Как стать автором
Обновить
211
Карма
22.9
Рейтинг

Пользователь

  • Подписчики 73
  • Подписки

Укрепляем HTTPS на стороне клиента (под Windows)

Информационная безопасность *
Tutorial

В рамках проекта «Монитор госсайтов» мы регулярно сталкиваемся с недостаточно защищенными и даже откровенно «дырявыми» веб-серверами, причем сообщения о найденных проблемах и уязвимостях их администраторы зачастую игнорируют. Поскольку на этих серверах размещены государственные сайты, просто отказаться от их посещения не получится. Что посетитель таких сайтов может противопоставить безалаберности их администраторов на стороне клиента?
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 3.2K
Комментарии 22

Закон о рекламе – что дышло: с какой ноги ФАС встал – туда и вышло

Спам и антиспам

Закон о рекламе запрещает распространение рекламы по сетям электросвязи без предварительного согласия абонента или адресата на получение оной (п.1 ст.18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе»), иначе придет Федеральная антимонопольная служба (ФАС) и впаяет штраф от 100 до 500 тысяч вечнодеревянных (ст.14.3 КоАП РФ). Или не придет, смотря с какой ноги встанет…
Читать дальше →
Всего голосов 17: ↑12 и ↓5 +7
Просмотры 2.2K
Комментарии 17

Perfect Forward Secrecy в современном TLS: прямая, кривая и административная секретность

Информационная безопасность *Криптография *

«Классической» Perfect Forward Secrecy в современном TLS не существует, как не существует необходимости в ней… если только вы сами не создадите ее.
Читать дальше →
Всего голосов 10: ↑10 и ↓0 +10
Просмотры 1.3K
Комментарии 0

ОРВ vs СимБурДа: наш опыт законотворчества

Законодательство в IT Сотовая связь

Как мы пытаемся принять участие в законотворческом процессе, как эти попытки разбиваются о чиновников Минцифры, и почему даже благие начинания властей превращаются в профанацию.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 939
Комментарии 0

Переписка со спамерами: избранное

Спам и антиспам

Конец XIV века, неизвестный автор: Комиссия ФАС изучает отмазки спамера.

Я радуюсь, получая спам – ведь у меня появляется новая возможность пополнить бюджет любимой страны (откуда берутся деньги на пенсии старикам, больницы, школы, домики для уточек и вот это вот все). Каждое полученное от спамеров сообщение я аккуратно пересылаю в ФАС, давая ей возможность пополнить бюджет на лишние 100-500 тысяч рублей, а потом наслаждаюсь материалами «расследований», проливающих свет на грязную подноготную «солидного бизнеса» и его подельников. Вранье, подтасовка документов и далее со всеми остановками – наслаждайтесь!
Читать дальше →
Всего голосов 446: ↑445 и ↓1 +444
Просмотры 58K
Комментарии 183

Так ли полезен HSTS, как его малюют?

Информационная безопасность *Разработка веб-сайтов *
HTTP Strict Transport Security (HSTS, хотя согласно RFC – просто STS) – заголовок столь же «раскрученный», сколь и переоцененный. Этот заголовок говорит агенту пользователя, что к отправившему его сайту следует обращаться только на «Вы» и шепотом по защищенному HTTP – HTTPS. Говорит уже после того, как к сайту обратились, причем именно по HTTPS.

Если же агент зашел на сайт по HTTP, то цитирую RFC: UA must ignore any present STS header field(s). То есть, если агент получил ответ от сайта по HTTP, он должен проигнорировать заголовок HSTS и продолжать общаться по незащищенному протоколу (если его принудительно не переключат на защищенный, но тогда какой смысл посылать заголовок?)
Читать дальше →
Всего голосов 13: ↑9 и ↓4 +5
Просмотры 3.8K
Комментарии 23

«Монитор госсайтов»: регионы просят ремня – 2021

Информационная безопасность *Администрирование доменных имен *Законодательство в IT
image

Сколько региональных правительств и парламентов до сих пор не имеют официальных сайтов, насколько надежно защищено их соединение с посетителями, как щедро данные об этих посетителях раздаются посторонним, и что изменилось в этой области за последний год – предмет доклада «Информационная безопасность сайтов государственных органов субъектов Российской Федерации – 2021», выпущенного в рамках нашего проекта «Монитор госсайтов».
Читать дальше →
Всего голосов 14: ↑13 и ↓1 +12
Просмотры 3.3K
Комментарии 23

Расширения и псевдошифронаборы, которые позволят сделать HTTPS-соединение более надежным

Информационная безопасность *

Расширение TLS (TLS extension) – это расширение спецификации протокола, устраняющее обнаруженные недоработки или добавляющее функционал, не предусмотренный при утверждении оригинальной спецификации. Судя по результатам исследований в рамках проекта «Монитор госсайтов», администраторы веб-серверов часто не знают о расширениях TLS, довольствуясь конфигурацией по умолчанию (к тому же устаревшей версии веб-сервера). Почему расширения TLS важны и чем чревато игнорирование наиболее важных из них?
Читать дальше →
Всего голосов 6: ↑6 и ↓0 +6
Просмотры 2K
Комментарии 6

Борьба со спамерами правовыми средствами. Руководство по дезинсекции

Спам и антиспам Законодательство в IT

После публикации двухтомника (тыц и тыдыц) о простом и питательном способе выставить назойливых спамеров на 100+ килорублей штрафа, в редакцию пришло множество вопросов и комментариев, результатом чего стал выпуск брошюры «Борьба со спамерами правовыми средствами. Руководство по дезинсекции», которую я и представляю вашему вниманию.
Читать дальше →
Всего голосов 9: ↑9 и ↓0 +9
Просмотры 8.4K
Комментарии 18

Как Россия поднялась на 5 место в «международном индексе кибербезопасности»

Информационная безопасность *

Я мог бы и прощелкать это эпохальное событие, но Минцифра раскудахталась: пятое место, пятое место, поднялись сразу на 21 позицию за год, одна строчка с ОАЭ и Малайзией! Стало интересно, тем более что сам недавно составлял похожий индекс и пятым местом России там если и пахнет, то скорее с конца.

Посмотрел я этот «международный индекс кибербезопасности» и появились некоторые соображения, чем объясняется небывалый успех родины.
Читать дальше →
Всего голосов 50: ↑32 и ↓18 +14
Просмотры 5.9K
Комментарии 21

Как государство пыталось в HTTPS, но не осилило

Информационная безопасность *
image

Законодательство требует от сайтов ФОИВ обеспечивать шифрование и защиту передаваемой информации. Как строители «устойчивого Рунета» справились с защитой собственных сайтов и соблюдением соответствующих требований НПА?
Читать дальше →
Всего голосов 47: ↑45 и ↓2 +43
Просмотры 30K
Комментарии 87

Где одна прокуратура – там шесть мнений

Администрирование доменных имен *

С 2010 года закон обязывает все государственные органы иметь официальный сайт, но до некоторых это требование не доходит вот уже 11 лет. Как мы пытались нести свет знаний отстающим, как звали на помощь в правовом просвещении органы прокуратуры, и как вместо этого они расписались в некомпетентности.
Читать дальше →
Всего голосов 10: ↑9 и ↓1 +8
Просмотры 2.3K
Комментарии 9

96% госсайтов не соответствуют требованиям НПА по информационной безопасности

Информационная безопасность *Администрирование доменных имен *Законодательство в IT

ОД «Информация для всех» опубликовало результаты очередного исследования уровня информационной безопасности сайтов государственных органов Российской Федерации, проведенного в рамках проекта «Монитор госсайтов». Исследование охватило 83 сайта всех федеральных органов законодательной, исполнительной и судебной власти, а также государственных органов Российской Федерации.
Читать дальше →
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 6.6K
Комментарии 33

Правительство создаст госрегистратора доменных имен. Без блекджека, но с блудницами

Информационная безопасность *Администрирование доменных имен *


Что мы предлагали сделать с государственным сайтами еще 10 лет назад, как Правительство дозрело до понимания проблемы, и что может из этого выйти, если законопроект Минцифры примут в существующем виде.
Читать дальше →
Всего голосов 15: ↑12 и ↓3 +9
Просмотры 6.2K
Комментарии 19

МВД заплатит 45 млн. за клон Truecaller

Разработка мобильных приложений *

По случаю праздника весны и труда ТАСС уполномочен заявить сообщает новости из прошлого: МВД изобретет велосипед заплатит за клон Truecaller почти 45 млн. наших рублей.
Читать дальше →
Всего голосов 42: ↑39 и ↓3 +36
Просмотры 10K
Комментарии 39

Роскомнадзор vs «Билайн»: куры передохли, пришлите новый телескоп

Спам и антиспам Законодательство в IT Сотовая связь

В прошлом году «Билайн» стал требовать для входа в «Личный кабинет» абонента принять «оферту» и согласиться получать рекламу спам от полосатых и его «партнеров», а в случае несогласия – отправляться в «Мегафон» или МТС на ближайший хутор ловить бабочек.

Идея сафари на чешуекрылых показалась мне настолько оригинальной, что я пригласил присоединиться к приключениям Роснепотребнадзор, ФАС и Роскомнадзор, предложив по дороге обсудить: не слишком ли много ухи съели пчеловоды, требуя от абонентов согласия на спам? Две первые инстанции посчитали, что не слишком: вы же не приняли оферту, дорогой абонент, значит ваши права не были нарушены, играйте в юного энтомолога без нас. А надзор, профилактика, предупреждение – оставьте тем, кто верит в Деда Мороза.

Зато Роскомнадзор заинтересовался новым видом активного отдыха, запросил у туроператора «Билайна» проспекты, составил на него административный протокол за то, что не сразу выслали, а затем направил требование о приведении своей деятельности в соответствии с действующим законодательством. Самого текста не видел, но предполагаю, что требовалось не орфографические ошибки в «оферте» исправить.
Читать дальше →
Всего голосов 217: ↑214 и ↓3 +211
Просмотры 76K
Комментарии 277

ДИТ Москвы, коронобесие, большие данные: преступление и наказание

Спам и антиспам Законодательство в IT
За неделю Роскомнадзор дважды составил административные протоколы на Департамент информационных технологий Москвы: за незаконную обработку ПД и наглое вранье надзорному органу.


Во время пика прошлогоднего коронабесия, когда власти вводили пропуска, комендантский час, патрули с собаками чумными докторами и это все, я развлекал себя, измываясь над московской системой оформления электронного «пропуска на передвижение», который якобы требовался для обуздания пандемии.

Гипотеза состояла в том, что вся эта система – сплошная профанация и нужна лишь для распила бюджета и построения «цифрового профиля» москвичей, а любой гражданин, располагая толикой изворотливости и информацией из открытых источников, может ее легко обойти. Проверка носила бескорыстный характер, так что я был целиком в белом жабо white hat.
Читать дальше →
Всего голосов 352: ↑345 и ↓7 +338
Просмотры 49K
Комментарии 121

Миф про «мобильный» CHACHA20

Информационная безопасность *

При подготовке Методики расчета «Индекса надежности HTTPS» мы перерыли массу тематической литературы и не раз сталкивались с рекомендацией поддерживать на веб-сервере шифронаборы на основе алгоритма шифрования CHACHA20 в целях снижения нагрузки на мобильные клиенты, которые не умеют в аппаратный AES. В этом контексте обычно упоминались процессоры Mediatek и скопом «старые бюджетные мобильные процессоры».

Действительно ли CHACHA20 со своим верным спутником POLY1305 позволяют не слишком греться мобильным клиентам и стоит ли его поддерживать на веб-сервере? Давайте это обсудим!
Читать дальше →
Всего голосов 12: ↑10 и ↓2 +8
Просмотры 3.8K
Комментарии 20

Как подружить «современный» TLS и «устаревшие» браузеры?

Информационная безопасность *

Тему подсказало обсуждение предыдущего поста, в котором прозвучал голос заботливого администратора веб-сервера: TLS 1.2 и AEAD – выбор здорового человека, но кто пожалеет пользователей «устаревших» браузеров? Давайте это обсудим – мнимую несовместимость «современного» TLS и «устаревших» браузеров.
Читать дальше →
Всего голосов 16: ↑16 и ↓0 +16
Просмотры 8.5K
Комментарии 36

Социальные сети оказались безопаснее порталов государственных услуг

Информационная безопасность *

Мы протестировали порталы государственных услуг по новым методикам, оценивающим надежность HTTPS-соединения с ними и уровень защиты от XSS, а также сравнили их с сайтами соцсетей, банка, транспортных и сервисных компаний. Результат в чем-то предсказуемый (с безопасностью электронных госуслуг все плохо), а в чем-то нет (у большинства сайтов из «контрольной группы» дела не лучше), но давайте обо всем по порядку.
Читать дальше →
Всего голосов 17: ↑6 и ↓11 -5
Просмотры 8.3K
Комментарии 27
1

Информация

В рейтинге
280-й
Зарегистрирован
Активность