Антивирусная авантюра Вконтакте

Справедливости ради нужно отметить, что подозрительную активность могут создавать вредоносные расширения браузера, а их можно детектировать через CSP.

Как и зачем мы делаем TLS в Яндексе

Простите за долгий ответ — проверьте пожалуйста исправлена ли проблема для вас?

Как на PHDays V взламывали систему ДБО

Я уже говорил на PhDays — печаль, что получилось немного не fair play ;)
Сори, но мы не были уверены, что доберем нужное количество очков в других конкурсах, поэтому использовали все имеющиеся возможности. Ломали не ради денег, как ты сам понимаешь.

Что не договаривают сервисы по защите от DDoS или почему защита не работает

Как минимум, вам необходимо сменить сетку, которую вам выдал провайдер.

Современная ситуация с адресным пространством IPv4 заставляет меня очень скептически отнестись к данному совету.

Как и зачем мы делаем TLS в Яндексе

только в продуктах некоторых вендоров hardware load balancer'ов, OpenSSL эта проблема не касается.

Как и зачем мы делаем TLS в Яндексе

Дневной распорядок пользователя более-менее одинаковый, поэтому берем 24 часа с момента установления первого соединения +4 часа в качестве разброса.

Как и зачем мы делаем TLS в Яндексе

Спасибо, передал коллегам из Почты, очень похоже на баг.

Как и зачем мы делаем TLS в Яндексе

Поиску уже сейчас доступен по https. Замечание по провайдерам справедливо.

Как и зачем мы делаем TLS в Яндексе

Спасибо, сделаю всё от меня зависящее, чтобы проблема решилась как можно быстрее.

Как и зачем мы делаем TLS в Яндексе

Спасибо, добавил уточнения (похоже, некоторые вещи получились не совсем прозрачными).

Как и зачем мы делаем TLS в Яндексе

Мы планируем жить с двумя сертификатами, ECC для новых браузеров и RSA 2048 для старых. Когда выкинем совсем — сложный вопрос, когда поймем, что пользователи не станут от этого несчастливы.

Как и зачем мы делаем TLS в Яндексе

Денис, не переживайте — мы давно и активно работаем над тем, чтобы перевести как главную, так и весь портал за HTTPS, более того — часть наших пользователей уже использует HTTPS Поиск, а часть периодически видит HTTPS Морду. Как только мы будем уверены (думаю, это будет довольно скоро), что пользователи не пострадают при переходе, мы переключим ее на HTTPS-only.

Как и зачем мы делаем TLS в Яндексе

Не нужно использовать RSA 4096 — ооочень затратно на сервер-сайде.

Как и зачем мы делаем TLS в Яндексе

Ну вы же понимаете, что если рассуждать категориями «потенциальных противников», нет разницы какой Intermediate там будет — Российский или Британский.

Как и зачем мы делаем TLS в Яндексе

Промежуточные CA много у кого есть :)

Как и зачем мы делаем TLS в Яндексе

Купить SHA2 можно и у Thawte, зависит от того, какую хеш-функцию вы укажете в CSR.

Как мы реализовали HTTPS на главной странице портала Mail.Ru

У EV в текущем виде есть одно преимущество — если он будет скомпрометирован и вам придется его отозвать, даже такие браузеры как Chrome не будут принимать отозванный сертификат, в отличие от обычного, который может быть использован атакующим еще долго из-за особенностей работы механизма CRLsets.

Как и зачем мы делаем TLS в Яндексе

cabforum.org/wp-content/uploads/BRv1.2.3.pdf
п.9.4.2. — выдавать продолжат, но со сроком действия не позже 2017 года.

Как и зачем мы делаем TLS в Яндексе

Я нигде не говорил, что их использование запрещается, я говорил в первую очередь о пометке и user experience.

P.S. В ближайшее время CA вообще перестанут выдавать SHA1 сертификаты.

Как и зачем мы делаем TLS в Яндексе

2017 всё-таки.

там постепенная деградация, всё, что экспирится в 2016 уже может (и должно) пугать пользователя.