Это главное что можно вынести из этой ссылки. Тебе показалось. Всё.
Ну а то что возможность узнать домен запроса понятно тем кто знает как оно работает, ведь у каждого свой сертификат, а не общий на IP. Да и если бы сложно было - можно много чего по DNS предсказать.
Что да, то да. Упоротые они такие)
митм-сертификат на корпоративных устройствах решает проблему на корню.
Вот с этого вот поржал в голос:
Как технически, так и идеологически)
Да, для упоротых. Цитата по ссылке по митмпрокси.
Ну так, чтобы было меньше фантазий.
Покапитаню, но... они еще спят. Часовой пояс не тот.
Некоторые уже проснулись, но не все.
А зачем мне что-то отрубать на подлете?
Это быдлоархитектура это. Я либо доверяю свой контент, либо нет.
Если я доверяю некоему посреднику влазить в мой трафик, то я принимаю его сертификаты в своем корневом хранилище. Например файрвол или антивирус.
Если я не доверяю, то не принимаю его сертификат. При этом я выбираю доверять или не доверять, и знаю кому доверяю, кто стоит посередине.
Если мы работаем без шифрования, то список посредников не ограничен, и о наличии оного у меня нет никакой информации.
Задача фильтрации контента лежит на локальном периметре - антивирус, файрвол. Файрвол канального уровня может и по IP почистить.
Если есть необходимость в делегировании фильтрации на "дальние рубежи", например в корпоративной архитектуре, то мы делегируем это с помощью соответствующего софта или сертификата в рутовом хранилище. Всё.
Это бред эквивалентный предложению всем хранить ключ под ковриком, поскольку иначе ВОХР не сможет зайти в наше помещение чтобы нас защитить.
Захочу пустить ВОХР - дам им ключ.
Итого:
сейчас - изменять и фильтровать контент могут все
будет - изменять и фильтровать контент могут только те кому пользователь разрешил
Неумение кем-то пользоваться инструментами не говорит о кривизне инструментов. Корпоративный прокси может просто не пропускать трафик который он не проверил. Для совместимости зашифровать его потом своим сертификатом.
Пользователь признающий над собой власть корпоративного файрвола - ставит себе соответствующий сертификат.
сейчас - корпоративные прокси могут фильтровать только открытый контент, а закрытый только блокировать целиком, или пропускать целиком
будет - корпоративные прокси могут фильтровать весь контент
И в чем здесь принципиальная разница? Ты его или фильтруешь или нет.
Сейчас корпоративные прокси не закрывают весь https, а только "черные IP", а значит через нефильтрованный https всегда можно слить любой контент.
Будешь фильтровать, не будет таких "черных дыр".
И да, сразу скажу, что нет ничего сложного ввести в это корпоративное пространство устройства на которые не распространяется корпоративный суверенитет. У меня таких кейсов было стопитсот во время работы на государство. Наши объекты (коих было 60+) часто располагались на частной территории, где частных провайдеров нет, свою оптику/витуху тянуть дорого/нельзя, радиоканал запрещен по соображениям режимности и т.п.
Стабильно решалось за два три звонка вверх до генерального и вниз до админа.
Я никогда не влазил ни в один чужой корпоративный фильтр. Мне нужны были "лишние порты" (ftp вечно у всех закрыто), я никогда не был готов ставить чужие сертификаты и т.п. Ну и ладненько. Меня закидывали в отдельную подсетку с отдельными правами и всё. Или прокидывали меня по VPN до центрального офиса, тут уже от функционала объекта зависило.
Опять таки это хорошо известно по корпоративным wi-fi. У большинства нормальных контор есть две сетки - закрытая, и гостевая. Причем в гостевую могут открыть корпоративные ресурсы, если это не для клиентов сеть, а грубо говоря для субподрядчиков. Нет никаких проблем. Вообще.
Нельзя игнорировать факты которых нет.
Если отбросить технические сложности вроде проблем с переиндексацией, совместимостями разных скриптов, устаревшими браузерами и т.п., то фактов не может быть в принципе.
Было:
любой кто посередине может читать и писать в твои запросы всё что хочет.
Стало:
Только те кому ты разрешил могут читать и писать твои данные.
Только в больном мозгу может появится мысль, что при этом безопасность может ухудшиться. Да, несовместимости софта могут быть, и они будут, но если их убрать, но дальше это уже воспаленная фантазия.
Dixi
Неа.
Еще говорилось о том, что гиганты таки вынудят перейти на него таки да, всех, и очень много спора о том почему они так делают, потому что они злые гады желающие крови христианских вебмастеров, и заодно заработать на сертификатах, и вообще в безопасности ни в зуб ногой, или белые и пушистые и исключительно о пользователях заботятся.
Ну и еще немного холивара о том _когда_именно_ всех принудят перейти.
Несколько десятков минут позволит найти часть информации по части пользователей. На КАЖДОГО пользователя. А если нужно мониторить всех?
А если не повезло?
Понятно что nomer.org знают все.
Понятно что у тех кому надо есть и базы прописок, и базы ИНН и т.п., разной свежести. Сам пользую при необходимости. Понятно что неавторизованные LBS-запросы это не фантастика, и для этого даже ордер не нужен, а лишь "знакомый админ" в сервисной сети оператора.
Но всё это адресные отработки, причем хоть сколько-то квалифицированными людьми, имеющими хоть какой-то доступ. И... хрен ты так найдешь например что жертва гей-порно смотрит.
Не соберешь ты и базу бездетных болеющих раком.
А вот по запросам можно с высокой вероятностью таких отобрать.
Ты просто не умеешь в BIGDATA, потому и пишешь глупости.
Помню писали систему для ловли коррупционеров под заказ других коррупционеров. Ну в смысле использовали ее как всегда, но не суть.
Идея была в том, что была база данных из нескольких десятков миллионов документов, каждый десятитысячный имел доказуемую коррупцию. Но для этого нужно было раскручивать весь кейс документов, большую часть который в цифре не было. Перебирать всех - невозможно.
Но по определенным зависимостям из той базы что мне была предоставлена мы смогли отобрать около тысячи наиболее подозрительных сделок. Среди них коррупционными были каждая десятая. Да, 90% ложных срабатываний, да, 99% реальных кейсов за бортом, но "улов" выше на порядок. Без обработки бигдата это было бы невозможно.
*уточню что речь чисто о коррупционных моментах в документах, я не говорю что уровень коррупции столь мал)
Я не вижу и 1% возможных кейсов, но общая тенденция понятна.
Повторять ты можешь и двадцатый, но только почему люди должны верить в твою веру? Аргументов то нет, и не может быть. Единственный твой "аргумент" это - "теперь все будут отключать защиту потому что будет много тех сайтов что отстанут от поезда". Напоминает:
Самый простой способ это перехват трафика. И дело конечно не в паролях.
Не в куках, не в страницах которые посещались и т.п.
Хотя это конечно очень важно, и очень просто, но есть огромный пласт вещей которые в нижней части айсберга.
Например на точках обмена трафиком могут быть такие милые вещи как например простенькие сервачки с парочкой HiTech Global 100G NIC. Ну или что повеселее.
FPGA вылавливает зашифрованные пакеты. Просто зашифрованные, без разбора. И составляет корреляции между разными потоками. Складывает в память, а дальше по DMA уже уходит в сервак, который разбирает что интересно, а что нет, составляет белые/серые списки и т.п., и уже дальше другая плата разбирает то что интересно, а дальше уже сервак принимает решения что слить оператору.
Именно корреляции трафика по времени это самый простой метод деанонимизации простейших цепочек проксей и прочих торов. Но когда весь трафик становится шифрованным, просто так взять и отобрать шифрованное, и уже дальше работать по нему - не выйдет. Нужно работать глубже.
Еще лет 5-7 назад даже банального https было мало, можно было чуть ли не вручную отслеживать всё это действо. Сейчас уже так просто не последишь. Даже если человеку не нужно шифрование, даже если сайту не нужно шифрование - оно поможет другим).
Ну это тоже мелочи.
Всякие контактики например важнее.
Ну вот был я админом в корпоративной сетке на тысячу юзеров.
Политика компании позволяла использовать соц.сети и т.п. в личных целях, только канал резали на это дело, чтобы музыкой не выедали весь канал.
90% в нашей конторе было женщин. 50% из них молоденьких...
Лично мне было интереснее на серче сидеть, заместительница моя была девочкой, и девочкой приличной, да и потом у нас пипл в мой отдел приходил приличный. Но... вот что мне мешало кроме лени и нежелания?
В интернет-клубах оно понятно. Там особо не спрячешься, там компы "вражеские" по определению. Но бесплатный вайфай?
Локалки где один чувак дома поставил роутер и раздает на два дома по витухе (а то и коаксиалке) уже частично уходят в прошлое, но современные провайдеры последней мили от них далеко не ушли.
Помню в конце девяностых когда у меня еще был диалап, и я только задумывался о ADSL - ходил с болванками к приятелю - админу провайдера, и качал дистрибутивы и прочее порно с канала в 1G. По факту правда втыкнуться больше чем витухой на 100мб мы не могли, не повредив связность сети, но в принципе влезть в любой сегмент и поставить свой комп в разрыве - не было проблем.
Ну и да, от большого брата не защититься конечно.
Все 100500 счетчиков и прочих адсенсов деанонимизируют и с сертификатами, но они хоть не будут сливать твой пароль от вконтактика на античате, и не будут выкладывать твои хоум-фотки в паблик. Да и даже они будут знать значительно меньше.
А мотивация для не ознакомления была какая-то?
Экспертиза истории твоего браузера с половиной которой тебя не ознакомили?
И это после того как ты задолбал их спамом жалоб?
У них ведь была какая-то, пусть и тупая мысль зачем не ознакамливать?
Антивирус, файрвол, браузер, ОС, центр атестации (летсенкрипт).
Всё это может дефейсить шифрование если ты ему разрешишь.
Ну а по умолчанию мы разрешаем да.
Но вопрос не в том - за пределами компьютера пользователя, без его разрешения никто не сможет подслушать или изменить его запросы.
В принципе в этом списке еще хостер, он в принципе может перехватить сертификаты, выпустить левые и т.п., но он и контент подменить может без проблем. Взломы хостера? Ну бывает, чё.
Но всё это несоизмеримо с перехватами "человек посередине", которые с шифрованием крайне затруднительны.
Нууу....
Из тебя клещами всё вытягивать?)
Будет.
Но он слишком многое позволяет.
Люблю пхп, но вот начинать с пхп без ХОРОШЕГО наставника я бы не советовал.
