Переход на HTTPS, свежие мнения 2016?

Этого не понимает 99,(9) "вебмастеров". Они же уверены что он для сайтов.

Сниф траффа для перехвата паролей на фконтактики несоизмеримо сложнее и бессмысленней других методов получения инфы о юзере.

Самый простой способ это перехват трафика. И дело конечно не в паролях.

Не в куках, не в страницах которые посещались и т.п.

Хотя это конечно очень важно, и очень просто, но есть огромный пласт вещей которые в нижней части айсберга.

Например на точках обмена трафиком могут быть такие милые вещи как например простенькие сервачки с парочкой HiTech Global 100G NIC. Ну или что повеселее.

FPGA вылавливает зашифрованные пакеты. Просто зашифрованные, без разбора. И составляет корреляции между разными потоками. Складывает в память, а дальше по DMA уже уходит в сервак, который разбирает что интересно, а что нет, составляет белые/серые списки и т.п., и уже дальше другая плата разбирает то что интересно, а дальше уже сервак принимает решения что слить оператору.

Именно корреляции трафика по времени это самый простой метод деанонимизации простейших цепочек проксей и прочих торов. Но когда весь трафик становится шифрованным, просто так взять и отобрать шифрованное, и уже дальше работать по нему - не выйдет. Нужно работать глубже.

Еще лет 5-7 назад даже банального https было мало, можно было чуть ли не вручную отслеживать всё это действо. Сейчас уже так просто не последишь. Даже если человеку не нужно шифрование, даже если сайту не нужно шифрование - оно поможет другим).

Ну это тоже мелочи.

Всякие контактики например важнее.

Ну вот был я админом в корпоративной сетке на тысячу юзеров.

Политика компании позволяла использовать соц.сети и т.п. в личных целях, только канал резали на это дело, чтобы музыкой не выедали весь канал.

90% в нашей конторе было женщин. 50% из них молоденьких...

Лично мне было интереснее на серче сидеть, заместительница моя была девочкой, и девочкой приличной, да и потом у нас пипл в мой отдел приходил приличный. Но... вот что мне мешало кроме лени и нежелания?

В интернет-клубах оно понятно. Там особо не спрячешься, там компы "вражеские" по определению. Но бесплатный вайфай?

Локалки где один чувак дома поставил роутер и раздает на два дома по витухе (а то и коаксиалке) уже частично уходят в прошлое, но современные провайдеры последней мили от них далеко не ушли.

Помню в конце девяностых когда у меня еще был диалап, и я только задумывался о ADSL - ходил с болванками к приятелю - админу провайдера, и качал дистрибутивы и прочее порно с канала в 1G. По факту правда втыкнуться больше чем витухой на 100мб мы не могли, не повредив связность сети, но в принципе влезть в любой сегмент и поставить свой комп в разрыве - не было проблем.

Ну и да, от большого брата не защититься конечно.

Все 100500 счетчиков и прочих адсенсов деанонимизируют и с сертификатами, но они хоть не будут сливать твой пароль от вконтактика на античате, и не будут выкладывать твои хоум-фотки в паблик. Да и даже они будут знать значительно меньше.

Ты утомляешь, чесслово.:)

"Просто перехватить" только в файфай-кафе. И то есть нюансы.

А получить инфу о большинстве юзеров, НУЖНУЮ инфу можно за неск [десятков] минут просто погуглив. Я так даже адреса, номера авто и телефоны родственников находил.

Хочется безопасности передаваемых данных (не путать с анонимностью) ? ВПН без вариантов.

Ида в 10й раз повторю - получить по httрs зловреда на порядок вероятней, чем по http.

Несколько десятков минут позволит найти часть информации по части пользователей. На КАЖДОГО пользователя. А если нужно мониторить всех?

А если не повезло?

Понятно что nomer.org знают все.

Понятно что у тех кому надо есть и базы прописок, и базы ИНН и т.п., разной свежести. Сам пользую при необходимости. Понятно что неавторизованные LBS-запросы это не фантастика, и для этого даже ордер не нужен, а лишь "знакомый админ" в сервисной сети оператора.

Но всё это адресные отработки, причем хоть сколько-то квалифицированными людьми, имеющими хоть какой-то доступ. И... хрен ты так найдешь например что жертва гей-порно смотрит.

Не соберешь ты и базу бездетных болеющих раком.

А вот по запросам можно с высокой вероятностью таких отобрать.

Ты просто не умеешь в BIGDATA, потому и пишешь глупости.

Помню писали систему для ловли коррупционеров под заказ других коррупционеров. Ну в смысле использовали ее как всегда, но не суть.

Идея была в том, что была база данных из нескольких десятков миллионов документов, каждый десятитысячный имел доказуемую коррупцию. Но для этого нужно было раскручивать весь кейс документов, большую часть который в цифре не было. Перебирать всех - невозможно.

Но по определенным зависимостям из той базы что мне была предоставлена мы смогли отобрать около тысячи наиболее подозрительных сделок. Среди них коррупционными были каждая десятая. Да, 90% ложных срабатываний, да, 99% реальных кейсов за бортом, но "улов" выше на порядок. Без обработки бигдата это было бы невозможно.

*уточню что речь чисто о коррупционных моментах в документах, я не говорю что уровень коррупции столь мал)

Я не вижу и 1% возможных кейсов, но общая тенденция понятна.

Повторять ты можешь и двадцатый, но только почему люди должны верить в твою веру? Аргументов то нет, и не может быть. Единственный твой "аргумент" это - "теперь все будут отключать защиту потому что будет много тех сайтов что отстанут от поезда". Напоминает:

Короче, смысл https есть только, когда на сайте производятся платежи и работа с личными данными пользователей.

Да и то, это на сео особо не сказывается. Скорее, дополнительная мера защиты.

Если коротко, то весь смысл темы в этом, да?)

Неа.

Еще говорилось о том, что гиганты таки вынудят перейти на него таки да, всех, и очень много спора о том почему они так делают, потому что они злые гады желающие крови христианских вебмастеров, и заодно заработать на сертификатах, и вообще в безопасности ни в зуб ногой, или белые и пушистые и исключительно о пользователях заботятся.

Ну и еще немного холивара о том _когда_именно_ всех принудят перейти.

Я никак не пойму ты прикидываешься или просто отключаешь моск когда мне отвечаешь?

Тебе не аргумент или всё никак не дойдёт, что при получении нежелательного документа по http юзер может его отрубить на подлёте (даже на роутере), а при https уже нет или это сделать сложнее/затратней?

Что в случае с корпоративными юзерами повальный https - вообще беда для конторы. (ссылку на реальный запрос я показывал выше).

И кроме получения есть ещё и контроль отправки данных. Думать надо, думать, а не гуглонамазлыки коленками протирать.

Глупости пишешь ты. Как и все верующие. Ты не видишь, не хочешь и просто игнорируешь факты. (повторять их не буду ибо который раз убеждаюсь в бесполезности достучаться до разума адептов секты с свидетелей блага https)

А зачем мне что-то отрубать на подлете?

Это быдлоархитектура это. Я либо доверяю свой контент, либо нет.

Если я доверяю некоему посреднику влазить в мой трафик, то я принимаю его сертификаты в своем корневом хранилище. Например файрвол или антивирус.

Если я не доверяю, то не принимаю его сертификат. При этом я выбираю доверять или не доверять, и знаю кому доверяю, кто стоит посередине.

Если мы работаем без шифрования, то список посредников не ограничен, и о наличии оного у меня нет никакой информации.

Задача фильтрации контента лежит на локальном периметре - антивирус, файрвол. Файрвол канального уровня может и по IP почистить.

Если есть необходимость в делегировании фильтрации на "дальние рубежи", например в корпоративной архитектуре, то мы делегируем это с помощью соответствующего софта или сертификата в рутовом хранилище. Всё.

Это бред эквивалентный предложению всем хранить ключ под ковриком, поскольку иначе ВОХР не сможет зайти в наше помещение чтобы нас защитить.

Захочу пустить ВОХР - дам им ключ.

Итого:

сейчас - изменять и фильтровать контент могут все

будет - изменять и фильтровать контент могут только те кому пользователь разрешил

Неумение кем-то пользоваться инструментами не говорит о кривизне инструментов. Корпоративный прокси может просто не пропускать трафик который он не проверил. Для совместимости зашифровать его потом своим сертификатом.

Пользователь признающий над собой власть корпоративного файрвола - ставит себе соответствующий сертификат.

Итого:

сейчас - корпоративные прокси могут фильтровать только открытый контент, а закрытый только блокировать целиком, или пропускать целиком

будет - корпоративные прокси могут фильтровать весь контент

И в чем здесь принципиальная разница? Ты его или фильтруешь или нет.

Сейчас корпоративные прокси не закрывают весь https, а только "черные IP", а значит через нефильтрованный https всегда можно слить любой контент.

Будешь фильтровать, не будет таких "черных дыр".

И да, сразу скажу, что нет ничего сложного ввести в это корпоративное пространство устройства на которые не распространяется корпоративный суверенитет. У меня таких кейсов было стопитсот во время работы на государство. Наши объекты (коих было 60+) часто располагались на частной территории, где частных провайдеров нет, свою оптику/витуху тянуть дорого/нельзя, радиоканал запрещен по соображениям режимности и т.п.

Стабильно решалось за два три звонка вверх до генерального и вниз до админа.

Я никогда не влазил ни в один чужой корпоративный фильтр. Мне нужны были "лишние порты" (ftp вечно у всех закрыто), я никогда не был готов ставить чужие сертификаты и т.п. Ну и ладненько. Меня закидывали в отдельную подсетку с отдельными правами и всё. Или прокидывали меня по VPN до центрального офиса, тут уже от функционала объекта зависило.

Опять таки это хорошо известно по корпоративным wi-fi. У большинства нормальных контор есть две сетки - закрытая, и гостевая. Причем в гостевую могут открыть корпоративные ресурсы, если это не для клиентов сеть, а грубо говоря для субподрядчиков. Нет никаких проблем. Вообще.

Нельзя игнорировать факты которых нет.

Если отбросить технические сложности вроде проблем с переиндексацией, совместимостями разных скриптов, устаревшими браузерами и т.п., то фактов не может быть в принципе.

Было:

любой кто посередине может читать и писать в твои запросы всё что хочет.

Стало:

Только те кому ты разрешил могут читать и писать твои данные.

Только в больном мозгу может появится мысль, что при этом безопасность может ухудшиться. Да, несовместимости софта могут быть, и они будут, но если их убрать, но дальше это уже воспаленная фантазия.

Dixi

А на трафик из Гугла обращали внимание? Не проседал?

Ну вот на этом можно было бы и закончить. Сколько не объясняй упоротым про безопасность и экономию трафа - не доходит.

Но я не удержусь и ещё добавлю. Не для тебя, ибо бесполезно, а для тех кто способен и желает понять.

Это в головах неучей так происходит. Неучей упоротых, которые напрочь игнорируют даже реальные запросы сисадминов. А способные думать - понимают, что наряду с блокировкой по ИП, есть блокировка по домену, вхождению урл, по MIМЕ, по заголовкам, и ещё много по каким критериям.