man in the middle, где man - ваш провайдер о чём собственно браузер и предупреждает т.е. если раньше провайдер просто передавал поток, то сейчас он его читает
не web приложениям это не грозит
p.s. "Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)
Достаточным доказательством возможности существования Северной Кореи является сама Северная Корея, и другие доказательства этого тезиса излишни и избыточны. При таком раскладе даже спутниковая тарелка не поможет, потому что придёт Товарищ Сержант и прикажет развернуть её на правильный спутник. И фиг откажешься. Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.
Так ведь ни то, ни то не выйдет. Корейцы - особый народ. Они все считают друг друга родственниками. В России же прямо противоположное явление. Человек человеку быдло.
Это уже детали, принципиально дело не меняющие. Я про то, что в России параллельно развиваются несколько конкурирующих процессов, и "закручивание гаек" - только один из них.
В Питере некоторые провайдеры года два назад уже баловались перешифровкой: http://dours.livejournal.com/109171.html (и вообще http://dours.livejournal.com/tag/man-in-the-middle). Так что не факт, что именно это — кровавая гэбня.
Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.
Родина слышит, Родина знает, Сертификат TLS подменяет.
Следующий очевидный шаг - сделать Яндекс Единственным Правильным Браузером, и положить в него ФСБшный сертификак как корневой. И больше никто ничего спрашивать не будет. Ну и, кстати, перехватив соединения с источниками остальных браузеров, запросто можно установить ФСБшный сертификат в корневые при обновлении.
И тогда на вес золота станут люди, у которых будут настоящие старые браузеры, позволяющие скачать настоящие новые браузеры %).
Я думаю, что слишком сложно. А если я свой браузер даже не напишу, а соберу?.. В Казахстане вроде в системное хранилище собираются ставить, это проще и радикальнее.
Вся эта криптография как-то слишком заумна для обычного человека. Сообщение должно быть четкое и понятное - мол, сертификат поддельный, считайте, что все, что вы пишете уходит на стол товарищу майору.
У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...
Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.
Не знаю. Думаю, те, кто посылал, тоже плохо представляли, что это все за мусор.
> м.б. ему и закрытый ключ слили
И такое бывало-с. Это не сверхсекретные ключи, но тем не менее. Глядючи на эти танцы, я в какой-то момент тупо добавил опцию "сгенерировать ключ". Мы, конечно, тогда знаем их закрытый ключ, но тех, кто не в состоянии сгенерировать ничего самостоятельно, это обычно мало волнует.
Это всего лишь говорит о том, что https - это весьма условно секьюрный протокол, нормальные защищённые продукты нужно писать на базе самописных протоколов, хэндшейк которых нельзя эмулировать. :)
Ну так кто будет дыры-то искать, если протокол закрыт и не является распространённым? Много ли народа протокол Скайпа сломало и там Вотсаппа или Вайбера? Ту уж либо сдюжил и написал сам, либо не сдюжил и взял то, что другие написали. :)
Ну, скорее, нужно использовать протоколы без участия третьей доверенной стороны типа центра выдачи сертификатов.) А при соблюдении этого условия пусть уже эмулируют хендшейк сколько угодно.)
Странная какая-то статья. Чего этот человек хочет после установки какого-то левого сертификата в качестве доверенного? После этого шага понятно уже,что шифрования нет и куда-то там лазить и в чем-то удостоверяться дополнительно уже смысла нет. Надо было впн ставить, хотя бы в виде Fri-gate, и не было бы никаких проблем.
А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)
Это часто практикуется в случаях, когда, к примеру, нужно принудительно показывать рекламу потребителям бесплатного траффика. В Москве в метро пару лет назад сделали быстрый интернет с бесплатным вайфаем, для которого нужна ренистрация с привязкой логина к номеру мобильного телефона. Условно говоря, эта регистрация существенной безопасности не обеспечивает (поскольку с рук без проблем можно купить симку "на выговор" без регистрации у оператора, и работать с ней, пока её не заблокируют), однако при работе с инетом через этот вход все DNS запросы проходят через фейковый сервер, который выдаёт другие адреса (прокси), левые сертификаты и позволяет интегрировать в сторонний контент рекламные материалы, - и ничего, большинство это не слишком заботит.
Тут ещё вот какое дело. Конечно когда тебе подсовывают какое-нибудь очевидное дерьмо вместо сертификата, то это не очень хорошо. Но это хотя бы заметить легко.
Но если у пользователя в России, например, сертификат в порядке, это ещё не значит, что аналогичная кровавая гэбня с другой стороны океана не скомпрометировала, например, GeoTrust, и не расшифровывает все данные там, выдавая свои палёные сертификаты за настоящие. И как докажешь, что этого не происходит?..
В общем как-то эфемерно это всё. Ещё сеть доверия туда-сюда, да и она тоже компрометируется, благодаря уже бардачности своей...
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
juan_gandhi) wrote2016-08-26 09:14 am
no subject
т.е. если раньше провайдер просто передавал поток, то сейчас он его читает
не web приложениям это не грозит
p.s.
"Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)
no subject
no subject
no subject
Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.
no subject
no subject
(no subject)
no subject
Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.
Родина слышит, Родина знает,
Сертификат TLS подменяет.
no subject
no subject
Я думаю, что слишком сложно. А если я свой браузер даже не напишу, а соберу?.. В Казахстане вроде в системное хранилище собираются ставить, это проще и радикальнее.
no subject
У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...
Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.
no subject
Зачем он хочет зарегистрировать сертификат в системе?
no subject
(no subject)
(no subject)
(no subject)
no subject
Нет, это не криминал само по себе, я понимаю. Но вообще если ему дали случайно не тот файл, то м.б. ему и закрытый ключ слили?..
no subject
Не знаю. Думаю, те, кто посылал, тоже плохо представляли, что это все за мусор.
> м.б. ему и закрытый ключ слили
И такое бывало-с. Это не сверхсекретные ключи, но тем не менее. Глядючи на эти танцы, я в какой-то момент тупо добавил опцию "сгенерировать ключ". Мы, конечно, тогда знаем их закрытый ключ, но тех, кто не в состоянии сгенерировать ничего самостоятельно, это обычно мало волнует.
no subject
no subject
no subject
no subject
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
no subject
Судя по смайлику, это все-таки шутка. Я надеюсь.
> хэндшейк которых нельзя эмулировать. :)
Родина прикажет - сами все заэмулируете как миленькие.
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
(no subject)
no subject
А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)
no subject
(no subject)
(no subject)
(no subject)
no subject
no subject
no subject
no subject
Но если у пользователя в России, например, сертификат в порядке, это ещё не значит, что аналогичная кровавая гэбня с другой стороны океана не скомпрометировала, например, GeoTrust, и не расшифровывает все данные там, выдавая свои палёные сертификаты за настоящие. И как докажешь, что этого не происходит?..
В общем как-то эфемерно это всё. Ещё сеть доверия туда-сюда, да и она тоже компрометируется, благодаря уже бардачности своей...