Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 46
Товарищ из Китая подтверждает такую же подделку сертификата у Yahoo.
Правильно Google сделали в Chrome — неверный сертификат — вообще нет шансов для юзера туда зайти. В современной обстановке пора перенимать практику и всем остальным.
Почему нельзя? Вот смотрите, вы — юзер. Вы идете на сайт, вам выскакивает окошко о неверном SSL сертификате. Огромный процент пользователей просто отмахнутся от назойливого браузера, нажав ОК, и даже читать не будут. Еще существенный процент прочтут, почешут голову и подумают — ну нафиг, и тоже нажмут ОК. Потому что пользователю совершенно не важно, что там за SSL и почему браузер ругается, потому что браузер позволяет продолжить. Он не должен. Не валидный сертификат должен восприниматься браузером как совершенно нерабочий сайт, чтобы пользователь не мог зайти на сайт с неверным сертификатом. Тогда и фишка такая у китайцев бы не прокатила, ибо пользователям выдавало бы ошибку. Но им выдает предупреждение. Как по мне — это неверное поведение.
Вполне ясна причина, по которой так устоялось — ну не было в Web 1.0 таких огромных объемов персональной и чувствительной информации. В Web 2.0 она на каждом шагу, и за пользователей об их данных должны беспокоится разработчики.
Вполне ясна причина, по которой так устоялось — ну не было в Web 1.0 таких огромных объемов персональной и чувствительной информации. В Web 2.0 она на каждом шагу, и за пользователей об их данных должны беспокоится разработчики.
Не исключено, но подозрений и головной боли будет куда больше. К тому же с Китая все только начинается. Сколько уже так кредиток было украдено — не сосчитать. А все из-за психологии пользователя, которую разработчики игнорируют.
А кредитки тут при чем? Фишинг? Так это прошлый век и все крупные почтовики давно фильтруют это дело (только если вы сами не проявите желание). А вся sensitive информация собирается совсем по другому и ssl тут никаким боком…
Эмм, то есть китайское правительство ворует кредитки? Я так понял, оно это делает MITM в идеологических целях, а не для наживы
И что прикажете делать с self-signed? Или истекшими сертификатами? (они, замечу, работают также хорошо)
А что делать с просроченными доменами?
Они тоже могли бы работать хорошо!
А с self-signed — кому надо, пусть устанавливает в корневые доверенные…
А для всех остальных — пусть покупают.
больше покупателей -> ниже цена.
Они тоже могли бы работать хорошо!
А с self-signed — кому надо, пусть устанавливает в корневые доверенные…
А для всех остальных — пусть покупают.
больше покупателей -> ниже цена.
Про «больше покупателей ниже цена» чушь собачья, с точки зрения капитализма.
Больше конкурентов, ниже цена, и то в случае доступного ресурса.
Ресурс сертификатов сильно ограничен компаниями его выдающими.
Больше конкурентов, ниже цена, и то в случае доступного ресурса.
Ресурс сертификатов сильно ограничен компаниями его выдающими.
Чем прибыльнее бизнес, чем больше спрос — тем больше компаний захотят этим заниматься, а это повлияет на конкуренцию.
Правда надо как-то сертификат в доверенные корневые запихать на кучу компов…
Но всё возможно со временем :)
Правда надо как-то сертификат в доверенные корневые запихать на кучу компов…
Но всё возможно со временем :)
Дык есть же бесплатные, например
или, что значительно легче, включат в обязательном порядке своё CA в доверенные
Ну NeoTheFox не совсем верно выразился войти на сайт можно, но для этого нужно подтвердить что вы осознаете риск, и при показе сообщения кнопка подтверждения изначально отсутсвует
В некоторых случаях, например, если вы заходите на сайты гугла — варианта с продолжение не будет. Просто будет ошибка. И как по мне — это вполне себе верное поведение для браузера.
Может я не прав: допустим серт выдан домену qwertyuiop.com, тогда при попытке зайти на под-домен mail.qwertyuiop.com, который юзает тотже ssl, в браузере будет жесткая ошибка без возможности продолжить? А что если это все одна и таже контора?
У меня такое периодически случается, но сейчас можно просто подтвердить и все
У меня такое периодически случается, но сейчас можно просто подтвердить и все
Ну, это на самом деле не совсем правильно со стороны конторы
Значит, он юзает другой ssl. Или у вас есть wildcard на все поддомены, или по отдельному сертификату на поддомен. Иначе это не ssl, а что-то свое.
«Что-то свое» через браузер не сильно пропихнешь :) Просто лень бывает на все поддомены серты брать, вот и имеем то, что имеем.
Бывают красавцы, которые на несколько доменов цыпляют один серт — ну, типа, это ж все мы, какая разница :)
Бывают красавцы, которые на несколько доменов цыпляют один серт — ну, типа, это ж все мы, какая разница :)
Тогда надо wildcard купить, он не сильно дороже. Но вообще, я заметил, не очень себе представляют, как этот ssl работает, причем не только пользователи, но и админы. Думаю, это потому, что ssl не особенно гибкая штука.
Например, такая простая штука, как промежуточный сертификат, которым можно подписывать сертификаты только для поддоменов, никак не реализован. Из-за этого или имей один сертификат на все (на любые) поддомены, или плати за каждый.
Например, такая простая штука, как промежуточный сертификат, которым можно подписывать сертификаты только для поддоменов, никак не реализован. Из-за этого или имей один сертификат на все (на любые) поддомены, или плати за каждый.
Эти домены записаны в конфиг Chrome и их очень немного, там же записаны сайты с strict-transport-security, например заходя на Яндекс даже первый раз вы не отправите запрос по HTTP из-за ограничений внутри хрома
Да, это очень круто. Но в чайне, с браузерами все очень плохо. Здесь властвуют IE, всякие говно360 и прочие «браузеры». — Для которых написать что сертификат настоящий, не проблема, пользователь даже не заметит ничего.
И сам хром, очень проблематично скачать в китае.
И сам хром, очень проблематично скачать в китае.
В смысле нет шансов? Он блокирует, но если юзер внимательный, то найдет кнопочку «да, понял, понял я, пустите меня все равно на этот сайт!»
На самом деле очень грамотное решение. Сейчас выдаётся вот такое сообщение:
И да, для обычного пользователя это всё равно, что нет шансов. Нужно нажать «дополнительно» и, прочитав ещё страшную надпись и проигнорировав её перейти таки куда хочется. Но, как правило, пользователи не будут этого делать, или проконсультируются с кем-нибудь более компетентным.
И да, для обычного пользователя это всё равно, что нет шансов. Нужно нажать «дополнительно» и, прочитав ещё страшную надпись и проигнорировав её перейти таки куда хочется. Но, как правило, пользователи не будут этого делать, или проконсультируются с кем-нибудь более компетентным.
Боюсь, как бы наши до такого не додумались.
С ужасом ожидаю прочесть в завтрашней газете «Депутат Дундуков предложил запретить шифрование, как не отвечающее интересам общества. „Если человек шифрует, значит, он уже виноват — давайте его посадим! Если провайдер пропускает шифрованный трафик — отберем у него лицензию, ибо он помогает виноватым стать еще виновнее!“»
И стройные ряды рукоплещущих представителей «народа»!
:(
И стройные ряды рукоплещущих представителей «народа»!
:(
К сожалению, провайдер ТМПК в подмосковном городе Дубна занимается ровно тем же самым, дабы блокировать на YouTube какие-то ролики из списка РосКомНадзора по https. И им наплевать, что они при этом нарушают одну уголовную статью и одну статью конституции
Молодцы китайцы!
А как они из приложения перехватывают соединения? Там-то не пройдет невнимательность к сертификату.
Тоже мне новость. Вот если бы китайцы умудрились осуществить MITM без выдачи какого-либо подтвеждения — вот это был бы фокус. Причём мне кажется, что на практике это возможно. Ну то есть теоретически такое невозможно, а вот на практике может быть, потому что, скажем, в SSL есть ещё какая-нибудь пока неизвестная уязвимость, или китайское правительство начнёт сразу браузеры распространять с подменёнными ключами и т. д.
Без палева парни работают!
Но что-то мне кажется, что это — косяк конфигурирования, а может, и просто некий тест, «проба пера». При деньгах Поднебесной прикупить себе (или официально приказать китайскому же оператору сертификатов издать) sub-CA сертификат, позволяющий создавать сертификаты для любых доменов — не проблема.
Вывод: не стоит верить только SSL-сертификатам, важно делать на уровне приложения свою систему проверки целостности и авторизации второй стороны.
P.S. Я так понимаю, американское правительство такой ерундой не парится. Может, просто имеет другой, более надежный доступ ко всем секретам на хранилищах грандов отрасли?
Но что-то мне кажется, что это — косяк конфигурирования, а может, и просто некий тест, «проба пера». При деньгах Поднебесной прикупить себе (или официально приказать китайскому же оператору сертификатов издать) sub-CA сертификат, позволяющий создавать сертификаты для любых доменов — не проблема.
Вывод: не стоит верить только SSL-сертификатам, важно делать на уровне приложения свою систему проверки целостности и авторизации второй стороны.
P.S. Я так понимаю, американское правительство такой ерундой не парится. Может, просто имеет другой, более надежный доступ ко всем секретам на хранилищах грандов отрасли?
Серьёзные пацаны такой фигнёй, как подмена сертификатов, не страдают.
www.pcworld.com/article/2360441/googles-chrome-email-encryption-extension-includes-jab-at-nsa.html
www.pcworld.com/article/2360441/googles-chrome-email-encryption-extension-includes-jab-at-nsa.html
Я правильно понимаю, что подмена будет только если я на сайт зайду?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Китай осуществляет MiTM-атаку на пользователей iCloud