Этот товарищ сам себе противоречит, не обращайте внимания. Он не понимает, что HTTPS в том виде, в котором он есть, является лишь иллюзией безопасности, о чем я неоднократно сказал… Но видимо, раз он решил, что удалив (!) все сертификаты и все центры из доверенных, он получает end-to-end, то спорить бесполезно
Если Вы не сможете доверять сертификату, как Вы попадете на ресурс!? Ведь MITM будет в любом случае, хотите Вы этого или нет, добавите вы в «доверенные» сертификаты или нет. Я Вам уже задавал этот вопрос, но Вы не ответили. В этом и заключается Ваша безопасность — не использовать Интернет?
Товарищ Андрей (Вас ведь так зовут?), а теперь перечитайте ветку. При осуществлении SSL Bump происходишь дешифровка. Полная. Далее идет обратный процесс, только своим сертификатом. Он должен быть либо в списке доверенных, либо подписан корневым центром, но лишь для того, чтобы показывался «зеленый значок». Не более! И так для всех https ресурсов.
На небезопасный — не надо.
Ресурс — безопасный. Небезопасный протокол! Вы откажетесь от всего Интернета?
Если браузер не выдаст ошибку безопасности
Я не сказал, что он не выдаст ее! Вы либо добавляете в список доверенных мой сертификат, либо я его подписываю в корневом центре. Иначе-ошибка. Но на ресурс вы зайти сможете.
И ещё раз. Как провайдер проведёт mitm без доверия купленному сертификату?
SSL Bump будет произведен в любом случае, как только Вы откроете ресурс, независимо от того, есть ли у Вас сертификат в списке доверенных или нет. Просто, если сертификат провайдером не куплен, а самоподписан, у вас «значок не зелененький» будет, пока не добавите провайдеровский сертификат в доверенные.
Браузер прервёт соединение, потому что не доверяет сертификату провайдера
Ну а Вам-то надо попасть на ресурс!? В чем заключается безопасность? Нет соединения-нет проблем? Прикольная у Вас логика.
автоматически признает ваш сертификат безопасным
Вы читаете, что я пишу? Мне кажется нет. При чем здесь автоматическое признание? Я что, Ваш провайдер? Уже сказал, что провайдер может купить сертификат, может дать Вам для внесения в список доверенных, и Вы можете отказаться. Но Вам нужно попасть на ресурс, не так ли? И как Вы туда попадете с помощью Вашего суперзащищенного HTTPS? Я уже устал повторять, я говорю о том, что HTTPS небезопасен, так как его можно расшифровать с помощью SSL Bump. Где здесь безопасность? А плюс к этому, третья сторона в протоколе. Это не безопасность вовсе.
И ещё раз. Даже если Вы уберёте корневые центры из доверенных, да хоть что сделаете, это не мешает ни разу производить mitm. Покупка сертификата провайдером — это лишь для создания иллюзии Вашей безопасности. Провайдер может этого не делать, а дать Вам сертификат для импорта в браузер. Вы можете отказаться. Но при открытии ресурса Вы все равно не обеспечите безопасность с помощью https, так как bump будет произведён в любом случае, так как 443 порт завернут на прокси. Достаточный довод? Или мне нужно процитировать пример из той же squid wiki?
В чем же я уклонялся? Мне что, присылать ответы вида «давай я поищу в гугле вместо тебя»? Может быть, будем уважать друг друга и дурацкие вопросы будем задавать Гуглу?
Ведь если посмотреть на то, каким образом работают end to end и HTTPS, то очевидны недостатки последнего. Если есть третья сторона — это не безопасность по причинам, которые я указал выше. Удалять руты? Да ни один здравомыслящий человек это не сделает, потому что он на половину сайтов никогда не зайдет из-за HSTS.
Я вам повторяю, что TLS и end-to-end — это очень похожие вещи в корне!
Эх. Ну что ж, раз Вы не знаете матчасть, мне очень жаль. Любите факты? Да пожалуйста. end-to-end:
Шифрование происходит на конечных устройствах, данные остаются зашифрованными, пока не будут доставлены к месту назначения. Ключи шифрования известны только двум сторонам. Всё. Никому более. Никогда. Кроме того, обе стороны сравнивают свои отпечатки открытых ключей. tls: нет никаких «своих отпечатков открытых ключей» здесь нет. Вся безопасность сводится лишь к проверке валидности сертификата у root'a. Вы предлагаете отказаться от корневых центров? Вы ломаете эту Вашу безопасность. Без корневых центров вообще никак не проверить подлинность сертификатов. Брать у админа ресурса? Вы шутите? Конечно же шутите. Ведь никто Вам не даст сертификат. Кому это надо? Только Вам, и никому более, никто о Вас и думать не будет. А если добавляете корневые центры, то это ничего не добавит, кроме иллюзии безопасности. Никто не отменял ssl_bump и sslstrip. В end-to-end в принципе невозможна такая атака. Никак.
Озвучьте тогда точную стоимость
А Вы сами спросите у центра сертификации. С чего мне рассказывать Вам подробности получения сертификата?
Может, вы ещё и сами выпуском поддельных сертификатов занимаетесь
Вы меня раскрыли. Какой ужас.
То же самое в SSH и PGP вас почему-то не смешит.
Потому что принцип действия SSH совсем отличается от HTTPS. В корне. Поэтому меня это нисколько не смущает.
И чем это принципиально отличается от получения HTTPS-сертификата из рук админа гугла?
Я Вам повторяю, что TLS и end-to-end — это разные вещи в корне! Изучите матчасть, прежде чем делать заявление, что TLS без доверия к рутам = end-to-end.
у провайдера не найдётся столько денег, чтоб рута подкупить
Да ну!? На реализацию пакета Яровой находят. А оно стоит намного дороже сертификата.
идите берите сертификат из рук админа гугла и тем самым защитите себя от прослушки провайдером
для каких целей используется SSH в плане безопасности и приватности? Вы поднимаете\покупаете в определенном доверенном месте сервер с SSH, который будет Вас маскировать. Вам ЛИЧНО дадут отпечаток для проверки.
максируя собственное незнание
Толсто. Очень.
я доверяю рутам, в отличие от вас
Я где-то выше сказал, что не доверяю рутам? Это Вы уже потом покрылись и доказывали тут, что вы убираете доверие к рут сертификатам и получаете супер шифрование. Я ни слова о недоверии рутам не сказал. Я лишь сказал, что TLS предусматривает третью сторону, и это проблема, так как провайдер легко за деньги подпишет свой сертификат у рута и произведет MITM.
Не надо переиначивать все и переворачивать!
Вы троллить не умеете. Пока Вы там доверяете рутам, провайдер у этих рутов подпишет сертификат и будет производить MITM, это скоро будет, поверьте.
Мне это не нужно
Ну вот и отлично)
как будто не понимаете, как он работает
Вот понимаете, я могу рассказать о том, чего явно не написано в Интернете. А рассказывать о такой вещи, как обфускация — потратьте своё личное время для своих личных целей и читайте.
Вы так старательно увиливаете от ответа, что создаётся впечатление, будто вы сами не понимаете, как работает obfs4.
Вас в Гугле забанили? Ах да, Вы же отказались от рут… Ах да, я имею прекрасное представление о технологии обфускации, о Tor.
Выше я продемонстрировал, что TLS без третьей стороны удивительно похож на SSH
Чем!? END-to-END предусматривает сравнение своих отпечатков открытых ключей. При end-to-end ВСЯ информация пользователя недоступна даже серверам, передающим данные. Где Вы увидели это в TLS?
Прямо как с гуглом в моём Firefox
Кто Вам даст сертификат Гугла? Вы предлагаете палить из базуки по блошкам. Не так обеспечивается безопасность и приватность, как Вы себе представляете, о чем я уже выше сказал. А вот теперь я предлагаю закончить диалог. Окончательно. Вы в корне не понимаете, как работает end-to-end и как работает TLS, хотя даже в Википедии об этом исчерпывающе написано. Всего доброго.
Это уже не TLS, так как TLS предусматривает третью сторону априори.
Обмен ключами при личной встрече — самый надёжный способ обеспечения безопасности
я уже написал про SSH.
кто деобфусцировал мой запрос
obfs4 — вполне себе хорошая идея для этого. Если вам важна приватность, используйте Tor+obfs4. Всё. Прочитайте подробнее об этих вещах, всё станет понятно.
Вы тоже сходите и убедитесь, что TLS без рутов подходит под определение end-to-end
ничего похожего в TLS с end-to-end НЕТ. Абсолютно. Это совершенно разные вещи.
Я не утверждал, что для Гугла нужен end-to-end. Обфусцируйте свой трафик. Всё. И никто не подменит Вам сертификаты.
настоящее честное end-to-end HTTPS
Сходите в Википедию, прочитайте, что такое end-to-end.
хожу к администратору гугла, получу сертификат с открытым ключом лично из его рук и добавлю его в доверенные
Это бред, мсье
Как вы предлагаете устанавливать end-to-end шифрование
Речь не о Гугле, а обо всём. Использовать тот же ssh. Вот там наичистейший end-to-end. Никто не вмешается в трафик. Никак. А если вдруг что-то случится, то вы не соединитесь, так как отпечаток будет другим. Всё.
И еще, переводите на кухонно-бытовой язык сообщения своего браузера кому-нибудь другому, но не мне, однако не лукавьте, и исправьте свой перевод. Вы не указали, что исключение браузер добавить не сможет!
Безопасности угрозы нет, конечно, ведь соединения тоже нет.
Как вы соединитесь с Гуглом? А верно, никак, пока не добавите его рут в доверенные. А раз добавите его рут, то и провайдер спокойненько произведет MITM. Так что, проиграли Вы!
Ресурс — безопасный. Небезопасный протокол! Вы откажетесь от всего Интернета?
Я не сказал, что он не выдаст ее! Вы либо добавляете в список доверенных мой сертификат, либо я его подписываю в корневом центре. Иначе-ошибка. Но на ресурс вы зайти сможете.
SSL Bump будет произведен в любом случае, как только Вы откроете ресурс, независимо от того, есть ли у Вас сертификат в списке доверенных или нет. Просто, если сертификат провайдером не куплен, а самоподписан, у вас «значок не зелененький» будет, пока не добавите провайдеровский сертификат в доверенные.
Ну а Вам-то надо попасть на ресурс!? В чем заключается безопасность? Нет соединения-нет проблем? Прикольная у Вас логика.
Вы читаете, что я пишу? Мне кажется нет. При чем здесь автоматическое признание? Я что, Ваш провайдер? Уже сказал, что провайдер может купить сертификат, может дать Вам для внесения в список доверенных, и Вы можете отказаться. Но Вам нужно попасть на ресурс, не так ли? И как Вы туда попадете с помощью Вашего суперзащищенного HTTPS? Я уже устал повторять, я говорю о том, что HTTPS небезопасен, так как его можно расшифровать с помощью SSL Bump. Где здесь безопасность? А плюс к этому, третья сторона в протоколе. Это не безопасность вовсе.
И ещё раз. Даже если Вы уберёте корневые центры из доверенных, да хоть что сделаете, это не мешает ни разу производить mitm. Покупка сертификата провайдером — это лишь для создания иллюзии Вашей безопасности. Провайдер может этого не делать, а дать Вам сертификат для импорта в браузер. Вы можете отказаться. Но при открытии ресурса Вы все равно не обеспечите безопасность с помощью https, так как bump будет произведён в любом случае, так как 443 порт завернут на прокси. Достаточный довод? Или мне нужно процитировать пример из той же squid wiki?
Ведь если посмотреть на то, каким образом работают end to end и HTTPS, то очевидны недостатки последнего. Если есть третья сторона — это не безопасность по причинам, которые я указал выше. Удалять руты? Да ни один здравомыслящий человек это не сделает, потому что он на половину сайтов никогда не зайдет из-за HSTS.
Эх. Ну что ж, раз Вы не знаете матчасть, мне очень жаль. Любите факты? Да пожалуйста.
end-to-end:
Шифрование происходит на конечных устройствах, данные остаются зашифрованными, пока не будут доставлены к месту назначения. Ключи шифрования известны только двум сторонам. Всё. Никому более. Никогда. Кроме того, обе стороны сравнивают свои отпечатки открытых ключей.
tls: нет никаких «своих отпечатков открытых ключей» здесь нет. Вся безопасность сводится лишь к проверке валидности сертификата у root'a. Вы предлагаете отказаться от корневых центров? Вы ломаете эту Вашу безопасность. Без корневых центров вообще никак не проверить подлинность сертификатов. Брать у админа ресурса? Вы шутите? Конечно же шутите. Ведь никто Вам не даст сертификат. Кому это надо? Только Вам, и никому более, никто о Вас и думать не будет. А если добавляете корневые центры, то это ничего не добавит, кроме иллюзии безопасности. Никто не отменял ssl_bump и sslstrip. В end-to-end в принципе невозможна такая атака. Никак.
А Вы сами спросите у центра сертификации. С чего мне рассказывать Вам подробности получения сертификата?
Вы меня раскрыли. Какой ужас.
Потому что принцип действия SSH совсем отличается от HTTPS. В корне. Поэтому меня это нисколько не смущает.
Я Вам повторяю, что TLS и end-to-end — это разные вещи в корне! Изучите матчасть, прежде чем делать заявление, что TLS без доверия к рутам = end-to-end.
Да ну!? На реализацию пакета Яровой находят. А оно стоит намного дороже сертификата.
Не смешите, пожалуйста.
для каких целей используется SSH в плане безопасности и приватности? Вы поднимаете\покупаете в определенном доверенном месте сервер с SSH, который будет Вас маскировать. Вам ЛИЧНО дадут отпечаток для проверки.
Толсто. Очень.
Я где-то выше сказал, что не доверяю рутам? Это Вы уже потом покрылись и доказывали тут, что вы убираете доверие к рут сертификатам и получаете супер шифрование. Я ни слова о недоверии рутам не сказал. Я лишь сказал, что TLS предусматривает третью сторону, и это проблема, так как провайдер легко за деньги подпишет свой сертификат у рута и произведет MITM.
Не надо переиначивать все и переворачивать!
Вы троллить не умеете. Пока Вы там доверяете рутам, провайдер у этих рутов подпишет сертификат и будет производить MITM, это скоро будет, поверьте.
Ну вот и отлично)
Вот понимаете, я могу рассказать о том, чего явно не написано в Интернете. А рассказывать о такой вещи, как обфускация — потратьте своё личное время для своих личных целей и читайте.
А Вы пробовали подключаться-то хоть разок? Видимо нет, раз такие вопросы.
Толсто, сэр.
Вперед. Жду подробный отчет с фотографиями.
Куда уж мне, действительно.
До свидания.
Вас в Гугле забанили? Ах да, Вы же отказались от рут… Ах да, я имею прекрасное представление о технологии обфускации, о Tor.
Чем!? END-to-END предусматривает сравнение своих отпечатков открытых ключей. При end-to-end ВСЯ информация пользователя недоступна даже серверам, передающим данные. Где Вы увидели это в TLS?
Кто Вам даст сертификат Гугла? Вы предлагаете палить из базуки по блошкам. Не так обеспечивается безопасность и приватность, как Вы себе представляете, о чем я уже выше сказал. А вот теперь я предлагаю закончить диалог. Окончательно. Вы в корне не понимаете, как работает end-to-end и как работает TLS, хотя даже в Википедии об этом исчерпывающе написано. Всего доброго.
Это уже не TLS, так как TLS предусматривает третью сторону априори.
я уже написал про SSH.
obfs4 — вполне себе хорошая идея для этого. Если вам важна приватность, используйте Tor+obfs4. Всё. Прочитайте подробнее об этих вещах, всё станет понятно.
ничего похожего в TLS с end-to-end НЕТ. Абсолютно. Это совершенно разные вещи.
Сходите в Википедию, прочитайте, что такое end-to-end.
Это бред, мсье
Речь не о Гугле, а обо всём. Использовать тот же ssh. Вот там наичистейший end-to-end. Никто не вмешается в трафик. Никак. А если вдруг что-то случится, то вы не соединитесь, так как отпечаток будет другим. Всё.
Как вы соединитесь с Гуглом? А верно, никак, пока не добавите его рут в доверенные. А раз добавите его рут, то и провайдер спокойненько произведет MITM. Так что, проиграли Вы!