Комментарии 81
Вопрос только, На что они надеются? Политика от этого не изменится, а вот неудобства пользователям добавились.
Может, политика и изменится. Браузерами ведь пользуются не только рядовые казахи, но и госслужащие, чиновники, депутаты, генералы. И тут внезапно вся система налетает на препятствие. А своего браузера пока что нет и разработать его не минутное дело, даже на готовом движке. А тем более внедрить. Госуслуги не работают, федеральные СМИ не открываются, на сайт правительства даже заметку об успешных учениях не напишешь. Проще отменить закон (или на местах саботировать его исполнение), чем плясать с бубнами вокруг поломки.
Ну как препятствие… "Хотите пользоваться интернетом в стране, ставьте наш браузер" и все, вопросов нет
Другое дело что интернет это не только веб, а вот с этим уже реально будут проблемы
Госуслуги не работают, федеральные СМИ не открываются, на сайт правительства даже заметку об успешных учениях не напишешьПочему, всё работает. Без установки сертификата просто выдаётся предупреждение о небезопасном подключении.
При чем здесь hsts? Он снавигирует на HTTPS версию, на которой будет предупреждение о слежке, и кнопка "все равно продолжить".
можно пользоваться http-версией
важное условие — надо чтобы эта версия была, что совсем не факт (в проде)
Без HSTS можно пользоваться http-версиейНет, не так. Сначала вы делает сайт. Открываете всегда, в любом случае 80й порт для HTTP и 443й порт для HTTPS(плюс ставите SSL конечно же). И включаете обязательный редирект на HTTPS(443) — версию всех, кто заходит на HTTP(80).
И уже после этого вы в самом конце когда уверены, что у вас HTTPS стабильно работает, вы включаете дополнительный флаг HSTS, который говорит о том, что всегда в будущем нужно сразу открывать HTTPS-версию сайта, этот флаг запоминает только браузер посетившего пользователя.
При этом, у вас остаётся открытым HTTP(80), т.к. не все браузеры пользователей мира знают, что у вас HTTPS, и по дефолту браузеры пытаются открыть сайт по HTTP(80). Зайдя на 80, их редиректнет на 443, и дополнительно, браузер запомнит по HSTS, что в след.раз сразу надо идти на 443.
Возвращаясь к теме. То, что сертификат отозван — будет означать, что сайт не доступен, и сертификат недействителен, об этом пишет mike4ip:
Без установки сертификата просто выдаётся предупреждение о небезопасном подключении.На что qw1 ему сообщает про
Госуслуги и критическая инфраструктура без HSTS? Ясно, понятно.Про HSTS, который как-бы желателен, но не обязателен, и вообще про другое (про все последующие входы на HTTPS-версию, а не про то, что сертификат всегда должен быть супервалидный).
т.к. не все браузеры пользователей мира знают, что у вас HTTPS, и по дефолту браузеры пытаются открыть сайт по HTTP(80)Для Хрома это не так с 2018г. Без указания префикса протокола он открывает https://
На что qw1 ему сообщает проТут вы немного запутались в участниках диалога…
Без HSTS можно пользоваться http-версиейПоясню. Допустим, кто-то раньше пользовался каким-то сайтом (условными гос. услугами). Там настроен редирект на HTTPS и HSTS. При массовых проблемах с сертификатами сайт мог бы отключить редирект и дать пользователям http-ссылку. Но при HSTS уже не может.
Нет, не так. Сначала вы делает сайт
сайт мог бы отключить редирект и дать пользователям http-ссылку. Но при HSTS уже не может.
Сайт сам решает что ему отключить? типа, ой проблемы, отключу ка я tls
вообще госуслуги такой сайт, что при проблемах с шифрованиям, надо вешать плашку «ушла на базу, обед», а не устраивать самодеятельность с переходом на другие нешифрованные протоколы
Не туда лезут.
Да и обычные пользователи, не вникают почему не открывается страница. Для них небезопасный сертификат — не работает интернет, примерно такого уровня понимание.
Во-вторых, это «неудобство» сродни неудобству от лечения компьютерного вируса. Ну, то есть, надо что-то делать, но альтернатива какая, не лечить? «Учения» в Казахстане закончились, наличие сертификата уже не является обязательным, а вот угрозы безопасности он создаёт.
если со злом не бороться то оно конечно победит
Сам живу в Казахстане. Одно время говорили об этом сертификате, но все уже давным давно забили на него. Себе никогда не ставил и не собираюсь.
И Слава Богу, что там живёте.
У нас, в Москве и так много "бежавших от кговавого назарбаевского режима" казахов.
Понятно, что власть реагирует на тонны компромата о режиме, всех казахов теперь дико интересуют грязные подробности из жизни лидера нации опубликованные на недависимых ресурсах (про сына/внука в Лондонской психушке, коленопреклонную просьбу разблокироаювать 20 ярдов $ в американских банках, и.т.п.).
Но нельзя же так грубо (серпом по фаберже) работать с народом.
Брали бя пример с бывшего старшего брата- в сети горы компромата, и никто за это особо не страдает.
Скорее всего дело в азиатском мировоззрении, так уж у них, чуть кто косо посмотрит на падишаха- голову с плечь.
Ну режим кровавый, только кровавым он становится для тех, кто начинает возникать несправедливости, коррупции, преступлениям тех, кто у руля… и это правильно, что возникают, я лишь на кухне, да в ватсап могу подобным заниматься и это даже стыдно.
Сына/внука того ведь выпилили.
Проблема у стран СНГ общая, ну или, как минимум, схожая)
Я хз об азиатском мировоззрении, но мне кажется, что эти принципы зародились перед распадом СССР. Эта тройка (3%, ворсултан, сказочный) — одного поля ягоды)
Но речь тут, в целом, не о политике, так что не реагируйет грубо на мои политические взгляды)) мы все друзья.
А как проверить не установили ли его без моего ведома? Как он называется?
А у спецслужб, допустим, США, нет доступа к приватной части некоторых сертификатов, по умолчанию присутствующих в браузерах Apple, Google, Microsoft, Mozilla и Opera?
АНБ не mitm-ит весь трафик
Вы так уверенно утверждаете это. Похоже вы знаете больше.
У меня в этом уверенности нет. С учетом того, что происходило с законодательством США после 9/11.
Там ниже развернулась дискуссия, суть которой очень простая.
У США и ЕС есть существенно больше инструментов влиять на Apple, Google, Microsoft, Mozilla и Opera. У всех прочих существенно меньше. Плюс, Apple, Google, Microsoft, Mozilla и Opera чаще действуют в интересах США и ЕС, и прямо мешают деятельности всех прочих.
Все яростные противники истории с нац. сертификатом, забывают (или делают вид, что забыли), что весь трафик уже в Apple, Google, Microsoft, Mozilla и Opera. И они используют его не только для коммерческих целей.
Вы так уверенно утверждаете это. Похоже вы знаете больше.Так это легко проверить, и все бы уже выли, что сертификат сервера, который видит клиент, не совпадает (хотя и валидно подписан) с тем, что установлен на сервере.
У меня в этом уверенности нет
У США и ЕС есть существенно больше инструментов влиять на Apple, Google, Microsoft, Mozilla и Opera. У всех прочих существенно меньшеС этим не поспоришь. Но, если ты не доверяешь вражеским фейсбукам и эпплам, можешь туда не ходить, либо не передавать им свои важные данные. А то, что делает Казахстан — это вскрытие вообще всех соединений, без разбора, не давая пользователю выбора.
легко проверить
Как вы будете проверять наличие MITM, если у злоумышленника доступ к приватным ключам CA, корневые сертификаты которых встроены в вашу ОС и браузер? Или вы про то, что это легко проверить владельцу сервера? Ну так не обязательно всему миру подменять, чтоб владелец сервера увидел. Точечные атаки практичнее.
Как раз в случае Казахстана это явный и неприкрытый MITM (ни в коем случае не одобряю), в случае компроментации CA ваши шансы понять, что вас читают, очень малы.
UPDATE: прочитал внимательнее, вы действительно про глобальный mitm.
но пока не были на этом пойманы.
Вообще-то уже были. Быстрый гуглеж показал https://www.schneier.com/blog/archives/2013/09/new_nsa_leak_sh.html, но вроде были еще какие-то случаи. Не могу вспомнить детали, но кончилось это отзывом всех сертификатов удостоверяющего центра из всех ОС и браузеров. Т.е. возможность такая у них может появиться, но любое ее использование — это риск, а после раскрытия информации публике этот канал моментально закрывается. Поэтому если у них сейчас и есть доступ к еще каким-то удостоверяющим центрам, то использовать они его будут осторожно и только в серьезных делах.
Чисто теоретически. А можно с них спросить за ущерб? вот внедряют они это — а где то из за этого падает инфраструктура, человек на этом теряет деньги. М? (наврено только разве что коллективный, иначе никаких денег на адвокатов не хватит, пользуются своим положением).
Мне немного трудно пробраться через логику вашего поста, но, кажется, вы топите за право бандитов класть болт на приватность ваших данных? И хотите судиться с разработчиками софта, которые мешают им это делать? Извините, если я неправильно вас понял.
Ладно, к сути вопросов:
логика — да, чуть кривая формулировка — не разделяю политику отдельных государств. И считаю, что вне зависимости от политики — корпорации не должны лесть в нее.
про судиться — если вы занимаетесь предпринимательской деятельностью (опять максимально абстрактно буду, потому что может быть как совсем фигня, Так и критично важное, к чему то конкретному сводить, будет очень субъективно и утрированр), вы Должны соблбдать законы того где работаете. Если выполнять только законы которые нравятся а которые не нравятся не выполняи. — то ничем не лучше их всех будем. И потому если корпорация, мешает выполнять местные законы — то пускай несет ответственность перед теми кому приносит ущерб.
Ненадо называть их разработчиками софта, они корпорации.
Яркий пример сейчас — твитч, который, создавался как альтернативная площадка удобная для стримеров. Который превратился в анально огороженое непонятно что, после того как разросся. Потому и считаю что Политике корпорации нельзя отдавать приоритет.
Ну давайте совсем на пальцах, чтобы проще некуда. Скажем, есть две силы, которые могут влиять на мою жизнь — правительство и транснациональные корпорации. У кого из этих двух есть репрессивный аппарат, который может помешать мне послать их нахрен, если мне не нравится то, что они предлагают мне делать? От кого ко мне придёт мент за неправильный пост в интернете — от Гугла с мозилой или от МВД Казахстана? Насколько упоротым мне нужно быть, чтобы топить за возможность майору делать себе палки в статистике по борьбе с экстремизмом/разжиганием ненависти/оскорблением Светоча страны за мой счет?
А вот продуктом корпорации можно просто не пользоваться, голосовать, так сказать, рублем. Альтернативы всегда есть.
Так что нет, не кажется что «корпорации лезут как попы».
Корпорациям ратующим за fair-use и предпринимающим какие-то действия в этом направлении можно только спасибо сказать (в т.ч. и рублем).
Будучи гражданином страны, от ее правительства и его поползновений никуда не спрячешься.
Я про это и говорю. Но страдать будут не правительство, а граждане.
Корпорациям ратующим за fair-use
Это кто? гугл? Давно на ютубе пытались что то обжаловать с пометкой fair-use?
dartraiden
А они не решают, какая политика государства верна.
Конечно не решают :) пока не находятся сами на территории конкретного государства.
А так же, мы помним, что если ELUA в каких то моментах расходится с законами конкретной страны — то эти пункты не действительны на территории. И эти вот договоренности браузеров — всего лишь условности. Но своими действиями они именно портят жизнь обычным гражданам. Но все воспринимают «на ура», это только потому что конкретно в данном случае, это согласуется с их мнением относительно проводимой политики. В следующий раз — не будет. Баны по Крымским айпишникам выше уже упомянули. Отличная политика корпораций. Государству ведь так важно что на гитхабе кто то получил бан, просто потому что родился не там. Дискриминация по месту жительства не далеко ушла от по гражданству или цвету кожи.
vindy123
Насколько упоротым мне нужно быть, чтобы топить за возможность майору делать себе палки в статистике по борьбе с экстремизмом/разжиганием ненависти/оскорблением Светоча страны за мой счет?
Я за это и не топил. Я топлю чтоб одни занимались своим делом и только лишь.
Что могут сделать корпорации? выпилить из своего сервиса на всегда. Запретить Вам совершать через них каких либо операции итд. Пример с твичем — перманентный бан запрещает вести какую либо деятельность, регать новых, светиться на чужих стримах и т.д. У государства все ограничивается только тем чтоб держалась их власть и тд — корпорации интересует только выжать все деньги.
Поэтому условные «либералы», которые считают, что бан — это всего лишь нормальный рабочий момент, намного лучше условных «патриотов», которые считают нормой ситуацию, когда правоохранители случайно проломят вам голову дубинкой, а накажут за это не их, а тех «агентов запада», кто заснял этот процесс на видео и выложил в Интернет, да ещё и имеет наглость требовать какого-то расследования.
В том-то и дело, что корпорация может только забанить
и если вы слишком ей доверяли — потеряете все наработки (гит) или контент (ютуб/гуглакк) или еще что то. И все по какой нибудь глупости правительства какого либо государства или веянию SJW или еще что. Ведь если человек не там не того цвета или посмел высказать отличную от остальных точку зрения — его надо в бан.
лишить вас всего.
Опять же возвращаясь к твичу, на данный момент это единственная стрименговая площзадка с аудиторией, ютуб уже и близко не такой. И когда тебе перманентный бан — это и есть лишить всего. А прилететь он может спокойно за то что кто то в коментариях чатика высказался негативно по поводу BLM а ты это не осудил как следует. Или не увидел и не отреагировал. Пара раз — и пока пока. Сейчас — еще веселее.
А начиналось всё как альтернативная ютубу площадка, не с такими драконовскими мерами как гугл. А теперь приходится даже в играх отключать встроеную музыку чтоб не схватить бан. И тут «закон» имеет обратную силу. Пораздавали баны за музыку не просто за стримы, но и за старые сохраненые стримы, и умудрились раздать даже за уже удаленые сохраненые стримы. (не моя больная тема, просто горячий пример который немного мазолил глаза последнее время)
Я периодически смотрю твитч, фоновую музыку на записях твитч просто вырезает
Месяц назад так и было (может чуть больше), а теперь все гораздо хуже стало. Собственно те каналы которые я смотрел — поудаляли много. И баны за удаленое прилетали. То что Вы пропустили это — вам повезло.
Most importantly, don’t play recorded music in your stream unless you own all rights in the music, or you have the permission of the necessary rights holder(s). Doing this is the best protection for your streams going forward. If you’re unsure whether you own all the rights, it’s pretty likely you don’t. If you want to include recorded music in your stream, use a fully licensed alternative like Soundtrack by Twitch, or other rights cleared music libraries such as Soundstripe, Monstercat Gold, Chillhop, Epidemic Sound, and NCS.
While we haven’t received more than a handful of DMCA notifications targeting in-game music, if you’re playing games with recorded music in them, we recommend you review their End User License Agreements (that wall of text at the beginning of a game) to see how the terms cover streaming with that music. One way to do this is to search for a game’s official EULA online and then do a ctrl+f (Command+f on Mac) search for words like “stream,” “licensed,” and “music” to point you toward the correct sections. If you’re unsure about the rights, some games allow you to turn off music when streaming, or you can mute the game audio yourself. If neither of those apply, consider turning off VODs and Clips.
For your stream archives (VODs and Clips), right now your only options, if you think they contain unauthorized music, is to either go through them one by one, or, for Clips, use the “delete all” tool we’ve provided. We understand both of these options have downsides, and we’re working to provide you more and better options as soon as possible. These things will take time to get right, and new challenges may appear in the future. Regardless, we’re committing here and now to investing in building better tools and keeping you posted on our progress.
Такой вот он, Fair-use. Все мы делаем лишь бы потранслировать чужую музыку.
А встроеную рекламу от твеча на весь экран, которая идет паралельно со стримом Вы тоже не видели?)
И баны за озвученые донаты вы не видели? И за неосужденые коментарии в чатике тоже? И вообще за на ровном месте. когда стример почти ничего не говорит на стримах (без объяснения причин). — прям на последней недели — Хэппи, катает в варкрафт3, практически не разговаривает. чат только для подписчиков. Бан на неделю ни за что и без коментариев от твича.
Давайте тут без ошибок выжившего.
Тут вопрос в другом. Например, есть стример, который сидит целыми днями болтает и зарабатывает на этом 200-300к в месяц. Для него бан очень болезненный, потому что ничего другого он делать не умеет. А даже если начнёт заново на другой площадке, шанс раскрутиться до прежнего уровня околонулевой.
И, собственно, вопрос. Вы считаете, что его положение должно быть защищено? Я считаю, что нет. Высокие доходы = высокорисковое дело, пусть будет готов вылететь из бизнеса в любой момент, ведь он это получил по сути, случайно. Куча людей работали не меньше, но им не повезло и они не раскрутились.
Вы считаете, что его положение должно быть защищено?
да
Высокие доходы = высокорисковое дело, пусть будет готов вылететь из бизнеса в любой момент
Смотря из за чего.
ведь он это получил по сути, случайно. Куча людей работали не меньше, но им не повезло и они не раскрутились.
Стример работает на аудиторию, те, кто получил это «случайно» — единицы. Для остальных это именно работа. Найти ЦА и уметь удержать её интерес — это надо уметь.
А если рассуждать как Вы. то «случайно» и «повезло» — это абсолютно про любую область деятельности тогда.
Если его банят на его текущей площадке, на другой площадке он уже не взлетает. Чего не скажешь о других профессиях: если я программист и моя фирма разорилась, пойду в другую без потери дохода, а то и с ростом.
В том-то и дело, что «просто повезло».
Нет. это не «повезло», это называется «узкая специализация».
на другой площадке он уже не взлетает.
А какая площадка есть помимо твича? ютуба нет, на твич все ушли именно потому что ютуб это ютуб. Обратной дороги нет.
Про васд не слышал, может посмотрю что там.
Наш спор изначально был ни о чем, а сейчас уже и подавно. Предлагаю на этом и закончить.
Всего хорошего :)
Только вот от своего правительства мы знаем что ожидатьВам очень сильно повезло со страной, если вы точно знаете, чего можно ожидать от вашего правительства в течение хотя бы ближайших пяти лет.
А вот у нас в России, к сожалению, власти абсолютно непредсказуемые. Мог ли, к примеру, хоть кто-то ещё в 2012-м году предсказать, что все контакты с украинскими компаниями придётся рвать, а украинские ресурсы на территории РФ будут блочить? Мог ли кто-то предсказать, что у нас будет шанс присесть за изображение свастики, выложенное в соцсети 7 лет назад, когда это ещё не было запрещено? Мог ли всего пять лет назад хоть кто-то предсказать появление закона Яровой со всеми сопутствующими проблемами и рисками для бизнеса?
И ведь нет никакой гарантии, что к примеру уже завтра нам не рубанут кабель, сделав выход во внешний Интернет таким же сложным, как в Китае (и для большинства посетителей Хабра это будет равнозначно запрету их профессии).
Неужто перехвата всего пользовательского трафика?
Вы привлекаете какие-то дикие ложные аналогии, не надо так.
Лучше сказать по-другому: одни хотели влезть вам в карман, а другие схватили их за руку и погрозили пальчиком.
Если производитель «чего угодно» будет пытаться соответствовать законам их всех, то на продукт уже ресурсов у него не будет.
Поэтому производители заботятся о законах страны в которой они существуют (в данном случае, понятно, США), что вполне разумно.
А сами правительства пусть и беспокоятся на счет того какие браузеры у них в стране допущены, а какие нет.
Если смогут, конечно, хаха.
Эээ, ну это ж прямо манипуляция в чистом виде. Ситуация прямо противоположная, и вы реально пытаетесь сказать, что чёрное и белое — это одно и то же. В ЕС правительства принуждают корпорации лучше соблюдать user privacy, и это хорошо. В Казахстане правительство хочет, чтобы корпорации не рыпались, когда правительство на корню user privacy пытается уничтожить. Если для вас эти кейсы — одно и то же, то это довольно разрчаровывающе. В Камбоджи времён правительства Пол Пота людей со средним и высшим образованием забивали мотыгами в полном соответствии с законом о классовой борьбе, и чего? Откуда эта готовность выключить собственный мозг и постулировать непогрешимость этих ребят во власти?
Так вот, чем ЕС, где избранные народом чиновники требуют A, проявляя, как говорят сторонники демократии, волю народа, принципиально отличается от Казахстана, где избранные народом чиновники требуют Б, проявляя, как говорят сторонники демократии, волю народа?Принципиальное отличие есть: Казахстан не является демократической страной, там не проводятся свободные выборы. Соответственно, никакую народную волю «демократически избранные чиновники» в Казахстане не проявляют (чиновниками, кстати, обычно называют людей на назначаемых должностях, а не выборных; для меня «избранный чиновник» — это оксюморон).
Общий ответ: поддерживают граждане законы, принимаемые правительством, или нет, зависит от того, насколько люди доверяют правительству (удивительно, правда?). В одних странах у населения есть основания полагать, что правительство пользуется своей властью для получения личной выгоды в ущерб общественной пользе, а в других… таких оснований, как минимум, меньше. Статистики у меня, конечно, нет, но подозреваю, что в странах с демократическими политическими режимами граждане гораздо больше доверяют своим правительствам, чем в автократиях, — нетрудно догадаться, почему.
То же самое с доверием граждан правительствам других стран. У старых европейских демократий все-таки сложилась репутация государств, заботящихся о своих гражданах, поэтому пользователи Хабра могут доверять правительствам условной Франции больше, чем собственному (при этом не факт, что изнутри самой Франции ситуация выглядит так же).
Думаю, в «идеальном обществе будущего» приватности будет уделяться гораздо меньше внимания: из-за повышения доверия люди будут проще делиться с окружающими, в том числе, с властями, деталями своей жизни.
Вот эти страны, у них правительство белое и пушистое, поэтому им можно «слушать» своих граждан. Это все во имя демократии.
А вот те страны, у них правительство авторитарное, поэтому им «слушать» своих граждан по-определению нельзя. Потому оно и авторитарное.
А с чего они решили что имеют право решать чья политика верна а чья нет?А они не решают, какая политика государства верна. Они решают, как должны действовать удостоверяющие центры. Есть такая штука, как CA/Browser Forum, где производители основных браузеров и центры сертификации совместно обговаривают вопросы, касающиеся выпуска и управления сертификатами. И давно уже обговорены и утверждены требования к центрам сертификации. Если центр не выполняет эти требования (весьма разумные, как то: периодический аудит, прозрачность при выпуске сертификатов и прочее), производители браузеров отказываются рассматривать его как надёжный. Потому что завтра такой центр может начать выдавать сертификаты для доменов людям, которым эти домены не принадлежат, и заруинит всё.
Казахский УЦ не только отказывается соблюдать правила игры (но и бог с ним, оставался бы недоверенным), но и явно покушается на безопасность пользователей, выпуская сертификат для глобального MitM, за это ему и прилетело.
Самое простое, это SSL Probing.
Клиентское подключение ставится на паузу.
А DPI с ip-адреса клиента отправляет SSL-хендшейк, отправляет типичный запрос на авторизацию VPN, и слушает ответ сервера. Если сервер отвечает по протоколу, как должен отвечать VPN-сервер, что авторизационные данные неверны, этот ip-адрес в бан.
А если там возмущённый ответ HTTP-сервера
HTTP/1.1 400 Bad request
то снимаем с паузы клиентский коннект, он создаёт новую tcp-сессию, ip-адрес+порт заносим в белый список например на сутки.
Apple, Google, Microsoft, Mozilla и Opera заблокировали в своих браузерах MITM-сертификат Казахстана