Juan-Carlos Gandhi (![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
juan_gandhi) wrote2016-08-26 09:14 am
juan_gandhi) wrote2016-08-26 09:14 am
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
man in the middle, где man - ваш провайдер о чём собственно браузер и предупреждает
т.е. если раньше провайдер просто передавал поток, то сейчас он его читает
не web приложениям это не грозит
p.s.
"Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)
т.е. если раньше провайдер просто передавал поток, то сейчас он его читает
не web приложениям это не грозит
p.s.
"Но делать нечего, устанавливаем сертификат на компьютер, в хранилище “доверенных корневых сертификатов”" - совсем не обязательно, в ie можно просто игнорировать предупреждение %)) - влияет только на визуальность (что является предупредительной мерой)
Edited 2016-08-26 17:33 (UTC)
Достаточным доказательством возможности существования Северной Кореи является сама Северная Корея, и другие доказательства этого тезиса излишни и избыточны. При таком раскладе даже спутниковая тарелка не поможет, потому что придёт Товарищ Сержант и прикажет развернуть её на правильный спутник. И фиг откажешься.
Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.
Но параллельно с попытками превратить РФ в Северную Корею есть и попытки превратить её в Южную Корею. И тут уж кто первый успеет.
Так ведь ни то, ни то не выйдет. Корейцы - особый народ. Они все считают друг друга родственниками. В России же прямо противоположное явление. Человек человеку быдло.
В Питере некоторые провайдеры года два назад уже баловались перешифровкой: http://dours.livejournal.com/109171.html (и вообще http://dours.livejournal.com/tag/man-in-the-middle). Так что не факт, что именно это — кровавая гэбня.
Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.
Родина слышит, Родина знает,
Сертификат TLS подменяет.
Но в Казахстане корневой сертификат или уже, или скоро будет государственный. Так что скорее всего и в России кончится тем же. А ещё через пару лет почешут репу и для всеобщего блага запретят вложенное шифрование, как нецелесообразное.
Родина слышит, Родина знает,
Сертификат TLS подменяет.
Edited 2016-08-26 19:25 (UTC)
Вся эта криптография как-то слишком заумна для обычного человека. Сообщение должно быть четкое и понятное - мол, сертификат поддельный, считайте, что все, что вы пишете уходит на стол товарищу майору.
У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...
Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.
У меня не далее как вчера случай был: присылает чел е-мейл. Мол, не может зарегистрировать сертификат в системе. Система пишет, что ошибка. Он уже и заголовок в файле поменял с "----BEGIN RSA CERTIFICATE REQUEST----" на "----BEGIN RSA CERTIFICATE----", а система, свинья, все равно пишет, что ошибка. Ну, вы поняли...
Чего нашей системе только не подсовывали в качестве "сертификата". И приватные ключи, и публичные ключи и, вот, как сейчас, запросы на сертификат. И каждый раз полная незамутенность - а чаво это оно на наш файл ругается, исправьте пожалуйста.
Edited 2016-08-26 20:42 (UTC)
Это всего лишь говорит о том, что https - это весьма условно секьюрный протокол, нормальные защищённые продукты нужно писать на базе самописных протоколов, хэндшейк которых нельзя эмулировать. :)
Странная какая-то статья. Чего этот человек хочет после установки какого-то левого сертификата в качестве доверенного? После этого шага понятно уже,что шифрования нет и куда-то там лазить и в чем-то удостоверяться дополнительно уже смысла нет. Надо было впн ставить, хотя бы в виде Fri-gate, и не было бы никаких проблем.
А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)
А так-то в России провайдеры уже давно балуются MITM и подменой сертификатов: требования по блокировкам выполнять нужно, а если заблокирован какой-то урл с https, то единственной альтернативой подмене сертификата будет блокировка всего сайта целиком. Мой провайдер начал подмену сертификатов использовать года два назад, если память не изменяет, я сначала онемел от такой наглости, но потом забил, сам я впн использую, исключений безопасности не добавляю на автомате не читая сообщений, а остальным все равно не смогу доходчиво объяснить, почему проблема серьезна, так что остается дождаться, пока роскомпозор заблокирует наконец что типа блога Тиньков-банка или чего-то подобного, и сообразительные кардеры толпой побегут устраиваться на работу в разные интернет-провайдеры, может, большой скандал без лишних слов проиллюстрирует суть проблемы.)
> Мол, не может зарегистрировать сертификат в системе.
Зачем он хочет зарегистрировать сертификат в системе?
Зачем он хочет зарегистрировать сертификат в системе?
Ну, скорее, нужно использовать протоколы без участия третьей доверенной стороны типа центра выдачи сертификатов.) А при соблюдении этого условия пусть уже эмулируют хендшейк сколько угодно.)
Ну да, конечно.
Тот же SAML годился бы, если бы...
Тот же SAML годился бы, если бы...
Надо. Проблема в том, что люди не знают толком, что такое сертификат. Для них вся эта дребедень - одинаковый двоичный мусор.
Не совсем понимаю, как SAML можно приспособить для общения с Гуглом или Амазоном. Он же для связи Service Providers и Identity Providers. Кто из нас с Гуглом будет identity provider?
Кроме того, для безопасного SAMLя все равно нужно знать сертификат партнера. Если я получаю амазоновский сертификат надискетке флешке в офисе Амазона, то это одно. А если по Интернету - откуда я знаю, Амазон мне его прислал или товарищ майор? Т.е., задача сводится к предыдущей.
Кроме того, для безопасного SAMLя все равно нужно знать сертификат партнера. Если я получаю амазоновский сертификат на
> Защищённые продукты нужно писать на базе самописных протоколов
Судя по смайлику, это все-таки шутка. Я надеюсь.
> хэндшейк которых нельзя эмулировать. :)
Родина прикажет - сами все заэмулируете как миленькие.
Судя по смайлику, это все-таки шутка. Я надеюсь.
> хэндшейк которых нельзя эмулировать. :)
Родина прикажет - сами все заэмулируете как миленькие.
Ага, особенно про самописные протоколы, которые не открывают кода / деталей для независимой проверки.
а толку? все равно ведь соединение будет шифровано ФСБшным ключом
Вы плохо знаете Родину. Я серьезно.
Если это отечественные протоколы - придется открыть код. Если зарубежные - придется переписать на отечественные или лишиться лицензии/заплатить штраф/сесть в тюрьму. Впрочем, американская Родина при необходимости поступает точно так же.
Если это отечественные протоколы - придется открыть код. Если зарубежные - придется переписать на отечественные или лишиться лицензии/заплатить штраф/сесть в тюрьму. Впрочем, американская Родина при необходимости поступает точно так же.
вообще-то существуют другие решения, хотя SAML тут, действительно, ни при чем.
X.509 является одной из, но не единственно возможной, масштабируемой системой установления доверия - от рута к листьям. PGP использует другую схему - web of trust, где аутентичность ключа сертифицируют твои личные знакомые. Правда, что там с серверами делать - не очень понятно.
X.509 является одной из, но не единственно возможной, масштабируемой системой установления доверия - от рута к листьям. PGP использует другую схему - web of trust, где аутентичность ключа сертифицируют твои личные знакомые. Правда, что там с серверами делать - не очень понятно.
у впн точно та же уязвимость: либо ставите сертификат, либо нет доступа.
Да то-то и оно, что для аутентикации годится, а дальше все.
Как он решил, что ему надо регистрировать сертификат в системе?
Я не знаю. Думаю, прочитал документ о порядке регистрации приложений партнеров в нашей системе. Сертификат нужен для пресловутого SAMLя. Партнеры вместо собственно сертификата прислали ему certificate request. И присылающие, и принимающие плохо понимали, что делают.
Так и в https никакой такой третьей доверенной стороны не предусмотрено. Что производитель браузера решил, то у вас в корневых сертификатах и лежит, для вашего удобства. Но если хотите, можете все предустановленные сертификаты повыкидывать и вставить свой собственный, вот вам и будет протокол без третьей стороны.
Это уже детали, принципиально дело не меняющие. Я про то, что в России параллельно развиваются несколько конкурирующих процессов, и "закручивание гаек" - только один из них.
Американская родина ограничивает экспорт криптографии, а русская — импорт.
Источник: работал в фирме, поставлявшей криптографию.
Источник: работал в фирме, поставлявшей криптографию.
Page 1 of 2