Ну похоже так и есть. Видимо он слишком эффективно продвигает свои идеи, именно свободного ПО, а не удобного для корпораций инструмента под видом такового. Но нельзя сместить человека с поста за то что он слишком хорошо делает свою работу. Вот и придумывают всякую чушь. Хотят чтобы лидером был… такой же деятель как сейчас возглавляет Мозиллу. Формально борец за, а дефакто — человек, разрушающий то, что должен развивать.
А смысл в том, что пользователь отправился с помощью интернета в другую страну, в ту где стоит сервер. И этот сервер его там обслужил, по законам той страны, где он стоит.
Беда в том, что власти всеми силами пытаются лишить людей этой возможности, т.к. хотя бы в чём-то у них появляется возможность выбирать юрисдикцию.
По сути власти пытаются создать концлагерь, чтобы вы получали только ту информацию (а на самом деле дезинформацию) которая им выгодна. И именно с этим люди и борются. Вот и всё.
А ведь как просто можно было бы решить проблему по нормальному: просто если нет OCSP ответа от сервера — соединение не достоверное (никаких запросов от браузера к CA). И ошибки настройки бы сразу было видно, и утечек, даже потенциальных бы не было.
Если запрос к OCSP делает браузер, а не сервер, то OCSP сервер получает полную статистику кто и когда обращается к ресурсу. Теперь следить за вами будет и CA.
Очередная агитация в стиле «сделайте бекдор в своём проекте не только для спецслужб своей станы, но ещё и для крупных корпораций, а то им тоже хочется, а законного способа вас заставить нет» (один OCSP реализуемый запросом браузера чего стоит). Безопасность это как раз та область где нужно по-умолчанию считать всех врагами и не доверять никому, а не искать способы сделать полегче, да подешевле.
Возмещение ущерба, ответственность за взломы? Вы шутите? Да вся IT построена на том, что никто никому ничего не должен. Сколько раз взламывались всякие крупняки? Сколько раз они теряли не то что логины/пароли а данные кредиток миллионов человек? И? Понёс ли хоть кто-то ответственность большую чем пресс-релиз «извините»? Вот когда начнут реально наказывать всякие Гугло-фейсбуки за утечки, тогда, возможно, уже и обратят внимание на проекты поменьше.
Ладно, я могу согласиться с тем что компании не несут ответственности за контент пользователей. Это разумно.
Но с какого фига они не несут ответственность за свои собственные решения по модерации? Собственно из-за этого мы и получили де-факто цензуру от пары-тройки крупных игроков. И это нужно срочно исправлять. В противном случае эта цензура может оказаться ещё хуже государственной.
Это пока. Вы поймите, речь сейчас идёт о том, что пора менять правила игры, т.к. они односторонние: разработчики, платформы, правоторговцы и прочие — могут делать что хотят, у потребителя прав 0. На фоне всей этой борьбы с пиратством и т.п. одна сторона только увеличивает права. Естественно так не может продолжаться бесконечно.
Я думаю скоро это пройдёт. В массе своей люди уже начали плеваться от f2p игр, т.к. пришло осознание что же это за «free» такое. Когда f2p начиналось — это понимали единицы игроков, а сейчас всё больше и больше.
Ну так тогда в чём проблема HPKP и корпоративного сегмента? В нём просто HPKP будет обрабатывать Firewall (или кто там занимается инспекцией трафика), а браузер игнорировать. В домашнем сегменте — проверять будет браузер.
Весь смысл HPKP избавиться от возможности злоупотребления со стороны CA. Т.к. после первого посещения сайта строиться цепь доверия (хотя схема и не такая как у блокчейна, но сути это не меняет). И даже если CA издаст левый сертификат (а это весьма вероятно, учитывая что у нас все CA могут издавать сертификаты ко всем сайтам) то такой сертификат будет послан нафиг, т.к. его хеш отсутствует в этой цепочке доверия.
P.S. Опять же где-то слышал что в Хроме зашита защита от выдачи сертификатов на домены Гугла от левых CA (т.е. себя они защищают, т.к. прекрасно всё понимают).
С одной стороны это конечно так. А с другой пропихивать тотже QUIC это им совсем не мешает.
Да и решением для корпоративного сектора мог бы стать механизм «сертифицированного MITM». Смысл в том, что в браузер устанавливается специальный сертификат фирмы, который так и помечается (он может быть только один). И дальше следует разрешение на MITM с этим сертификатом (плюс пользователю показывают предупреждение, что трафик мол просматривается твоей организацией). И всё хорошо.
Ну Гугл как обычно. Теперь целью стал HPKP. Они системно борются с любыми вещами, которые связаны с реальной безопасностью между пользователями и сайтами. Но активно пропихивают любые решения с 3-й стороной. Всё по заветам «верьте нам».
P.S. Хотя вроде для себя любимых аналог HPKP в Хроме сделали.
Хм… лично мне кажется что если проблема фундаментальная, то решать её надо фундаментально, а не «тяп-ляп и в продакшен». А вот спешка в стиле «да мы в юзер-спейс реализуем то, что должно быть в ядре» ничего хорошего в долгосрочной перспективе не принесёт.
Другое дело что Гугл, кмк, просто хочет сделать всё по своему (а для фундаментального решения нужна работа с и учёт интересов всех заинтересованных групп) и как ему удобно. Вот только при этом он пытается продавить это как якобы «стандарт интернета». Хотя стандарт должен быть для всех (в том числе разработчики железа, разработчики ОС, разработчики софта, администраторы сетей), а не только для крупных интернет компаний определённого профиля.
У меня в первую очередь возникает один вопрос: зачем поверх UDP? Мы говорим что TCP плохо и его надо заменить. Ну так и меняйте как ещё один протокол над IP. Любят же они городить стек решений по принципу: решение А плохое, напишем решение Б поверх решения А, а не вместо него. Это как-бы главное.
А так, последнее время любая инициатива Гугла — та ещё дрянь. Кажется они там в гугле решили что гугл и HTTP это и есть весь интернет.
Беда в том, что власти всеми силами пытаются лишить людей этой возможности, т.к. хотя бы в чём-то у них появляется возможность выбирать юрисдикцию.
По сути власти пытаются создать концлагерь, чтобы вы получали только ту информацию (а на самом деле дезинформацию) которая им выгодна. И именно с этим люди и борются. Вот и всё.
Возмещение ущерба, ответственность за взломы? Вы шутите? Да вся IT построена на том, что никто никому ничего не должен. Сколько раз взламывались всякие крупняки? Сколько раз они теряли не то что логины/пароли а данные кредиток миллионов человек? И? Понёс ли хоть кто-то ответственность большую чем пресс-релиз «извините»? Вот когда начнут реально наказывать всякие Гугло-фейсбуки за утечки, тогда, возможно, уже и обратят внимание на проекты поменьше.
Но с какого фига они не несут ответственность за свои собственные решения по модерации? Собственно из-за этого мы и получили де-факто цензуру от пары-тройки крупных игроков. И это нужно срочно исправлять. В противном случае эта цензура может оказаться ещё хуже государственной.
Напишу свой вариант ответа: потому что читать удобнее. Вот удобнее и всё тут.
Это пока. Вы поймите, речь сейчас идёт о том, что пора менять правила игры, т.к. они односторонние: разработчики, платформы, правоторговцы и прочие — могут делать что хотят, у потребителя прав 0. На фоне всей этой борьбы с пиратством и т.п. одна сторона только увеличивает права. Естественно так не может продолжаться бесконечно.
Я бы за такое вообще убивал. Причём обе стороны. Т.к. это «действо» вообще противоречит самой идеи PKI, цепи доверия и т.п.
Весь смысл HPKP избавиться от возможности злоупотребления со стороны CA. Т.к. после первого посещения сайта строиться цепь доверия (хотя схема и не такая как у блокчейна, но сути это не меняет). И даже если CA издаст левый сертификат (а это весьма вероятно, учитывая что у нас все CA могут издавать сертификаты ко всем сайтам) то такой сертификат будет послан нафиг, т.к. его хеш отсутствует в этой цепочке доверия.
P.S. Опять же где-то слышал что в Хроме зашита защита от выдачи сертификатов на домены Гугла от левых CA (т.е. себя они защищают, т.к. прекрасно всё понимают).
Да и решением для корпоративного сектора мог бы стать механизм «сертифицированного MITM». Смысл в том, что в браузер устанавливается специальный сертификат фирмы, который так и помечается (он может быть только один). И дальше следует разрешение на MITM с этим сертификатом (плюс пользователю показывают предупреждение, что трафик мол просматривается твоей организацией). И всё хорошо.
P.S. Хотя вроде для себя любимых аналог HPKP в Хроме сделали.
Другое дело что Гугл, кмк, просто хочет сделать всё по своему (а для фундаментального решения нужна работа с и учёт интересов всех заинтересованных групп) и как ему удобно. Вот только при этом он пытается продавить это как якобы «стандарт интернета». Хотя стандарт должен быть для всех (в том числе разработчики железа, разработчики ОС, разработчики софта, администраторы сетей), а не только для крупных интернет компаний определённого профиля.
А так, последнее время любая инициатива Гугла — та ещё дрянь. Кажется они там в гугле решили что гугл и HTTP это и есть весь интернет.