? Ничего, в помойку все.
Либо использовать интерфейсы, которые хоть как-то стабильны. Ну, не знаю. Телнет. Хотя не. Телнет плохо. ssh - во, норм вариант
Вот вам задача - проиграть виниловую пластинку (50 лет назад очень mainstream оборудование). Или сделать фото 35мм фотоаппаратом. Или хотя бы купить банальный фитиль для керогаза.
Что через 50 лет в интернетах будет в mainstream - сложно представить.
Вот вам задача - проиграть виниловую пластинку (50 лет назад очень mainstream оборудование). Или сделать фото 35мм фотоаппаратом. Или хотя бы купить банальный фитиль для керогаза.
это все выглядит как потерянные знания древних... Я вообще с трудом себе представляю - даже если я найду проигрыватель винила, то почти наверняка у него будет проблема с иглой (я знаю, что для них это расходный материал). И где я ее буду покупать? Это проблема схожа с проблемой заправки картриджей для первых лазерных принтеров. У меня когда был энтерпрайз агрегат из 90-х - https://www.amazon.es/HP-LaserJet-impresora-láser-capacit/dp/B0009LS2OG 5Si. Прекрасный аппарат. Меня даже 600x600 качество для текстов вполне устраивает. Но! Сейчас ни тонер, ни комплектующие днем с огнем не сыскать.
Купить картридж для LaserJet 5si совершенно не проблема, как оригинал, так и совместимый.
У меня дома и на даче используются два ч/б HP 2420, и два цветных HP 3600, год выпуска примерно 2008. Картриджи служат долго (потому что офисные модели), ресурс принтеров для домашнего применения огромный. Подключены по Ethernet, драйвера под Win10/11 есть. Чего еще желать? Цветные фотографии я не печатаю.
Когда потребовалось купить новые ролики для загрузки бумаги - легко нашел на aliexpress (в прошлом году). Если потребуется что то крупное типа печки - всегда можно купить на avito.
Купить картридж для LaserJet 5si совершенно не проблема, как оригинал, так и совместимый.
может быть :-) Но это уже не столь тривиальная задача как для более современных аппаратов. К тому же там еще и старческие болезни начались - вроде того, что пластик потрескался и LCD начал барахлить (это я так понял, что у них вообще типовая проблема). К сожалению, я не настолько люблю старую технику, чтобы в нее инвестировать бесконечное количество средств и сил. В остальном аппарат доставлял только радость - и драйвера стандартные, и network интерфейс (и это еще в какие-то бородатые времена), и сделан с умом (удобно собирать-разбирать).
Купить картридж для LaserJet 5si совершенно не проблема
Me помнит времена, когда не проблема было купить 35 мм пленку и химикаты для проявки.
Я как и автор тоже не понимаю смысла заморачиваться с https у сайтов где нет хранения личных данных, которые просто отдают информацию. Сайты-визитки, постеры, архивы, вариантов очень много. Выглядит как очередной хайп, у которого появились евангелисты не способные охватить все сценарии, и решившие что знают как лучше для всех.
Сайты-визитки, постеры, архивы, вариантов очень много.
мимо. Сайты визитки, например, очень часто имеют форму обратной связи.
Выглядит как очередной хайп, у которого появились евангелисты не способные охватить все сценарии, и решившие что знают как лучше для всех.
выглядит так, что многие комментирующие и защищающие необходимость HTTP застряли в XVIII веке. И вообще не понимают что к чему
Ну, вот, зачем robots.txt отдавать по https?
Или заархивированный с паролем файл инкрементного обновления?
Я согласен, что http(s) не про автоматизированные системы, а про личные кабинеты и сайты с котиками, но лично мне с год назад было больно, когда повально отключили TLS 1.1 - половина админок устройств отвалилась, и даже Exchange 2010 (ладно, там просто древняя винда была, в которую "из коробки" TLS 1.2 не завезли, но ручное решение существовало). Я не против шифрования, но я против принудительного шифрования.
Ну, вот, зачем
robots.txtотдавать по https?
Затем, что в отличие от архива под паролем, он не защищён контролем целостности
Очень жаль, что так называемые «айтишники» на хабре про это забывают.
файл инкрементного обновления
С обновлениями программ есть несколько нюансов.
MitM-злоумышленник может заблокировать обновления программы и вместо новых версий подсунуть старую версию — подпись/пароль будут правильные, а в старой версии может оказаться какая-нибудь уязвимость, которой злоумышленник радостно воспользуется.
Если вдруг по какой-то причине не выполняется проверка подлинности метаданных, то MitM-злоумышленник (на примере Linux-репозиториев) может подсунуть в зависимости какую-нибудь новую программу, которая содержит известную ему уязвимость. А Debian/Ubuntu имеют раздражающую меня привычку автоматически запускать службы сразу после их установки — на радость злоумышленнику.
И даже если проверка подлинности выполняется — может оказаться какая-нибудь ошибка в самой проверке, которая допустит установку обновлений с некорректной подписью (в то время как в том же openssl уже высмотрели все heartbleed'ы вдоль и поперёк).
Уязвимости подобного рода уже находили в пакетных менеджерах разных Linux-дистрибутивов.
половина админок устройств отвалилась
Можно же оставить ИЕ6.0 в виртуалке с Windows XP и горя не знать ;)
Я выше уже жаловался, что для доступа к старым железкам пришлось завести виртуалку с ХРюшей - для управления устройствами годится (хоть и костыль), а вот когда у всех внешних пользователей повально "почта отвалилась", было немножко некомфортно (да, Outlook 2010 продолжал работать, а все web-клиенты, включая GMail и iPhone mail перестали подключаться из-за depricated tls version)...
Как бы затем администратор и нужен, чтобы поддерживать инфраструктуру в рабочем состоянии. Или сначала админа уволили (зачем он нужен, и так всё работает), а потом оно вдруг всё сломалось?
Как бы затем администратор и нужен, чтобы поддерживать инфраструктуру в рабочем состоянии.
Это да, но…
С одной стороны, поломки — неизбежность, и чинить их кто-то должен (и российских реалиях на аутсорсеров это переложить тяжело). С другой стороны — получается какое-то запланированное устаревание, на борьбу с которым приходится тратить реальные деньги (админы забесплатно не работают, да).
PS А ведь тут кто-то, не будем упоминать кто, все время доказывал, что HTTPS — это практически бесплатно.
Практически бесплатно. Потому что вы все равно вынуждены обновлять ПО. Те же уязвимости. Смена форматов. Смена архитектур - сейчас, например, в фаворе арм, а не х86. И в случае обновления - действительно хттпс бесплатен. Но если повернуть с ног на голову - нам нужен хттпс новый и мы вынуждены обновляться именно поэтому (не непрерывно, а именно вот сейчас) - тогда очень дорого. Но это как с профилактикой. Вы же машину на ТО регулярно возите? Чтобы она не сломалась внезапно и не платить втридорога за эвакуатор и незапланированный ремонт? Или к стоматологу регулярно ходите? Или если зубы вывалятся (и не ходили) - это стоматолог плохой и виноват?
Ну, запланированное устаревание оно везде. 20-летний сервер это лотерея - диски забитые файлами, которые и вряд ли кому то нужны, но место занимают. Памяти маловато, и апгрейдить некуда и нечем. Старый комп, к которому новую периферию просто не подключить, а старая - только бу или задорого. Всё равно апгрейд железа делается. А новое железо тянет HTTPS бесплатно. Исключения бывают, конечно же. Штош, не было бы гонки за гигабайтами-гигагерцами-гигафичами - не было бы вкусных зарплат. Был бы только спирт для протирки контактов в БЭСМ.
В комментариях уже несколько разных людей на разных примерах объяснили, почему https нужен даже для информационных сайтов… Вас все эти дискуссии всё ещё не убедили?
И правильно, учитывая что недобросовестные интернет-провайдеры (на Хабре была такая статья про МегаФон, но вслед за ним теоретически так могут делать и другие) интегрируют автоматические платные подписки в джаваскрипты при незащищённом посещении сайтов. Не забывайте, что шифрование защищает не только от кражи паролей, но и от неожиданного изменения контента.
Я долгое время отказывался делать шифрование принудительным на своём сайте с общедоступным (без регистрации) статическим контентом. Казалось бы, что там шифровать, если на сайте в принципе не используется никаких паролей и платёжной информации? Инцидент с МегаФоном, описанный на Хабре, резко изменил моё отношение к шифрованию - я сделал его принудительным на своём сайте, чтобы уберечь своих пользователей от платных подписок и другой малвари от недобросовестных провайдеров.
И если уж говорить о конкретном кейсе - то там вроде как админ клаудфлару прикручивал, но что-то пошло не так. В таких проблемах SSL виноват не больше, чем TCP\IP.
Мне нравится один сайт, а теперь он не работает. Давайте вы объясните мне почему, он не работает, а не автор сайта. Виноват https, браузер, год на календаре, левая пятка рандомного прохожего, но конечно не автор сайта. Я немного не в курсе, на ардуинке не выйдет поднять сайт с поддержкой https?
Мне сложно судить, кто именно виноват, но ошибка намекает на разные версии шифрования. Если бы его не было, на было бы и ошибки.
У ардуинки ресурсов не хватит на https.
Действительно. Тут вы правы. Нет сайта - нет проблемы.
У ардуинки не встроенного WiFi/ethernet.
Для передачи данных от ардуинок категорически не рекомендую делать это напрямую — тоже стоит организовать прослойку с веб-сервисом на хостинге, что сразу решает и проблему шифрования. Так как первый же сканер сайтов (не обязательно зловредный) может просто заддосить ардуинку запросами.
Сам не особо сторонник принудительного огульного шифрования (в основном, потому что это дополнительная зависимость, очередной раз сокращающая временные рамки жизни ресурсов с недостаточной заботой владельцев). Вот если бы было стандартом выдавать сертификат синхронно и в комплект к продлению доменного имени…
Если бы его не было, на было бы и ошибки.А ещё такой проблемы у Вас точно не было бы, не придумай Диффи и Хеллман свой алгоритм. А ещё если бы не изобрели интернет).
Но если серьезно — я прочитал около 150 из 189 комментариев в этом тренде. Нигде не нашел такой цепочки рассуждений: Для чего вам нужно посетить этот сайт?
Судя по вашему посту, вам обязательно, кровь из носа, нужно посетить этот сайт и получить из него ценную информацию. Эта информация одновременно ценная (т.к. она вам точно нужна) и не ценная (т.к. вам не важна защита этой информации с помощью https). В этом и заключается всё противоречие этого треда.
Если информация вам действительно важна — то вы не согласитесь её получать по http, ведь информацию могут подменить (кто её подменит и зачем — это совсем другой вопрос).
Если информация вам не настолько сильно нужна — то вы не сильно то и расстроитесь тем, что этот конкретный сайт не работает, ведь есть ещё куча других сайтов с погодой.
Всё вас будет устраивать ровно до того момента, пока вы сами не столкнётесь с подменой реальных данных на фейковые. Начиная с того, что за вами будут ещё сильнее следить, заканчивая тем, что данные будут уже неверные.
И вот тогда вы создадите ровно противоположную тему, что нужно бы всему интернету перейти на https, что никто в мире не находится в безопасности, что каждого могут взломать из-за обилия дыр в http.
И именно так и поступила многоуважаемая компания Let's Encrypt.
Можно сказать, это она источник ваших проблем — именно она запустила повальный переход всех и вся на https.
1) Контролируемая сессия. При первом посещении некоего сайта по http-версии (скажем vk.com, хотя конкретно он не подвержен такой атаке), хакер сам идёт на сайт vk.com и получает оттуда cookie-сессию. Пока вы ещё находитесь на обычной версии, он выдаёт вам 301 заголовок, что надо бы перейти на httpS версию, но кроме этого передаёт также уже известный ему id сессии. После того, как вы авторизуетесь на сайте (на полноценной https-сессии), злоумышленник просто жмёт f5 у себя в браузере и уже сидит под вашей учёткой.
Спасает: перегенерация id-сессии после успешной авторизации.
2) Подлог сессии. Работает на совсем слабых сайтах. Пример похожий на предыдущий, но злоумышленник сам вам генерирует id сессии, например «Session: AAAAAAAAAAAAA», перенаправляет вас на https, и проверяет через несколько минут, не залогинился ли пользователь.
Спасает: недоверие сервера к сгенерированным id-сессий на стороне пользователя.
3) Встраивание своего js-кода в страницы. «Ну и что?» скажете вы. А то, что тут начинается веселье. Например, закрываем глаза на то, что кто-то может показывать вам рекламу, это ещё безобидно. Гораздо жестче такие приколы, когда у вас в браузере открыто несколько десятков вкладок. Когда вы переключаетесь в другую вкладку, то текущая вкладка засыпает, и браузер передаёт event в js о том, что фокус спал. Это нужно для того, чтобы js мог например поставить музыку/видео на паузу. Или например, чтобы полностью перерисовать всю страницу под интерфейс входа в ваш любимый интернет банк/либо редиректнуть на страницу с фишингом, один-в-один как интернет банк, только название сайта немного другое (но очень похожее). При этом меняется заголовок вкладки, меняется иконка вкладки. Пользователь при переключении на неё очень маловероятно посмотрит на url, ведь он доверяет своему браузеру, и вкладкам, которые он на открывал, и он точно помнит, что он не переходил по незнакомым ссылкам и не читал подозрительные письма.
В общем это я к тому, что дыра в виде http — сейчас это не просто невозможность открыть сайт с погодой, а это окно(дыра) в ваш мир веб-сёрфинга.
В общем причин, по которой у вас не открылся сайт может быть просто тьма тьмущая, не правильно винить во всём только желание всего мира переходить на HTTPS…
Судя по вашему посту, вам обязательно, кровь из носа, нужно посетить этот сайт и получить из него ценную информацию.
Во-первых, информация может не быть ценной: пресловутые котики.
Во-вторых, она может быть изначально неточной и требовать перепроверки или (если проверять лень) игноривания возможных неточностей: прогноз погоды (и новости, кстати).
В-третьих, ее искажением может быть трудно чего-то добиться: ну, допустим, в поэме «Москва-Петушки» кто-то переименует лирического героя автора — назовет, его не Венечкой, а, например, Васяней — что существеное от этого изменится?
Но если я не получу эту информацию, то кое-что потеряю: в первом случае — удовольствие от созерцания котиков, во втором — один из источников дополнительной информации, в третьем — как минимум, время на поиск другой копии книги.
никто в мире не находится в безопасностиОбъективно это действительно так. И это неизбежно. Говорят, древние греки называли это «стрелами Аполлона».
В-третьих, ее искажением может быть трудно чего-то добиться: ну, допустим, в поэме «Москва-Петушки» кто-то переименует лирического героя автора — назовет, его не Венечкой, а, например, Васяней — что существеное от этого изменится?
был уже случай... Эрдоган:
В том же году в Сиирте Эрдоган прочёл поэму, написанную Зией Гёкальпом, пантюркистом, действовавшим в начале XX века[15]. В версии поэмы, которую прочёл Эрдоган, присутствовали строки: «Мечети — наши казармы, купола — наши шлемы, минареты — наши штыки и верные — наши солдаты»[16], эти строки отсутствовали в оригинальной версии. По словам Эрдогана, прочитанная им версия поэмы была одобрена министерством образования и напечатана в книгах[17]. Он был признан виновным в нарушении статьи 312 УК Турции «подстрекательство к насилию и религиозной или расовой ненависти»[18] и приговорён к десятимесячному тюремному сроку.
О HTTP бедном замолвите слово
На своих домашних страничках, на которые никто не ходит кроме вас просите такое.
А если не понимаете зачем и почему, то соответственно не просите.
И поддержку FTP протокола убирать совсем ни к чему.
Очень даже к чему. Старое нешифрованое г...
Если вам все равно что весь ваш трафик на показ всем кому не лень, это не значит что "так и должно быть".
Или это вы, товарищь майор ?
Ну может подскажете тогда, для чего шифрование трафика на погодном сайте? И да, на FTP до сих пор выкладывают файлы для свободного доступа - лучше иметь возможность их скачивать без дополнительного софта, чем не иметь.
Шифрование публичной информации нужно хотя бы для того, чтобы провайдер и те, с кем он делится информацией, собирали о вас как можно меньше данных. Сама погода не является секретной, но факт того, что пользователь X такого-то числа в такое-то время захотел узнать погоду в городе Y может в каких-то случаях являться чувствительной и поэтому не надо за всех решать, что можно эти данные светить в открытую.
Кроме того, HTTPS - это не только шифрование, но ещё и аутентификация. То есть, если вы получили страницу по HTTP, то это не означает, что она к вам пришла именно с того погодного сайта, на который вы хотели зайти, а содержимое туда может быть подсунуто какое угодно.
не надо за всех решать
Золотые слова! Кто заботится о приватности - уже ходит через vpn, а за остальных решать не надо было
ещё и аутентификация
И с этим согласен полностью!
поэтому не надо за всех решать
так про это и речь.
те, кому нужен https — открывают по https. кому не нужен — по http.
тут же почему-то за всех решили «нужен https».
Ну может подскажете тогда, для чего шифрование трафика на погодном сайте?
Самый базовый пример, который я указал выше - по запросам с погодой можно попробовать вычислить местоположение, особенно если это не сайт, а приложение, передающее геолокацию раз в час.
И да, на FTP до сих пор выкладывают файлы для свободного доступа - лучше иметь возможность их скачивать без дополнительного софта, чем не иметь.
Но зачем фтп? Это старый, тормозной протокол, который и нагрузку держит средненько, и разворачивать его проблемно. В конце концов, можно поднять apache\nginx\iis для шаринга файлов, что будет быстрее, удобней и безопасней.
можно попробовать вычислить местоположение, особенно если это не сайт, а приложение
находясь рядом с пользователем и перехватывая его трафик?
Но зачем фтп?
Есть огромное количество старых файлохранилищ с документацией, которые частенько выручают. Ладно, я и curl-ом скачаю, современные браузеры очень неудобны для скачивания чего-либо в принципе.
Ну значит и с погодой у вас не должно возникнуть проблем...
находясь рядом с пользователем и перехватывая его трафик?
Вы наверное живете в мире розовых пони, где ваш трафик охраняется ака гостайна и никто в него не вмешивается ?
Есть огромное количество старых файлохранилищ с документацией
Ну так это ли не повод написать им ? Ну или на крайняк сделать зеркало.
Есть огромное количество дискет 5 и 3 дюймового формата, где хранится нужная кому то информация...
Это о том, что странно отслеживать местоположение по трафику, находясь уже рядом.
Вы о чём вообще?
Я о том, что слушают и подменяют ваш трафик все кому не лень (не предположение, а факт). А не мифический "хакир" с патчкордом у свитча на крыше.
Если ни разу не видели встраевуемую рекламу в http, то вам просто повезло. Ну или не заметили.
А теперь дайте разгуляться вашей фантазии и представьте что вместо "ехе" который вы качали вам прилетел "ехе" с начинкой.
Человек на той стороне не будет устанавливать у себя программы. Он готов скопировать 500 файлов и вставить их мышкой. После этого он уйдёт домой.
Пожалуйста, подскажите, что тут выбрать?
Спасибо.
Из тупого - поставить апач\нгинкс с настройкой тупой отдачи файлов. Настраевается просто (а с каким-нибудь докером - элементарно), работает быстро, сразу же и хттпс поднять можно. Разве что 500 файлов прокликивать ручками придётся, но может тогда стоит позаботиться о человеке и всё в архив сразу сгружать?
Из чуть более навороченного можно webdav-сервер поднять. Тогда, оставаясь в рамках https, можно будет прицепить в той же винде как сетевой диск и обкопироваться по самое нехочу.
Я не могу управлять клиентом, ставить у него программы. Я могу только на своей стороне поставить получающую программу.
Тот человек не будет сгружать в архив. Он сделает «копировать», потом «вставить», и уйдёт домой. Поэтому и был выбран FTP-сервер с загрузкой.
Webdav это хорошо, однако сложно, потому что не входит в состав IIS.
Webdav это хорошо, однако сложно, потому что не входит в состав IIS
Вы просто не умеете его готовить.
Для начала просто наберите на своем Windows Server в Powershell в режиме администратора команду
Install-WindowsFeature Web-DAV-Publishing
чтобы установить поддержку WebDav на сервере
Ну, а на стороне клиента WebDav поддерживается через обычную сеть Microsoft со времен XP (WebDav Redirector)
google://simple http file sharing
Уверен, что вам повезёт ;)
ЗЫ: если не повезёт - возьмите hfs
А гугл диск чем не устраивает?
1) Надо логиниться в гугль.
2) Надо учиться работе с гугль диском.
3) Неизвестно, хватит ли места на гугль диске.
Но в целом это хорошее решение для тех, кто уже является пользователям гугля!
1) Надо поднимать FTP-сервер
2) Надо учиться работать с FTP
3) Неизвестно, хватит ли места на FTP-сервере
:)
Кроме гугола есть 100500 временных файловых хостингов. Заливаете файлы, передаёте ссылку для скачивания. Через неделю ссылка протухает.
И вообще, не уверен, что на гугл-диске можно сделать каталог, куда сможет загружать файлы хоть кто (даже залогиненный в гугле).
По сабжу — для обсуждаемой проблемы я использую яндекс-формы. Там можно делать загрузку файлов от анонимусов.
Не повезло, значит.
Попробуйте personal http file cloud
Итак, вот я поднимаю веб-сервер, и мне нужно получать файлы. Не отдавать, а получать. Как это лучше сделать?
Вчера такое сделал на чистом JS. Дропформа простая куда можно файлы перетащить и они зальются на сервер. Дополнительно проверку встроил на размер и типы файлов. Если заморочится то можно сделать еще и дерево каталогов.
Но зачем фтп? Это старый, тормозной протокол,
Хорошо хоть не сказали "несекьюрный" - шифрование к нему точно было уже лет 15 назад, более далеко назад не смотрел. Кстати, для телнета тоже шифрование есть, если что. Просто серверодержателями это было пофиг, как и дистрибутиводелателям.
который и нагрузку держит средненько,
Смотря что шире - интернет или дисковая подсистема... Вот масштабируемость да, имеет оговорки.
и разворачивать его проблемно.
Да как бы не проще, чем веб-сервер... Так что может даже то ж на то ж.
В конце концов, можно поднять apache\nginx\iis для шаринга файлов, что будет быстрее, удобней и безопасней.
А не, всё-таки помянули безопасность... Но про всё уже было сказано выше - то есть "то ж на то ж". Но на веб-сервер можно навесить еще кучу всего, а FTP - он такой, узкоспециализированный.
для чего шифрование трафика на погодном сайте?
Легким движением руки хакер добавляет в ответ от сервера ссылку "Поделиться ВКонтакте", по оформлению похожую на остальные ссылки на этом сайте, при переходе на которую открывается страница "Авторизуйтесь ВКонтакте", по оформлению похожая на интерфейс сайта ВКонтакте, пользователь авторизуется, хакер получает пароль.
Что бы провайдеры ваш сайт на лету не патчили.
Попробуйте позаходить на http-сайты с мобильных операторов 😉
До определенного момента считалось допустимым такое на публичных бесплатных WiFi, когда мобильный трафик был еще дорогой, но совершенно недопустимым для мобильных операторов. В какой момент общество приняло новые правила для мобильного трафика?
В итоге нужен закон, который на корню запрещал платные подписки (без посещения офиса мобильного оператора с паспортом) и вклинивание в TCP/IP сессии клиентов (тайна связи и так провозглашена).
В какой момент общество приняло новые правила для мобильного трафика?Такой закон нужен будет только 1% IT-грамотного населения, остальным вообще срать на это. Даже будет наоборот — выйдет закон, который это разрешает делать (ведь нужно «бедным операторам» на что-то жить). А в Казахстане вон несколько лет назад вообще заставляли всех ставить государственный корневой сертификат.
В итоге нужен закон, который на корню запрещал… вклинивание в TCP/IP
Поэтому зачем бороться законами, которые каждый день меняются, если можно бороться сразу техническими средствами?
Поэтому зачем бороться законами, которые каждый день меняются, если можно бороться сразу техническими средствами?
Например, потому что технические средства создают совершенно лишнюю нагрузку (на ПК она несущественна, но на серверах и, боюсь, в IoT она будет более чем заметна).
Я вот вам аналогию приведу: мне Интернет XXI века всегда напоминал средневековую большую дорогу, которая с разбойниками. С ними, конечно можно было бороться и техническими средствами (на нашем техническом уровне это были бы броневики). Но чисто полицейские решения оказались лучше, например — тем, что сейчас нет необходимости делать массовые автомобили пуленепробиваемыми, а потому — весьма тяжелыми, типа тачки Аля Капоне, со всеми вытекающими отсюда последствиями.
IoT она будет более чем заметна
В IoT проблема целостности данных и проверки сервера-клиента стоит ещё острее… уверяю вас. ну, и на край там свой набор протоколов есть…
в протоколе выбираешь какой алгоритм шифрования хочешь применять. Хоть ГОСТ, хоть самопальный...
Впрочем, это — уже другая тема.
Ну, и для проверки целостности вовсе не требуется шифрование.
Требуется немного другая криптография, которая тоже требует процессора.
time openssl enc -aes-256-cbc -salt -in LARGEFILE -out /dev/null -k none
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
real 0m2,292s
user 0m2,060s
sys 0m0,232s
time openssl dgst -sha256 -sign "Sign Key.key" -out sign.txt.sha256 LARGEFILE
real 0m4,025s
user 0m3,801s
sys 0m0,224s
Так что без государства не обойтись, и, желательно, такого, у которого на флаге не одна звезда, а много.
Я стесняюсь спросить: у вас там на раёне есть чем, при случае, подавить миномет? Он, вообще-то, из-за складки местности стрелять может, без прямой видимости цели, а потому ни пулеметом, ни крупнокалиберной снайперской винтовкой не давится, про штурмовую винтовку я даже не говорю.
Я не знаю организации мексиканской армии, но минометы на уровне пехотных подразделений у нее быть должны: если не в роте, то уж батальоне всяко. Во всяком случае, так было в любой сколь-нибудь приличной армии ещё времен 2-й Мировой, а с тех пор много годиков прошло.
PS А с полицией, таки да, вам там в Америке надо что-то делать. Заменить, к примеру, милицией.
Тоже заметил, что форека перестала работать. А ведь только на ней есть удобная карта осадков. Попробовал сейчас поюзать карту осадков яндекс.погоды и обплевался: нельзя быстро прокрутить туда-сюда с анимацией карты, чтобы быстро узнать, ожидаются ли осадки в определённом месте; и после каждой перемотки на 10 минут, осадки перерисовываются с задержкой. Тьфу.
Самое смешное, что на фореке настроен редирект на https, поэтому по http зайти - без шансов.
yr.no самый лучший прогноз погоды что мне известен
Вот в "самом смешном" и проблема. Я тоже попытался зайти через http, если бы удалось - этой статьи не было бы.
В принципе, тут в комментариях накидали достаточно причин для шифрования трафика, со многими можно согласиться. Всё как обычно - продвинутые пользователи заботятся о приватности и для них эта фишка в принципе бесполезна (внутри VPN весь трафик уже зашифрован), для всех остальных это всё равно не заменит элементарной внимательности и гигиены.
внутри VPN
Тут крайне важно уточнять, какой именно VPN имеется в виду: если это не свой собственный сервер, а какой-то готовый VPN-провайдер (особенно бесплатный), то он может оказаться заинтересован в прослушивании и модификации проходящего через него трафика
Ну и ещё профессиональным параноикам стоит на всякий случай иметь в виду, что без HTTPS трафик от VPN-сервера к целевому сайту всё равно окажется незашифрованным
Ладно там сайты банков или другая чувствительная информация, но чисто информационные — зачем?
Затем, что в информационный HTTP-сайт злоумышленник сможет подсунуть что-нибудь, что позволит ему утянуть чувствительную информацию — что-нибудь фишинговое, например. Ну или банально биткоины помайнить за чужой счёт.
Ну и выше в комментах другие риски уже отметили — отслеживание человека, провайдерская реклама и т.п.
2. Необходимость непрерывных обновлений (софта, протоколов, сертификатов и т.д.), без чего ничего тоже работать не будет
… два пункта, накоторых держится всё современное говно-айти. Спалил бы уже кто-нибудь эту гоммору…
Обосновано этой войной компании Google, владельца самого популярного браузера за рекламную аналитику. Провайдеры при http прекрасно сканируют трафик и продают эту инфу, в том числе конкурентам гугла. Основной доход гугла - продажа рекламы. Именно поэтому они делают и бесплатную гугл аналитику. Когда гугл захватил браузерный рынок, информацией стали владеть и гугл и провайдеры. При помощи форсирования https и dns over https гугл лишает провайдеров доступа до этих данных.
Именно за это пользователи так ненавидят криптоманьяков и прочих сторонников безопасности — они ведут себя в точности как тоталитарные правительства особо отсталых стран: в принудительном порядке и никого не спрашивая (люди же тупые и не понимают своего счастья) создают людям кучу проблем на ровном месте, оправдывая это
Причём даже если безопасность реально повышается (что надо ещё доказать, потому как устраняя одни векторы атаки они создают новые, вдобавок делая систему более хрупкой), то оно того не стоит: ущерб от злоумышленников намного меньше, чем затраты на внедрение и эксплуатацию всех этих «защит».
Пример: Мегафон встраивает всякое непотребство в весь http трафик и занимается по сути фишингом, отковываешь сайт - а там баннер с кнопкой, которую пользователь нажимает на автомате даже не успев сообразить. В итоге оформил подписку на всякую хрень. Скорее всего тем же промышляют и другие операторы. Таким же образом можно встроить скрипты в общественных сетях.
Так что использовать сейчас HTTP - это, мягко говоря, неразумно
И что мешает мегафону оформить на вас подписку даже если вы используете исключительно HTTPS?
Ваш пост звучит, как оправдание фишинга.
Ничего. Они это делали раньше точно. Как пример подписка на «замени гудок»
Но, тем не менее, многократно сталкивался с фишинговыми баннерами на сайтах на http
Оформить без согласия - ничего не мешает, но за это уже начинают дрючить и требуется хотя бы формальное согласие в виде нажатия незаметной и иногда прозрачной кнопки во вставленном кусочке трафика. Плюс в http-трафик вставляются заголовки, идентифицирующие абонента, что отлично помогает снять денег со счёта телефона.
Бо́льшая часть подписок - от сторонних организаций, которым мегафон продаёт вставки в трафик и это уже сии сторонние организации рассылают анекдоты за месячную плату, к примеру, но от этого не особо легче...
Мой провайдер интернета подсовывает рекламу на страницах без https:
Снимок экрана
Но сайт в этом не виноват.
Сайт виноват в том, что позволяет вмешиваться в свой трафик и творить такие гадости — при том, что решение этой проблемы давно существует и с некоторых пор даже стало полностью бесплатным
Не могу согласиться.
Сайт делает ровно то, что должен делать сайт.
А трафик вообще не его, а пользователя.
Сайт делает ровно то, что должен делать сайт.
Например, обеспечивать безопасное соединение с пользователем.
Зачем? Тикет выше другой: провайдер-зловред.
Вот у моего родственника в доме есть один провайдер, который дает 100 мегабит в секунду. Все остальные подключают в 2022 (!) ADSL (!!) со скоростью до 3-20 мегабит (!!!) в секунду.
Предположим, что кошерный провайдер начал подсовывать в HTTP рекламу. Откатываем интернет до уровня 2007 года или таки соглашаемся на HTTPS? Или пишем в спортлото и жалуемся на провайдера?
А моё мнение как-то может помочь рандомному сайту отрастить себе сертификат?
Если таких как я оказалось бы достаточно много, то владелец сайта заметил бы падение трафика. Если его это волнует, он выясняет причину и исправляет проблему. Если нет, значит у него есть другие каналы монетизации или он вообще работает за идею, идем дальше.
Что-то Вы загнули с ADSL 20 мбит. Обычно не более 6, а физически вроде не более 8.
20 мбит спокойно выдаёт LTE, а учитывая тарифы, если есть LTE, то в ADSL нет особого смысла. (Есть опыт использования модема от мтс и адсл от ростелеком) никого из них не рекламирую и не рекомендую, но особых претензий к ним тоже нет
Хотя, коммент не в тему
Что-то Вы загнули с ADSL 20 мбит. Обычно не более 6, а физически вроде не более 8.Я тоже думаю, что он сильно медленнее на деле.
Но МГТС на сайте говорит о 20 на максимальном тарифе.
Но иногда, в рамках исключения, некоторым абонентам могут на ADSL подключении установить конфигурацию тарифов для gPON и все работает (ставится младший тариф, например 20/10). Обычно это делается в случае сочетания везения, убедительности и личного влияния в небольших городках (Беларусь, БТК). Или можно просто использовать логин-пароль от аккаунта, зарегистрированного для gPON устройства в другом месте (у нас нет никакой привязки аккаунтов к месту или оборудованию).
Проблема подстановки рекламы провайдером с точки зрения пользователя примерно эквивалентна проблеме подстановки рекламы владельцем сайта.
А прочий криминал, в общем-то — дело полиции. Тем более, что последствия его довольно ограничены: компьютер вас не убьет, и, при минимальных предосторожностях, не ограбит.
Ну, а если владелец сколь-нибудь серьезного сайта, к примеру, по HTTP запрашивает аутентификацию, то это основание иметь с ним дело крайне аккуратно.
Проблема подстановки рекламы провайдером с точки зрения пользователя примерно эквивалентна проблеме подстановки рекламы владельцем сайта.
неэквивалентна.
Или по какой другой причине?
Что вы имеете возразить против такого ответа?
Готов поспорить, что большинство пользователей даже не подозревает, что http можно подменять, и не рассматривают провайдера как источник рекламы.
Далее, если мы говорим о РФ, то к провайдерам ходят неохотно. Что, в общем-то, много раз доказано статьями о том, как кому-то что-то подключили через javascript подменив тот самый http. Всем по боку. Не самый быстрый способ поднимать раскрываемость, проще соцсети шерстить.
Ну и опять же возвращаясь к началу: реклама, которую может позволить себе поставить Цукерберг, заведомо лучшего качества, чем реклама, которую будет внедрять злодей. Потому что странная реклама как минимум продается дороже. Так что да, если рекламируют станки для бритья и кока-колу — это скорее всего Цукерберг. А если ЦП и горячих милф твоего города — провайдер\злодей. Исключение — сайты с linux iso-s, опять же потому, что нормальные рекламодатели у них рекламу не берут.
прекрасный пример. Я буквально на днях видел тут статью про то, как руткиты в китайские телефоны вшивают... и продают доступ к этим самым китайским телефонам. https://habr.com/ru/company/ruvds/blog/665388/
Если владелец сайта ответит, что реклама не его, и не соврет, большинство пользователей будут искать проблему не в провайдере, а в своем устройстве.
Вы почему-то опять сосредотачиваетесь на бедных пользователях и игнорируете вариант, что искать будут профессионалы — если не полицейские, что частные сыщики.
Далее, если мы говорим о РФ, то к провайдерам ходят неохотно.
Видимо, проблема недостаточно назрела. Назреет — будут ходить. Например, по поводу звонков от «службы безопасности банка» к связистам не толко ходят, но и заведомо недостоверные номера вызывающего абонента фильтровать с них требуют.
Ну и опять же возвращаясь к началу: реклама, которую может позволить себе поставить Цукерберг, заведомо лучшего качества, чем реклама, которую будет внедрять злодей.
У меня после всего этого даже возникает вопрос: а почему вы выбрали в качестве примера именно Фейсбук? Вопрос возникает, во-первых, потому что Фейсбук — это социальная сеть, для доступа к которой защищенный канал необходим: там и аутентификация, и куча персональной информации, и возможность публичного распространения — а за публичное распространение чего не надо может прилететь, и даже в самой что ни на есть демократической стране: я, вот, не знаю государство с более менее-развитым интернетом, в котором дозволяется распространение CP, и как-то сомневаюсь, что такое вообще есть.
Короче, работать с соцсетью по HTTP — это как оставлять ключ от квартиры под ковриком.
Ну, а во-вторых, надо вспомнить, что доступ к Фейсбуку в России был закрыт как раз за неприемлемую рекламу: неприемлимою как для государства, так и для заметной части граждан — которые с патриотическими убеждениями. Я, вообще-то, по жизни по самым разным интернетам лазаю, чтобы полноту картины иметь, так что я успел насмотреться возмущений такой рекламой, до того как ее заблокировало государство, от немалого количества патриотов — как хорошо мне известных, так и практически неизвестных.
Короче, Фейсбук IMНO — неудачный пример для этого обсуждения.
Хотя бы по той причине, что оценка качества рекламы, вызвавшей блокировку, оказалась, как минимум, неоднозначной у разных суюъектов.
Мой провайдер интернета подсовывает рекламу на страницах без https:
Что за провайдер такую дичь творит?
PS: Спасибо, не знал, что есть foreca.com. Авторам фореки надо бы с ru на com редирект сделать.
Ну или хотя бы объясните, чем это обосновано
Мобильные провайдеры ранее были неоднократно замечены во встраивании вредоносного кода в такие незащищенные сайты.
и почему имеет право называться прогрессом.
Теперь не могут.
И поддержку FTP протокола убирать совсем ни к чему. Ну или хотя бы объясните, чем это обосновано и почему имеет право называться прогрессом.
Поддержка FTP в браузерах (по крайней мере, в Firefox точно) была в зачаточном состоянии. Не было самых базовых вещей вроде закачки файлов на сервер и скачивания папок. Не было поддержки шифрования. А ведь даже тут на Хабре я встречал уникума, который по FTP заливал прошивки на маршрутизаторы. То есть, достаточно проникнуть в его внутренний периметр и привет.
Нужно было решать: или доделывать поддержку FTP до нормального состояния, или удалить вовсе. На дворе, на минутку, был 2020 год. Популярность FTP у пользователей совершенно не такая, какая была, когда эту зачаточную поддержку внедряли.
Логичный вывод: незачем тратить силы на крайне слабо востребованный сейчас протокол. Вот, скажем, SSH намного более популярен. Почему нужно реализовывать поддержку FTP в браузере, а не поддержку SSH? Потому что деды когда-то начали и не доделали? А кто выдумал правило, что решения дедов будут вечно актуальными? А, кстати, где скорбные плачи по Gopher, вот был такой протокол тоже когда-то в браузерах.
При этом, никто не отменял FTP-клиенты, коих много. Они хороши и полнофункциональны. Незачем цепляться за какой-то обрубок.
А ведь даже тут на Хабре я встречал уникума, который по FTP заливал прошивки на маршрутизаторы. То есть, достаточно проникнуть в его внутренний периметр и привет.
А причём тут уникум, если tftp - стандартное решение на достаточно многих железках, ну а на некоторых железках может не быть вебморды (telnet/ssh и хватит), а прошивки как-то надо заливать - и потому там предусмотрели для этого ftp?
Так что вынос сетевого менеджмента в отдельную сеть - стандартная практика, и не только ради таких железок.
А ведь даже тут на Хабре я встречал уникума, который по FTP заливал прошивки на маршрутизаторы. То есть, достаточно проникнуть в его внутренний периметр и привет.
А в его периметре есть что-то ценное, что бы оправдывало усилия на проникновение? Или тут — полное подобие случая с владельцем ссудной лавки из рассказа Конан Дойла «Союз Рыжих»: " Предприятие нашего рыжего клиента — ничтожное, во всей его квартире нет ничего такого, ради чего стоило бы затевать столь сложную игру"
Автор, ты - дундук. Не встречался с ситуацией - когда в абсолютно обычный сайт по HTTP мобильный оператор встраивает свои вредоносные или не очень скрипты? И этим промышляют вполне себе уважаемые Мегафон и МТС - я обоих ловил. Что ты на это скажешь? Переходить на другого опсоса? Типа выбери третьего из трех? Так он точно так же делает. Делать впн до дома? А где гарантия, что таким не будет промышлять домашний провайдер? Правильный ответ - никакой. А https как раз такую гарантию дает - что если все-таки соединение с сайтом было выполнено, то никто не посмеет сделать MitM и исказить данные. Я уж не говорю о том, что до сих пор еще куча форумах сидит на http - и это попросту опасно там регистрироваться. Мало ли что. Пароли точно утекут.
Справедливости ради, от встраивания рекламы (и от подмены курсов валют) теоретически могла бы защитить простая криптографическая подпись данных
И этим промышляют вполне себе уважаемые Мегафон и МТС — я обоих ловил.
Интересно, когда это было? Наверняка ведь когда-то давно: ведь сейчас в вашем профиле стоит метопребыванием Испания.
PS Кстати, у меня на планшете с давних времен интернет 3G от Мегафона (раз 3G — представляете с каких времен), но я на такое не натыкался. Впрочем, это ни о чем не говорит.
Интересно, когда это было?
полгода назад
Наверняка ведь когда-то давно: ведь сейчас в вашем профиле стоит метопребыванием Испания.
и что? Все, дискриминация по месту пребывания? Может еще в иноагенты запишете, ну, чтоб наверняка?
А записывать в иноагенты — это дело государства, и я этим не занимаюсь. А записали ли в них вас — это для меня значения не имеет, потому что, согласно принципам логики, истинность высказывания не зависит от характеристик его источника.
Вот, 10 секунд назад.
Искал любой сайт на http… что забавно - на сайт кремля встраивать не решаются)))
(добавлено): Кстати, только заметил - надо натравить на них ФАС за нарушение закона о рекламе… кнопка «Попробовать», а снизу «нажимная на кнопку «подключить»)))
Пара вопросов на засыпку.
Как решается вопрос с подписыванием сайтов, доступных исключительно в локальной сети по IP адресу или по заранее неизвестному доменному имени (вводится пользователем железки при настройке)? Например, https://192.168.1.1. Если я со своим ноутбуком подключаюсь к разным сетям, то в каждой может быть свой сайт с таким адресом. А если доменное имя вводит пользователь, то вопрос с сертификатом тоже вешать на него?
Есть ли браузер, который бы давал возможность установить любой корневой сертификат (даже самосозданный для самопальных сайтов), позволял ограничить область его действия (белые и черные списки) и выдавал информацию, какими именно корневыми сертификатами удостоверено владение доменами с текущего сайта. Если мой домашний самоподписанный сайт вдруг оказался удостоверен корневым сертификатом серьезного регистратора, то что-то явно пошло не так. Если мне для посещения какого-то сайта нужно внедрить стремный корневой сертификат (например, сайт и сертификат работодателя), то мне хотелось бы явно ограничить полномочия этого стремного сертификата этим конкретным сайтом.
Как решается вопрос с подписыванием сайтов, доступных исключительно в локальной сети по IP адресу
никак
по заранее неизвестному доменному имени
смотри выше
Например, https://192.168.1.1
вообще-то в сертификате может быть указан IP адрес, но это будет дополнительным полем.
Есть ли браузер, который бы давал возможность установить любой корневой сертификат (даже самосозданный для самопальных сайтов)
это может ЛЮБОЙ браузер
позволял ограничить область его действия (белые и черные списки)
это так не работает, увы
выдавал информацию, какими именно корневыми сертификатами удостоверено владение доменами с текущего сайта.
это можно посмотреть в любом браузере, перейдя на вкладку с сертификатами
Если мне для посещения какого-то сайта нужно внедрить стремный корневой сертификат (например, сайт и сертификат работодателя), то мне хотелось бы явно ограничить полномочия этого стремного сертификата этим конкретным сайтом.
согласен. Но вообще это сейчас и так работает.
С другой стороны - если Вам нужно устанавливать корневые (разные) для разных задач - возможно хорошей идеей будет иметь разные браузеры для разных задач (каждый со своим хранилищем сертификатов). Или один браузер, но запущенный из разных каталогов (то есть с разными настройками)
это так не работает, увы
Работает, но сильно не везде. Это т.н. X509 Name Constraints, и оно действительно позволяет в большинстве случаев обрезать корневой CA до доменной зоны/домена. Там, где оно поддерживается, разумеется.
есть еще CAA - https://support.dnsimple.com/articles/caa-record/
Но он тоже не особо помогает. Это все костыли над все еще небезопасным интернетом из 70-х годов. Потому что тогда не было хулиганов в интернетах
Если я правильно понимаю, это ограничение задается при выпуске сертификата. А мне интересно ограничить уже выпущенный кем-то сертификат у себя в браузере.
Если бы сертификат выпускал я сам, то я сам же как-нибудь позаботился бы, чтобы им никто ничего лишнего не подписал.
> Как решается вопрос с подписыванием сайтов, доступных исключительно в локальной сети по IP адресу
никак
Т.е. придется для железяки еще заранее уникальное доменное имя придумывать, чтобы к ней сертификат прикрутить?
это может ЛЮБОЙ браузер
Так вопрос как раз в том, чтобы не просто внедрить сертификат, но и иметь возможность дополнительно ограничить его полномочия.
это можно посмотреть в любом браузере, перейдя на вкладку с сертификатами
А там не просто список сертификатов? Интересны именно подробности - с какого домена каким именно корневым сертификатом было удостоверено.
Но вообще это сейчас и так работает.
Насколько я понимаю, если каким либо корневым сертификатом подписать сертификат на левый сайт, то браузер этот сайт радостно примет. Соответственно, применительно к сертификату и сайту работодателя из примера, хотелось бы оградить себя от других сайтов, подписанных сертификатами, которые удостоверены корневым сертификатом условного работодателя, который мне пришлось внедрить в браузер.
С другой стороны - если Вам нужно устанавливать корневые (разные) для разных задач - возможно хорошей идеей будет иметь разные браузеры для разных задач (каждый со своим хранилищем сертификатов)
Что осложнит переходы по ссылкам с нашего условно-подозрительного сайта. Ведь именно в этот момент могут послать не на оригинальную страницу, подписанную сертификатом, удостоверенным условно доверенным центром, а на левую, подписанную сертификатом, удостоверенным внедреным корневым. А открывать каждый раз такую ссылку в другом браузере - однажды забудешь и просто кликнешь.
Т.е. придется для железяки еще заранее уникальное доменное имя придумывать, чтобы к ней сертификат прикрутить?
зачем? Можно sslip.io воспользоваться.
А там не просто список сертификатов? Интересны именно подробности - с какого домена каким именно корневым сертификатом было удостоверено.
все там есть
Вот сейчас потыкал в разных браузерах для интереса (правда мобильных, может быть, в этом дело и было). В одном (яндекс браузер, однако) информацию о сертификатах отображаемого сайта вообще не нашел, в остальных информация о сертификате только основной страницы, а по файлам, подтягиваемым с других доменов (скрипты, картинки и все такое) ничего (я правильно понимаю, что скрипт с другого домена придет с другим сертификатом?).
В десктопном огнелисе информации оказалось побольше, но тоже только по подтверждению домена основной страницы. По загружаемому с других доменов никакой информации.
F12, слева вкладка Network, справа вкладка Security.
В хромиуме нашел. Это радует, есть такое. Хотя сделано весьма неудобно для быстрой проверки, но хоть так.
А в огнелисе что-то не нашел никакого Security в средствах разработки.
А в мобильных браузерах вообще беда с этим.
Вопрос-то поглубже будет, чем httpS и сертификаты...
Для человека (как хомо сапиенс) нормальным выглядит фраза "это сделал я, этим будут пользоваться мои дети и внуки".
И в строительстве (одной из древнейших индустрий) нормальным является “срок годности" здания в несколько десятков лет. Если повезёт - несколько СОТЕН лет.
Вот построили здание и стоит оно себе без глобальных переделок и кап.ремонтов...
А в ИТ, увы, считается, что каждый год кто-то должен специально озаботиться и предпринять какие-то действия. Без которых всё запросто может перестать работать...
Печалит это...
Я вот живу в доме, который был сдан более 60 лет назад. Но при этом стояк холодной воды у нас крайний раз меняли лет 15 назад, а сейчас идут разговоры, что пора его менять снова: сгнил в подвале. Правда теперь собираются менять на пластиковый.
Каждый месяц у меня в платежке есть графы "ВЗНОС НА КАП. РЕМОНТ" и "СОДЕРЖАНИЕ Ж/Ф" за которые я плачу почти половину квартплаты.
Расскажите пожалуйста, меня обманывают получается. раз дома стоят без переделок? И почему с меня собирают деньги на кап. ремонт если без кап. ремонтов здание себе прекрасно стоит?..
Здание отлично стоит без КАПИТАЛЬНОГО ремонта (это когда с выселением жильцов и переделкой несущих конструкций) упомянутые мной несколько десятков лет. Причем "несколько - это ближе к десятку... В центре Питера хватает дореволюционных зданий, в которых живут люди и в которых кап. ремонта так и не было...
Текущий ремонт (стены там покрасить снаружи, обойчики переклеить изнутри) - раз лет в 10...
Коммуникации поменять (опять же - без расселения жильцов, хотя и с некоторыми неудобствами для них) для старых, металлических труб - раз лет в 20...30... Хотя советские пяти- и девяти-этажки лет по 40 дожидаются замены коммуникаций. Для пластиковых труб срок службы - лет 50, если не ошибаюсь.
На такие сроки модернизации софта я вполне согласен.
Ну а поменять лампочку в доме (что раз в несколько лет случается) - это как иконку на десктопе передвинуть чуть левее :)))
И почему с меня собирают деньги на кап. ремонт если без кап. ремонтов здание себе прекрасно стоит?..
- эти деньги, в отличие от большинства остальных трат, не на текущее потребление, а откладываются на «чёрный день», когда потребуется поменять лифт, например;
- само понятие «капитальный ремонт» в законе трактуется несколько иначе, чем обычно (гораздо шире): замена стояка, покраска фасада — по сути всё, что не является ежедневными тратами.
Если вкратце: я вижу только два более-менее часто встречающихся (редкие — для простоты не упоминаю) случаев объективно обоснованного использования HTTPS.
Более редкий случай — объективная необходимость скрывать информацию: логин и пароли пользователей и прочая авторизационная информация, платный контент, персональная информация. Тут HTTPS действительно нужен, причем — в полном объеме, с шифрованием, и ценность от использования HTTPS тут получают и владелец сайта, и клиенты.
Но основной случай более-менее обоснованного использования HTTPS — для защиты рекламы на сайте от подмены. Реально тут полноценный HTTPS, с шифрованием, даже не нужен — достаточно было бы цифровой подписи контента. И ценность этот вариант использования представляет только для владельца сайта, получающий доходы от рекламы. Клиенты бы, наоборот, и от рекламы с радостью отказались, и подмена источника рекламы им безразлична.
И совершенно объективно необосновано требование обязательного использования HTTP сайтами, предоставляющими общедоступную информацию, которые получают деньги на свою деятельность не от рекламы, а из других источников. Например, совершенно необосновано IMHO требование защищенного подключения со стороны чисто информационных ресурсов госорганов. Или — со стороны Википедии и прочих ресурсов WikiMedia Foundation, где даже рекламы нет.
PS По поводу аутентификации источника информации. Если кратко — клиенту она нужна крайне редко. Во-первых, в большинстве случаев сложно представить сценарий атаки, выгода от которой превышает затраты на вторжение в сеть провайдера. Или, если атаку проводит сам провайдер, то его репутационные (а то и вполне реальные — от штрафов до уголовки причастным) вряд ли можно оправдать эффектом от атаки. И, во-вторых, сама аутентификация не слишком надежна: она опирается на доверие к неким поставщикам сертификатов, оснований доверять которым, вообще говоря, ничуть не больше, чем доверять провайдерам, обеспечивающим канал связи.
PS Но закон, снижающий апетиты провайдеров по подсовыванию рекламы, таки нужен, я считаю.
И, во-вторых, сама аутентификация не слишком надежна: она опирается на доверие к неким поставщикам сертификатов, оснований доверять которым, вообще говоря, ничуть не больше, чем доверять провайдерам, обеспечивающим канал связи.
это ложный тезис. Даже несмотря на то, что были скандалы с центрами сертификаций. И более того - это как раз отличный пример того, что софт НЕОБХОДИМО обновлять. То есть - бежать вместе со всей индустрией и всем миром вперед. А то окажется, что у тебя устаревшие корни и ты попросту уже не можешь быть уверен в том, что ты соединяешься именно с тем сайтом, куда коннектишься.
Во-первых, в большинстве случаев сложно представить сценарий атаки, выгода от которой превышает затраты на вторжение в сеть провайдера
это может быть и не атака как таковая с целью похитить данные. А что-то типа пранка, шутки. Какого-нибудь малозначительного админа из провайдерской сети.
Более редкий случай — объективная необходимость скрывать информацию: логин и пароли пользователей и прочая авторизационная информация, платный контент, персональная информация.
еще типичная проблема. Был сайт. Жил себе по http. Никого не трогал. В какой-то момент времени на него добавили админку и бекенд. Все. Данные гуляют по сети в открытом виде. А сделали бы https - проблем себе не нажили. Да, наверное, это отсутствие процессов и головотяпство. Но это типичная история, когда айти системы развиваются стихийно. И используют что-то готовое в качестве базы. А в результате получается какая-то фигня. То есть с точки зрения пользователя - ну, все окей, сайт работает. А безопасность? О ней думают только в последнюю очередь.
Или — со стороны Википедии и прочих ресурсов WikiMedia Foundation, где даже рекламы нет.
там рекламы нет, но есть возможность редактирования статей
это ложный тезис. Даже несмотря на то, что были скандалы с центрами сертификаций.Ключевой источник ограничения доверия — не скандалы, а юрисдикция. Все ЦС обязаны подчиняться государству, в чьей юрисдикции они находятся. То есть, реальный корень доверия — это государство. А сейчас такое время, что ни одному государству доверять нельзя.
это может быть и не атака как таковая с целью похитить данные. А что-то типа пранка, шутки. Какого-нибудь малозначительного админа из провайдерской сети.
Ну и хрен с ним. Я тут о вещах серьезных — о деньгах.
Никого не трогал. В какой-то момент времени на него добавили админку и бекенд. Все. Данные гуляют по сети в открытом виде. А сделали бы https — проблем себе не нажили.
А еще лучше бы — наняли бы нормальную команду: HTTPS — не панацея от того, чтобы с безопасностью накосячить.
там рекламы нет, но есть возможность редактирования статей
ВОзможность редактирования статей там есть и без аутентификации. Но вот вход пользователей и работа не под анонимом, про которого только IP известен, а под пользователем — это однозначно требует HTTPS.
Или — со стороны Википедии
Вот как раз для Википедии наличие HTTPS (или по крайней мере цифровой подписи) стало категорически обязательным после 24 февраля
А вот про содержимое Википедии в конкретный момент нельзя сказать даже этого. А потому с Википедией, в отличие от остальных перечисленных источников актуальной (а потому обладающей сомнительной достоверностью) информации просто непонятно, как работать.
Для чего действительно хорошо годится Википедия — это как источник информации по широкому кругу вопросов, точка зрения на которые устоялась. Например, когда мне недавно потребовалось для неких надобностей найти список рок-групп времен СССР, я полез именно в Википедию: у меня не было оснований подзревать, что там из списка какие-нибудь злоумышленники вычеркнут «Кино» или «Зоопарк» или, наоборот, впишут «Ю-питер». Хотя и в таких вопросах Википедия — не без ошибок: например в списке по соответсвующей категории почему-то не было «Трубного Зова», хотя статья про него была — просто она попала в другую категорию.
Это все неправда. Википедия прекрасная вещь, причем ее политика такова, что нельзя написать абы что - это все подтверждается ссылками на другие, более авторитетные источники. То есть в крайнем случае всегда можно самому провести факт-чекинг. В случае с РИА Новости это попросту невозможно сделать, потому что никаких кросслинков они не дают. И предлагают доверять им.
более авторитетные источники.
Не авторитетные, а популярные. Авторитетность источников вещь слишком субъективная.
В конце концов, прием «вброс-опровержение» — он уже старый, и вовсю использовался и в обычных СМИ, до всяких интернетов. А еще из Випидеии ссылки на альтернативные источники могут быть просто удалены вместе с информацией из них. Так что факт-чекинг на основе текущего содержимого Википедии — это так себе занятие. IMHO оно себя при наличии массы других источников неоправданно — а источников таких, самой разной направленности, для действительно актуальных событий множество.
Но, главное, в Википедии мне неизвестен вероятный характер искажения, тогда как по репутации обычных источников (которые как правило, ангажированы), я могу достаточно точно оценивать, в какую сторону могут быть искажения и какая информация может быть просто скрыта.
Например, когда я 14 марта с.г. читал BBC, я совсем не удивился, что я там не встретил упоминания об ударе в тот же день по центру Донецка ракетой с кассетной БЧ, вызвавшем гибель мирных жителей — о котором тогда трубила вся российская пропаганда, с цифрой в 20+ погибших мирных жителей, с фотками и с надлежащими возмущениями. А для фактчекинга — что удар таки был — BBC пригодилась, когда я увидел в ней на следующий день Донецк в списке городов Украины, подвергшихся ударам, приведшим к жертвам среди мирных жителей.
PS Все прочие обстоятельства этого удара я опускаю, и больше я об этом ударе не напишу на Хабре ни слова, клянусь ;-). Потому что это — политика, а политику я обсуждаю не на Хабре.
Здесь информация о нем приведена исключительно для демнстрации примера, как надлежащим образом должен производиться факт-чекинг. И, как видите, от наличия ссылок этот процесс практически не зависит.
PPS Все это было проделано, в общем-то, без дополнительных затрат времени, чисто при рутинном просмотре моего стандартного набора источников.
Поэтому любое интересующее нас утверждение либо не имеет источника — игнорируем — либо имеет, и мы в него смотрим. И решаем, чего этот источник стоит.
По-моему, очень хорошая схема. Надежнее только информация от Папы Римского, потому что он никогда не врёт.
только одна проблема есть в этом случае - ссылки имеют тенденцию умирать. Идешь по ней - а там уже что-то левачное или 404. На этот случай есть web archive.. Но он не всеобъемлющ
Более того, утверждения без ссылок получают явные, видимые «плашки» — мол, ссылки нет, написана отсебятина.
Как быстро появлятся плашка? Насколько я понимаю, автоматически при правке она не ставится — это выгдяит невозможным. А тогда вариант, когда обновление уже появилось, а плашка — нет, не исключен.
и мы в него смотрим И решаем, чего этот источник стоит.
Лишний шаг. И, зачастую, сложно решить, чего этот источник в данном конкретном случае стоит, только на основе этого источника. Ну, и важная информация может быть просто пропущена. Короче, см. предыдущий ответ, что проверять нужно, как минимум разные источники, поддерживающие обе конфликтующие стороны.
достаточно было бы цифровой подписи контента
С подписью без шифрования есть интересная дилемма.
Допустим кто-то подменил несколько страничек Википедии и они стали приходить пользователю с невалидной подписью. И другим содержимым. Что делать браузеру? Что делать пользователю?
Шифрование отлично решает эту проблему. Техническим методом. Есть математическая гарантия что никто не сможет подменить содержимое странички.
Допустим кто-то подменил несколько страничек Википедии и они стали приходить пользователю с невалидной подписью. И другим содержимым. Что делать браузеру? Что делать пользователю?
Браузеру — то же самое, что и при обнаружении недопустимого сертификата: сообщить пользователю, добиться от него осознания сообщения и предоставить пользователю принять решение.
Пользователю — оценить риск и принять решение. В конце концов, он — взрослый человек, отвечающий за свои действия сам.
Возможный вариант, если пользователь — несовершеннолетний: дать в рамках родительского контроля возможность родителям запретить в таких случаях просмотр ребенку недостоверного содержимого.
Шифрование отлично решает эту проблему. Техническим методом. Есть математическая гарантия что никто не сможет подменить содержимое странички.
Но можно сервер-адресат подменить, и никакая математическая гарантия тут не поможет: все равно придется принимать решение, что делать с неверным сертификатом. И я неоднократно сталкивался со случаями, когда сертификат — более-менее в порядке, а потому может быть принят: либо просрочен, либо выдан на одно из имен с/без www в том же домене, а я подключаюсь по другому имени.
И сюда же. Шифрование скрывает точный url странички на которую вы ходите и не дает возможности именно ее заблокировать. Как показала жизнь это очень полезное свойство.
В результате я в недавнем прошлом, когда в Лурке еще что-то было, я не имел безгеморойного доступа ко всему Лурку, а не только к тем страничкам про вещества, которые мне и так не были интересны. А мой прежний провайдер, не умевший в SNI нередко блокировал в результате совсем посторонние сайты — типа covid.mz.mosreg.ru, который оказался на одном IP с какими-то мошенниками из Геленджика, торгующими медкнижками (и да-да — они пользовались этим любимым вами CDN, потому там и оказались). Провайдера я, правда сменил — не из-за этого, а после того как у него крысы кабель сгрызли, но если введут ECH — что тогда мне делать?
Так что, реальная жизнь — она сложнее всяких там идеальных схем.
Вставлю 5 копеек: блокирование браузерами http-сайтов в intranet - вот где боль. Есть промышленное устройство с вебмордой, например, оно изолировано. Есть любой современный браузер.. который ничего не откроет без танцев с бубном. Какие решения?
Выпустить в интернет чтобы обновлялся какой-то серт через acme?
Покупать и подтягивать платные решения, чтобы подольше?
Рассказывать нетехнарям: то, что там пишет, что у нас огромные проблемы с безопасностью - вы не верьте, это ерунда, вот, нажмите "дополнительно", "игнорировать"..?
А насколько част кейс "нетехнарям работать с промышленным устройством"?..
Ведь небольшое количество нетехнарей вполне и обучить можно...
Или установить им АРМ с не столь современным браузером, изолированный в той же сети, что и устройство, ибо работать со старым устройством из "общей" сети - потенциально небезопасно само по себе.
А насколько част кейс "нетехнарям работать с промышленным устройством"?..
Я бы сказал "в большинстве случаев" в нехайтек производстве.
Или установить им АРМ с не столь современным браузером, изолированный в той же сети, что и устройство, ибо работать со старым устройством из "общей" сети - потенциально небезопасно само по себе.
Чувствуете эту боль - из-за навязывания https изобретать какую-то полностью кастомную инфраструктуру ради совместимости, которую отбирают. И у вас какое-то непонятное восприятие промышленных устройств, да и вообще состоянием дел в интранетах, раз отсутствие обязательных ssl\прямого выхода в интернет считаете потенциально небезопасным устаревшим устройством.
Даже откладывая промышленные устройства. Какая-то админка какого-то умного свитча в локалке тоже не откроется без страшилки об ошибках и проблемах с безопасностью. Нет, свитч плохой пример, это устройство сетевиков. А какое-то пожарное реле, не знаю, просмотр камер на складе, страничка с выхлопом состояний шлагбаумов на объекте, панель ввода параметров в контроллер сколько сыпать сахара в торт - это всё раньше просто работало, а сейчас, если не изобретать кастомные костыли под каждый случай, то где-то может полностью остановиться работа из-за появления в критичном месте очередного никому не нужного NET::ERR_CERT_INVALID.
p.s. Ах да, был же костыль - самоподписанные сертификаты. Но они тоже больше не котируются браузерами. Даже если корневой в систему воткнёшь. Тогда ошибки будут ещё толще и страшней - бейте тревогу, возможно злоумышленник пытается сделать MITM, опасносте.
Я бы сказал "в большинстве случаев" в нехайтек производстве.
И какой процент это составляет от общего числа случаев использования браузеров?..
Чувствуете эту боль - из-за навязывания https изобретать какую-то полностью кастомную инфраструктуру ради совместимости, которую отбирают.
Если железка не умеет https - то скорее всего она уже лет дцать не обновлялась или вообще не поддерживается вендором, значит, в ней может обнаружиться какой-то баг, который ударит не по непонятной безопасности, а по вполне понятному - по кошельку. Например, через голосовой шлюз нальют трафика на многоденег и придёт счёт от провайдера (возможно, вместе с обеспечительными мерами от суда, если деньги очень большие, а у вас не так много активов).
да и вообще состоянием дел в интранетах, раз отсутствие обязательных ssl\прямого выхода в интернет считаете потенциально небезопасным устаревшим устройством.
Наличие-отсутствие шифрования - это не сама по себе проблема, это косвенный признак наличия других проблем с используемыми устройствами, из-за чего их и работающих с ними скорее всего надо изолировать от общей сети. А то и правда, как предложено рядом, ребёнок с планшетом в вайвае откроет все шлагбаумы и двери, выключит камеры, да еще и криптера на видеорегистратор подсадит.
А уж в интранетах чего только не творится, включая заводские пароли и необновлённые годами прошивки... И не только в интранетах - помнится, не так давно бороли ботнет на микротиках. Что только усиливает желание изолировать от такой сети реально важные устройства почти так же, как и изолировать их от Интернета.
Ах да, был же костыль - самоподписанные сертификаты. Но они тоже больше не котируются браузерами. Даже если корневой в систему воткнёшь.
Котируются, кроме мобильных - на мобилах вечно с сертификатами геморрой. Заводишь свой CA (ну или лучше цепочку из двух CA) и раздаёшь сертификаты на всё, что нужно.
Котируются, кроме мобильных - на мобилах вечно с сертификатами геморрой. Заводишь свой CA (ну или лучше цепочку из двух CA) и раздаёшь сертификаты на всё, что нужно.
Мобилки пошли по хорошему пути. Просто добавить геморой. А вот корпоративное решение с MDM профилем и любым вашим корневым сертификатом хорошо работает.
В этом есть плюс. MITM атака даже от государства становится еще более затрудненной.
Мобилки пошли по хорошему пути. Просто добавить геморой. А вот корпоративное решение с MDM профилем и любым вашим корневым сертификатом хорошо работает.
В этом есть плюс.
Но корпоративное решение MDM стоит корпоративных же денег.
В этом есть минус.
Для остальных есть бесплатные сертификаты от LE.
Все справедливо.
Для остальных есть бесплатные сертификаты от LE.
И split-DNS для локалки, угу.
Хотя всё равно геморрой, конечно. Но геморрой - всё-таки не отсутствие решения проблемы, а лишь осложнение.
Усложняете. Подтвердить адреса для LE можно просто через DNS. Даже вайлдкарды туда завезли уже. Ничего открывать или сложно конфигурить не надо.
Скрывать внутренние адреса полностью в общем не имеет смысла. Использовать публичный домен второго уровня нормально.
Усложняете. Подтвердить адреса для LE можно просто через DNS. Даже вайлдкарды туда завезли уже. Ничего открывать или сложно конфигурить не надо.
Можно вайлдкарды и DNS. Но если нет желания делать это регулярно руками - надо учитывать нюансы (в некоторых сценариях может и не получиться).
Скрывать внутренние адреса полностью в общем не имеет смысла.
Если железка не торчит в инет через реверс-прокси, а только в локалку, и при этом не используется вайлдкард сертификат (который через DNS) - то делать сплит придётся скорее всего.
Использовать публичный домен второго уровня нормально.
Нормально. Правда, его может и не быть вообще у шарашкиной конторки - а только публичный IP и назначенные ему провайдером A и PTR записи, да и то - если провайдер не забил, а клиент не забыл сказать провайдеру, что их надо сделать.
Нюансы есть везде и всегда. Нам же вроде деньги платят за то что мы в этом разбираемся и можем типовую задачу сделать нормально?
Так чтобы решение не было переусложенным и подходило именно для этой задачи.
Нормально. Правда, его может и не быть вообще у шарашкиной конторки - а только публичный IP и назначенные ему провайдером A и PTR записи, да и то - если провайдер не забил, а клиент не забыл сказать провайдеру, что их надо сделать.
Домен стоит долларов 10-20 в год. Несерьезно. Давно пора сделать, если еще нет. Хотя бы лендинг для рекламы надо же где-то держать?
Нюансы есть везде и всегда. Нам же вроде деньги платят за то что мы в этом разбираемся и можем типовую задачу сделать нормально?
Вот только некоторые ((эффективные) менеджеры) хотели бы от ИТ-шников вообще избавиться, т.к. в случае не-ИТ-конторы они - деньги тратят, а не приносят. Потому некоторые на полном серьёзе могут думать про всемирный заговор админов "про этот ваш https", чтобы заставить (менеджеров) нести расходы на ИТ.
Заговор, правда, есть - только с другой целью - заставить (эффективных) менеджеров что-то делать в плане обеспечения безопасности, а не тупо скрывать проблемы и преследовать тех, что их выявляет.
Домен стоит долларов 10-20 в год. Несерьезно. Давно пора сделать, если еще нет. Хотя бы лендинг для рекламы надо же где-то держать?
Зачем? Группы в ВК им вполне может хватать. И бесплатная почта на мейлру (тот же ВК, впрочем), и чат в вацапе. И вот с таким бардаком они вполне могут иметь пару сотен миллионов выручки в год и не видеть нужды в доменах и прочей "зауми".
Вот так иногда и рождаются рассуждения про ненужность https, т.к. кроме безопасности реквизитов своей банковской карты "на интуитивно-практическом" уровне они практически больше ничего не понимают...
И да, я не понял насчет мобилок: туда сертификаты сейчас со своего CA без танцев с бубном ставятся, или как? Это я просто спрашиваю, ибо не в курсе.
За LE большие ребята стоят. Прям сломаться надолго они уже не могут. Небольшую недоступность все нормально настроившие свои ресурсы переживут даже не заметив этого. Я бы отключал часть LE продлевающую сертификаты на пару часов раз в месяц ради эксперимента. Чтобы мотивировать всех сделать нормально.
В мобилки почти нельзя. И это даже к лучшему. Мобилка это про сотовую сеть и общедоступные ресурсы. Корнер кейсы опять же бывают, но прям редко. Делайте MDM и все будет. Или LE ваш выбор.
Поставьте реверс прокси перед ним и забудьте о проблемах. Бесплатно, надежно и даже безопасность повысить можно.
Ну, что поделать, пусть тогда ребенок с сотовым на гостевом wifi поиграет с панелью управления чего-нибудь, если без катастрофы не осознается, что подходы давно пора менять.
Это виртуалка такого уровня которая может жить сама по себе годами и десятилетиями. Пока есть железка на которой она может работать. Обслуживание можно принять равным нулю.
habr.com/ru/post/670932/#comment_24432128
А обновления на ОС вы не ставите? А надо.
Ну, и в мониторинг это добавить нужно, чтобы внезапно не выяснилось, что эта прокся полгода как сдохла
Если я сегодня заведу простейшую проксю на 20 Убунте и свежем Nginx, то вероятность что там найдут что-то вроде RCE применимое к моей конфигурации стремится к нулю.
Мы же считаем что это вместо прямого доступа к давно необновляемой железке. Что-то менее безопасное чем такая железка сделать почти нереально.
Если я сегодня заведу простейшую проксю на 20 Убунте и свежем Nginx, то вероятность что там найдут что-то вроде RCE применимое к моей конфигурации стремится к нулю.Но — не ноль.
Кстати я бы NGinx поставил туда не свежий, а тот, в котором после последней серьезной уязвимости ещё не были добавлены новые, но здесь не нужные фичи — новые фичи имеют повышенный риск наличия уязвимостей.
Ну, и еще раз — все это выглядит как излишняя работа.
Мы все еще про старую железку без обновлений которая доступна напрямую по сети. Где тут про ноль? Надо сделать лучше и этого более чем достаточно. Мой сценарий точно безопаснее этой железки будет.
Там работы примерно 10 строк конфига. Плюс деплой, конфиг всего вокруг и тому подобное. Любой админ с рынка это сделает за день и не перетрудится при этом. 20.000 рублей по максимальным расценкам. Несерьезно.
Наличие админа при наличии ценной старой железки я считаю необходимым. Он может быть в вышестоящей организации или на подряде. Не важно. Человек присматривающий за ценным железом работающим по сети должен быть точно.
Наличие админа при наличии ценной старой железки я считаю необходимым. Он может быть в вышестоящей организации или на подряде. Не важно. Человек присматривающий за ценным железом работающим по сети должен быть точно.
А вот в этом и вся суть - хотят сэкономить на админе, убрав его полностью - мол денег не приносит, а только потребляет.
Эффективный менеджмент, понимаешь...
Мы же считаем что это вместо прямого доступа к давно необновляемой железке. Что-то менее безопасное чем такая железка сделать почти нереально.
Именно. Но можно и обновлять виртуалку - это по-любому проще, чем обновлять неподдерживаемую железку и/или дешевле, чем обновлять поддерживаемую "лишь за большие бабки" железку, если она "и так работает".
Ну вот для чего нужна была вся эта мышиная возня с гноблением простого HTTP, предупреждением о небезопасности сайтов на нём? Ладно там сайты банков или другая чувствительная информация, но чисто информационные - зачем?
Причина проста. Браузер:
* не может определить тип сайта: банк это, вебпочта или безобидный прогноз погоды
* не имеет полной защиты от IP/DNS спуфинга
И если он не будет предупреждать о незащищённом соединении, то через DNS/IP спуфинг жертве можно подсунуть липовый сайт банка/магазина/почты с HTTP без сертификата. От этого может спасти HSTS, но для этого надо хотя бы раз зайти на оргинальный сайт.
Именно поэтому надо помечать HTTP сайты таким же образом, как и HTTPS сайты с невалидным сертификатом - НЕБЕЗОПАСНЫМИ!!
Для оценки безопасности сайта браузер может опираться только на встроенное хранилище сертификатов CA, то есть только HTTPS сайты с валидным сертификатом могут считаться безопасными с какой-то степенью.
Ошибка довольно нетипичная. Если бы там просто не было HTTPS, сайт бы открывался по HTTP без особых проблем. В данном случае проблема не в "повсеместном переходе на HTTPS", а именно в кривой настройке. SSL там как будто бы есть, но нерабочий. А вообще-то русский сайт Foreca — https://www.foreca.com/ru/ и он нормально работает.
Реально сейчас https настроить не есть проблема, зато потенциальных кучу проблем это решает на корню.
Если ты хочешь чтобы твой сайт был публичным - приходится соблюдать общественные принятые в мире нормы.
А отдельные индивидумы легко могут включить работу с HTTP в своем браузере в тонких настройках без предупреждений.
Если ты хочешь чтобы твой сайт был публичным — приходится соблюдать общественные принятые в мире нормы.
Так вот в том-то и смысл статьи — эти принятые (кем-то, непонятно кем) нормы не являются разумными.
PS А ещё я — человек по происхождению советский, а потому не мог не вспомнить чисто советскую формулировку указания на решение вышестоящего партийного органа: «есть мнение, что...» — больно уж «общественные принятые в мире нормы» на него похожи своей категоричностью и своей безличностью.
Сталкивался с ситуацией, когда один местный провайдер примерно каждую неделю запрос к произвольному HTTP-сайту подменял редиректом на свою страницу с рекламой услуг. И всё бы ничего, но подменённый ответ сервера кэшировался браузером, в итоге такой сайт больше не открывался до тех пор, пока пользователь не очистит кэш браузера. Для неопытного пользователя в такой ситуации сайт окажется потерян на весьма продолжительное время. Без HTTPS тут противостоять не получится.
Без HTTPS тут противостоять не получится.
Получится. Обычно достаточно пожаловаться в техподдержку провайдера.
Если не помогает, то жалоба на провайдера регулятору часто творит чудеса.
На мой взгляд, самая большая проблема в том, что ни один из известных мне популярных текстовых браузеров не поддерживает HTTPS.
Допустим у меня в браузере открыто 100 вкладок, из них все https. 1 числа месяца закончился оплаченный период интернета. При запуске браузер хочет прочитать табы заново, и получаются десятки вкладок с сайта провайдера с предложением заплатить, и что особенно обидно, история стирается, нажатие назад не позволяет вернуться. Как так получается-то? Особенно обидно, что юзерскрипт значит не может использовать http со страницы https (запрет на mixed content), а вот такая штука у провадйера получается.
юзерскрипт значит не может использовать http со страницы https
Если использовать GM.xmlHttpRequest, то может
Эм... чтобы мегафон не совал рекламу в страницы?
Объявляем HTTP небезопасным
Раздаем всему пользователям SSL сертификаты из подконтрольных центров
Блокируем любой неугодный ресурс простым отзывом сертификата
...
SECURITY !!!
Добро пожаловать в реальность, где злобные твари, дорвавшиеся до власти, обладают абсолютной монополией на распространение информации.
Тоже cloudflare внезапно удалил сертификаты? У меня все сайты недавно открываться перестали с такой же ошибкой.
twitter.com/mossobyaniin/status/1544318154846998531
Ходишь куда-то по незащищенному HTTP? Ннна тебе пропаганду о том, как зашибись теперь живётся жителям Херсона.
О HTTP бедном замолвите слово