Вообще мы как раз думаем над чем-то подобным, но перспективы пока неясны. У ФБК же есть Росяма и еще что-то в том же ключе, оно не работает разве?
Возможно, у них просто завал из инициатив, не до всего руки доходят. Скажем, с Алексеем мы общались, когда он был уже вполне известным, но щемил еще ВТБ, а ПЖиВ только начинал. На меня произвел впечатление вполне адекватного и доступного для сотрудничества человека. Звал его на одно из наших мероприятий, он был не против, но по датам не смог быть. При этом, называя вещи своими именами, он нам делал одолжение как приглашенная звезда. Спустя какое-то время писал ему — уже без ответа, но тогда он уже вовсю блистал, уровень загрузки другой стал. В общем, подозреваю, что все не так просто.
Мы с ними общались когда они только появились. Ребята свое дело делают, мы — свое, каких-то идей именно по объединению не появилось. Насколько знаю, ФБК подобным занимается, у них буквально готовые сервисы по простому решению насущных проблем.
Впрямую не урегулировано, смотреть будут по объективным признакам 272/273 УК, судить если что — с учетом субъективных обстоятельств. Хотя тут еще вредоносность используемого ПО придется доказывать.
Можно и нужно, только на каждый успешный пример будет хорошо если десяток примеров отрицательных, которые демотивируют :( По идее, заявитель не обязан разбираться в нормах права и может просто пожаловаться, а уже регулятор должен смотреть: было ли реальное нарушение прав, или показалось. Собственно, в этом и состоит их работа, за которую мы им платим. На практике часто бывает, что посылаешь готовую «палку» — прям копируй в протокол, подписывай сам и оформляй, «дело раскрыто», но нет — идут отписки. Коллективные обращения имеют больший вес, чинуши все-таки боятся огласки и массовости. А депутатские запросы… формально — да, фактически — от многих факторов зависит. В свое время это был бизнес, запросами пытались получить коммерческую информацию из госведомств, они научились отфутболивать таких коммерсантов из Госдумы, а вместе с ними и всех остальных.
Юсть сеть «юридических клиник», сеть ПЦПИ, другие аналогичные инициативы, где гражданина примут, выслушают, помогут составить заявление, причем во многих случаях бесплатно.
Есть постановление Правительства, выпущенное в реализацию ФЗ «О доступе к госинформации», там описаные некоторые требования по содержанию (про форматы не помню, не хочу врать). Номер надо вспоминать, как и смотреть, не приняли ли чего нового с тех пор.
По моему опыту — тут не угадаешь, как не угадаешь и реакцию «обвиняемого» на пересылку ему жалобы «для сведения». Был случай, когда опять же прямое нарушение закона, до этого полгода как только не пинал нарушителя, написал в генеральную, те переслали нарушителю «для сведения» и — о чудо! — нарушитель обосрался и мигом исправился. А сейчас уже год пинаю госуслуги, у которых ошибка на стыке их ответственности и МВД, чемпионат по бюрократическому футболу пока и не думает заканчиваться, хотя прокуратура в данном случае «поручила» разобраться и отчитаться.
Опять же позволю себе самоцитирование www.ifap.ru/pr/2010/100112a.htm По итогам этого отправили обращение в Генпрокуратуру — прямое нарушение ФЗ все-таки. Прокуратура переслала обращение виновникам торжества и все. Не помню уже с какой сопроводиловкой, ЕМНИП — просто «для сведения». Кто-то по горячим следам принял меры и перевел домены на себя, кто-то нет.
Вот я и думаю актуализировать его. А тот сайт тоже доработали, собственно, они и рассылали «проект» по некоторому кругу экспертов, чтобы услышать стороннее мнение, так что сайтовладельца не называю — правильно поступили, сначала кошечек помучали ;)
Я про NIST P-224 и P-256, которым западные хостеры, по моим наблюдениям, предпочитают Curve25519. Имел в виду, что если «вероятный противник» решит что-то замутить с HTTPS сайта того же ФСБ, то скорее обратит свой взор на эллиптику, чем на махинации с SSL-сертификатом. Куда интереснее тихо слушать трафик, чем почти неизбежно палиться на подмене сертификата и ставить перед всем миром принципиальный вопрос о надежности CA как таковых.
Все, что относится к поддоменам госсайта, разумеется, тоже госсайт. В рамках данного исследования мы рассматривали лишь доступность HTTPS для general use — зайти почитать официальную информацию, направить обращение в госорган и т.п. А так-то понятно, что и у налоговой есть разделы сайта с совершенно другим уровнем защиты, и у того же ФСБ есть не предназначенные для публики сервисы, кстати, с поддержкой ГОСТа, но там и софт специальный нужен www.fsb.ru/fsb/webreception.htm
Самоподписанный сертификат будет пугать пользователя, который расслабляется от одной надписи «соединение защищено» ;) А какие риски Вы видите от использования «в мирное время» на условном сайте ФСБ (публичной его части, разумеется) сертификата, выданного «вражеским» CA?
О, разработка — это отдельная большая и интересная тема. Мы ее краем касались в другом исследовании, кстати, стоит его актуализировать… Лет 10 назад одно министерство обратилось с просьбой прокомментировать макет его нового сайта, всего такого новомодного, только не открывающегося толком в половине актуальных браузеров ;)
Я иллюзией безопасности в общем случае называю ситуацию, когда HTTPS вроде как есть, т.е. щит зеленый (а ничего больше рядовой пользователь и не видит), а по факту — дыра на дыре, и тогда уж да, лучше честный HTTP, который хотя бы не строит из себя. Если же говорить о ситуации кибервойны, то игры скорее начнутся с DNS, потому как это уже совсем другие возможности. А если прицеливаться к самому HTTPS, то более перспективным мне кажется вектор атаки на эллиптику, которую у нас почему-то очень любят в исполнении NIST, хотя звоночки уже были.
Во внутренних сетях можно хоть Kerberos в TLS использовать, и свои сертификаты прикручивать, что и делают.
Chrome 81 умеет в такое:
AES GCM SHA
CHACHA20_POLY1305 SHA
ECDHE ECDSA AES SHA
ECDHE ECDSA CHACHA20_POLY1305 SHA
ECDHE RSA AES SHA
ECDHE RSA CHACHA20_POLY1305 SHA
GREASE
RSA 3DES SHA
RSA AES SHA
Что там под GREASE понимается — шут его знает, но АФАИК оригинальный хромой в ГОСТ не умеет. IE 11 проверить не могу, но вроде как тоже нет docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1903
Ссылки в тексте на Хабре две: одна на статью об исследовании 2016 года, другая — на статью о свежем. В обоих статьях, в свою очередь, ссылки на сами исследования в PDF, со списком сайтов, описанием методики и еще большим бла-бла-бла по теме… чего именно из этого Вы не нашли?
(отметим в скобках, что это нарушает закон «О рекламе», требующий согласия пользователя на получение рекламы, даже социальной, в явной форме)
Не совсем так, что закон о рекламе, что о ПД, выводит из-под действия ограничений рассылку информацию о деятельности дармоедов органов власти. На этом они и съезжают с ответственности, а контрольно-надзорные отказываются рассматривать жалобы на спам от этих гнусей.
Возможно, у них просто завал из инициатив, не до всего руки доходят. Скажем, с Алексеем мы общались, когда он был уже вполне известным, но щемил еще ВТБ, а ПЖиВ только начинал. На меня произвел впечатление вполне адекватного и доступного для сотрудничества человека. Звал его на одно из наших мероприятий, он был не против, но по датам не смог быть. При этом, называя вещи своими именами, он нам делал одолжение как приглашенная звезда. Спустя какое-то время писал ему — уже без ответа, но тогда он уже вовсю блистал, уровень загрузки другой стал. В общем, подозреваю, что все не так просто.
Юсть сеть «юридических клиник», сеть ПЦПИ, другие аналогичные инициативы, где гражданина примут, выслушают, помогут составить заявление, причем во многих случаях бесплатно.
Опять же позволю себе самоцитирование www.ifap.ru/pr/2010/100112a.htm По итогам этого отправили обращение в Генпрокуратуру — прямое нарушение ФЗ все-таки. Прокуратура переслала обращение виновникам торжества и все. Не помню уже с какой сопроводиловкой, ЕМНИП — просто «для сведения». Кто-то по горячим следам принял меры и перевел домены на себя, кто-то нет.
Во внутренних сетях можно хоть Kerberos в TLS использовать, и свои сертификаты прикручивать, что и делают.
AES GCM SHA
CHACHA20_POLY1305 SHA
ECDHE ECDSA AES SHA
ECDHE ECDSA CHACHA20_POLY1305 SHA
ECDHE RSA AES SHA
ECDHE RSA CHACHA20_POLY1305 SHA
GREASE
RSA 3DES SHA
RSA AES SHA
Что там под GREASE понимается — шут его знает, но АФАИК оригинальный хромой в ГОСТ не умеет. IE 11 проверить не могу, но вроде как тоже нет docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-10-v1903
Не совсем так, что закон о рекламе, что о ПД, выводит из-под действия ограничений рассылку информацию о деятельности
дармоедоворганов власти. На этом они и съезжают с ответственности, а контрольно-надзорные отказываются рассматривать жалобы на спам от этих гнусей.