Угу, надо только добавить что какаято существенная генитическая изменчивость начинает работать на периоде хотя бы ста поколений. Тоесть гдето 1000 лет, минимум. С такой аргументацией вы далеко не уедете. У нас за последние 100 лет, человеческое общество и роль отдельного индивида в нем переворачивалась с ног на голову и ни раз. Ну тоесть политика, экономика, средний уровень жизни, "криминогенность",медицина, общий уровень прямой агрессии, массовое образование, и т.д и т.п.
Ну я тоже пишу достаточно много кода на автомате, рассудочная деятельность включается если только чтото не стандартное. Про интелектуальность я вроде нигде и не писал.
По поводу спец службистов, "бытие определяет сознание", как раз очень применимо, еще это назвают проф деформацией. Про зашоренность ни очень понял о чем.
Бхх. Как то давно я пытался джуну первокласному любителю писать спагетти объяснить, что так делать не надо. Все мои философские замечания про невозможность поддержки подобного кода, разбивались про вполне конкретное "у меня все работает", а критика подобного подхода приводила к троллингу с его стороны в духе "ха,ха ну ты и дурачек". Методов административного воздействия у меня тогда не было. Это к тому, что если доказывать, то нужен какой-то минимальный общий "аксиоматический"/культурный бэкграунд. Сложно доказать людоеду, что есть людей плохо.
Водопад это аджайл с одной единственной итерацией. Видел такое когда разработкой руководили люди далекие от программирования. Для них концепция: "Давайте все заранее продумаем и запланируем. А потом просто разделим на куски и раздадим людям. И конечно чтобы все сразу заработало", при этом не имея до этого обширного опыта в заданной области. Не выглядела абсурдно.
Так при желании можно просто заставить поставить сертификат, и резать весь трафик пока не поставят. Ну побухтят чуть больше, если стоит цель идти по пути китайского фаервола, она все равно будет достигнута. И сертификат тут имеет совсем минорное значение. Пока что это открывается лишь один реалистичный вектор атак, это единичные прослушивания трафика товарищем майором.
Это все общие размышления, а возможно и личные проекции, по факту среда в которой вырос индивид, имеет гораздо большее значение. Как говорили классики "бытие определяет сознание".
Таким образом провести MITM незаметно практически невозможно, если это не единичные случаи. Вам прийдет левый сертификат с другого конца, который при желании можно сохранить и проверить. А то что вы описываете это условно говоря - великий китайский фаервол, ну да можно и так, все знают что их пишут.
Для этого нужен секретный ключ от корневого сертификата. Сомневаюсь, что на это кто-то пойдет, так как это на корню подорвет любые попытки создания национальной структуры PKI.
Если такая цель есть, то она в любом случаи будет достигнута. И история с этим злосчастным корневым сертификатом, будет вообще минорная. Можно просто резать весь трафик, что не удается расшифровать и требовать поставить нужный сертификат.
Конечно, лишний корневой сертификат дает дополнительный вектор MITM атаки для товарища майора, если вы привлекли его внимание. Но мне как-то сложно оценить, насколько не установка какого-то сертификата, может в этом случаи помочь... При этом еще раз скажу, что незаметно избирательно читать трафик некоторых Васей Пупкиных, за счет MITM атаки на сертификат, вполне возможно. Но массово незаметно писать TLS трафик, практически невозможно, на вашем конце всегда будет вылазить сертификат, аутентичность которого можно проверить. Будет как в Китае все знают, что их пишут.
Проблема только в том, что "посадку за неудобный комментарий", этот сертификат никак не решает. Ищут совсем с другого конца. Как-то это может повлиять на общий уровень приватности, только если начнут делать великий российский-фаервол, который будет массово писать TLS трафик в открытом виде, при этом делать это незаметно не получится никак.
В конкретных случаях Вася Пупкин может и не обнаружит. Но если это будет массово, то обнаружат это вообще не рокет сайнс, и это быстро станет известным всем. Поэтому мой тезис: массово и незаметно читать TLS трафик не получится никак. Если только ФСБ не скрывает от нас успехи в квантовых компьютерах, лет на 30 опережающие время. Или если симметричные ключи соединения не пишутся на одном из концов, как навязывается "по закону Яровой". ))
Так она внутрь TLS трафика не видит, пока, для этого надо делать полноценный MITM, который легко обнаружить так как пришлют вам левый сертификат, который можно определить сравнив с оригиналом. Тем более если делать это для всех массово, у них тупо железо не потянет, по сути надо пропускать через себя трафик в обе стороны и активно на него воздействовать, перекодирую. Или будет скорость как в китае для связи с внешним миром, то есть на порядок ниже.
Проблема, в том что эта история с сертификатами превратилась в какой-то карго-культ, то есть люди не рассматривают это в рамках какой-то реалистичной модели угроз. Надо во-первых иметь технические возможности провести MITM, в этом случаи найти "доверенный" сертификат не составит особого труда, на рынке тысячи CA, чисто статистически найдутся не самые чистые на руку, или компрометирование. Если вы боитесь товарища майора, то пока никто ставить сертификат не заставил, да и затратно это очень, делать MITM для каждого Васи Пупкина в ручном режиме. А все ваши тайны в сбербанке и вконтактике, товарищ майор и так знает.
Так сертификат на любой сайт может подписать любой не корневой CA, которых тысячи, в чем принципиальное различие? В процессе MITM увидите, что сменился идентификатор CA?
У меня по этому поводу даже некоторая параноя от онлайн-банкинга, принципиально не держу там значимые суммы. Мой лайф-хак - брокерский счет и ОФЗ, чтобы их конвертнуть в кэш надо минимум три дня, а потом еще както вывести, ну и плюсом процент капает.
Угу, надо только добавить что какаято существенная генитическая изменчивость начинает работать на периоде хотя бы ста поколений. Тоесть гдето 1000 лет, минимум. С такой аргументацией вы далеко не уедете. У нас за последние 100 лет, человеческое общество и роль отдельного индивида в нем переворачивалась с ног на голову и ни раз. Ну тоесть политика, экономика, средний уровень жизни, "криминогенность",медицина, общий уровень прямой агрессии, массовое образование, и т.д и т.п.
Ну я тоже пишу достаточно много кода на автомате, рассудочная деятельность включается если только чтото не стандартное. Про интелектуальность я вроде нигде и не писал.
По поводу спец службистов, "бытие определяет сознание", как раз очень применимо, еще это назвают проф деформацией. Про зашоренность ни очень понял о чем.
Бхх. Как то давно я пытался джуну первокласному любителю писать спагетти объяснить, что так делать не надо. Все мои философские замечания про невозможность поддержки подобного кода, разбивались про вполне конкретное "у меня все работает", а критика подобного подхода приводила к троллингу с его стороны в духе "ха,ха ну ты и дурачек". Методов административного воздействия у меня тогда не было. Это к тому, что если доказывать, то нужен какой-то минимальный общий "аксиоматический"/культурный бэкграунд. Сложно доказать людоеду, что есть людей плохо.
Водопад это аджайл с одной единственной итерацией. Видел такое когда разработкой руководили люди далекие от программирования. Для них концепция: "Давайте все заранее продумаем и запланируем. А потом просто разделим на куски и раздадим людям. И конечно чтобы все сразу заработало", при этом не имея до этого обширного опыта в заданной области. Не выглядела абсурдно.
Так при желании можно просто заставить поставить сертификат, и резать весь трафик пока не поставят. Ну побухтят чуть больше, если стоит цель идти по пути китайского фаервола, она все равно будет достигнута. И сертификат тут имеет совсем минорное значение. Пока что это открывается лишь один реалистичный вектор атак, это единичные прослушивания трафика товарищем майором.
Это все общие размышления, а возможно и личные проекции, по факту среда в которой вырос индивид, имеет гораздо большее значение. Как говорили классики "бытие определяет сознание".
Таким образом провести MITM незаметно практически невозможно, если это не единичные случаи. Вам прийдет левый сертификат с другого конца, который при желании можно сохранить и проверить. А то что вы описываете это условно говоря - великий китайский фаервол, ну да можно и так, все знают что их пишут.
Для этого нужен секретный ключ от корневого сертификата. Сомневаюсь, что на это кто-то пойдет, так как это на корню подорвет любые попытки создания национальной структуры PKI.
Если такая цель есть, то она в любом случаи будет достигнута. И история с этим злосчастным корневым сертификатом, будет вообще минорная. Можно просто резать весь трафик, что не удается расшифровать и требовать поставить нужный сертификат.
Если обнаружат, то надо жить исходя из того, что весь TLS трафик читается, осознавая возможные последствия.
https://en.wikipedia.org/wiki/DigiNotar
https://arstechnica.com/information-technology/2013/12/french-agency-caught-minting-ssl-certificates-impersonating-google/
http://wiki.cacert.org/Risk/History
Конечно, лишний корневой сертификат дает дополнительный вектор MITM атаки для товарища майора, если вы привлекли его внимание. Но мне как-то сложно оценить, насколько не установка какого-то сертификата, может в этом случаи помочь... При этом еще раз скажу, что незаметно избирательно читать трафик некоторых Васей Пупкиных, за счет MITM атаки на сертификат, вполне возможно. Но массово незаметно писать TLS трафик, практически невозможно, на вашем конце всегда будет вылазить сертификат, аутентичность которого можно проверить. Будет как в Китае все знают, что их пишут.
Проблема только в том, что "посадку за неудобный комментарий", этот сертификат никак не решает. Ищут совсем с другого конца. Как-то это может повлиять на общий уровень приватности, только если начнут делать великий российский-фаервол, который будет массово писать TLS трафик в открытом виде, при этом делать это незаметно не получится никак.
В конкретных случаях Вася Пупкин может и не обнаружит. Но если это будет массово, то обнаружат это вообще не рокет сайнс, и это быстро станет известным всем. Поэтому мой тезис: массово и незаметно читать TLS трафик не получится никак. Если только ФСБ не скрывает от нас успехи в квантовых компьютерах, лет на 30 опережающие время. Или если симметричные ключи соединения не пишутся на одном из концов, как навязывается "по закону Яровой". ))
Так она внутрь TLS трафика не видит, пока, для этого надо делать полноценный MITM, который легко обнаружить так как пришлют вам левый сертификат, который можно определить сравнив с оригиналом. Тем более если делать это для всех массово, у них тупо железо не потянет, по сути надо пропускать через себя трафик в обе стороны и активно на него воздействовать, перекодирую. Или будет скорость как в китае для связи с внешним миром, то есть на порядок ниже.
Не вручном, это тогда надо признать создание великого
китайскогороссийского-фаервола, незаметно это сделать не получится.Это так не работает. Вам нужно быть уверенным во всей "chain of trust", а не только в корневом сертификате.
https://security.stackexchange.com/questions/130847/how-tls-certificate-chain-is-verified
Проблема, в том что эта история с сертификатами превратилась в какой-то карго-культ, то есть люди не рассматривают это в рамках какой-то реалистичной модели угроз. Надо во-первых иметь технические возможности провести MITM, в этом случаи найти "доверенный" сертификат не составит особого труда, на рынке тысячи CA, чисто статистически найдутся не самые чистые на руку, или компрометирование. Если вы боитесь товарища майора, то пока никто ставить сертификат не заставил, да и затратно это очень, делать MITM для каждого Васи Пупкина в ручном режиме. А все ваши тайны в сбербанке и вконтактике, товарищ майор и так знает.
PS: еще взвешенное мнение https://stackoverflow.com/questions/25156180/how-to-list-certificates-trusted-by-openssl
Так сертификат на любой сайт может подписать любой не корневой CA, которых тысячи, в чем принципиальное различие? В процессе MITM увидите, что сменился идентификатор CA?
У меня по этому поводу даже некоторая параноя от онлайн-банкинга, принципиально не держу там значимые суммы. Мой лайф-хак - брокерский счет и ОФЗ, чтобы их конвертнуть в кэш надо минимум три дня, а потом еще както вывести, ну и плюсом процент капает.