|
|
Регистрация Восстановить пароль |
Повторная активизация e-mail |
Регистрация | Задать вопрос |
Заплачу за решение |
Новые сообщения |
Сообщения за день |
Расширенный поиск |
Правила |
Всё прочитано |
|
|
Опции темы | Поиск в этой теме |
02.09.2017, 14:54 | #1 | |
добрый няша
Старожил
Регистрация: 29.10.2006
Сообщений: 4,804
|
Импортозамещённый SSL
https://geektimes.ru/post/292519/
Начнём с того, что в тексте статьи в первом абзаце уже бред пошёл: Цитата:
Далее, все орут, что всё конец и мы все умрём. Но на самом деле формально ничего не меняется. Архитектурно защита не страдает. HTTPS-траффик всё также будет защищён и злоумышленник всё равно не сможет вмешаться в шифрованный траффик. Архитектурно это также НЕ означает, что ФСБ смогут расшифровывать любой SSL-траффик, ибо чтобы расшифровать SSL-траффик надо владеть приватным ключом сертификата целевого сайта. Владение приватным ключом корневого серта ничего не даёт и никак не помогает в расшифровывании траффика. Головой думайте, а не тем местом которыми думают авторы статей на хабре. С другой стороны, владея нужными инструментами на уровне провайдера, можно реализовать вмешательство НА ЛЕТУ: прямо во время защищённого коннекта сгенерить поддельный серт для сайта. Он будет зелёный в браузере, так как импортозамещённый серт есть в списке доверенных. Но это маловероятно, ибо какой дурак будет распространять приватный ключ корневого сертификата по провайдерам? Вдобавок можно реализовать административными методами так, чтобы те, кто получают подпись от импортозамещённого SSL-провайдера, были обязаны предоставить свой приватный ключ в ФСБ. Такой способ представляется мне наиболее вероятным: в этом случае архитектурно и в плане безопасности ничего не меняется. Всё реализуется чисто административно. |
|
02.09.2017, 14:56 | #2 | |
Александр
Администратор
Регистрация: 28.10.2006
Сообщений: 17,501
|
Я отмечу что не читаю подобные статьи по двум причинам, либо я ничего не понимаю в этой теме, и, потому мне не интересно, либо я что-то понимаю в теме и каждая статья оказывается бредом повышенной глупости, потому сайты типа хабра и вот подобного я избегаю.
Читать можно мануалы от разработчиков технологий, всё остальное вредно для мировосприятия )) Про безопасность и сертификаты - какой разговор может быть о безопасности на виндовс? используете виндовс - всё разговор закончен, безопасности нет никакой ) хоть обшифруйтесь до затертых в нули секторов на жёстком диске. Цитата:
|
|
02.09.2017, 15:07 | #3 | |
добрый няша
Старожил
Регистрация: 29.10.2006
Сообщений: 4,804
|
Цитата:
На линуксе в файрфоксе и хроме у тебя тоже будет стоять импортозамещённый серт Вот ссылка не на хабр: http://www.securitylab.ru/news/488158.php Последний раз редактировалось rpy3uH; 02.09.2017 в 15:09. |
|
02.09.2017, 15:14 | #4 | |
Александр
Администратор
Регистрация: 28.10.2006
Сообщений: 17,501
|
rpy3uH, ну создадут сертификат и что дальше? обяжут его использовать бюджетников, как буд-то что-то в их жизни изменится.
Шифрование надо реализовывать не так. нужны не сертификаты, а шифровальщики )) сам зашифровал сам зашифровал. Всем понятно что надо начинать с корпоративного, если хотите, отечественного браузера. А как говорили деды - клиент-серверной технологии. свой сервер, свой клиент, и привет. и без всяких сертификатов, никогда не расшифруешь что там за данные прошли. естественно, ставить на виндовс этот клиент сервер - опять свести к бесполезности все работы, несмотря на то что ты считаешь Цитата:
|
|
02.09.2017, 16:03 | #5 | |||||
Лис
Старожил
Регистрация: 18.09.2015
Сообщений: 2,409
|
Цитата:
Но к сертификатам это не имеет отношение. Цитата:
Но вы верно заметили, что гораздо проще административно. Цитата:
Цитата:
Цитата:
Так что на виндах можно жить.
Хорошо поставленный вопрос это уже половина ответа. | Каков вопрос, таков ответ.
У дзен программиста программа делает то что он хотел, а не то что он написал . |
|||||
02.09.2017, 16:06 | #6 | |||
добрый няша
Старожил
Регистрация: 29.10.2006
Сообщений: 4,804
|
Цитата:
Цитата:
Цитата:
Я кстати, так и не понял, как чекаются подписи драйверов, если у системы нет доступа в интернет. Получается, что чекается только валидность подписи и принадлежность к корневому. А если серт отозвали система так и не узнает и будет загружать драйвер как ни в чём не бывало Последний раз редактировалось rpy3uH; 02.09.2017 в 16:14. |
|||
02.09.2017, 16:20 | #7 |
Александр
Администратор
Регистрация: 28.10.2006
Сообщений: 17,501
|
а потому и не работает, так как слишком сложно, а значит дорого, а цель не безопасность, а попил бюджета. Тут же еще вопросы к уязвимостям железа начнуться, и опять изобретать свои чипы, на что денег нет, а даже если есть, всё попилят ничего не изобретя. И есть другой вопрос? зачем чиновникам какой-то сертификат, если они и так могут договориться, что вот этот сервер - он проверенный, туда ходить можно и больше никуда, например на уровне фаервола настроить доступы. Чтобы исходящий и входящий траффик по одному ip например ходил. а смотреть видео контент и фото котиков - только на личных ноутбуках в отдельном помещении )) Смысл именно сертификатов, это в том что подсматривать могут только профессиональные инфраструктуро образующие игроки рынка, вот и всё. тут не нужна абсолютная безопасность, потому оно так и работает дыряво. А если все что происходит внутри страны будет закрыто от подсматривания, нам правительство развалят вплоть до военного вмешательства, только для того чтобы подсмотреть, так что пусть подглядывают и спят спокойно )) Хотя военка должна разрабатываться на другом уровне безопасности от чипов до шифрованных протоколов обмена информацией, хотя и это подсмотрят, что не страшно, лишь бы не внедрили ничего ) |
02.09.2017, 16:36 | #8 | |
добрый няша
Старожил
Регистрация: 29.10.2006
Сообщений: 4,804
|
Цитата:
SSL/TLS самое надёжное из всего, что было придумано для протоколов транспортного уровня и было принятно как мировой стандарт. Обеспечивает необходимый уровень защиты. Последний раз редактировалось rpy3uH; 02.09.2017 в 16:39. |
|
02.09.2017, 16:51 | #9 |
Александр
Администратор
Регистрация: 28.10.2006
Сообщений: 17,501
|
ну вот, копировать надо лучшее ))
|
03.09.2017, 04:04 | #10 | |
Высокая репутация
СуперМодератор
Регистрация: 27.07.2008
Сообщений: 15,551
|
Цитата:
Ладно когда еще из дома выходишь, трафик через провайдера гоняется. Но зачастую приходится выходить из локальных сетей, где трафик через местных админов идет. И что этим админам в голову взбредет - не известно. А трафик совершенно открытый, бери да читай. Хорошо хоть пароль при авторизации движок форума хеширует. Хотя что мешает админу сразу воспользоваться хешем, не зная самого пароля или куками с кодом сессии? E-Mail: arigato.freelance@gmail.com
|
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Curl error: with the SSL CA cert (php + curl + ssl) | Hell Knight | PHP | 1 | 27.12.2014 14:30 |
SSL | alexlagunov | SQL, базы данных | 3 | 06.05.2014 10:06 |
IdHttp+SSL | mishax | Работа с сетью в Delphi | 16 | 15.08.2012 09:36 |
Indy SSL | metra52 | Работа с сетью в Delphi | 2 | 10.04.2012 18:44 |