Комментарии 101
А вдруг вам фальшивых котиков подсунут человеки посередине?
www.tophotels.ru
www.piluli.kharkov.ua
www.7ya.ru
Ну хотя бы потому, что глупый юзер Вася может использовать один и тот же пароль и для блога с котиками, и для почты, и для интернет-банка. И регулярно пользоваться при этом открытыми wi-fi сетями.
А перетащить всех владельцев блогов на HTTPS проще, чем научить всех Вась азам информационной безопасности. :)
Ну это уж совсем какой-то сферический блог в вакууме, куда ни своих котиков не добавить, ни прокомментировать… Ну ладно.
В таком случае всё равно ничто не помешает коварному владельцу открытого вай-фая внедрить под Вашими котиками кнопочку "Лайк", которая при нажатии попросит Васю залогиниться в ФБ/ВК и угонит пароли наивного Васи от означенных соцсетей. А то и формочку "пожертвовать денежку на котиков", которая у особо наивного Васи угонит уже кредитку.
Ну хотя бы потому, что глупый юзер Вася может использовать один и тот же пароль и для блога с котиками, и для почты, и для интернет-банка.По моей логике это проблема Васи, какие пароли и где он их использует. И сервиса который позволяет ему использовать подобные пароли.
А перетащить всех владельцев блогов на HTTPS проще, чем научить всех Вась азам информационной безопасности. :)Лучше бы научили, а то так на HTTPS переведут, потом в связи с популярностью HTTPS его хакнут, дальше будут переводить на двухфакторную авторизацию, биометрию. О свободе выбора я так полагаю речи больше не идет. Хочешь сделать сайт, придется размещать на HTTPS, и неважно, что там на сайте.
Чтобы защитить Васю надо тогда уж делать обязательную OAuth авторизацию для всех сайтов кроме особо-надежных сертифицированных, которые, собственно, и будут обеспечивать авторизацию пользователей. Возможно это и будет следующим шагом.
p.s.
Забавно, что у моего провайдера инета даже ЛК через http (и да, он доступен из вне)
Забавно, что у моего провайдера инета даже ЛК через http (и да, он доступен из вне)
Аналогично. У моего еще и панель управления биллингом торчит наружу и все это даже без доменного имени, тупо на ip. А саме забавное, что все это находится на том же самом ip, через который абоненты получают доступ в интернет.
Вы наверно уже догадываетесь как будет относиться к таком предупреждению пользователь, который пару раз получил такое предупреждение не по делу?
Та самая история про мальчика который кричал «волки».
Соответственно, браузер и предупреждает, что сайт небезопасен, потому что соединение с сайтом буквально скомпрометировано, и нет ни малейшей гарантии, что трафик не подменён и не прослушан.
А пользователь (в идеале) позовёт специалиста, который покажет ему, как вернуться к безопасному соединению.
А вот, то что они таким образом захватывают власть над сетью — только негатив.
Следующие шаги:
Надоедающее предупреждение перед открытием «не https».
Блокировка открытия «не https», с отдельной далеко спрятанной опцией всё же разрешить.
Цензурирование, путем выдачи/невыдачи сертификатов.
На каждый шаг уйдет по паре лет.
Цензурирование, путем выдачи/невыдачи сертификатов.
Вроде пока сертификаты всем желающим выдаёт тот же самый Let;s Encrypt. Ты только обязан доказать, что домен является твоим. Или у вас есть факты об отказах в выдаче сертификата по «политическим» мотивам?
Это пока он выдает, что будет дальше не известно. Да и с недавнего времени не очень удобно, то что Хром не дает тебе добавить в доверенный самоподписаный сертификат нигде кроме как на *.test домене.
Можно начинать внимательно следить за такими событиями.
2017: хром 63% + фф 14%(из статьи видно, и ФФ поддерживает). Доминирующее положение «хром» уже позволяет навязывать условия даже известным корпорациям.
Как будет работать wi-fi аутентификация? Сейчас у меня стоит закладка на http-ресурс, чтобы завершить соединение с интернетом через wi-fi в метро. Это уже сейчас непростая задача.
По http самим андроидом запрашивается адрес connectivitycheck.gstatic.com/generate_204, и проверяется http код ответа. Если ответ сервера отличается от того который должен быть, то система понимает, что запрос перехвачен, и в «шторку» Андроида выводит сообщение о необходимости совершить какие-то действия в портале. Всё это происходит по http, так что проблем никаких нет.
https://google.com
, ловит неверный сертификат и получается искусственный «затык». Приходится использовать закладку.Тех же котиков в жпегах можно пускать не шифрованными, как в прочем и аудио и видео потоки. Да много чего ещё можно слать, без угрозы безопасности.
Просто как только пользователю отдается не шифрованное соединение. С ним можно делать что угодно, он ничего не заметит.
Крайний раз когда я чекал хром, у него не было ничего вменяемого для защиты от МитМ. Например в корпоративной сети, он радостно показывает «защищенное соединение», при том что там весь трафик чекается.
При этом я изначально подразумеваю небезопасность входа в сеть, если использую любое «чужое» т.е. непроверенное соединение. Отвечая на вопрос второго собеседника. Просто как только пользователь подключился с неизвестного соединения и нет провел проверок против МитМ. С ним можно делать что угодно, он ничего не заметит. А браузер будет светить зеленым глазом, давая ложную уверенность.
Гипотетический школьник не может установить вам свой сертификат в доверенные.
Можно было бы спорить с тем что может условным противник, но на эту тему и так много копий сломано. Давайте просто условимся, что возможности условного и гипотетического школьника с каждым годом растут. С этим сложно спорить, а потому защита которая заработает в ближайшем будущем, не должна строиться на том, от чего надо было защищаться уже вчера. (если конечно это вообще требуется)
Благодаря простому и автоматическому получению ssl-сертификатов — мошенникам стало очень просто заводить сотни фишинговых страничек, которые вызывают у неискушенных пользователей больше доверия, чем раньше. Мозилла уже напряглась по поводу того, что с момента запуска LE — были зарегистрированы сотни, если не тысячи страниц, с названием созвучным paypal или с очень небольшими отличиями. И это только начало.
Пользователь наслушался всей этой истерии по поводу повального https и ему достаточно зеленого значка на фишинговой страничке, чтобы ввести свои данные и слить свой акккаунт. А же иначе? «У меня был зеленый замочек, гугль обо мне позаботился, а деньги все равно пропали!!!».
А насчет пэйпала — ЕМНИП у него EV-сертификат, и если пользователь не умеет отличать EV от DV, это не проблема гугл-хрома. Также имя домена, похожее, но не равное paypal.com, не проблема гугл-хрома, разве что используется юникод с похожими символами — тогда домен надо сразу отображать в голом punycode, чтобы неповадно было. Где-то читал про вариант решения проблемы с юникодом и подделками — показывать домен в punycode, если в нем присутствуют символы из >128 и <128 наборов одновременно. Можно его усилить, разделив пространство >128 по локалям согласно спецификации самого Unicode, и показывать в punycode, если локалей больше одной. При этом всякую псевдографику считать за special (включая пробелы нулевой ширины и подобные им), и если в домене есть хоть один special символ, показывать его в punycode.
Нельзя рассчитывать на то, что абсолютно все население будет достаточно грамотно в технической части.
Хотели объяснить как проще, потому что грамотность массового населения весьма невысокая и она всегда будет ниже, чем у мошенников и тут ничего не поделать.
раз есть замочек зеленый — значит все ок
Так я, в контексте обсуждения, и предлагал оставить замочек только на EV-сертификатах, и убрать нафиг на DV. Не панацея, но «зеленый замочек» будет хоть что-то значить, как и учили.
27 февраля 2018 года они начнут выдавать wildcard сертификаты
Отлично, теперь зелёный замочек появится у фишинговых сайтов.
Повальный https — это местами даже хорошо, однако это не значит что всё безопасно, это всего лишь означает что соединение зашифровано. Но с таким же успехом оно может быть зашифровано корпоративным/государственным MitM, а это уже совсем не безопасно...
Но с таким же успехом оно может быть зашифровано корпоративным/государственным MitM, а это уже совсем не безопасно...Чтобы это сработало, нужно либо провести манипуляции с клиентским устройством для установки корневого сертификата компании или государства, либо компании или государству каким-то путём завладеть приватным ключом к уже доверенному корневому сертификату.
В первом случае ошибка будет показываться на сайтах с включённым HSTS, например, Википедии. Во втором случае хуже, поможет только отзыв сертификата, причём не сразу и только если центр сертификации в этом заинтересован.
Также EV сертификаты банков подделать нельзя.
Это такая безопасность со звездочкой, для тех, кто в ней ничего не понимает и не собирается начинать.
Google Chrome начнет помечать все http страницы как «не защищенные» с релизом Chrome 68 в июле 2018