Минцифры предложило запретить протоколы шифрования

Mik Foxi
На сайте с 02.03.2011
Offline
930
#41
SeVlad #:
Ты тоже  не понимаешь, что вся эта затея с повальной https-зацией  от заботы  не о юзерах, а о своих карманах? Что юзера он ни отчего не защищает, а как раз наоборот (с текущей политикой выдачи сертов).

https + в браузере отсутствие левых удостоверяющих центров (бекдоров) как было в казахстане - и для среднестатистического жителя планеты гарантия что данные передаваемые между ним и сервером не перехватит путин.

Антибот защита сайта от накрутки поведенческих, от спама, взлома и поиска xss, от хит и клик ботов, от парсинга и кражи контента, снижение нагрузки на сервер - https://antibot.cloud/ Вам все еще конкуренты генерят отказы?
LevShliman
На сайте с 03.09.2018
Offline
94
#42
foxi #:

https + в браузере отсутствие левых удостоверяющих центров (бекдоров) как было в казахстане - и для среднестатистического жителя планеты гарантия что данные передаваемые между ним и сервером не перехватит путин.

зря вы это ему написали, сейчас последует очередной бред с опровержением

Живой трафик на сайт, наращивание поведенческих факторов и соцсигналов бесплатно https://superbuks.ru/
Mik Foxi
На сайте с 02.03.2011
Offline
930
#43
а http я помню в "детстве" когда https на большинстве сайтов было редкостью, игрался в хакера и примитивным софтом снифал траф в локалке соседей, ловил траф со спутникового интернета и это легко было даже на уровне школьника потырить все пароли и все остальное. на уровне провайдера вообще жесть смотри что хочешь.
SeVlad
На сайте с 03.11.2008
Offline
1462
#44
foxi #:
https + в браузере отсутствие левых удостоверяющих центров (бекдоров) как было в казахстане - и для среднестатистического жителя планеты гарантия что данные передаваемые между ним и сервером не перехватит путин.

Секта свидетелей https детектед :)

100 раз уже про этого говорилось. Ок, ещё раз вкратце.

1. На то, что "перехватит путин" не пофик 0,001% среднестатистических жителей планеты. И у них для этого есть все средства. А вот невозможность контролировать СВОЙ трафик (включая корпоративный) - это уже больно всем, кроме неграмотных хомячков.

Есть ещё немалая часть юзеров, которая хочет экономить траф и даже лишний раз не светится (ага, "скрыться от путина"), а при https с этим уже проблемнее ибо кеширование. Понимаешь о чём я или растолковать?

А ты понимаешь, что по https подсунуть юзеру заразу намного проще чем по http?

2. Провайдер обяжет поставить "левый" серт - среднестатистический житель планеты его поставит не задумываясь. И 99% не будут иметь даже понятия о том что он левый. Почитай про mitmpoxy что ли.


А вот ты можешь ответить на вопрос - зачем https кулинарному бложику (только про рекламу ОПСОСов не надо пож)? Вот зачем это бложику и читающему его юзеру?

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Топики помощи с ⓌordPress (https://searchengines.guru/ru/forum/1032910 ) и основы безопасности сайтов ( https://searchengines.guru/ru/forum/774117 ). *** Помощь\консультации в топиках форума - БЕСПЛАТНО. Платные услуги ( https://wp.me/P3YHjQ-3 ) - с бюджетом от 150$ ***
SeVlad
На сайте с 03.11.2008
Offline
1462
#45
foxi #:
а http я помню в "детстве" когда https на большинстве сайтов было редкостью, игрался в хакера и примитивным софтом снифал траф в локалке соседей, ловил траф со спутникового интернета и это легко было даже на уровне школьника потырить все пароли и все остальное. на уровне провайдера вообще жесть смотри что хочешь.

Это как бэ так (и ок, опустим незаконность :) ), но тут проблема не http как таковом, а в несовершенстве передачи post-запросов. Об этом тоже не раз говорилось - надо менять этот механизм. И уже были проекты, но гугл их зарубил насаждением глобальной https-зации.

Mik Foxi
На сайте с 02.03.2011
Offline
930
#46
SeVlad #:
А вот невозможность контролировать СВОЙ трафик (включая корпоративный) - это уже больно всем, кроме неграмотных хомячков.

что значит контролировать? софт передающий данные контролирует, что данные пришли с легитимного для него сертификата.

SeVlad #:
Провайдер обяжет поставить "левый" серт - среднестатистический житель планеты его поставит не задумываясь.

это проблема тупого юзера, я не поставлю, и у меня будет все норм, никто не прочитает, я буду уверен что никакого митм не случилось.

SeVlad #:
только про рекламу ОПСОСов не надо пож

люди ходят не только на кулинарные, но и на политические, подделать можно будет признание автора блога в терроризме, или картинку котиков подменить на порно картинку, заверить скриншот у нотариуса и кто-то отправится садиться на бутылку.

SeVlad #:
но тут проблема не http как таковом, а в несовершенстве передачи post-запросов.

причем тут пост, любые данные по http передаются в полностью открытом виде. украсть можно не только передаваемый при авторизации пароль но и текст переписки по емейл и прочие пароли и секретные данные передаваемые как гет контент.

Так что https это спасение мира от хаоса, вообще я хз как раньше интернет существовал, собственно он существовал тогда в детском виде и этот неуловимый джо был никому не нужен, кроме кшольников-хакеров по приколу. Сейчас все такие открытые данные быстро появляются в продаже в даркнете.

SeVlad
На сайте с 03.11.2008
Offline
1462
#47
foxi #:
что значит контролировать? софт передающий данные контролирует, что данные пришли с легитимного для него сертификата

Это значит фильтровать и анализировать до попадания всякого УГ в браузер. На корп. проксе например. Никакой софт это не способен делать без подмены сертификата.

foxi #:
это проблема тупого юзера, я не поставлю, и у меня будет все норм, никто не прочитает, я буду уверен что никакого митм не случилось.

И ты даже поставишь. Иначе у тебя просто не будет интернета.

foxi #:
люди ходят не только на кулинарные, но и на политические, подделать можно будет признание автора блога в терроризме, или картинку котиков подменить на порно картинку, заверить скриншот у нотариуса и кто-то отправится садиться на бутылку.

Ты серьёзно?! Нет, ты вот правда, считаешь что что-то невозможно подделать, если кому надо? Фокси, блиииин..


Да и вообще "если надо" - оно нафик не надо будет ничего "подделывать". Найдутся куда более достоверные доказательства и эффективные методы их получения.
#Какдетималыечессслово..


foxi #:
причем тут пост,

При том что пароли и тп передаются в пост. (если какой-то сайт это делает в гет - бежать от него надо)

foxi #:
Так что https это спасение мира от хаоса, вообще я хз как раньше интернет существовал,

Сектант, такой сектант :)

Это могло бы быть действительно полезно для безопасности, если бы серты не мог приобрести любой хакер. А при текущем положении дел - это скорее дыра, нежели защита.

foxi #:
Сейчас все такие открытые данные быстро появляются в продаже в даркнете.

ВО!!! Прекрасно что ты это знаешь. Теперь осталось сложить 2+2: https этому как-то помешал?

А на вопросы прошлого поста чего не ответил?

Вот сколько лет я задаю эти вопросы и  никто из сектантов не может ответить.

Mik Foxi
На сайте с 02.03.2011
Offline
930
#48
SeVlad #:
https этому как-то помешал?

помешал. вот представь если бы вконтакт работал без https, почта, на которую шлются пароли от всех сайтов, госуслуг и интернет банкингов были без http, весь этот контент лежал бы в паблике.

Ну и сам инет банкинг, в момент отправки просто заменяем номер счета и деньги уходят не туда )))

SeVlad
На сайте с 03.11.2008
Offline
1462
#49
foxi #:
помешал

Вот это номер!!

Сначала говорит что продаются, а потом что помешал.. Ты бы того.. с логикой как-то подружился.

Я боюсь да же напоминать что даже твитетры, мородокнижки и прочие апплы - они никогда не были на http, но пароли и др данные по сети гуляют. Https помешал их уводу?

foxi #:

вот представь если бы вконтакт работал без https, почта, на которую шлются пароли от всех сайтов, госуслуг и интернет банкингов были без http, весь этот контент лежал бы в паблике.

Ну и сам инет банкинг, в момент отправки просто заменяем номер счета и деньги уходят не туда )))

.

Вот тут не надо путь божий дар с яичницей. Надо читать и пробовать думать над прочитанным. А если не понятно - можно переспросить. Я всегда стараюсь ответить на заданные мне вопросы.

Повторю:

SeVlad #:
тут проблема не http как таковом, а в несовершенстве передачи post-запросов. Об этом тоже не раз говорилось - надо менять этотмеханизм.
SeVlad #:
Это могло бы быть действительно полезно для безопасности, если бы серты не мог приобрести любой хакер. А при текущем положении дел - это скорее дыра, нежели защита.


Так как насчёт ответов на мои вопросы?

Алеандр
На сайте с 08.12.2010
Offline
143
#50

SeVlad, жжошь напалмом 😂

Изменить POST - это сильно. На что не меняй, он так и останется открытым для снифа, ибо трафик будет идти без шифрования. Шифрование - это самый лучший метод защиты данных от открытой передачи, ибо все эти пароли-явки и даже ваш аккаунт от сёрчика в мгновение ока может уйти на сторону. Если кто-то дальше чтения новостей никуда не ходит, это не значит, что остальные не дорожат коммерческой тайной по работе.

Другой вопрос, что шифрование правильно делать на уровне хост-юзер, как в свое время, не знаю как сейчас, это делалось для переписки в мирке или qip. Создавалось персональное gpg-шифрование на основе открытого ключа и всё, все проблемы были решены. Так и сейчас, по логике, каждый сайт-сервер, должен иметь свой персональный сертификат. Подключился, получил сертификат, установил шифрованное соединение - открылась сессия. Вернулся к работе - у тебя уже есть шифрованный поток.

И это так и есть уже, на любом сервере можно создать свой, самоподписанный сертификат. Пришел юзер, убедился, что он там где надо, принял сертификат. Все, его сессия защищена от локального изменения и простого просмотра. Вот только попробуй хомячкам донеси мысль, что у каждого сайта свой сертификат и это норма..

Смысл центральных сертификатов лишь в том, что они подтверждают, условно, что этот сертификат выдан непосредственно этому сайту, некоторым образом исключая фишинг. Хотя, что мешает получить сертификат на сайт с +1 буквой другой? - ничего. Тот же летскрипт вообще не проверяет ничего подобного, выдаст хоть клону сбера, хоть поддельному сайту президента.

По итогу, шифрование - нужно и то, что его внедряют - это хорошо. Это определенная безопасность на базовом уровне. Но вот централизация - совершенно лишняя, сайт должен работать как по https для тех, кому это нужно и кто понимает для чего это, со своим персональным сертификатом, а так же по http, для открытых миру людей. Не хотят они трусы надевать, ну и незачем их заставлять. У меня есть сайт в закладках, вот в нем так и реализовано: весь сайт http, принудительно, а страница https с передачей логина - принудительно https. Сделать там еще собственный сертификат - и они будут идеальны.

Удобный и качественный хостинг с тестовым периодом: https://okej.ru/ihc/ - домены, SSL-сертификаты, IP-сети и многое другое..

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий