На OVH после создания машины сразу начинаются сканы портов и попытки входов. Господину доктору/мастеру Ит хотя бы антидос в панельке бы включить, хотя он там для большинства тарифов из коробки бесплатно активируется. Там безлимит по трафику.
Везде начинаются. Причём по ssh - теперь сканы распределённые и ходят подсетками. (Куда и отправляются в долгосрочный бан подсетками по итогам дня).
Сама технология SSL порочна по своей сути, потому что придумана во времена розовых пони и предполагает априори, что в интернетах нет границ, все всем доверяют и прочий наивный нонсенс романтиков 90-х
Да, таких розовых пони, что без этого в трафик лез провайдер и ломал вебстраницы вставляя свои рекламные баннеры и портя картинки "оптимизацией".
(Если не верите - на хабре имеется прилично статей из нулевых и 2010-х, где это детально описывается в исполнении российских же сотовых операторов).
А уж развлечения - "развернуть картинки вверх ногами на прозрачной проксе" были доступны на нешифрованном трафике с достаточной скоростью уже в нулевые.
Самая серьёзная претензия, которую общественность предъявляет к такому УЦ, основана на презумпции виновности. Рассматривается гипотетический вариант, при котором такой УЦ (или злоумышленник, скомпрометировавший УЦ) выпускает сертификат для сайта N без ведома владельца сайта N и, в силу того, что УЦ является доверенным, узел с таким сертификатом может быть включён в цепочку MITM. Это технически возможный сценарий. Настолько же возможный, насколько он возможен для любого другого корневого УЦ.
Ммммм, государство, которое требовало сервисы сдавать ключи шифрования... что же может пойти не так в доверии-то, а?
Единственное — почему-то зарубежным корневым УЦ, чьи сертификаты установлены в систему производителем ОС, принято априори доверять, а отечественному УЦ — предлагается априори не доверять. Хотя, как уже проводилась ссылка выше в комментариях, история знает не единичные случаи компрометации и «по умолчанию доверенных» УЦ.
Не то чтобы априори, но там есть требования к прозрачности процессов в УЦ. И при их нарушении, они теряют доверие. Обычно с концами.
(Ну и смотри прошлый тезис. Декларация он намерениях была весьма прозрачной.)
PS. Только недостаточное проникновение отечестввенного сертификата не даёт включить массовый MiTM на ТСПУ.
А можно ссылку? Потому что если мы про startcom - то он труп. Когда компании, основной бизнес которой выдача сертификатов - лишают права на выдачу на длительное время - то это по факту смерть компании.
Из статьи я не понял почему возможность легитимно дешифровать HTTPS‑трафик пользователя. Весь. С любого устройства, где установлен данный сертификат - УЦ только подписывает пару сертификат+приватный ключ для сайта. В обычных условиях центр сертификации доступ к приватному ключу (на основе которого шифруется трафик) вообще никогда не получает. PS Репозиторий не изучал
Российский УЦ выдаёт сертификат на любой домен (хоть google.com, хоть кого-то ещё). Устройство пользователя ему доверяет. Российские службы на ТСПУ (или ещё как-то перехватывают пользовательский трафик и перешифровывают его - перехватывают соединение и шифруют этим сертификатом от минцифры.
Собственно ровно так работают ВСЕ современные корпоративные системы контроля доступа в интернет - на компьютере ставится сертификат от корпоративной CA, а корпоративная прокся перешифровывает трафик. Это ломается на certificate pinning, но в общем и целом - работает.
Так же как и то, что не минцифры должно решать проблему ограничения доверия к этому сертификату (они – заинтересованная сторона), а авторы браузеров и стандартов web.
К сожалению - именно издающая сторона конфигурирует CA так, чтобы он мог выдавать сертификаты для конкретной зоны/доменов. Всё остальное - ненадёжные костыли.
В данном случае вопросов было бы в разы меньше, если:
УЦ был лимитирован для доменов .ru и .рф (PKI инфраструктура это позволяет сделать). В таком случае - выпущенные сертификаты для других доменов автоматически считались бы не действительными.
УЦ следовал бы стандартным практикам прозрачности, которым он не следует(и не будет) - и поэтому он никогда не окажется в списке добавленных УЦ в браузерах и ОС.
20% аудитории примут сразу, остальные подтянутся. Что ещё нужно объяснять?!
Или свалят с сайта/приложения. Потому что он превратился в говно и им невозможно пользоваться. Чтобы не свалили - вы должны быть до предела уникальными, чтобы бежать было совсем некуда. Но даже в этом случае UX продолжит "царапать" и сбегут при первой появившейся альтернативе.
Он и так дал уже столько "эмоций" своим "продвижением" и "конкурентной" борьбой на свободном рынке, что больше дать сможет только если начнёт автоматически писать ложноположительные доносы на авторов сообщений. Кстати вот автору статьи идея.
Судя то количеству лайков и дизлайков 30% готовы принять изменения сразу.
Я вот вам хочу поставить дизлайк, но кармы у меня не хватает.
Коммерция мои идеи поддержит как снижение кустов и уже через год/два везде будут виджеты. Вы просто ещё не поняли, что это неизбежное будущее, нравится оно вам или нет.
Вы точно хотите быть тем человеком, чью смерть празднуют, ну примерно как владельца "центра американского английского" ? (В вашем возрасте вы должны знать кто это такой и чем знаменит).
Far хорош! но он врядли станет киллер фичей или утп рекламной компании для масс-маркета
Потому что в рекламе не нуждается - у кого нужно - у тех он уже и так стоит. По сарафанному радио от знакомых.
А вот говно всякое надо рекламировать. Так как ничего принципиально нового не делалось давно, а продавать надо - рекламируют - "на 0.1 мегапиксель больше, чем у прошлого, и на 0.1 мм ближе к сырорезке". А потом масс-маркет страдает или пытается покупать очередно говно для снятия страданий, типа шнурочков для airpods-ов, чтобы это говно из ушей не вываливалось и не терялось. Хотя, казалось бы, есть нормальные форм-факторы. Но нет....
А не вы ли делали автодополнение в поиске яндекса, которое в браузере на телефоне при быстром наборе путает введённое?! А то подход очень похож. Жаль не знаю - кому материться...
Акселераторы, ангелы, венчурные фонды и многотриллионный рынок стартапов: ну да, ну да, пошли мы нахер
И вот вы вертитесь снова в цикле "нужно больше ROI и дивидендов!" ведь это всё придётся возвращать в лучшем случае. А если продались - то ещё и доходы инвесторам возвращать. Ну и вот привет звёзды, стикеры и боты, ой, и реклама, которой обещали что никогда не будет, но теперь она есть!. [/sarcasm]
Почему я с грустью вспоминаю идеально сделанный мультитаскинг на WebOS (3-й кажется)? (стопочки, произвольно комбинируемые и перетаскиваемые, приложения, вкладко-окна браузера и т.д. и всё это - равноправное. можно разложить, можно - сгруппировать, можно скинуть что уже не нужно. По-моему настолько удобно ещё нигде так и не сделали.
Хм, вроде в https://www.rfc-editor.org/rfc/rfc5280#page-40 нет ничего про промежуточные? там упоминаются только CA вообще? Но может я невнимательно просмотрел.
Везде начинаются. Причём по ssh - теперь сканы распределённые и ходят подсетками. (Куда и отправляются в долгосрочный бан подсетками по итогам дня).
Да, таких розовых пони, что без этого в трафик лез провайдер и ломал вебстраницы вставляя свои рекламные баннеры и портя картинки "оптимизацией".
(Если не верите - на хабре имеется прилично статей из нулевых и 2010-х, где это детально описывается в исполнении российских же сотовых операторов).
А уж развлечения - "развернуть картинки вверх ногами на прозрачной проксе" были доступны на нешифрованном трафике с достаточной скоростью уже в нулевые.
Что вы несёте?
Ммммм, государство, которое требовало сервисы сдавать ключи шифрования... что же может пойти не так в доверии-то, а?
Не то чтобы априори, но там есть требования к прозрачности процессов в УЦ. И при их нарушении, они теряют доверие. Обычно с концами.
(Ну и смотри прошлый тезис. Декларация он намерениях была весьма прозрачной.)
PS. Только недостаточное проникновение отечестввенного сертификата не даёт включить массовый MiTM на ТСПУ.
А можно ссылку? Потому что если мы про startcom - то он труп. Когда компании, основной бизнес которой выдача сертификатов - лишают права на выдачу на длительное время - то это по факту смерть компании.
DNS всё же сделан правильнее (когда DNSSEC работает).
А CA - ну простите, если пользователь поставил доверие к CA сам, своими руками - какие претензии?
PS. есть записи CAA для доменов, но работает это только когда работает DNSSEC
Российский УЦ выдаёт сертификат на любой домен (хоть google.com, хоть кого-то ещё). Устройство пользователя ему доверяет. Российские службы на ТСПУ (или ещё как-то перехватывают пользовательский трафик и перешифровывают его - перехватывают соединение и шифруют этим сертификатом от минцифры.
Собственно ровно так работают ВСЕ современные корпоративные системы контроля доступа в интернет - на компьютере ставится сертификат от корпоративной CA, а корпоративная прокся перешифровывает трафик. Это ломается на certificate pinning, но в общем и целом - работает.
К сожалению - именно издающая сторона конфигурирует CA так, чтобы он мог выдавать сертификаты для конкретной зоны/доменов. Всё остальное - ненадёжные костыли.
В данном случае вопросов было бы в разы меньше, если:
УЦ был лимитирован для доменов .ru и .рф (PKI инфраструктура это позволяет сделать). В таком случае - выпущенные сертификаты для других доменов автоматически считались бы не действительными.
УЦ следовал бы стандартным практикам прозрачности, которым он не следует(и не будет) - и поэтому он никогда не окажется в списке добавленных УЦ в браузерах и ОС.
PS. Ну собственно уже написали
Или свалят с сайта/приложения. Потому что он превратился в говно и им невозможно пользоваться. Чтобы не свалили - вы должны быть до предела уникальными, чтобы бежать было совсем некуда. Но даже в этом случае UX продолжит "царапать" и сбегут при первой появившейся альтернативе.
Он и так дал уже столько "эмоций" своим "продвижением" и "конкурентной" борьбой на свободном рынке, что больше дать сможет только если начнёт автоматически писать ложноположительные доносы на авторов сообщений. Кстати вот автору статьи идея.
Dos Navigator был ещё. Сноповязалка с вертикальным взлётом и комбайн с кучей утилиток. Последние вроде даже в длинные имена файлов умели.
Я вот вам хочу поставить дизлайк, но кармы у меня не хватает.
Вы точно хотите быть тем человеком, чью смерть празднуют, ну примерно как владельца "центра американского английского" ? (В вашем возрасте вы должны знать кто это такой и чем знаменит).
что ты такое?
Избави господи. Ещё один испорченный мессенджер будет.
Потому что в рекламе не нуждается - у кого нужно - у тех он уже и так стоит. По сарафанному радио от знакомых.
А вот говно всякое надо рекламировать. Так как ничего принципиально нового не делалось давно, а продавать надо - рекламируют - "на 0.1 мегапиксель больше, чем у прошлого, и на 0.1 мм ближе к сырорезке". А потом масс-маркет страдает или пытается покупать очередно говно для снятия страданий, типа шнурочков для airpods-ов, чтобы это говно из ушей не вываливалось и не терялось. Хотя, казалось бы, есть нормальные форм-факторы. Но нет....
А не вы ли делали автодополнение в поиске яндекса, которое в браузере на телефоне при быстром наборе путает введённое?! А то подход очень похож. Жаль не знаю - кому материться...
И вот вы вертитесь снова в цикле "нужно больше ROI и дивидендов!" ведь это всё придётся возвращать в лучшем случае. А если продались - то ещё и доходы инвесторам возвращать.
Ну и вот привет звёзды, стикеры и боты, ой, и реклама, которой обещали что никогда не будет, но теперь она есть!.
[/sarcasm]
Почему я с грустью вспоминаю идеально сделанный мультитаскинг на WebOS (3-й кажется)? (стопочки, произвольно комбинируемые и перетаскиваемые, приложения, вкладко-окна браузера и т.д. и всё это - равноправное.
можно разложить, можно - сгруппировать, можно скинуть что уже не нужно.
По-моему настолько удобно ещё нигде так и не сделали.
Ну вы же домен не от того же провайдера, от которого у вас VPS используете?
Если нет - то всё норм.