Прямо сейчас за окном ласково светит Солнце, а один известный погодный сайт весело предупреждает о предстоящем через два часа дожде... Да, уже часов пять предупреждает, постепенно сдвигая время его начала. Ну да ладно, не будем о криворуких предсказателях - погодную тему я могу раскрывать долго и вкусно, но до сих пор меня выручал ещё один более-менее адекватный сайт. Давайте посмотрим на него вместе. Вы видите картинку?
Да, я тоже не вижу. Причина - поголовный и необоснованный перевод всего и вся на HTTPS. Помните историю про хакера в столовой? Так вот, представьте, что вы попали в мир, где все солонки на столиках заперты замком и для использования требуют авторизованного доступа. Ну вот для чего нужна была вся эта мышиная возня с гноблением простого HTTP, предупреждением о небезопасности сайтов на нём? Ладно там сайты банков или другая чувствительная информация, но чисто информационные - зачем? Теперь имеем на ровном месте проблемы с сертификатами, обновлениями и прочие лишние телодвижения. Верните мне мой 2007-й тёплый ламповый HTTP, который можно хостить хоть на ардуинке, и пусть браузеры на него не косятся. И поддержку FTP протокола убирать совсем ни к чему. Ну или хотя бы объясните, чем это обосновано и почему имеет право называться прогрессом.
Комментарии (488)
artemlight
11.06.2022 17:14+3И если уж говорить о конкретном кейсе - то там вроде как админ клаудфлару прикручивал, но что-то пошло не так. В таких проблемах SSL виноват не больше, чем TCP\IP.
Klaster
11.06.2022 17:19+4Мне нравится один сайт, а теперь он не работает. Давайте вы объясните мне почему, он не работает, а не автор сайта. Виноват https, браузер, год на календаре, левая пятка рандомного прохожего, но конечно не автор сайта. Я немного не в курсе, на ардуинке не выйдет поднять сайт с поддержкой https?
Dinxor Автор
11.06.2022 17:58-2Мне сложно судить, кто именно виноват, но ошибка намекает на разные версии шифрования. Если бы его не было, на было бы и ошибки.
У ардуинки ресурсов не хватит на https.
begin_end
11.06.2022 19:25+3Для приема данных с внешних сайтов на самих ардуинках можно выкрутиться, сделав для своих нужд веб-конвертер на каком-нибудь хостинге. Например, у меня старенький IRC-бот забирает RSS ленту с Хабра для ретрансляции на канале через ссылку вида http:// ssl2www.*/get.cgi?codepage=windows-1251&wait=3000&url=https://habr.com/ru/rss/all/all/ где я заодно и кодировку на понятную ему меняю.
Для передачи данных от ардуинок категорически не рекомендую делать это напрямую — тоже стоит организовать прослойку с веб-сервисом на хостинге, что сразу решает и проблему шифрования. Так как первый же сканер сайтов (не обязательно зловредный) может просто заддосить ардуинку запросами.
Сам не особо сторонник принудительного огульного шифрования (в основном, потому что это дополнительная зависимость, очередной раз сокращающая временные рамки жизни ресурсов с недостаточной заботой владельцев). Вот если бы было стандартом выдавать сертификат синхронно и в комплект к продлению доменного имени…
TimsTims
12.06.2022 02:51+6Касательно совсем другого вопроса
Вы можете возразить, что вам было бы достаточно обычного http, что он (сейчас) вас вполне устраивает, и вообще хорошо бы вернуть как было раньше (ещё бы dial-up вернуть), ведь раньше всё точно работало. Но это ложное мнение.
Всё вас будет устраивать ровно до того момента, пока вы сами не столкнётесь с подменой реальных данных на фейковые. Начиная с того, что за вами будут ещё сильнее следить, заканчивая тем, что данные будут уже неверные.
И вот тогда вы создадите ровно противоположную тему, что нужно бы всему интернету перейти на https, что никто в мире не находится в безопасности, что каждого могут взломать из-за обилия дыр в http.
И именно так и поступила многоуважаемая компания Let's Encrypt.
Можно сказать, это она источник ваших проблем — именно она запустила повальный переход всех и вся на https.
mvv-rus
12.06.2022 03:34+1Судя по вашему посту, вам обязательно, кровь из носа, нужно посетить этот сайт и получить из него ценную информацию.
Во-первых, информация может не быть ценной: пресловутые котики.
Во-вторых, она может быть изначально неточной и требовать перепроверки или (если проверять лень) игноривания возможных неточностей: прогноз погоды (и новости, кстати).
В-третьих, ее искажением может быть трудно чего-то добиться: ну, допустим, в поэме «Москва-Петушки» кто-то переименует лирического героя автора — назовет, его не Венечкой, а, например, Васяней — что существеное от этого изменится?
Но если я не получу эту информацию, то кое-что потеряю: в первом случае — удовольствие от созерцания котиков, во втором — один из источников дополнительной информации, в третьем — как минимум, время на поиск другой копии книги.никто в мире не находится в безопасности
Объективно это действительно так. И это неизбежно. Говорят, древние греки называли это «стрелами Аполлона».
gecube
12.06.2022 10:47+2В-третьих, ее искажением может быть трудно чего-то добиться: ну, допустим, в поэме «Москва-Петушки» кто-то переименует лирического героя автора — назовет, его не Венечкой, а, например, Васяней — что существеное от этого изменится?
был уже случай... Эрдоган:
В том же году в Сиирте Эрдоган прочёл поэму, написанную Зией Гёкальпом, пантюркистом, действовавшим в начале XX века[15]. В версии поэмы, которую прочёл Эрдоган, присутствовали строки: «Мечети — наши казармы, купола — наши шлемы, минареты — наши штыки и верные — наши солдаты»[16], эти строки отсутствовали в оригинальной версии. По словам Эрдогана, прочитанная им версия поэмы была одобрена министерством образования и напечатана в книгах[17]. Он был признан виновным в нарушении статьи 312 УК Турции «подстрекательство к насилию и религиозной или расовой ненависти»[18] и приговорён к десятимесячному тюремному сроку.
mvv-rus
13.06.2022 00:44Там немного не тот случай. Про Эрдогана — это про публичное распространение через СМИ. А у меня — про прицельную атаку против одного или нескольких пользователей.
0xd34df00d
12.06.2022 04:41+1Если информация вам действительно важна — то вы не согласитесь её получать по http, ведь информацию могут подменить (кто её подменит и зачем — это совсем другой вопрос).
Вот информация, которая была очень ценна для человека, пару дней назад задавшего вопрос в соответствующем канале. На что её тут можно подменить?
Ваша ошибка в том, что вы проецируете ценность информации на её ценность для остальных и, более того, на некопируемость этой информации. Мои данные для логина в банк надо защищать не только потому, что они ценны для меня лично, а потому, что они ценны для окружающих, и информация, там содержащаяся, некопируема (нельзя скопировать запись в БД о том, что у меня на счету 15 баксов, их можно только перевести).
gecube
12.06.2022 10:48+1потому, что они ценны для окружающих
???? WAT? От знания того, что у дедфуда 15 баксов на счету - у меня ни тепло, ни холодно. А вот то, что при знании логина пароля я могу у него эти 15 баксов увести....
randomsimplenumber
12.06.2022 11:51+1Начиная с некоторой суммы на счету, кто-то может и лично заинтересоваться.
0xd34df00d
12.06.2022 19:04Да, это корявая формулировка, но там специально в скобках написана расшифровка.
Вам будет тепло оттого, что вы внутри банка поменяете информацию о владельце этих 15 баксов, и мои логин-пароль позволяют вам сделать именно это.
zorn-v1
11.06.2022 17:21+2О HTTP бедном замолвите слово
На своих домашних страничках, на которые никто не ходит кроме вас просите такое.
А если не понимаете зачем и почему, то соответственно не просите.
И поддержку FTP протокола убирать совсем ни к чему.
Очень даже к чему. Старое нешифрованое г...
Если вам все равно что весь ваш трафик на показ всем кому не лень, это не значит что "так и должно быть".
Или это вы, товарищь майор ?
Dinxor Автор
11.06.2022 17:37+7Ну может подскажете тогда, для чего шифрование трафика на погодном сайте? И да, на FTP до сих пор выкладывают файлы для свободного доступа - лучше иметь возможность их скачивать без дополнительного софта, чем не иметь.
Megakazbek
11.06.2022 18:00+25Шифрование публичной информации нужно хотя бы для того, чтобы провайдер и те, с кем он делится информацией, собирали о вас как можно меньше данных. Сама погода не является секретной, но факт того, что пользователь X такого-то числа в такое-то время захотел узнать погоду в городе Y может в каких-то случаях являться чувствительной и поэтому не надо за всех решать, что можно эти данные светить в открытую.
Кроме того, HTTPS - это не только шифрование, но ещё и аутентификация. То есть, если вы получили страницу по HTTP, то это не означает, что она к вам пришла именно с того погодного сайта, на который вы хотели зайти, а содержимое туда может быть подсунуто какое угодно.
Dinxor Автор
11.06.2022 19:09+2не надо за всех решать
Золотые слова! Кто заботится о приватности - уже ходит через vpn, а за остальных решать не надо было
ещё и аутентификация
И с этим согласен полностью!
amarao
11.06.2022 20:56+3А после того, как вы "пошли через VPN", кто вам обеспечивает приватность? Поменяли одного провайдера на другого, и? Трафик всё равно шифрованный.
В целом, вас никто не заставляет использовать SSL на своём сайте. Вы, как владелец сайта можете пойти и сделать http.
edo1h
12.06.2022 14:11+2поэтому не надо за всех решать
так про это и речь.
те, кому нужен https — открывают по https. кому не нужен — по http.тут же почему-то за всех решили «нужен https».
BugM
12.06.2022 14:28те, кому нужен https — открывают по https. кому не нужен — по http.
Выйдите на улицу и проведите опрос людей какой сайт как надо открывать. Результаты будут однозначными.
dwdraugr
11.06.2022 18:17+9Ну может подскажете тогда, для чего шифрование трафика на погодном сайте?
Самый базовый пример, который я указал выше - по запросам с погодой можно попробовать вычислить местоположение, особенно если это не сайт, а приложение, передающее геолокацию раз в час.
И да, на FTP до сих пор выкладывают файлы для свободного доступа - лучше иметь возможность их скачивать без дополнительного софта, чем не иметь.
Но зачем фтп? Это старый, тормозной протокол, который и нагрузку держит средненько, и разворачивать его проблемно. В конце концов, можно поднять apache\nginx\iis для шаринга файлов, что будет быстрее, удобней и безопасней.
Dinxor Автор
11.06.2022 19:03+1можно попробовать вычислить местоположение, особенно если это не сайт, а приложение
находясь рядом с пользователем и перехватывая его трафик?
Но зачем фтп?
Есть огромное количество старых файлохранилищ с документацией, которые частенько выручают. Ладно, я и curl-ом скачаю, современные браузеры очень неудобны для скачивания чего-либо в принципе.
zorn-v1
13.06.2022 20:48находясь рядом с пользователем и перехватывая его трафик?
Вы наверное живете в мире розовых пони, где ваш трафик охраняется ака гостайна и никто в него не вмешивается ?
Есть огромное количество старых файлохранилищ с документацией
Ну так это ли не повод написать им ? Ну или на крайняк сделать зеркало.
Есть огромное количество дискет 5 и 3 дюймового формата, где хранится нужная кому то информация...
Dinxor Автор
13.06.2022 21:01Это о том, что странно отслеживать местоположение по трафику, находясь уже рядом.
Вы о чём вообще?
zorn_v
13.06.2022 23:41Я о том, что слушают и подменяют ваш трафик все кому не лень (не предположение, а факт). А не мифический "хакир" с патчкордом у свитча на крыше.
Если ни разу не видели встраевуемую рекламу в http, то вам просто повезло. Ну или не заметили.
А теперь дайте разгуляться вашей фантазии и представьте что вместо "ехе" который вы качали вам прилетел "ехе" с начинкой.
PereslavlFoto
11.06.2022 19:13+1Итак, вот я поднимаю веб-сервер, и мне нужно получать файлы. Не отдавать, а получать. Как это лучше сделать?
Человек на той стороне не будет устанавливать у себя программы. Он готов скопировать 500 файлов и вставить их мышкой. После этого он уйдёт домой.
Пожалуйста, подскажите, что тут выбрать?
Спасибо.dwdraugr
11.06.2022 19:20-5Из тупого - поставить апач\нгинкс с настройкой тупой отдачи файлов. Настраевается просто (а с каким-нибудь докером - элементарно), работает быстро, сразу же и хттпс поднять можно. Разве что 500 файлов прокликивать ручками придётся, но может тогда стоит позаботиться о человеке и всё в архив сразу сгружать?
Из чуть более навороченного можно webdav-сервер поднять. Тогда, оставаясь в рамках https, можно будет прицепить в той же винде как сетевой диск и обкопироваться по самое нехочу.
PereslavlFoto
11.06.2022 19:28+2Мне не надо отдавать файлы. Мне надо получить файлы.
Я не могу управлять клиентом, ставить у него программы. Я могу только на своей стороне поставить получающую программу.
Тот человек не будет сгружать в архив. Он сделает «копировать», потом «вставить», и уйдёт домой. Поэтому и был выбран FTP-сервер с загрузкой.
Webdav это хорошо, однако сложно, потому что не входит в состав IIS.mvv-rus
11.06.2022 21:57+3Webdav это хорошо, однако сложно, потому что не входит в состав IIS
Вы просто не умеете его готовить.
Для начала просто наберите на своем Windows Server в Powershell в режиме администратора команду
Install-WindowsFeature Web-DAV-Publishing
чтобы установить поддержку WebDav на сервере
Ну, а на стороне клиента WebDav поддерживается через обычную сеть Microsoft со времен XP (WebDav Redirector)PereslavlFoto
12.06.2022 01:22То есть надо сначала Powershell установить? Его не было в базовой поставке.
SerjV
12.06.2022 01:27+1То есть надо сначала Powershell установить? Его не было в базовой поставке.
windows 7 / server 2008 и более старые, что-ли?
PereslavlFoto
12.06.2022 01:31Да, вы правы!
mvv-rus
12.06.2022 02:28+1Команды в тех версиях нужно было другие вводить, но WebDAV там тоже был. Как и в Windows Server 2003, кстати (и на нем я его реально использовал).
PS Насчет XP/Vista/Win7 в качестве сервера — не скажу, IIS там всегда был, но вот в какой комплектации — не помню.
iig
11.06.2022 19:25google://simple http file sharing
Уверен, что вам повезёт ;)ЗЫ: если не повезёт - возьмите hfs
PereslavlFoto
11.06.2022 19:29Здесь нужно не file sharing, а наоборот. Не чтобы я раздал файлы всем, а чтобы один человек прислал мне свои файлы. Электронная почта на это неспособна, там очень много файлов.
Dinxor Автор
11.06.2022 19:38А гугл диск чем не устраивает?
PereslavlFoto
11.06.2022 19:44+1Много причин.
1) Надо логиниться в гугль.
2) Надо учиться работе с гугль диском.
3) Неизвестно, хватит ли места на гугль диске.
Но в целом это хорошее решение для тех, кто уже является пользователям гугля!
andreymal
11.06.2022 19:46+81) Надо поднимать FTP-сервер
2) Надо учиться работать с FTP
3) Неизвестно, хватит ли места на FTP-сервере:)
randomsimplenumber
11.06.2022 23:08Кроме гугола есть 100500 временных файловых хостингов. Заливаете файлы, передаёте ссылку для скачивания. Через неделю ссылка протухает.
0xd34df00d
12.06.2022 00:05+3Начали
за здравиес приватности, кончили за упокой и файлопомойки от васяна, который зато смог в letsencrypt.randomsimplenumber
12.06.2022 06:15+2Половина комментариев в стиле "мне приватность не нужна, это фотки с котиками" ;)
Если лень делать свою файлопомойку - приходится использовать чужую. Полупараноики могут своих котиков закинуть в архив с длинным паролем.
PereslavlFoto
12.06.2022 01:22В условии задачи сказано, что клиент не умеет заливать файлы и не хочет этого делать. Он хочет скопировать файлы в папку.
mvv-rus
12.06.2022 02:30-1Кстати, лет семь назад всякие файловые хостинги обычно поддерживали и WebDAV. Как сейчас, правда — не в курсе.
WraithOW
14.06.2022 11:12То есть он может перетащить файлы из одного окошка проводника в другой, но не может перетащить файлы из окошка проводника в окошко браузера?
zv347
11.06.2022 19:46+2На гугл-диске нужен аккаунт гугла.
И вообще, не уверен, что на гугл-диске можно сделать каталог, куда сможет загружать файлы хоть кто (даже залогиненный в гугле).
По сабжу — для обсуждаемой проблемы я использую яндекс-формы. Там можно делать загрузку файлов от анонимусов.
withkittens
11.06.2022 19:50
F0iL
11.06.2022 20:30WebDAV в nginx делается пятью строчками в конфиге :)
А если хочется готовое и красивое, то Seafile, NextCloud/OwnCloud.
Устанавливаются легко (есть готовые docker-образы), загружать файлы можно через веб-морду или тот же WebDAV.
daggert
11.06.2022 23:04+1Итак, вот я поднимаю веб-сервер, и мне нужно получать файлы. Не отдавать, а получать. Как это лучше сделать?
Вчера такое сделал на чистом JS. Дропформа простая куда можно файлы перетащить и они зальются на сервер. Дополнительно проверку встроил на размер и типы файлов. Если заморочится то можно сделать еще и дерево каталогов.
SerjV
11.06.2022 20:40+2Но зачем фтп? Это старый, тормозной протокол,
Хорошо хоть не сказали "несекьюрный" - шифрование к нему точно было уже лет 15 назад, более далеко назад не смотрел. Кстати, для телнета тоже шифрование есть, если что. Просто серверодержателями это было пофиг, как и дистрибутиводелателям.
который и нагрузку держит средненько,
Смотря что шире - интернет или дисковая подсистема... Вот масштабируемость да, имеет оговорки.
и разворачивать его проблемно.
Да как бы не проще, чем веб-сервер... Так что может даже то ж на то ж.
В конце концов, можно поднять apache\nginx\iis для шаринга файлов, что будет быстрее, удобней и безопасней.
А не, всё-таки помянули безопасность... Но про всё уже было сказано выше - то есть "то ж на то ж". Но на веб-сервер можно навесить еще кучу всего, а FTP - он такой, узкоспециализированный.
michael_v89
11.06.2022 18:20+3для чего шифрование трафика на погодном сайте?
Легким движением руки хакер добавляет в ответ от сервера ссылку "Поделиться ВКонтакте", по оформлению похожую на остальные ссылки на этом сайте, при переходе на которую открывается страница "Авторизуйтесь ВКонтакте", по оформлению похожая на интерфейс сайта ВКонтакте, пользователь авторизуется, хакер получает пароль.
WraithOW
11.06.2022 18:27+2А ещё лучше кнопку «Задонатить». Со слёзным постом и фотографией Джимми Уэльса.
someone_unimportant
11.06.2022 21:39+3Всего лишь один пример: я очень давно не видел не-https сайты, но недавно по работе пришлось открыть сайт компании, у которго не было шифрования. Я очень удивился, когда увидел, что там какая-то реклама, которая всю разметку сайта вниз сдвигает. Не солидно выглядит и не красиво. Оказалось, Ростелеком в HTML встраивал рекламу в нешифрованном трафике.
roman_deev
11.06.2022 17:24+14Попробуйте позаходить на http-сайты с мобильных операторов ????
antonwork
11.06.2022 18:18+6Надо бороться не со следствием, а с причиной.
До определенного момента считалось допустимым такое на публичных бесплатных WiFi, когда мобильный трафик был еще дорогой, но совершенно недопустимым для мобильных операторов. В какой момент общество приняло новые правила для мобильного трафика?
В итоге нужен закон, который на корню запрещал платные подписки (без посещения офиса мобильного оператора с паспортом) и вклинивание в TCP/IP сессии клиентов (тайна связи и так провозглашена).TimsTims
12.06.2022 02:26В какой момент общество приняло новые правила для мобильного трафика?
Такой закон нужен будет только 1% IT-грамотного населения, остальным вообще срать на это. Даже будет наоборот — выйдет закон, который это разрешает делать (ведь нужно «бедным операторам» на что-то жить). А в Казахстане вон несколько лет назад вообще заставляли всех ставить государственный корневой сертификат.
В итоге нужен закон, который на корню запрещал… вклинивание в TCP/IP
Поэтому зачем бороться законами, которые каждый день меняются, если можно бороться сразу техническими средствами?mvv-rus
12.06.2022 02:37+1Поэтому зачем бороться законами, которые каждый день меняются, если можно бороться сразу техническими средствами?
Например, потому что технические средства создают совершенно лишнюю нагрузку (на ПК она несущественна, но на серверах и, боюсь, в IoT она будет более чем заметна).
Я вот вам аналогию приведу: мне Интернет XXI века всегда напоминал средневековую большую дорогу, которая с разбойниками. С ними, конечно можно было бороться и техническими средствами (на нашем техническом уровне это были бы броневики). Но чисто полицейские решения оказались лучше, например — тем, что сейчас нет необходимости делать массовые автомобили пуленепробиваемыми, а потому — весьма тяжелыми, типа тачки Аля Капоне, со всеми вытекающими отсюда последствиями.gecube
12.06.2022 02:39+2IoT она будет более чем заметна
В IoT проблема целостности данных и проверки сервера-клиента стоит ещё острее… уверяю вас. ну, и на край там свой набор протоколов есть…
mvv-rus
12.06.2022 03:53А как насчет алгоритмов шифрования: вычислительная сложность-то определяется ими, а не обвязкой в виде протокола?
gecube
12.06.2022 10:49в протоколе выбираешь какой алгоритм шифрования хочешь применять. Хоть ГОСТ, хоть самопальный...
mvv-rus
13.06.2022 00:44То есть имеем все то же противоречие «стойкость шифра vs требования к аппаратуре». Ну, и для проверки целостности вовсе не требуется шифрование.
Впрочем, это — уже другая тема.iig
13.06.2022 11:13Ну, и для проверки целостности вовсе не требуется шифрование.
Требуется немного другая криптография, которая тоже требует процессора.
time openssl enc -aes-256-cbc -salt -in LARGEFILE -out /dev/null -k none *** WARNING : deprecated key derivation used. Using -iter or -pbkdf2 would be better. real 0m2,292s user 0m2,060s sys 0m0,232stime openssl dgst -sha256 -sign "Sign Key.key" -out sign.txt.sha256 LARGEFILE real 0m4,025s user 0m3,801s sys 0m0,224smvv-rus
13.06.2022 15:45Она требует значительно меньше вычислительных операций. Например, HMAC — двукратной применении комбинации «преобразование ключа под размер блока — исключающее или с магической константой — сцепление с исходными данными — взятие хэша от результата».
0xd34df00d
12.06.2022 02:54+1А потом у вас полицейские средства никому ничего не должны, подвержены влиянию лоббистов, и вообще вот вы не за того человека проголосовали, так что мы ваш личный сертификат (и заодно хелскер) отзовём.
Нет уж, только личная ответственность.
mvv-rus
12.06.2022 04:00Лчиные возможности ограничены, очень. К примеру, что вы сделаете, если лично к вам домой нагрянет толпа смуглых темноволосых людей и заявит «забудь Аламо, забудь Голиад, и вообще это наша земля, а ты убирайся отсюда»?
Так что без государства не обойтись, и, желательно, такого, у которого на флаге не одна звезда, а много.0xd34df00d
12.06.2022 04:43-1Перечисление методов защиты скоро по американским законам подведёт меня под статью, поэтому я воздержусь.
И да, толпа не нагрянет, потому что она знает, что из района им после этого живыми не выйти.
И, к слову, когда в более других районах и городах смуглые и не очень парни крушили и жгли имущество, полицейские средства чё-т не горели желанием защищать прочих гражданских. Не, сорьки, в эти сказки про защиту полицией я больше не верю.
mvv-rus
12.06.2022 05:06+1ОК, пусть нагрянет не толпа, а подразделение: организованное, под командой офицера и со штатным вооружением.
Я стесняюсь спросить: у вас там на раёне есть чем, при случае, подавить миномет? Он, вообще-то, из-за складки местности стрелять может, без прямой видимости цели, а потому ни пулеметом, ни крупнокалиберной снайперской винтовкой не давится, про штурмовую винтовку я даже не говорю.
Я не знаю организации мексиканской армии, но минометы на уровне пехотных подразделений у нее быть должны: если не в роте, то уж батальоне всяко. Во всяком случае, так было в любой сколь-нибудь приличной армии ещё времен 2-й Мировой, а с тех пор много годиков прошло.
PS А с полицией, таки да, вам там в Америке надо что-то делать. Заменить, к примеру, милицией.
SergeiMinaev
11.06.2022 18:09+1Тоже заметил, что форека перестала работать. А ведь только на ней есть удобная карта осадков. Попробовал сейчас поюзать карту осадков яндекс.погоды и обплевался: нельзя быстро прокрутить туда-сюда с анимацией карты, чтобы быстро узнать, ожидаются ли осадки в определённом месте; и после каждой перемотки на 10 минут, осадки перерисовываются с задержкой. Тьфу.
Самое смешное, что на фореке настроен редирект на https, поэтому по http зайти - без шансов.Dinxor Автор
11.06.2022 18:44Вот в "самом смешном" и проблема. Я тоже попытался зайти через http, если бы удалось - этой статьи не было бы.
В принципе, тут в комментариях накидали достаточно причин для шифрования трафика, со многими можно согласиться. Всё как обычно - продвинутые пользователи заботятся о приватности и для них эта фишка в принципе бесполезна (внутри VPN весь трафик уже зашифрован), для всех остальных это всё равно не заменит элементарной внимательности и гигиены.
andreymal
11.06.2022 19:05+4внутри VPN
Тут крайне важно уточнять, какой именно VPN имеется в виду: если это не свой собственный сервер, а какой-то готовый VPN-провайдер (особенно бесплатный), то он может оказаться заинтересован в прослушивании и модификации проходящего через него трафика
Ну и ещё профессиональным параноикам стоит на всякий случай иметь в виду, что без HTTPS трафик от VPN-сервера к целевому сайту всё равно окажется незашифрованным
andreymal
11.06.2022 18:12+5Ладно там сайты банков или другая чувствительная информация, но чисто информационные — зачем?
Затем, что в информационный HTTP-сайт злоумышленник сможет подсунуть что-нибудь, что позволит ему утянуть чувствительную информацию — что-нибудь фишинговое, например. Ну или банально биткоины помайнить за чужой счёт.
Ну и выше в комментах другие риски уже отметили — отслеживание человека, провайдерская реклама и т.п.
redsh0927
11.06.2022 18:36+91. Повальная централизация и необходимость покупать/регистрировать что-либо, без чего ничего даже чисто «твоего» работать не будет
2. Необходимость непрерывных обновлений (софта, протоколов, сертификатов и т.д.), без чего ничего тоже работать не будет
… два пункта, накоторых держится всё современное говно-айти. Спалил бы уже кто-нибудь эту гоммору…
Aquahawk
11.06.2022 18:38+11Обосновано этой войной компании Google, владельца самого популярного браузера за рекламную аналитику. Провайдеры при http прекрасно сканируют трафик и продают эту инфу, в том числе конкурентам гугла. Основной доход гугла - продажа рекламы. Именно поэтому они делают и бесплатную гугл аналитику. Когда гугл захватил браузерный рынок, информацией стали владеть и гугл и провайдеры. При помощи форсирования https и dns over https гугл лишает провайдеров доступа до этих данных.
Alexey2005
11.06.2022 20:10+4Кстати, Google недавно ещё и безопасность почты «повысил», принудительно ограничив аутентификацию сторонних почтовых клиентов, так что теперь подключиться к Gmail-почтовику можно только по Oauth2 и никак иначе. В итоге — куча посредников, которые палят ваш вход и собирают ваши персональные данные, и куча геморроя чтобы заставить это дерьмо работать.
Именно за это пользователи так ненавидят криптоманьяков и прочих сторонников безопасности — они ведут себя в точности как тоталитарные правительства особо отсталых стран: в принудительном порядке и никого не спрашивая (люди же тупые и не понимают своего счастья) создают людям кучу проблем на ровном месте, оправдывая этозащитой детейповышением безопасности.
Причём даже если безопасность реально повышается (что надо ещё доказать, потому как устраняя одни векторы атаки они создают новые, вдобавок делая систему более хрупкой), то оно того не стоит: ущерб от злоумышленников намного меньше, чем затраты на внедрение и эксплуатацию всех этих «защит».
yulchurin
11.06.2022 19:11+9Пример: Мегафон встраивает всякое непотребство в весь http трафик и занимается по сути фишингом, отковываешь сайт - а там баннер с кнопкой, которую пользователь нажимает на автомате даже не успев сообразить. В итоге оформил подписку на всякую хрень. Скорее всего тем же промышляют и другие операторы. Таким же образом можно встроить скрипты в общественных сетях.
Так что использовать сейчас HTTP - это, мягко говоря, неразумно
TheRikipm
11.06.2022 19:39+4И что мешает мегафону оформить на вас подписку даже если вы используете исключительно HTTPS?
yulchurin
11.06.2022 23:24Ничего. Они это делали раньше точно. Как пример подписка на «замени гудок»
Но, тем не менее, многократно сталкивался с фишинговыми баннерами на сайтах на http
Alpha_Ceph
11.06.2022 19:25+4Мой провайдер интернета подсовывает рекламу на страницах без https:
Снимок экрана
Delion
11.06.2022 20:06+3Но сайт в этом не виноват.
andreymal
11.06.2022 20:10+4Сайт виноват в том, что позволяет вмешиваться в свой трафик и творить такие гадости — при том, что решение этой проблемы давно существует и с некоторых пор даже стало полностью бесплатным
Delion
11.06.2022 20:16+2Не могу согласиться.
Сайт делает ровно то, что должен делать сайт.
А трафик вообще не его, а пользователя.
andreymal
11.06.2022 20:21+3Сайт делает ровно то, что должен делать сайт.
Например, обеспечивать безопасное соединение с пользователем.
F0iL
11.06.2022 20:38+2Окей. Предложите, пожалуйста, хоть какой-нибудь другой рабочий вариант обеспечения невмешательства и непрослушиваемости трафика без участия сайта в условиях недоверенной среды, коей является интернет? Использование VPN тут проблему не решит - трафик все равно может быть подменен или прослушан по пути между VPN-сервером и конечным ресурсом.
Delion
11.06.2022 20:46Зачем? Тикет выше другой: провайдер-зловред.
nidalee
11.06.2022 20:58Допустим. Ваши действия, как дальше рекламу будете убирать?
Вот у моего родственника в доме есть один провайдер, который дает 100 мегабит в секунду. Все остальные подключают в 2022 (!) ADSL (!!) со скоростью до 3-20 мегабит (!!!) в секунду.
Предположим, что кошерный провайдер начал подсовывать в HTTP рекламу. Откатываем интернет до уровня 2007 года или таки соглашаемся на HTTPS? Или пишем в спортлото и жалуемся на провайдера?Delion
11.06.2022 21:06+2А моё мнение как-то может помочь рандомному сайту отрастить себе сертификат?
nidalee
11.06.2022 21:09+1Конечно. Я бы вот, например, поменял в такой ситуации сайт на аналог с HTTPS. И родственникам тоже бы поменял, банально через год бы не вспомнил о том, что раньше какой-то другой сайт был, когда пришел бы на техобслуживание.
Если таких как я оказалось бы достаточно много, то владелец сайта заметил бы падение трафика. Если его это волнует, он выясняет причину и исправляет проблему. Если нет, значит у него есть другие каналы монетизации или он вообще работает за идею, идем дальше.
yulchurin
12.06.2022 22:11Что-то Вы загнули с ADSL 20 мбит. Обычно не более 6, а физически вроде не более 8.
20 мбит спокойно выдаёт LTE, а учитывая тарифы, если есть LTE, то в ADSL нет особого смысла. (Есть опыт использования модема от мтс и адсл от ростелеком) никого из них не рекламирую и не рекомендую, но особых претензий к ним тоже нет
Хотя, коммент не в тему
mvv-rus
11.06.2022 23:55-1В громадном большинстве случаев проблемы вмешательства и прослушиваемости трафика нет (см. пример из статьи). Вот для меньшинства случаев как раз существует HTTPS.
Проблема подстановки рекламы провайдером с точки зрения пользователя примерно эквивалентна проблеме подстановки рекламы владельцем сайта.
А прочий криминал, в общем-то — дело полиции. Тем более, что последствия его довольно ограничены: компьютер вас не убьет, и, при минимальных предосторожностях, не ограбит.
Ну, а если владелец сколь-нибудь серьезного сайта, к примеру, по HTTP запрашивает аутентификацию, то это основание иметь с ним дело крайне аккуратно.gecube
12.06.2022 01:25+1Проблема подстановки рекламы провайдером с точки зрения пользователя примерно эквивалентна проблеме подстановки рекламы владельцем сайта.
неэквивалентна.
mvv-rus
12.06.2022 04:01Обоснуйте.
0xd34df00d
12.06.2022 04:43+1Ну, чисто теоретически, у сторонней рекламы больше шансов сломать вёрстку. Других отличий лично я не вижу.
nidalee
12.06.2022 06:50У сторонней рекламы больше шансов рекламировать вредоноса или быть им. Потому что найти ответственного за ее контент не представляется возможным. А если условный Цукерберг начнет рекламировать условное порно с малолетками, к нему быстро придут с вопросами.
mvv-rus
12.06.2022 06:58+1Здесь точно так же придут к провайдеру. Причем, ходить аж к Цукербергу в Америку, скорее всего, не потребуется: с немалой степенью вероятности источник рекламы — это провайдер «последней мили».
nidalee
12.06.2022 07:00Ну так мы говорим про отличия сторонней рекламы (любой: хакермен, провайдер или что-то иное) и местной (самого владельца сайта).
mvv-rus
12.06.2022 07:04Дык, получается что такое отличие — оно в пользу провайдера, того самого, которого хотят лешить возможности вставлять свою, менее вредную, рекламу?
mvv-rus
12.06.2022 07:33Почему? Из-за авторского права — мол, нарушается задуманный автором облик произвеления? Тогда и удаление рекламы пользователем должно преследоваться на тех же основаниях.
Или по какой другой причине?
mvv-rus
12.06.2022 07:37Я же вам там ответил, что точно так же и по тем же основаниям могут прийти к провайдеру. И если что, к нему ходить даже ближе: он обычно в той же юрисдикции находится, что и потребитель контента.
Что вы имеете возразить против такого ответа?
nidalee
12.06.2022 07:47+1Если владелец сайта ответит, что реклама не его, и не соврет, большинство пользователей будут искать проблему не в провайдере, а в своем устройстве. Вирусы, вот это все.
Готов поспорить, что большинство пользователей даже не подозревает, что http можно подменять, и не рассматривают провайдера как источник рекламы.
Далее, если мы говорим о РФ, то к провайдерам ходят неохотно. Что, в общем-то, много раз доказано статьями о том, как кому-то что-то подключили через javascript подменив тот самый http. Всем по боку. Не самый быстрый способ поднимать раскрываемость, проще соцсети шерстить.
Ну и опять же возвращаясь к началу: реклама, которую может позволить себе поставить Цукерберг, заведомо лучшего качества, чем реклама, которую будет внедрять злодей. Потому что странная реклама как минимум продается дороже. Так что да, если рекламируют станки для бритья и кока-колу — это скорее всего Цукерберг. А если ЦП и горячих милф твоего города — провайдер\злодей. Исключение — сайты с linux iso-s, опять же потому, что нормальные рекламодатели у них рекламу не берут.
gecube
12.06.2022 10:51прекрасный пример. Я буквально на днях видел тут статью про то, как руткиты в китайские телефоны вшивают... и продают доступ к этим самым китайским телефонам. https://habr.com/ru/company/ruvds/blog/665388/
mvv-rus
13.06.2022 00:47Если владелец сайта ответит, что реклама не его, и не соврет, большинство пользователей будут искать проблему не в провайдере, а в своем устройстве.
Вы почему-то опять сосредотачиваетесь на бедных пользователях и игнорируете вариант, что искать будут профессионалы — если не полицейские, что частные сыщики.Далее, если мы говорим о РФ, то к провайдерам ходят неохотно.
Видимо, проблема недостаточно назрела. Назреет — будут ходить. Например, по поводу звонков от «службы безопасности банка» к связистам не толко ходят, но и заведомо недостоверные номера вызывающего абонента фильтровать с них требуют.Ну и опять же возвращаясь к началу: реклама, которую может позволить себе поставить Цукерберг, заведомо лучшего качества, чем реклама, которую будет внедрять злодей.
У меня после всего этого даже возникает вопрос: а почему вы выбрали в качестве примера именно Фейсбук? Вопрос возникает, во-первых, потому что Фейсбук — это социальная сеть, для доступа к которой защищенный канал необходим: там и аутентификация, и куча персональной информации, и возможность публичного распространения — а за публичное распространение чего не надо может прилететь, и даже в самой что ни на есть демократической стране: я, вот, не знаю государство с более менее-развитым интернетом, в котором дозволяется распространение CP, и как-то сомневаюсь, что такое вообще есть.
Короче, работать с соцсетью по HTTP — это как оставлять ключ от квартиры под ковриком.
Ну, а во-вторых, надо вспомнить, что доступ к Фейсбуку в России был закрыт как раз за неприемлемую рекламу: неприемлимою как для государства, так и для заметной части граждан — которые с патриотическими убеждениями. Я, вообще-то, по жизни по самым разным интернетам лазаю, чтобы полноту картины иметь, так что я успел насмотреться возмущений такой рекламой, до того как ее заблокировало государство, от немалого количества патриотов — как хорошо мне известных, так и практически неизвестных.
Короче, Фейсбук IMНO — неудачный пример для этого обсуждения.
Хотя бы по той причине, что оценка качества рекламы, вызвавшей блокировку, оказалась, как минимум, неоднозначной у разных суюъектов.
SergeiMinaev
11.06.2022 22:50Мой провайдер интернета подсовывает рекламу на страницах без https:
Что за провайдер такую дичь творит?
PS: Спасибо, не знал, что есть foreca.com. Авторам фореки надо бы с ru на com редирект сделать.
jok40
11.06.2022 19:28-4Корпорации соорудили шифрованный загончик и затолкали в него всё стадо пользователей — под предлогом бесконечных благ для этого стада. Ну там типа безопасно и всё такое. Стадо счастливо (большая его часть). А по факту теперь корпоратам можно толкать софтово-железный локомотив вперёд просто клепая новые протоколы шифрования, которые не поддерживаются старыми операционками. В результате юзеры вынуждены переползать на новые оси. А новые оси, конечно же, не работают на «старом» железе. В результате юзеры опять-же вынуждены покупать новое железо. Пользователи что-то долго засиделись на семёрке и не желают переползать на десятку? Непорядок. Срочно выпускаем TLS1.3, объявляем всё что ниже его — устаревшим и небезопасным и поддерживаем его только в десятке. Заодно выпускаем новые версии апача и сипанели (неимоверно безопасные, конечно же), в которых все «слабые» протоколы по-умолчанию отключены. И вуаля — у глупеньких семёрочников не открывается куча сайтов. Цоб цобе, болваны, ну-ка быстро в загон! Ну-ка быстро раскошелились на новый софт и железо! Короче, для корпораций один сплошной профит.
Bonio
11.06.2022 19:46+7Ну или хотя бы объясните, чем это обосновано
Мобильные провайдеры ранее были неоднократно замечены во встраивании вредоносного кода в такие незащищенные сайты.
и почему имеет право называться прогрессом.
Теперь не могут.
dartraiden
11.06.2022 20:39+6И поддержку FTP протокола убирать совсем ни к чему. Ну или хотя бы объясните, чем это обосновано и почему имеет право называться прогрессом.
Поддержка FTP в браузерах (по крайней мере, в Firefox точно) была в зачаточном состоянии. Не было самых базовых вещей вроде закачки файлов на сервер и скачивания папок. Не было поддержки шифрования. А ведь даже тут на Хабре я встречал уникума, который по FTP заливал прошивки на маршрутизаторы. То есть, достаточно проникнуть в его внутренний периметр и привет.
Нужно было решать: или доделывать поддержку FTP до нормального состояния, или удалить вовсе. На дворе, на минутку, был 2020 год. Популярность FTP у пользователей совершенно не такая, какая была, когда эту зачаточную поддержку внедряли.
Логичный вывод: незачем тратить силы на крайне слабо востребованный сейчас протокол. Вот, скажем, SSH намного более популярен. Почему нужно реализовывать поддержку FTP в браузере, а не поддержку SSH? Потому что деды когда-то начали и не доделали? А кто выдумал правило, что решения дедов будут вечно актуальными? А, кстати, где скорбные плачи по Gopher, вот был такой протокол тоже когда-то в браузерах.
При этом, никто не отменял FTP-клиенты, коих много. Они хороши и полнофункциональны. Незачем цепляться за какой-то обрубок.SerjV
11.06.2022 20:54+3А ведь даже тут на Хабре я встречал уникума, который по FTP заливал прошивки на маршрутизаторы. То есть, достаточно проникнуть в его внутренний периметр и привет.
А причём тут уникум, если tftp - стандартное решение на достаточно многих железках, ну а на некоторых железках может не быть вебморды (telnet/ssh и хватит), а прошивки как-то надо заливать - и потому там предусмотрели для этого ftp?
Так что вынос сетевого менеджмента в отдельную сеть - стандартная практика, и не только ради таких железок.
dartraiden
11.06.2022 21:04Так в том и цимес, что он никакими отдельными сетями не занимался. Там рассуждения были «у меня VPN, снаружи никто не проникнет, а внутри шифровать и защищать ничего не нужно».
SerjV
11.06.2022 21:12Так в том и цимес, что он никакими отдельными сетями не занимался.
Ну это уже другая проблема, к FTP и его безопасности не имеющая отношения.
Так-то ftps (не путать с sftp) был уже 15 лет назад точно, только всем было забить на защиту передачи данных.
mvv-rus
12.06.2022 00:00А ведь даже тут на Хабре я встречал уникума, который по FTP заливал прошивки на маршрутизаторы. То есть, достаточно проникнуть в его внутренний периметр и привет.
А в его периметре есть что-то ценное, что бы оправдывало усилия на проникновение? Или тут — полное подобие случая с владельцем ссудной лавки из рассказа Конан Дойла «Союз Рыжих»: " Предприятие нашего рыжего клиента — ничтожное, во всей его квартире нет ничего такого, ради чего стоило бы затевать столь сложную игру"
habrabkin
11.06.2022 20:47+2Ладно с сайтами, скоро на какую нибудь sip железку или простой роутер не зайдешь по http :(
vadimk91
12.06.2022 13:32На днях клиент купил в DNS какой-то древний adsl модем от TPLink, так выяснилось, что ни одним современным браузером на него не выйти - либо пустая страница, либо ошибка 400. Я подозреваю, что таких в работе ещё довольно много, они были недорогие.
gecube
12.06.2022 15:57у вас еще ADSL? мы идем к вам ))) я очень рад, что все-таки много где провайдер дает свое оборудование, в частности, когда интернет заходит по коаксиалу или по оптике...
gecube
11.06.2022 21:52+1Автор, ты - дундук. Не встречался с ситуацией - когда в абсолютно обычный сайт по HTTP мобильный оператор встраивает свои вредоносные или не очень скрипты? И этим промышляют вполне себе уважаемые Мегафон и МТС - я обоих ловил. Что ты на это скажешь? Переходить на другого опсоса? Типа выбери третьего из трех? Так он точно так же делает. Делать впн до дома? А где гарантия, что таким не будет промышлять домашний провайдер? Правильный ответ - никакой. А https как раз такую гарантию дает - что если все-таки соединение с сайтом было выполнено, то никто не посмеет сделать MitM и исказить данные. Я уж не говорю о том, что до сих пор еще куча форумах сидит на http - и это попросту опасно там регистрироваться. Мало ли что. Пароли точно утекут.
andreymal
11.06.2022 22:03Справедливости ради, от встраивания рекламы (и от подмены курсов валют) теоретически могла бы защитить простая криптографическая подпись данных
gecube
11.06.2022 22:08в общем-то так оно и есть - в репозиториях операционных систем (debian, ubuntu) есть подпись ключом gpg. В списках отзыва сертификатов тоже все криптографически подписано. И так далее. Поэтому теоретически - их можно и по http отдавать. Но это все защищено дополнительно не просто так...
mvv-rus
12.06.2022 00:05И этим промышляют вполне себе уважаемые Мегафон и МТС — я обоих ловил.
Интересно, когда это было? Наверняка ведь когда-то давно: ведь сейчас в вашем профиле стоит метопребыванием Испания.
PS Кстати, у меня на планшете с давних времен интернет 3G от Мегафона (раз 3G — представляете с каких времен), но я на такое не натыкался. Впрочем, это ни о чем не говорит.gecube
12.06.2022 01:26Интересно, когда это было?
полгода назад
Наверняка ведь когда-то давно: ведь сейчас в вашем профиле стоит метопребыванием Испания.
и что? Все, дискриминация по месту пребывания? Может еще в иноагенты запишете, ну, чтоб наверняка?
mvv-rus
12.06.2022 04:06+1Боже мой, причем тут дискриминация? Я — чисто про осведомленность.
А записывать в иноагенты — это дело государства, и я этим не занимаюсь. А записали ли в них вас — это для меня значения не имеет, потому что, согласно принципам логики, истинность высказывания не зависит от характеристик его источника.
yulchurin
12.06.2022 23:23+1
Вот, 10 секунд назад.
Искал любой сайт на http… что забавно - на сайт кремля встраивать не решаются)))
(добавлено): Кстати, только заметил - надо натравить на них ФАС за нарушение закона о рекламе… кнопка «Попробовать», а снизу «нажимная на кнопку «подключить»)))
geher
11.06.2022 23:16+3Пара вопросов на засыпку.
Как решается вопрос с подписыванием сайтов, доступных исключительно в локальной сети по IP адресу или по заранее неизвестному доменному имени (вводится пользователем железки при настройке)? Например, https://192.168.1.1. Если я со своим ноутбуком подключаюсь к разным сетям, то в каждой может быть свой сайт с таким адресом. А если доменное имя вводит пользователь, то вопрос с сертификатом тоже вешать на него?
Есть ли браузер, который бы давал возможность установить любой корневой сертификат (даже самосозданный для самопальных сайтов), позволял ограничить область его действия (белые и черные списки) и выдавал информацию, какими именно корневыми сертификатами удостоверено владение доменами с текущего сайта. Если мой домашний самоподписанный сайт вдруг оказался удостоверен корневым сертификатом серьезного регистратора, то что-то явно пошло не так. Если мне для посещения какого-то сайта нужно внедрить стремный корневой сертификат (например, сайт и сертификат работодателя), то мне хотелось бы явно ограничить полномочия этого стремного сертификата этим конкретным сайтом.
gecube
11.06.2022 23:39-1Как решается вопрос с подписыванием сайтов, доступных исключительно в локальной сети по IP адресу
никак
по заранее неизвестному доменному имени
смотри выше
Например, https://192.168.1.1
вообще-то в сертификате может быть указан IP адрес, но это будет дополнительным полем.
Есть ли браузер, который бы давал возможность установить любой корневой сертификат (даже самосозданный для самопальных сайтов)
это может ЛЮБОЙ браузер
позволял ограничить область его действия (белые и черные списки)
это так не работает, увы
выдавал информацию, какими именно корневыми сертификатами удостоверено владение доменами с текущего сайта.
это можно посмотреть в любом браузере, перейдя на вкладку с сертификатами
Если мне для посещения какого-то сайта нужно внедрить стремный корневой сертификат (например, сайт и сертификат работодателя), то мне хотелось бы явно ограничить полномочия этого стремного сертификата этим конкретным сайтом.
согласен. Но вообще это сейчас и так работает.
С другой стороны - если Вам нужно устанавливать корневые (разные) для разных задач - возможно хорошей идеей будет иметь разные браузеры для разных задач (каждый со своим хранилищем сертификатов). Или один браузер, но запущенный из разных каталогов (то есть с разными настройками)
makkarpov
12.06.2022 02:02+1это так не работает, увы
Работает, но сильно не везде. Это т.н. X509 Name Constraints, и оно действительно позволяет в большинстве случаев обрезать корневой CA до доменной зоны/домена. Там, где оно поддерживается, разумеется.
mvv-rus
12.06.2022 04:13Увы, в RFC для dnsName это — всего лишь SHOULD, и AFAIK распространенные браузеры это ограничение для имен DNS не проверяют.
gecube
12.06.2022 10:53-1есть еще CAA - https://support.dnsimple.com/articles/caa-record/
Но он тоже не особо помогает. Это все костыли над все еще небезопасным интернетом из 70-х годов. Потому что тогда не было хулиганов в интернетах
geher
13.06.2022 17:25Если я правильно понимаю, это ограничение задается при выпуске сертификата. А мне интересно ограничить уже выпущенный кем-то сертификат у себя в браузере.
Если бы сертификат выпускал я сам, то я сам же как-нибудь позаботился бы, чтобы им никто ничего лишнего не подписал.
geher
12.06.2022 16:26+2> Как решается вопрос с подписыванием сайтов, доступных исключительно в локальной сети по IP адресу
никак
Т.е. придется для железяки еще заранее уникальное доменное имя придумывать, чтобы к ней сертификат прикрутить?
это может ЛЮБОЙ браузер
Так вопрос как раз в том, чтобы не просто внедрить сертификат, но и иметь возможность дополнительно ограничить его полномочия.
это можно посмотреть в любом браузере, перейдя на вкладку с сертификатами
А там не просто список сертификатов? Интересны именно подробности - с какого домена каким именно корневым сертификатом было удостоверено.
Но вообще это сейчас и так работает.
Насколько я понимаю, если каким либо корневым сертификатом подписать сертификат на левый сайт, то браузер этот сайт радостно примет. Соответственно, применительно к сертификату и сайту работодателя из примера, хотелось бы оградить себя от других сайтов, подписанных сертификатами, которые удостоверены корневым сертификатом условного работодателя, который мне пришлось внедрить в браузер.
С другой стороны - если Вам нужно устанавливать корневые (разные) для разных задач - возможно хорошей идеей будет иметь разные браузеры для разных задач (каждый со своим хранилищем сертификатов)
Что осложнит переходы по ссылкам с нашего условно-подозрительного сайта. Ведь именно в этот момент могут послать не на оригинальную страницу, подписанную сертификатом, удостоверенным условно доверенным центром, а на левую, подписанную сертификатом, удостоверенным внедреным корневым. А открывать каждый раз такую ссылку в другом браузере - однажды забудешь и просто кликнешь.
gecube
12.06.2022 16:28Т.е. придется для железяки еще заранее уникальное доменное имя придумывать, чтобы к ней сертификат прикрутить?
зачем? Можно sslip.io воспользоваться.
А там не просто список сертификатов? Интересны именно подробности - с какого домена каким именно корневым сертификатом было удостоверено.
все там есть
geher
12.06.2022 22:03Вот сейчас потыкал в разных браузерах для интереса (правда мобильных, может быть, в этом дело и было). В одном (яндекс браузер, однако) информацию о сертификатах отображаемого сайта вообще не нашел, в остальных информация о сертификате только основной страницы, а по файлам, подтягиваемым с других доменов (скрипты, картинки и все такое) ничего (я правильно понимаю, что скрипт с другого домена придет с другим сертификатом?).
geher
13.06.2022 15:11В десктопном огнелисе информации оказалось побольше, но тоже только по подтверждению домена основной страницы. По загружаемому с других доменов никакой информации.
michael_v89
13.06.2022 18:06F12, слева вкладка Network, справа вкладка Security.
geher
14.06.2022 15:00В хромиуме нашел. Это радует, есть такое. Хотя сделано весьма неудобно для быстрой проверки, но хоть так.
А в огнелисе что-то не нашел никакого Security в средствах разработки.
А в мобильных браузерах вообще беда с этим.
gecube
14.06.2022 15:08А в мобильных браузерах вообще беда с этим.
увы, да, тут Вы абсолютно правы. Я думаю, что это связано с тем, что большинство мобильщиков - не разрабы, а пользователи. А для разрабов есть специальные девелоперские версии браузеров для мобильных платформ или даже полноценные эмуляторы
Komrus
11.06.2022 23:46+8Вопрос-то поглубже будет, чем httpS и сертификаты...
Для человека (как хомо сапиенс) нормальным выглядит фраза "это сделал я, этим будут пользоваться мои дети и внуки".
И в строительстве (одной из древнейших индустрий) нормальным является “срок годности" здания в несколько десятков лет. Если повезёт - несколько СОТЕН лет.
Вот построили здание и стоит оно себе без глобальных переделок и кап.ремонтов...
А в ИТ, увы, считается, что каждый год кто-то должен специально озаботиться и предпринять какие-то действия. Без которых всё запросто может перестать работать...
Печалит это...
mvv-rus
12.06.2022 00:13+1Мало что работает долго без дополнительного обслуживания. И уж, во всяком случае — не жилые дома.
Я вот живу в доме, который был сдан более 60 лет назад. Но при этом стояк холодной воды у нас крайний раз меняли лет 15 назад, а сейчас идут разговоры, что пора его менять снова: сгнил в подвале. Правда теперь собираются менять на пластиковый.
mvv-rus
12.06.2022 00:32+3Во многом согласен с автором статьи.
Если вкратце: я вижу только два более-менее часто встречающихся (редкие — для простоты не упоминаю) случаев объективно обоснованного использования HTTPS.
Более редкий случай — объективная необходимость скрывать информацию: логин и пароли пользователей и прочая авторизационная информация, платный контент, персональная информация. Тут HTTPS действительно нужен, причем — в полном объеме, с шифрованием, и ценность от использования HTTPS тут получают и владелец сайта, и клиенты.
Но основной случай более-менее обоснованного использования HTTPS — для защиты рекламы на сайте от подмены. Реально тут полноценный HTTPS, с шифрованием, даже не нужен — достаточно было бы цифровой подписи контента. И ценность этот вариант использования представляет только для владельца сайта, получающий доходы от рекламы. Клиенты бы, наоборот, и от рекламы с радостью отказались, и подмена источника рекламы им безразлична.
И совершенно объективно необосновано требование обязательного использования HTTP сайтами, предоставляющими общедоступную информацию, которые получают деньги на свою деятельность не от рекламы, а из других источников. Например, совершенно необосновано IMHO требование защищенного подключения со стороны чисто информационных ресурсов госорганов. Или — со стороны Википедии и прочих ресурсов WikiMedia Foundation, где даже рекламы нет.
PS По поводу аутентификации источника информации. Если кратко — клиенту она нужна крайне редко. Во-первых, в большинстве случаев сложно представить сценарий атаки, выгода от которой превышает затраты на вторжение в сеть провайдера. Или, если атаку проводит сам провайдер, то его репутационные (а то и вполне реальные — от штрафов до уголовки причастным) вряд ли можно оправдать эффектом от атаки. И, во-вторых, сама аутентификация не слишком надежна: она опирается на доверие к неким поставщикам сертификатов, оснований доверять которым, вообще говоря, ничуть не больше, чем доверять провайдерам, обеспечивающим канал связи.
PS Но закон, снижающий апетиты провайдеров по подсовыванию рекламы, таки нужен, я считаю.gecube
12.06.2022 01:31-2И, во-вторых, сама аутентификация не слишком надежна: она опирается на доверие к неким поставщикам сертификатов, оснований доверять которым, вообще говоря, ничуть не больше, чем доверять провайдерам, обеспечивающим канал связи.
это ложный тезис. Даже несмотря на то, что были скандалы с центрами сертификаций. И более того - это как раз отличный пример того, что софт НЕОБХОДИМО обновлять. То есть - бежать вместе со всей индустрией и всем миром вперед. А то окажется, что у тебя устаревшие корни и ты попросту уже не можешь быть уверен в том, что ты соединяешься именно с тем сайтом, куда коннектишься.
Во-первых, в большинстве случаев сложно представить сценарий атаки, выгода от которой превышает затраты на вторжение в сеть провайдера
это может быть и не атака как таковая с целью похитить данные. А что-то типа пранка, шутки. Какого-нибудь малозначительного админа из провайдерской сети.
Более редкий случай — объективная необходимость скрывать информацию: логин и пароли пользователей и прочая авторизационная информация, платный контент, персональная информация.
еще типичная проблема. Был сайт. Жил себе по http. Никого не трогал. В какой-то момент времени на него добавили админку и бекенд. Все. Данные гуляют по сети в открытом виде. А сделали бы https - проблем себе не нажили. Да, наверное, это отсутствие процессов и головотяпство. Но это типичная история, когда айти системы развиваются стихийно. И используют что-то готовое в качестве базы. А в результате получается какая-то фигня. То есть с точки зрения пользователя - ну, все окей, сайт работает. А безопасность? О ней думают только в последнюю очередь.
Или — со стороны Википедии и прочих ресурсов WikiMedia Foundation, где даже рекламы нет.
там рекламы нет, но есть возможность редактирования статей
mvv-rus
12.06.2022 04:56-2это ложный тезис. Даже несмотря на то, что были скандалы с центрами сертификаций.
Ключевой источник ограничения доверия — не скандалы, а юрисдикция. Все ЦС обязаны подчиняться государству, в чьей юрисдикции они находятся. То есть, реальный корень доверия — это государство. А сейчас такое время, что ни одному государству доверять нельзя.это может быть и не атака как таковая с целью похитить данные. А что-то типа пранка, шутки. Какого-нибудь малозначительного админа из провайдерской сети.
Ну и хрен с ним. Я тут о вещах серьезных — о деньгах.Никого не трогал. В какой-то момент времени на него добавили админку и бекенд. Все. Данные гуляют по сети в открытом виде. А сделали бы https — проблем себе не нажили.
А еще лучше бы — наняли бы нормальную команду: HTTPS — не панацея от того, чтобы с безопасностью накосячить.там рекламы нет, но есть возможность редактирования статей
ВОзможность редактирования статей там есть и без аутентификации. Но вот вход пользователей и работа не под анонимом, про которого только IP известен, а под пользователем — это однозначно требует HTTPS.
andreymal
12.06.2022 03:42Или — со стороны Википедии
Вот как раз для Википедии наличие HTTPS (или по крайней мере цифровой подписи) стало категорически обязательным после 24 февраля
mvv-rus
12.06.2022 05:34+4Для меня ни 24 февраля сего года, ни в какую другую дату в недавнем прошлом в отношении Википедии не изменилось ничего. И не должно было поменяться: Википедию нельзя рассматривать как надежный источник ни по хоть одному сколько-нибудь спорному вопросу чисто в силу ее конструкции: ее править может непонятно кто. Обычные источники актуальной информации (СМИ, телеграм-каналы и т.д.) тоже ненадежны, но там можно хоть с какой-то уверенностью сказать, чью точку зрения они отражают. Например, по поводу информации о побочных эффектах вакцин от SARS-COV-V2 (специально беру неполитический пример) можно сказать, что РИА выражает официальную точку зрения властей РФ, а некий телеграм-канал -точку зрения известного антиваксера — его хозяина.
А вот про содержимое Википедии в конкретный момент нельзя сказать даже этого. А потому с Википедией, в отличие от остальных перечисленных источников актуальной (а потому обладающей сомнительной достоверностью) информации просто непонятно, как работать.
Для чего действительно хорошо годится Википедия — это как источник информации по широкому кругу вопросов, точка зрения на которые устоялась. Например, когда мне недавно потребовалось для неких надобностей найти список рок-групп времен СССР, я полез именно в Википедию: у меня не было оснований подзревать, что там из списка какие-нибудь злоумышленники вычеркнут «Кино» или «Зоопарк» или, наоборот, впишут «Ю-питер». Хотя и в таких вопросах Википедия — не без ошибок: например в списке по соответсвующей категории почему-то не было «Трубного Зова», хотя статья про него была — просто она попала в другую категорию.gecube
12.06.2022 10:55Это все неправда. Википедия прекрасная вещь, причем ее политика такова, что нельзя написать абы что - это все подтверждается ссылками на другие, более авторитетные источники. То есть в крайнем случае всегда можно самому провести факт-чекинг. В случае с РИА Новости это попросту невозможно сделать, потому что никаких кросслинков они не дают. И предлагают доверять им.
saboteur_kiev
12.06.2022 16:04+1более авторитетные источники.
Не авторитетные, а популярные. Авторитетность источников вещь слишком субъективная.
mvv-rus
13.06.2022 00:57-1Вы недооцениваете момент времени: в моменте в Википедии может быть что угодно, вплоть до ссылки на источник не то что недостоверный, но и просто отсутствующий.
В конце концов, прием «вброс-опровержение» — он уже старый, и вовсю использовался и в обычных СМИ, до всяких интернетов. А еще из Випидеии ссылки на альтернативные источники могут быть просто удалены вместе с информацией из них. Так что факт-чекинг на основе текущего содержимого Википедии — это так себе занятие. IMHO оно себя при наличии массы других источников неоправданно — а источников таких, самой разной направленности, для действительно актуальных событий множество.
Но, главное, в Википедии мне неизвестен вероятный характер искажения, тогда как по репутации обычных источников (которые как правило, ангажированы), я могу достаточно точно оценивать, в какую сторону могут быть искажения и какая информация может быть просто скрыта.
Например, когда я 14 марта с.г. читал BBC, я совсем не удивился, что я там не встретил упоминания об ударе в тот же день по центру Донецка ракетой с кассетной БЧ, вызвавшем гибель мирных жителей — о котором тогда трубила вся российская пропаганда, с цифрой в 20+ погибших мирных жителей, с фотками и с надлежащими возмущениями. А для фактчекинга — что удар таки был — BBC пригодилась, когда я увидел в ней на следующий день Донецк в списке городов Украины, подвергшихся ударам, приведшим к жертвам среди мирных жителей.
PS Все прочие обстоятельства этого удара я опускаю, и больше я об этом ударе не напишу на Хабре ни слова, клянусь ;-). Потому что это — политика, а политику я обсуждаю не на Хабре.
Здесь информация о нем приведена исключительно для демнстрации примера, как надлежащим образом должен производиться факт-чекинг. И, как видите, от наличия ссылок этот процесс практически не зависит.
PPS Все это было проделано, в общем-то, без дополнительных затрат времени, чисто при рутинном просмотре моего стандартного набора источников.
mortadella372
12.06.2022 12:49У Википедии есть золотое правило, о котором она не забывает упоминать: каждое утверждение должно быть подкреплено ссылкой. Более того, утверждения без ссылок получают явные, видимые «плашки» — мол, ссылки нет, написана отсебятина.
Поэтому любое интересующее нас утверждение либо не имеет источника — игнорируем — либо имеет, и мы в него смотрим. И решаем, чего этот источник стоит.
По-моему, очень хорошая схема. Надежнее только информация от Папы Римского, потому что он никогда не врёт.gecube
12.06.2022 15:59+1только одна проблема есть в этом случае - ссылки имеют тенденцию умирать. Идешь по ней - а там уже что-то левачное или 404. На этот случай есть web archive.. Но он не всеобъемлющ
mortadella372
12.06.2022 17:24Это просто один из весовых коэффициентов в оценке. Нулевой, или небольшой отрицательный.
0xd34df00d
12.06.2022 19:11+2Только иногда достаточно ссылки на мнение какого-нибудь колумниста в каком-нибудь журнале второго эшелона, чтобы обозвать что-то «belonging to alt-right, white supremacy community», а иногда (например, когда пару лет назад один фентаниловый наркоман-рецидивист при задержании помер) ссылок на достаточно авторитетные новостные агенства недостаточно, и в статье про этого наркомана-рецидивиста всячески выпиливались ссылки на факты рецидива, ограбления беременных и прочего, потому что «да, есть авторитетные источники, это упоминающие, но большинство источников этого не делает, поэтому и мы не будем».
mvv-rus
13.06.2022 01:04+1Более того, утверждения без ссылок получают явные, видимые «плашки» — мол, ссылки нет, написана отсебятина.
Как быстро появлятся плашка? Насколько я понимаю, автоматически при правке она не ставится — это выгдяит невозможным. А тогда вариант, когда обновление уже появилось, а плашка — нет, не исключен.и мы в него смотрим И решаем, чего этот источник стоит.
Лишний шаг. И, зачастую, сложно решить, чего этот источник в данном конкретном случае стоит, только на основе этого источника. Ну, и важная информация может быть просто пропущена. Короче, см. предыдущий ответ, что проверять нужно, как минимум разные источники, поддерживающие обе конфликтующие стороны.
BugM
12.06.2022 17:17достаточно было бы цифровой подписи контента
С подписью без шифрования есть интересная дилемма.
Допустим кто-то подменил несколько страничек Википедии и они стали приходить пользователю с невалидной подписью. И другим содержимым. Что делать браузеру? Что делать пользователю?
Шифрование отлично решает эту проблему. Техническим методом. Есть математическая гарантия что никто не сможет подменить содержимое странички.
mvv-rus
13.06.2022 01:07Допустим кто-то подменил несколько страничек Википедии и они стали приходить пользователю с невалидной подписью. И другим содержимым. Что делать браузеру? Что делать пользователю?
Браузеру — то же самое, что и при обнаружении недопустимого сертификата: сообщить пользователю, добиться от него осознания сообщения и предоставить пользователю принять решение.
Пользователю — оценить риск и принять решение. В конце концов, он — взрослый человек, отвечающий за свои действия сам.
Возможный вариант, если пользователь — несовершеннолетний: дать в рамках родительского контроля возможность родителям запретить в таких случаях просмотр ребенку недостоверного содержимого.Шифрование отлично решает эту проблему. Техническим методом. Есть математическая гарантия что никто не сможет подменить содержимое странички.
Но можно сервер-адресат подменить, и никакая математическая гарантия тут не поможет: все равно придется принимать решение, что делать с неверным сертификатом. И я неоднократно сталкивался со случаями, когда сертификат — более-менее в порядке, а потому может быть принят: либо просрочен, либо выдан на одно из имен с/без www в том же домене, а я подключаюсь по другому имени.BugM
13.06.2022 01:10И сюда же. Шифрование скрывает точный url странички на которую вы ходите и не дает возможности именно ее заблокировать. Как показала жизнь это очень полезное свойство.
mvv-rus
13.06.2022 03:26-2Как показала конкрено моя жизнь, это, в реальном мире — скорее вредное свойство. ПО крайней мере — лично для меня. Дело в том, что если государство решило — оно все равно заблокирует. Если не получается страничку — то весь сайт. Если не получается сайт по имени — то по IP.
В результате я в недавнем прошлом, когда в Лурке еще что-то было, я не имел безгеморойного доступа ко всему Лурку, а не только к тем страничкам про вещества, которые мне и так не были интересны. А мой прежний провайдер, не умевший в SNI нередко блокировал в результате совсем посторонние сайты — типа covid.mz.mosreg.ru, который оказался на одном IP с какими-то мошенниками из Геленджика, торгующими медкнижками (и да-да — они пользовались этим любимым вами CDN, потому там и оказались). Провайдера я, правда сменил — не из-за этого, а после того как у него крысы кабель сгрызли, но если введут ECH — что тогда мне делать?
Так что, реальная жизнь — она сложнее всяких там идеальных схем.BugM
13.06.2022 04:02+2Да сложнее. Тут философский вопрос скорее. Мне прям нравится что нельзя заблокировать одну страничку той же Википедии и любых других уважаемых и точно полезных ресурсов. И появляется сложный вопрос для государства. Хороший сайд эффект от шифрования всего.
mvv-rus
13.06.2022 04:13-1Это уже вопрос политический. А такие я обсуждаю не на Хабре: Хабр мне нужен как чисто технический ресурс (да-да, всякий фанерозой лично я бы тоже прогнал, но он приносит трафик владельцам сайта, так что я их понимаю).
Lopar
12.06.2022 01:31+8Вставлю 5 копеек: блокирование браузерами http-сайтов в intranet - вот где боль. Есть промышленное устройство с вебмордой, например, оно изолировано. Есть любой современный браузер.. который ничего не откроет без танцев с бубном. Какие решения?
Выпустить в интернет чтобы обновлялся какой-то серт через acme?
Покупать и подтягивать платные решения, чтобы подольше?
Рассказывать нетехнарям: то, что там пишет, что у нас огромные проблемы с безопасностью - вы не верьте, это ерунда, вот, нажмите "дополнительно", "игнорировать"..?
SerjV
12.06.2022 01:58А насколько част кейс "нетехнарям работать с промышленным устройством"?..
Ведь небольшое количество нетехнарей вполне и обучить можно...
Или установить им АРМ с не столь современным браузером, изолированный в той же сети, что и устройство, ибо работать со старым устройством из "общей" сети - потенциально небезопасно само по себе.
Lopar
12.06.2022 02:22+11А насколько част кейс "нетехнарям работать с промышленным устройством"?..
Я бы сказал "в большинстве случаев" в нехайтек производстве.
Или установить им АРМ с не столь современным браузером, изолированный в той же сети, что и устройство, ибо работать со старым устройством из "общей" сети - потенциально небезопасно само по себе.
Чувствуете эту боль - из-за навязывания https изобретать какую-то полностью кастомную инфраструктуру ради совместимости, которую отбирают. И у вас какое-то непонятное восприятие промышленных устройств, да и вообще состоянием дел в интранетах, раз отсутствие обязательных ssl\прямого выхода в интернет считаете потенциально небезопасным устаревшим устройством.
Даже откладывая промышленные устройства. Какая-то админка какого-то умного свитча в локалке тоже не откроется без страшилки об ошибках и проблемах с безопасностью. Нет, свитч плохой пример, это устройство сетевиков. А какое-то пожарное реле, не знаю, просмотр камер на складе, страничка с выхлопом состояний шлагбаумов на объекте, панель ввода параметров в контроллер сколько сыпать сахара в торт - это всё раньше просто работало, а сейчас, если не изобретать кастомные костыли под каждый случай, то где-то может полностью остановиться работа из-за появления в критичном месте очередного никому не нужного NET::ERR_CERT_INVALID.
p.s. Ах да, был же костыль - самоподписанные сертификаты. Но они тоже больше не котируются браузерами. Даже если корневой в систему воткнёшь. Тогда ошибки будут ещё толще и страшней - бейте тревогу, возможно злоумышленник пытается сделать MITM, опасносте.
SerjV
12.06.2022 14:11Я бы сказал "в большинстве случаев" в нехайтек производстве.
И какой процент это составляет от общего числа случаев использования браузеров?..
Чувствуете эту боль - из-за навязывания https изобретать какую-то полностью кастомную инфраструктуру ради совместимости, которую отбирают.
Если железка не умеет https - то скорее всего она уже лет дцать не обновлялась или вообще не поддерживается вендором, значит, в ней может обнаружиться какой-то баг, который ударит не по непонятной безопасности, а по вполне понятному - по кошельку. Например, через голосовой шлюз нальют трафика на многоденег и придёт счёт от провайдера (возможно, вместе с обеспечительными мерами от суда, если деньги очень большие, а у вас не так много активов).
да и вообще состоянием дел в интранетах, раз отсутствие обязательных ssl\прямого выхода в интернет считаете потенциально небезопасным устаревшим устройством.
Наличие-отсутствие шифрования - это не сама по себе проблема, это косвенный признак наличия других проблем с используемыми устройствами, из-за чего их и работающих с ними скорее всего надо изолировать от общей сети. А то и правда, как предложено рядом, ребёнок с планшетом в вайвае откроет все шлагбаумы и двери, выключит камеры, да еще и криптера на видеорегистратор подсадит.
А уж в интранетах чего только не творится, включая заводские пароли и необновлённые годами прошивки... И не только в интранетах - помнится, не так давно бороли ботнет на микротиках. Что только усиливает желание изолировать от такой сети реально важные устройства почти так же, как и изолировать их от Интернета.
Ах да, был же костыль - самоподписанные сертификаты. Но они тоже больше не котируются браузерами. Даже если корневой в систему воткнёшь.
Котируются, кроме мобильных - на мобилах вечно с сертификатами геморрой. Заводишь свой CA (ну или лучше цепочку из двух CA) и раздаёшь сертификаты на всё, что нужно.
BugM
12.06.2022 14:32+2Котируются, кроме мобильных - на мобилах вечно с сертификатами геморрой. Заводишь свой CA (ну или лучше цепочку из двух CA) и раздаёшь сертификаты на всё, что нужно.
Мобилки пошли по хорошему пути. Просто добавить геморой. А вот корпоративное решение с MDM профилем и любым вашим корневым сертификатом хорошо работает.
В этом есть плюс. MITM атака даже от государства становится еще более затрудненной.
mvv-rus
13.06.2022 01:05Мобилки пошли по хорошему пути. Просто добавить геморой. А вот корпоративное решение с MDM профилем и любым вашим корневым сертификатом хорошо работает.
В этом есть плюс.
Но корпоративное решение MDM стоит корпоративных же денег.
В этом есть минус.BugM
13.06.2022 01:11Для остальных есть бесплатные сертификаты от LE.
Все справедливо.
SerjV
13.06.2022 03:20Для остальных есть бесплатные сертификаты от LE.
И split-DNS для локалки, угу.
Хотя всё равно геморрой, конечно. Но геморрой - всё-таки не отсутствие решения проблемы, а лишь осложнение.
BugM
13.06.2022 03:27Усложняете. Подтвердить адреса для LE можно просто через DNS. Даже вайлдкарды туда завезли уже. Ничего открывать или сложно конфигурить не надо.
Скрывать внутренние адреса полностью в общем не имеет смысла. Использовать публичный домен второго уровня нормально.
SerjV
13.06.2022 14:44Усложняете. Подтвердить адреса для LE можно просто через DNS. Даже вайлдкарды туда завезли уже. Ничего открывать или сложно конфигурить не надо.
Можно вайлдкарды и DNS. Но если нет желания делать это регулярно руками - надо учитывать нюансы (в некоторых сценариях может и не получиться).
Скрывать внутренние адреса полностью в общем не имеет смысла.
Если железка не торчит в инет через реверс-прокси, а только в локалку, и при этом не используется вайлдкард сертификат (который через DNS) - то делать сплит придётся скорее всего.
Использовать публичный домен второго уровня нормально.
Нормально. Правда, его может и не быть вообще у шарашкиной конторки - а только публичный IP и назначенные ему провайдером A и PTR записи, да и то - если провайдер не забил, а клиент не забыл сказать провайдеру, что их надо сделать.
BugM
13.06.2022 14:50Нюансы есть везде и всегда. Нам же вроде деньги платят за то что мы в этом разбираемся и можем типовую задачу сделать нормально?
Так чтобы решение не было переусложенным и подходило именно для этой задачи.
Нормально. Правда, его может и не быть вообще у шарашкиной конторки - а только публичный IP и назначенные ему провайдером A и PTR записи, да и то - если провайдер не забил, а клиент не забыл сказать провайдеру, что их надо сделать.
Домен стоит долларов 10-20 в год. Несерьезно. Давно пора сделать, если еще нет. Хотя бы лендинг для рекламы надо же где-то держать?
SerjV
13.06.2022 18:00Нюансы есть везде и всегда. Нам же вроде деньги платят за то что мы в этом разбираемся и можем типовую задачу сделать нормально?
Вот только некоторые ((эффективные) менеджеры) хотели бы от ИТ-шников вообще избавиться, т.к. в случае не-ИТ-конторы они - деньги тратят, а не приносят. Потому некоторые на полном серьёзе могут думать про всемирный заговор админов "про этот ваш https", чтобы заставить (менеджеров) нести расходы на ИТ.
Заговор, правда, есть - только с другой целью - заставить (эффективных) менеджеров что-то делать в плане обеспечения безопасности, а не тупо скрывать проблемы и преследовать тех, что их выявляет.
Домен стоит долларов 10-20 в год. Несерьезно. Давно пора сделать, если еще нет. Хотя бы лендинг для рекламы надо же где-то держать?
Зачем? Группы в ВК им вполне может хватать. И бесплатная почта на мейлру (тот же ВК, впрочем), и чат в вацапе. И вот с таким бардаком они вполне могут иметь пару сотен миллионов выручки в год и не видеть нужды в доменах и прочей "зауми".
Вот так иногда и рождаются рассуждения про ненужность https, т.к. кроме безопасности реквизитов своей банковской карты "на интуитивно-практическом" уровне они практически больше ничего не понимают...
mvv-rus
13.06.2022 03:24Ничего справедивого: с LetsEncrypt тоже имеет место быть некий объем работы, которого без HTTPS бы не было. А ещё я не уверен, что с LetsEncrypt внезапно не случится чего-то страшного, а если случится — на что его менять?
И да, я не понял насчет мобилок: туда сертификаты сейчас со своего CA без танцев с бубном ставятся, или как? Это я просто спрашиваю, ибо не в курсе.BugM
13.06.2022 04:07За LE большие ребята стоят. Прям сломаться надолго они уже не могут. Небольшую недоступность все нормально настроившие свои ресурсы переживут даже не заметив этого. Я бы отключал часть LE продлевающую сертификаты на пару часов раз в месяц ради эксперимента. Чтобы мотивировать всех сделать нормально.
В мобилки почти нельзя. И это даже к лучшему. Мобилка это про сотовую сеть и общедоступные ресурсы. Корнер кейсы опять же бывают, но прям редко. Делайте MDM и все будет. Или LE ваш выбор.
mvv-rus
13.06.2022 04:15-1У меня выбор по жизни — базовый моральный, который принципиально логически не обосновывается — другой. Впрочем о нем и о бессмысленности нашей дальнейшей дискуссии вследствие этого я уже написал.
BugM
12.06.2022 02:08Поставьте реверс прокси перед ним и забудьте о проблемах. Бесплатно, надежно и даже безопасность повысить можно.
mvv-rus
12.06.2022 05:37+1Но — это отдельная железка (пусть даже виртуалка), которрую тоже надо обслуживать.
khajiit
12.06.2022 10:35Ну, что поделать, пусть тогда ребенок с сотовым на гостевом wifi поиграет с панелью управления чего-нибудь, если без катастрофы не осознается, что подходы давно пора менять.
BugM
12.06.2022 14:26Это виртуалка такого уровня которая может жить сама по себе годами и десятилетиями. Пока есть железка на которой она может работать. Обслуживание можно принять равным нулю.
mvv-rus
13.06.2022 01:06habr.com/ru/post/670932/#comment_24432128
А обновления на ОС вы не ставите? А надо.
Ну, и в мониторинг это добавить нужно, чтобы внезапно не выяснилось, что эта прокся полгода как сдохлаBugM
13.06.2022 01:14Если я сегодня заведу простейшую проксю на 20 Убунте и свежем Nginx, то вероятность что там найдут что-то вроде RCE применимое к моей конфигурации стремится к нулю.
Мы же считаем что это вместо прямого доступа к давно необновляемой железке. Что-то менее безопасное чем такая железка сделать почти нереально.
mvv-rus
13.06.2022 03:25Если я сегодня заведу простейшую проксю на 20 Убунте и свежем Nginx, то вероятность что там найдут что-то вроде RCE применимое к моей конфигурации стремится к нулю.
Но — не ноль.
Кстати я бы NGinx поставил туда не свежий, а тот, в котором после последней серьезной уязвимости ещё не были добавлены новые, но здесь не нужные фичи — новые фичи имеют повышенный риск наличия уязвимостей.
Ну, и еще раз — все это выглядит как излишняя работа.BugM
13.06.2022 04:09Мы все еще про старую железку без обновлений которая доступна напрямую по сети. Где тут про ноль? Надо сделать лучше и этого более чем достаточно. Мой сценарий точно безопаснее этой железки будет.
Там работы примерно 10 строк конфига. Плюс деплой, конфиг всего вокруг и тому подобное. Любой админ с рынка это сделает за день и не перетрудится при этом. 20.000 рублей по максимальным расценкам. Несерьезно.
Наличие админа при наличии ценной старой железки я считаю необходимым. Он может быть в вышестоящей организации или на подряде. Не важно. Человек присматривающий за ценным железом работающим по сети должен быть точно.
SerjV
13.06.2022 14:10Наличие админа при наличии ценной старой железки я считаю необходимым. Он может быть в вышестоящей организации или на подряде. Не важно. Человек присматривающий за ценным железом работающим по сети должен быть точно.
А вот в этом и вся суть - хотят сэкономить на админе, убрав его полностью - мол денег не приносит, а только потребляет.
Эффективный менеджмент, понимаешь...
SerjV
13.06.2022 03:25Мы же считаем что это вместо прямого доступа к давно необновляемой железке. Что-то менее безопасное чем такая железка сделать почти нереально.
Именно. Но можно и обновлять виртуалку - это по-любому проще, чем обновлять неподдерживаемую железку и/или дешевле, чем обновлять поддерживаемую "лишь за большие бабки" железку, если она "и так работает".
amkartashov
12.06.2022 05:27+1Ну вот для чего нужна была вся эта мышиная возня с гноблением простого HTTP, предупреждением о небезопасности сайтов на нём? Ладно там сайты банков или другая чувствительная информация, но чисто информационные - зачем?
Причина проста. Браузер:
* не может определить тип сайта: банк это, вебпочта или безобидный прогноз погоды
* не имеет полной защиты от IP/DNS спуфинга
И если он не будет предупреждать о незащищённом соединении, то через DNS/IP спуфинг жертве можно подсунуть липовый сайт банка/магазина/почты с HTTP без сертификата. От этого может спасти HSTS, но для этого надо хотя бы раз зайти на оргинальный сайт.Именно поэтому надо помечать HTTP сайты таким же образом, как и HTTPS сайты с невалидным сертификатом - НЕБЕЗОПАСНЫМИ!!
Для оценки безопасности сайта браузер может опираться только на встроенное хранилище сертификатов CA, то есть только HTTPS сайты с валидным сертификатом могут считаться безопасными с какой-то степенью.
Darkhon
12.06.2022 09:42+2Ошибка довольно нетипичная. Если бы там просто не было HTTPS, сайт бы открывался по HTTP без особых проблем. В данном случае проблема не в "повсеместном переходе на HTTPS", а именно в кривой настройке. SSL там как будто бы есть, но нерабочий. А вообще-то русский сайт Foreca — https://www.foreca.com/ru/ и он нормально работает.
saboteur_kiev
12.06.2022 16:10+1Реально сейчас https настроить не есть проблема, зато потенциальных кучу проблем это решает на корню.
Если ты хочешь чтобы твой сайт был публичным - приходится соблюдать общественные принятые в мире нормы.
А отдельные индивидумы легко могут включить работу с HTTP в своем браузере в тонких настройках без предупреждений.mvv-rus
13.06.2022 01:09Если ты хочешь чтобы твой сайт был публичным — приходится соблюдать общественные принятые в мире нормы.
Так вот в том-то и смысл статьи — эти принятые (кем-то, непонятно кем) нормы не являются разумными.
PS А ещё я — человек по происхождению советский, а потому не мог не вспомнить чисто советскую формулировку указания на решение вышестоящего партийного органа: «есть мнение, что...» — больно уж «общественные принятые в мире нормы» на него похожи своей категоричностью и своей безличностью.
SagePtr
12.06.2022 22:08+2Сталкивался с ситуацией, когда один местный провайдер примерно каждую неделю запрос к произвольному HTTP-сайту подменял редиректом на свою страницу с рекламой услуг. И всё бы ничего, но подменённый ответ сервера кэшировался браузером, в итоге такой сайт больше не открывался до тех пор, пока пользователь не очистит кэш браузера. Для неопытного пользователя в такой ситуации сайт окажется потерян на весьма продолжительное время. Без HTTPS тут противостоять не получится.
mvv-rus
13.06.2022 01:10-2Без HTTPS тут противостоять не получится.
Получится. Обычно достаточно пожаловаться в техподдержку провайдера.
Если не помогает, то жалоба на провайдера регулятору часто творит чудеса.
0HenrY0
13.06.2022 15:46-1На мой взгляд, самая большая проблема в том, что ни один из известных мне популярных текстовых браузеров не поддерживает HTTPS.
geher
13.06.2022 16:19+3Может быть, я не вполне понимаю, что вы понимаете под "текстовыми браузерами", и не могу прямо сейчас проверить в FreeDOS (лениво ставить даже на виртуалку), но под линуксом и links, и lynx на ура открыли по https страницу .
alliumnsk
13.06.2022 17:43+2Допустим у меня в браузере открыто 100 вкладок, из них все https. 1 числа месяца закончился оплаченный период интернета. При запуске браузер хочет прочитать табы заново, и получаются десятки вкладок с сайта провайдера с предложением заплатить, и что особенно обидно, история стирается, нажатие назад не позволяет вернуться. Как так получается-то? Особенно обидно, что юзерскрипт значит не может использовать http со страницы https (запрет на mixed content), а вот такая штука у провадйера получается.
andreymal
13.06.2022 17:54юзерскрипт значит не может использовать http со страницы https
Если использовать GM.xmlHttpRequest, то может
artemlight
Потому что в 2022 году это делается совершенно бесплатно одним флажком в панели хостера или 10 строчками в nginx, смотря что там у вас.
/thread
Dinxor Автор
Простота этого действия может объяснить причину, но не цель. Ну например, "Мы хотим, чтобы наш сайт был безопасным" . Очень многие вещи в современном мире делаются легко, но всё равно требуют какой-то мотивации.
cleverate
Нежелание видеть на своём ресурсе несогласованную рекламу от %isp_name% с функцией снятия денег в один клик, а так же предупреждение возможной кражи паролей им же (или кем-то посередине, вроде перенаправившего ваш трафик на свою версию сайта зловредный сосед / майора по середине) является достаточной мотивацией?
pewpew
А вопрос то хорош. Что именно в статично формируемом json файле с погодой секретного? Отчего тут надо защищаться?
dwdraugr
Вообще, в таких данных может идти местоположение, а так и потихоньку можно отслеживать положение человека, если жсон регулярно просит мобильное приложение, передавая данные gps. Это что я с головы только придумал.
Плюс давно на хабре была история, как у человека jquery.min.js заменился рекламой мегафона. Надо ли говорить, что может прилететь подпорченная версия либы (хотя сейчас фронт чаще через npm билдится).
0xd34df00d
И от кого тут https защитит? У опсоса и так есть достаточно точные данные, майор их спросит у опсоса. От кого вы защитились?
dwdraugr
От всех, кто будет между опсосом и сервачком с погодой. Никто же не гарантирует, что там прекрасные сети, которые ну вообще никто не рассматривает под лупой.
0xd34df00d
Через них проходит столько трафика, что либо конкретно на вас им плевать, либо там снова майор.
khajiit
Так лохов и не стригут больше по одному — времена нонче не те.
Таперича их стригут сразу тысячами-миллионами.
ner0
БигДата в моде
mikleh
За вашей дочкой следит маньяк. Он узнал пароль от вашего домашнего вайфая, активировал точку с таким же SID и паролем, подменил сайт с прогнозом погоды и теперь следит незаметно. На самом деле сценарии есть.
С другой стороны никто вроде http не отменял. То что на него ругаются популярные браузеры… ну так их типичный клиент не в состоянии сам понять, где https точно нужен, так что пусть лучше везде ругаются.
DrPass
Я, честно говоря, не против дать маньяку возможность следить за моей дочкой, если он способен на атаку MiM. Столь профессиональный и целеустремлённый хакер в семье не помешает. В конце-концов, https от него и не поможет — сделает фишинговый сайт погоды, получит для него сертификат от Let's Encrypt, и настроит втихаря редирект на него, никто и не заметит подмены.
А если серьёзно, меры безопасности должны соответствовать ценности данных. Службам, которые не обладают никакими там личными кабинетами, регистрациями и вообще чем-либо, где пользователь оставляет какую-то свою информацию, HTTPS действительно не нужен.
andreymal
Злоумышленник может подрисовать фейковый личный кабинет с регистрацией и вынудить пользователя оставить информацию
DrPass
Если у него есть такая техническая возможность подменить трафик между вами и ресурсом, https от него никак не защитит — он вам может весь сайт целиком подменить, вместе с доменом и сертификатом. Причём он будет делать не совершенно нелепый хак «вставить на сайт регистрацию, которой никогда там не было, и убедить пользователя ввести там свои какие-то важные личные данные», а подменит кабинет, например, банка.
andreymal
Подменённый сертификат будет отклонён браузером, а подменить домен в принципе нет никакой технической возможности
DrPass
Ну как это нет? Домен идёт в нешифрованной части заголовка. Перехватил первый же запрос к целевому сайту, вернул в ответ на него 301 редирект на фишинговый сайт с визуально похожим доменом, и с валидным сертификатом на этот домен. И всё будет прекрасно работать для куда большего количества пользователей, чем тех, которые вдруг внезапно захотят зарегистрироваться на сайте прогноза погоды.
andreymal
Или не перехватил, потому что домен находится в HSTS Preload List. Это во-первых, а во-вторых — а вы уверены, что первый же запрос будет выполнен именно в подконтрольной злоумышленнику сети? Я вот не уверен. А если первому запросу повезёт пройти в безопасной сети, то дальнейшую защиту в сетях со злоумышленниками уже обеспечит всё тот же HSTS
DrPass
Я лишь в одном уверен — что вероятность, целесообразность и реализуемость подобной атаки на сайтах с коммерческой/приватной информацией многократно выше, чем искажение HTTP-трафика на сугубо информационных сайтах в каких-либо злонамеренных целях, кроме вставки рекламы некоторыми сумасшедшими провайдерами. Поэтому смысла борьбы с HTTP-трафиком везде и всегда я не вижу.
andreymal
И обе эти вероятности можно свести к полному нулю, если администратор сайта хотя бы немного пошевелится. Зачем осознанно снижать безопасность, если защита делается легко и дёшево?
(Впрочем, остаётся проблема доверия центрам сертификации, но это уже другая история)
khajiit
По httpS (это если там tls v1.2, с 1.3 уже не сработает), и…
по простому http? И браузер проглотит такую смену протокола вообще без согласования?
andreymal
А вот не факт, здесь DrPass прав в том, что такая атака теоретически возможна. Злоумышленник может заблокировать первый https-запрос, и тогда по умолчанию браузер подумает, что https на сайте не настроен, и откатится на выполнение http-запроса, который будет радостно перехвачен злоумышленником. Поэтому надо или принудительно запрещать http на уровне браузера, или добавлять сайт в тот самый HSTS Preload List
khajiit
Что снова аргумент в пользу текущего поведения, а не против…
Revertis
Отката с HTTPS на голый HTTP не бывает. Такой откат полностью подрывает безопасность.
andreymal
Очень даже бывает, иначе все HTTP-сайты тупо перестанут открываться.
Введите в адресную строку, например, тот же самый 192.168.1.1 для доступа к вашему роутеру и проследите, какие запросы будет отправлять браузер (спойлер: сперва попытается HTTPS, не осилит и откатится на HTTP).
iig
Нет.
sudo tcpdump -i any -n host 192.168.1.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 262144 bytes
14:29:54.580442 IP 192.168.2.101.48252 > 192.168.1.1.80: Flags [S], seq 2918243634, win 64240, options [mss 1460,sackOK,TS val 3805508699 ecr 0,nop,wscale 7], length 0
andreymal
Странно, ещё 11 июня я этим же самым способом наблюдал обращения к порту 443 (иначе бы я не писал свои комментарии так уверенно), а сегодня сам воспроизвести не могу…
DrPass
Нашу переписку разработчики хрома почитали и выкатили патч :)
VEG
Думаю, со временем от открытия HTTP-версии сайта по умолчанию откажутся. Если сайт не доступен по HTTPS, пользователю нужно будет явно согласиться с тем, что он хочет на незащищённую версию. Такой режим в браузерах уже есть, просто он не включён по умолчанию.
Fly3110
Если только на домене нет HSTS и ранее на него не было заходов
VEG
Чтобы первый запрос не ушёл по голому HTTP, можно создать DNS-запись HTTPS, через которую можно настроить первое обращение даже через QUIC (HTTP/3). Там же можно настроить Encrypted ClientHello, который позволяет скрыть хост и почти всю служебную информацию при установке TLS-соединения. Ну и чтобы сам DNS-трафик не перехватывали и подменяли, в браузерах есть DNS-over-HTTPS.
randomsimplenumber
Браузер в этом месте должен вывести сначала invalid certificate, а уже потом, после accept risk and continue - обработать редирект.
0xd34df00d
Боюсь, что если он оказался в зоне досягаемости вайфая, то сайт погоды уже тут погоды не сделает.
gecube
я уже видел майнеры в виде джаваскрипта. Думаю, легко подкидывать его в случае контроля над каналом в незашифрованный трафик
Sukelia_Gume563
да дело в том, что если вы заходите на сайт с https, то провайдер знает только домен сайта, ip-адрес сайта, тип протокола, версия протокола, порт, размер пакета. Но содержание сайта провайдер может узнать, только если поставить MITM-сертификат от самого опсоса, с помощью которого провайдер расшифрует весь трафик с этого сайта. В том числе пароли. А такими сайтами могут не только банки, но и почта, поисковики, соцсети, мессенджеры и т.д., онлайн-магазины, даже какой-нибудь форум(неважно, на какую тематику), может требовать авторизации(то есть ввод логина и пароля для входа на сайт). HTTPS без mitm-сертификата невозможно расшифровать, можно узнать только то, что я написал в первом предложении. Остальное- недоступно.
0xd34df00d
Мы обсуждали случай статических сайтов с погодой безо всяких паролей, банков и почт.
Sukelia_Gume563
1) ну с сайтами погоды все ясно. Кроме GPS и IP-адреса компьютера опсос ничего не узнает. Только если вы зашли на какой-то сайт погоды, где есть возможность авторизации и входа в аккаунт(например, Яндекс.Погода и т.д.). Тогда уже опсос узнает не только саму погоду, но и пароль от аккаунта в этом сервисе.
2) Провайдеры часто подменяют код сайтов и вставляют свою рекламу, даже на сайты погоды. Потому что с http провайдеру доступен код сайта, а значит он может внести какие-то изменения в этот код. Никто же не хочет видеть в каком-нибудь "Гисметео", AccuWeather, Яндекс.Погоде и т.д. рекламу, которую вставил Ростелеком, Акадо.Телеком, Дом.ру, Мегафон, Билайн, МТС, МГТС, Skynet или другой провайдер. От любого провайдера в принципе, не только от выше перечисленных. От этого страдают владельцы самих сайтов, которые показывают погоду. И не только о сайтах погоды речь. О любых сайтах речь идет. Владельцы сайтов теряют доходы, потому что на сайте есть реклама, которую они не вставляли. Ведь есть реклама, на которой зарабатывает не сайт, а провайдеру денежка уходит за такую рекламу. P.S. я могу быть в чем-то неправ, можете поправить меня, если я что-то недопонимаю.
khajiit
Это еще не говоря о сломанной верстке и скриптах, что уже вредительство.
Sukelia_Gume563
Это тоже. Когда мобильному опсосу(и провайдеру фиксированной связи, не важно) доступен весь код любого сайта с http, то он что хочет, то и делает с ним. И сайт ломается.
0xd34df00d
Ну вот я владелец такого сайта, который доступен по HTTP. У меня на сайте принципиально нет рекламы (и джаваскрипта на всех страницах, кроме одной, с живыми результатами бенчмарков). И мне, если честно, абсолютно плевать на денежки, которые получит кто-то ещё.
mvv-rus
Ага, а ещё в реальном мире этот «кто-то ещё» получит не только денежки, но и ворох жалоб от пользователей с самыми разными последствиями — от оттока клиентов и попадания на отрицательные отзывы, до предписания регулятора (типа пресловутого Роскомнадзора) устранить нарушение.
В нынешних условиях если это ещё не нарушение, то оно быстро станет таковым: любое нынешнее государство рабо будет продемонстрировать таким образом заботу о своих гражданах: и для бюджета не обременительно, и всем понравится.
0xd34df00d
То есть, чем больше
самоубийцхттп-сайтов, тем меньше паразитной рекламы в трафике?mvv-rus
Для вывода нудна статистика, у меня ее нет, как и желания искать.
Кроме того, есть вопрос, что считать паразитной рекламой. Для меня паразитной рекламой является любая реклама на сайте. Впрочем, я часто ее просто не вижу из-за постоянно развивающейся баннерной слепоты.
И думаю, со мной тут согласятся и сами рекламодатели: CTR от меня равен нулю, исключая разве что случайные промахи мышкой. Ну, а в воронку продаж я этим путем вообще не попадаю.
bromzh
А если кто-то встроит майнер? Или фишинговую ссылку? Или какой-нибудь вредонос, который эксплуатирует уязвимости браузера?
0xd34df00d
Ну, увы, щито поделать. https-версия сайта у меня тоже есть, но она не обязательна.
khajiit
Вы просматривали погоду все время в LA, а теперь заинтересовались погодой в Whistler на конкретные даты.
Что из этого следует?
А потом вы зашли на другой сайт, на котором у вас тоже нет личного кабинета. И засветили авиакомпанию, визы и загранпаспорта. UPD: И мыло до кучи.
Вы серьезно не понимаете, что в недоверенной среде (а http — это оно и есть) статический сайт станет динамическим в вашем браузере?
Вот уж от вас не ожидал.
0xd34df00d
Скорее всего — что мне интересно, как будут у моего знакомого дела в этом городе.
Блин, у меня наконец-то появился загран, ура!
У вас какие-то опсосы курильщика, чините причину, а не симптомоы.
У меня опсосы не подставляют рекламу в статические сайты. А вот электронная читалка, которую я купил в 2015-м и которая уже лет пять не получала апдейты, некоторые HTTPS-сайты открывать не может. Хотя по процессору-памяти, состоянию аккумулятора, и так далее — вполне себе нормальная железка.
gecube
и что? Windows XP тоже отправили на свалку истории. Это же хорошо даже.
0xd34df00d
То есть, мне надо выкинуть читалку и купить новую, чтобы читать блог какого-нибудь программиста, потому, что… почему?
А Windows XP, например, моя мать спокойно пользуется в виртуалке, потому что только под ней работает 1C 7.7. Зачем именно 7.7, правда, я не знаю, наверное, там с тех пор что-то новое выпустили.
gecube
вообще-то да. У каждого устройства есть расчетный срок службы. То, что ты его превысил - ну, молодец. Бережное использование техники. Но ты же не ноешь, что не можешь на андроид образца поколения анроид 2.xx установить свежую прошивку и программы из плей маркета? Это твой личный выбор - использовать устаревшее оборудование и страдать. Либо придумай его использование, которое позволит не пользоваться этим функционалом. Или исправь эту железку... или время настоящих хакеров прошло?
Меня лично тоже претит, что мы вынуждены выкидывать полностью работоспособное оборудование, только лишь потому что "пришло время". Но c'est la vie.
0xd34df00d
Так я всё равно не понял, почему. «Потому что железке уже 7 лет, надо выкидывать» — не аргумент.
Не ною, потому что андроиды образца 2.хх идут года так из 2010-го, у них уже дохлое всё, мало памяти, пиксели видно, и так далее.
А вот когда на флагманский мобильник, купленный в 2017-м, тоже нельзя ничего устанавливать просто потому что, при его полной работоспособности и непротухшести железа, тогда я тоже начну ныть.
Я лучше типчики поковыряю лишний раз, чем решать проблемы, которых не должно быть изначально.
Главное — при этом поаплодировать решению ЕС об унификации зарядных разъёмов.
XXXXPro
Только вот по-хорошему, расчётный срок службы устройства должен определяться его физическим износом, а не устареванием софта. Иначе это получается отличный способ принуждения покупать новые устройства чаще. Ну или другое решение — ввести законодательное требование, что если разработчик прекращает поддержку ПО, он должен передавать его в свободный доступ, чтобы энтузиасты могли заниматься дальнейшим развитием самостоятельно.
khajiit
Осталось ввести план по выявлению багов — не больше одного зеродея в год, сам зеродей должен быть не младше 12-ти лет.
Вот тогда заживем )))
bromzh
У меня до сих пор есть работающий КПК от HP. Но он стал бесполезным, потому что не может подключиться к современным WiFi-сетям — те протоколы, которые он поддерживает признаны небезопасными.
Кто в данном случае виноват? MS, которая не внедрила в WinMobile 5 поддержку шифрования? Производители железа? Или современные требования безопасности?
По мне, лучше пожертвовать частью старых устройств в угоду безопасности, чем тащить на плечах легаси 15-20-летней давности.
vabka
Если мы считаем плохим провайдера, который подсовывает рекламу в http, то почему мы не можем считать плохим производителя, который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?
0xd34df00d
Во-первых, я не вижу связи двух частей импликации, поэтому позвольте выкинуть первую часть вашего вопроса, он ИМХО от этого не потеряет: «почему мы не можем считать плохим производителя, который прекратил поддержку своей железки, и не оставил возможности поддерживать её сообществу?»
Во-вторых, отвечая на ваш вопрос (в любой форме) — можем и считаем. Но, увы, альтернатив плохим производителям электронных читалок диагональю 10-13 дюймов существенно меньше, чем плохим провайдерам (включая других провайдеров или условный VPN).
khajiit
То есть, раз производители курильщика бросают поддержку своих устройств, то надо не чинить причину, а лечить симптомы, везде открывая дорогу скрипткиддисам и шпионажу.
Какое удивительное двоемыслие, по сравнению с этим.
0xd34df00d
Это не двоемыслие, это сравнение двух интегралов. Один — интеграл по всем провайдерам и сложности обхода тех, которые лезут в http-трафик, другой — интеграл по всем читалкам.
gecube
потому что пользователь сам покупает дешевую железку. Какой-нибудь условный oppo или digma. В этом случае странно пенять на производителя. Получено ровно столько, за сколько уплачено. А вот ситуация, когда так делают производители первого эшелона... типа самсунга и sony... хотя, wait, oh, sh~~~ Apple же так не делает... У них поддержка и старых телефонов есть.
Ну, и ответьте на свой вопрос по-другому - готовы ли Вы переплатить за телефон х2-х3-х4, если его поддержка будет продлена на 5 лет?
0xd34df00d
Я готов купить дорогую (собсна, текущая читалка стоит 750 баксов — куда уже дороже?). Только вот какую? Max 2, купленную в 2019-м, тоже уже перестали поддерживать, последний апдейт был прошлым летом. Выйдет какой-нибудь TLS 1.4, потом пяток версий хроме, и всё, приплыли.
Apple и читалки не делает.
Oxyd
Ну тогда надо идти по вот такому пути.
КДПВ
0xd34df00d
Выглядит интересно. Только:
Oxyd
Экран там реально хорош. (щупал у одного товарища у нас в хакспейсе) Но да, пока только предзаказ для разрабов. А с поддержкой у пайновцев, всё более чем хорошо. Как заявляют, так и есть.
VEG
До сих пор актуальный TLS 1.2 доступен нативно даже в древней Windows 7. Когда открываешь HTTPS-сайты в IE11, они обычно ломаются не из-за слишком нового TLS, а из-за совершенно других вещей, потому что мир не стоит на месте, и ожидать, что современные сайты будут нормально работать в древних браузерах как-то странно.
0xd34df00d
Это всё очень круто, но проблема в том, что современный chrome и firefox не имеет встроенных костылей для eink-экранов, и встроенный браузер со специальными патчами выглядит сильно лучше.
mortadella372
Делает, Айпад называется ;)
0xd34df00d
У айпада не еинк-экран, он бликует на солнце, он выжрет батарею сильно быстрее, чем читалка, там невозможно листать страницы кнопками, ну и лично я нахожу ай-устройства неюзабельными для себя лично.
vikarti
Я же правильно понимаю что у iPad'ов теперь трансфлективный дисплей или что то вроде SR-NLT(комбинация транслфективного и нормального)? (Иначе КАК они он будет нормально работать под ярким солнцем? за счет дикой мощности подсветки? И сколько батарея выдержит?)
Для того что называют читалкой а не планшетом — возможность под светом работать — важна, в том числе за то их и любят.
DrPass
Как мне сдаётся, есть колоссальная разница между «лезет ко мне без спроса на мой личный компьютер» и «не согласился подарить обществу свои собственные разработки после того, как они перестали приносить ему прибыль». Я не вижу во втором ничего предосудительного, осуждать за такое — это все равно что осуждать вас за то, что вы, после того, как перестали носить какую-то одежду, положили её в шкаф, а не постирали её хорошенько, прогладили, упаковали и отдали нуждающимся. Да, если отдали — молодец. Но если не отдали, ничего страшного, ваше право.
ivan386
Можно установить прокси сервер который будет соединятся с сайтом по https а с читалкой общатся на http.
khajiit
TL;DR
Если что-то не укладывается в лично ваш паттерн, то миллиарды более обычных людей — на ура укладываются.
Не стоит заниматься верованием в справедливый мир и генерализировать единичный случай на всю популяцию. Тем более не стоит на основании этого демонстрировать selection bias, который виден вот тут:
Вас ведь никто не заставлял покупать устройство с ограниченным сроком поддержки, так ведь? Моргните левым глазом дважды, если это не так.
Впрочем, полгода назад каджит об этом вам уже говорил. Видимо, бесполезно.
Если есть корреляция с происшествиями, то возможно. Но обычно это означает отпуск. Что выдает сразу периоды вашего возможного отсутствия, количество денег, которые вы готовы потратить на отдых (люди, как правило, готовы довольно легко расстаться с некоторыми дополнительными деньгами в отпускной период — и более активно реагируют на рекламу).
Подставьте любой другой документ, без которого вас не пропустит таможенный контроль и который можно использовать в качестве посадочного талона.
Именно это и сделано: небезопасный протокол, позволяющий любому на пути траффика (а это, внезапно, не только опсос и владелец вашего сайта, но и множество персонала, так или иначе имеющего доступ к траффику и/или возможность поснифать
васваш plain http голышом пока вы так уверены в своей защищенности: подменные точки доступа, script-kiddie neighbour, dns spoofer в локальной сети провайдера, штатные отчеты кальмара на столе директора по развитию, name them all by yourself)Единичная утечка мало что даст, да.
А вот постоянное наблюдение вкупе с принципиальным нежеланием ему противодействовать…
Но давайте посмотрим, что можно выжать из этого дальше.
Вот вы весь такой красивый, истово верующий в собственную непогрешимость и не уфакапливаемость, заказываете билеты через сайт, соответствующий вашим религиозным воззрениям: без скриптов, чисто на формах, фреймах и, может быть, немного css.
Как вы думаете, что может пойти так?
А примерно вот что:
Ваш номер телефона и мыло (для информирования, очень полезная штука ;) ) сканы или текстовое представление подтверждающих личность документов (какая вкуснота), информация о брони, если агрегатор/авиаперевозчик заботливо предоставит возможность снять номер не отходя от кассы (а это уже местонахождение и время).
Если вы летите не один, то заодно в не те руки попадут данные вашей семьи/друзей. Пока еще ничего фатального, верно?
Или таки нет? Примерно такой сценарий реалистичен для обычного человека.
Секретный вопрос на мыле подобран так, что его знаете только вы и ваша семья, ну еще несколько близких в то время людей, которые уже не вспомнят об этом.
Вы сами забыли его, и ответ на него, но немедленно вспомните, когда его зададут, потому что это имя вашей любимой кошки, трагически умершей за несколько дней до регистрации вами первого почтового ящика.
Прошло уже двадцать лет, вы забыли о том событии, оно вымылось из памяти, заслонилось другими перипетиями и заботами. Однажды вы решили завести новую кошку, и память услужливо подсунула имя. Кошка послушна, спокойна, привита и чипирована (значит есть ветпаспорт), и вы без тени сомнения берете ее с собой.
Каким будет один из документов, добровольно переданный вами по открытым каналам вместе с мылом? )
Pwned!
0xd34df00d
Только это не предложение носить маски, это ровно ваше осуждение моих оценок риска от моей стратегии самоизоляции по причинам уровня «а вдруг завтра ковид начнёт распространяться с насекомыми». Если вы не помните, вы что-то подобное мне сами лично заявляли.
Диалог, кстати, куда более осмысленнен, чем вы считаете, потому что по факту ковид-диссидент спрашивает у ковидобеса (или какая там правильная обзывалка для тех, кто на другой стороне спектра — я всё время путаюсь), каково матожидание количества людей, которых он заразит и которые не имеют возможности позаботиться о своём иммунитете. Для этого надо, упрощая, взять и перемножить сильно неединичную вероятность того, что он является асимптоматическим носителем (возможно, при условии, что он уже переболел и вакцинировался), на достаточно неединичную вероятность передачи вируса (при отсутствии долгих контактов с такими людьми, например), на вероятность встречи человека без вакцин и естественного иммунитета, который не может их себе поставить по медицинским причинам (которых просто мало в популяции, и может быть ещё меньше в кругу общения того человека), и может оказаться, что матожидание количества таких людей — скажем, 0.000001 в год. Вы больше людей покалечите на автодороге.
Поэтому вопрос о том, зачем носить маску, лично для меня неочевиден. И это (равно как и осуждение масочных мандатов) никак не противоречит тому, что я продолжаю самоизолироваться и не контактировать с людьми ИРЛ и сейчас именно ради нераспространения вируса (технически — ради выполнения своей части договора о нераспространении и неубийстве бабушек, желаемость которого озвучивалась в том числе и на хабре, и поддержания уровня нелюбви к людям, которые этим договором резко начали пренебрегать, как только это стало слишком неудобно, но это неважно).
Вот и с HTTPS для погоды или личного блога так же.
Вы спрашивали про меня — я ответил про себя. Теперь вам это не нравится.
Не заставляет. Но отсутствие альтернатив и потребность в наличии устройства из этого класса склоняет меня к этому выбору.
Но вы спрашивали про меня, а я в отпуска сижу дома и вообще предпочитаю брать их по одному дню.
Я не против расстаться с деньгами по делу. На самом деле я встречался с рекламой, которая позволяла мне именно это — всякие там локальные митапы по интересным мне вещам (когда я ещё куда-то ходил), или те же новые музыкальные альбомы (которые я покупаю при возможности купить их напрямую у исполнителя на условных бандкампах).
Заказывать я буду через HTTPS, конечно. Вы подменили тезис. Можно я дальше не буду читать?
И на наличие скриптов на чужих сайтах мне плевать (покуда они работают нормально и не жрут процессор или не глючат). Я просто не считаю их необходимыми на моём личном сайте.
DrPass
А правильный ответ тут — «абсолютно не важно». Потому что даже если оно будет околонулевое, это не исключает вероятность того, что конкретно этот индивидуум станет началом цепочки заражений, в которой у кого-то будет смертельный исход. Маска — это не панацея от ковид, как https — не панацея от хакеров.
Но https статистически снижает вероятность взлома, и как верно заметил мой собеседник в другой ветке, в принципе, ничего не стоит для владельца сайта. Точно так же и маска, она статистически снижает распространение заболевания, и при этом точно так же ничего не стоит для её носителя. Поэтому их возражения, скажем так, не обоснованы.
0xd34df00d
Есть ненулевая вероятность, что вы на дороге сделаете маневр, который отвлечёт кого-то ещё и приведёт к цепочке столкновений.
Более того, есть ненулевая вероятность, что вы своим поведением отвлечёте водителя автобуса с аналогичным исходом.
Или есть ненулевая вероятность, что при общении в интернете вы стриггерите чью-то депрессию или иное расстройство, и он суициднется.
Что вы делаете со всеми этими вероятностями?
certbot (официально рекомендуемый) у меня отваливался существенно более одного раза после апгрейда питона — не мог модули найти, и так далее. Узнаёшь об этом по факту, когда за несколько дней до конца срока действия сертификата приходит письмо (и то хорошо).
Или, например, включать ли hsts? Насколько я понимаю, без него смысла в https особого нет — mitm оказывается существенно проще. Но с ним, например, я не мог бы просто, как позавчера, пересоздать виртуалку, когда старая сдохла (не спрашивайте) и просто rsync'ом залить туда свой статический сайт.
И https стоит что-то для тех посетителей сайта, которые заходят со старых железок, и у которых он не открывается.
Нет. Лично для меня — минут через 20-30 в маске у меня снижается работоспособность, начинает болеть голова, и так далее. Даже в условной бандане (которая нихрена не фильтрует и не помогает).
А у условных детей маски ассоциируются со снижениями успехов в обучении и в социальных навыках (но это даже хорошо в среднесрочной перспективе — меньше мне конкуренции лет через 20-30, так что это я всецело поддерживаю).
mortadella372
> лет пять не получала апдейты
За сертфикаты сроком жизни в пару лет — отдельная сковородка в аду.
gecube
а сколько у них должен быть срок жизни, по-вашему?
mortadella372
бесконечный. Проблем от протухшего сертификата гораздо больше, чем от гипотетической смены владельца домена на злонамеренного.
gecube
Я аж поперхнулся от ваших слов. Дальше не продолжайте, пожалуйста
edo1h
а почему нет?
почему для условной метеостанции я не могу сделать вечный сертификат? ну окажется, что через 20 лет можно будет подобрать приватный ключ на калькуляторе, ну и ладно.
gecube
потому что вечным он by design быть не может. Вы можете попробовать выпустить на 99999 лет или на 100 лет. Но хорошая практика выпускать сертификаты максимально часто - в пределе на одну сессию )))) но это уже совсем клиника. Можно ограничиться сертификатами с ежедневным выпуском. Касательно браузеров - я уже встречался с ситуацией, что современные браузеры реджектят сайты с сертификатами, выпущенными более, чем на два года.
Ну, и несомненный вопрос - а каким таким браузером через 20 лет Вы будете на метеостанцию заходить? А если уж так приспичило - ну, сделайте себе faketime, переведите часы на 20 лет назад - сертификат внезапно вдруг станет действительным... Или думаете, что это знание тоже станет чем-то вроже потерянных свитков египтян?
randomsimplenumber
Домен протухает с вероятностью около 146% . Если проект заброшен, лучше пусть сначала протухает сертификат.
mortadella372
Сертификат у вебморды в железке.
randomsimplenumber
В железке и домена нет с вероятностью 148%. железка протухает вместе с activex/java .
mortadella372
> железке и домена нет
Да, это я сглупил
vikarti
Не бывает. Ну точнее работать с хромом и сафари — не будет.
Все хуже.
398 дней максимум.
https://thehackernews.com/2020/09/ssl-tls-certificate-validity-398.html
https://chromium.googlesource.com/chromium/src/+/HEAD/net/docs/certificate_lifetimes.md
mvv-rus
Если вы опасаетесь, что это сделает провайдер, то я не понимаю, почему вы доверяете провайдеру больше, чем владельцу сайта. Если это сделают преступники, то для таких дел есть полиция, и, в целом, она справляется.
Ну, и доступ по HTTPS никто, вроде, отменять не собирается.
Или можно ставить NoScript для своего браузера.
gecube
не понял пассажа, простите.
для того, чтобы полиция начала интересоваться преступниками - должен быть нанесен ущерб (1), он должен быть нанесен достаточному количеству пострадавших (2). Иначе дело даже никто рассматривать не будет.
никто обычно не делает и то, и то. Делают HTTPS, а HTTP оставляют только для редиректа. Если же делают HTTP, то большой вопрос к админам - будут ли они заморачиваться на HTTPS. Мое ощущение - скорее всего нет.
mvv-rus
Я в равной мере a priori (не) доверяю и провайдеру, и владельцу сайта. И не вижу никакой объективной причины, почему кому-то из них я должен a priori доверять больше или меньше.
Вероятность того, что я стану первым или, там, десятым пострадавшим от такогой редкой и не имеющей особых последствий атаки, как, к примеру, майнинг в браузере, я оцениваю крайне низко. Ну, к примеру, как что я стану жертвой ограбления в людном месте. Впрочем, эта оценка зависит от обстоятельств: одно дело, когда иду в соседний магазин, другое — когда несу по какой-то надобности котлету денег из банка. Принимаемые меры — соответственно.
А почему? Технически нет никаких причн убирать привязку к HTTP или настраивать редирект на HTTPS.
Я, в свое время — заморачивался: когда интернет в целом еще не был болен SSLитом, а на сайте фирмы был закрытый раздел «для партнеров», куда по чистому HTTP ходу не было.
khajiit
Осталось научить подключенные к интернету миллиарды отличать https от http, пользоваться NoScript и uBlock, не открывать подозрительные письма и вообще разбираться в безопасности.
<sarcasm>Очень простая и реалистичная задача, на час работы. Приступайте, завтра доложите о результатах.</sarcasm>
mvv-rus
Ваш сарказм неуместен. Потому что в этой борьбе есть ещё один участник — государство. Которое, в соответствии со своей задачей делать, чтобы жизнь не стала адом, пресекает преступления. Сейчас от обычного человека жизнь в нормальном современном государстве, в отличие от Дикого Запада, не требует владения огнестрельным оружием. Точно так же и в области кибербезопасности пресекать явные преступления — это, задача, прежде всего, государств. И они, по моим сведениям, на данном участке справляются: по крайней мере скандальных случаев внедрения скриптов на стороне провайдера в незащищенный канал с целью хищения я не припоминаю.
Ну, а что до рекламы, то тут многое зависит от самих пользователей. Если это станет серьезным раздражающим фактором для населения, то практика показывает что нынешнее государство на это реагирует (из недавних случаев: отмена централизованного внедрения QR-кодов, скандал с Башкирской содовой компнией и шиханами, отмена строительства храма в Ебурге).
ifap
И минимум дважды в этом обсуждении был упомянут реальный, а не умозрительный кейс, когда провайдер подмешивает в нешифровнаный трафик свою рекламу, но почему-то этот кейс настойчиво не замечают, снова и снова возвращаясь к несекретности данных на сайте с погодой.
mvv-rus
Какая разница для пользователя, кто подмешивает рекламу в контент сайта: провадер или сам владелец сайта?
Результат-то одинаков: реклама в браузере.
PS Вы, как мне показалось, там как-то ближе к регулированию интернетов законом. Скажите, а там нет никаких поползновений изадь закон, чтобы бить по рукам провайдерам, когда они это делают с госсайтами. Ведь, в таком случае, можно было бы информационные страницы с госсайтов отдавать по HTTP и не иметь нынешних проблем с сертификатами, про которые вы тут постоянно рассказываете.
Не, я понимаю, что с Госуслугами с их персональной информацией так делать нельзя. Но уж, к примеру, статистику-то по коронавирусу можно, наверное, в незашифрованном виде передавать?
ifap
Так закон "О связи" и подзаконные НПА это и так явно запрещают. Поймать сложно, доказать - еще сложнее, заставить контрольно-надзорные принять меры (а это вплоть до отзыва лицензии) - квест 99 уровня.
mvv-rus
Дык, IMHO вот этим и надо заниматься — ловить. Побуждать к этому государство.
PS Про методы побуждения государства и перспективы такового я, с вашего позволения, говорить не буду: это уже политика, а я политические дискуссии на Хабре традиционно не веду, предпочитаю для этого другие площадки.
Хабр я использую как специализированный чисто технический ресурс.
ifap
Дык надо, но лично не сталкивался и о реальном опыте ловли не слышал, слышал только: ой, вэй, доколе?
BugM
Реклама. Реклама везде. Вставка рекламы провайдером на http сайт это реальный массовый кейс.
Ну и общая лень и любовь к универсальным решениям. Никто не хочет разбираться что вот тут банк, тут биржа, тут сайт знакомств их защищаем. А тут статичные котики их не защищаем. Проще заставить всех один раз настроить https и забыть о проблемах.
0xd34df00d
Знаете высказывание, что если сделать систему, дружелюбную для идиотов, то только идиоты захотят ей пользоваться? Вот с обществом так же.
BugM
Нам не под силу изменить общество. Для этого надо было в политику или образование идти.
А вот сделать и продвинуть универсальные решения которые в среднем делают лучше всем мы можем. Принудительный https везде из разряда таких решений.
0xd34df00d
Это уже философский вопрос, и я не согласен, что такие решения — это хорошо.
khajiit
Это и не должно быть хорошо, если это — необходимо. Ползунок
Удобно(хорошо)<—>Безопасноили не работает или крутится для всех разом.Cerberuser
А с чего вдруг "удобно = хорошо", собственно?
khajiit
Потому что 0xd34df00d страдает от безопасности (ему не удобно), и хочет удобства (находящегося на противоположном конце шкалы).
0xd34df00d
Предлагаю вам маленький и немножко фрактальный эксперимент.
Вы пишете код? Если да, то пишете ли вы его по работе? В любом случае, если вы хоть немного кода пишете, забудьте питон, шелл, C++, go, или чем вы там пользуетесь, эти языки небезопасны. Даже раст забудьте, он тоже небезопасен. Пишите всё на всяких коках, агдах и идрисах, с полным формальным доказательством корректности, потому что только доказательство корректности — это как-то более-менее безопасно.
Пишете код по работе, и надо по работе наваять скрипт, который автоматизирует архивирование логов условного нжинкса на другой и который вы бы в норме писали на шелле (или взяли бы logrotate)? Не смейте! Возьмите кок, постройте формальную модель файловой системы, докажите, что у вас не будет рейскондишенов при переименовании файлов. Фрактальная часть эксперимента: сообщите начальнику, что срок написания скрипта — не час, как он может ожидать, а год и команда из двух PhD-студентов Университета Пенсильвании. Объясните ему, что не надо материться и вас увольнять, а он просто страдает от безопасности и хочет удобства.
Другая фрактальная часть эксперимента: выкиньте уже имеющиеся у вас инструменты, написанные на этих языках, и перепишите всё на коках-агдах-идрисах. А то ведь, как практика показывает, там небезопасно.
Подумайте, почему вы всего этого не делаете.
mvv-rus
Вообще-то и безопасность, и удобство можно (и IMHO нужно) оценивать в деньгах: размер убытков помноженная на вероятность их причинения (и, как следствие — выплачиваемая за их компенсацию страховая премия) против потери производительности или потребительских качеств (и, как следствие — цены) за неудобство.
И оценивать все надо в конкретных случаях. И, как я понимаю, мы тут, в принципе, все вместе занимаемся как раз такой оценкой для конкретного случая HTTP vs HTTPS.
gremlin244
Я не очень понимаю почему у вас все рассуждения идут с лейтмотивом «люди идиоты, кто-то умный должен за них решить как им будет безопасно». С чего вы вообще взяли что кто-то в принципе должен иметь такое право? Этот ползунок как раз не должен крутится для всех, он должен иметь рекомендательный характер. И если в этом случае он не работает, значит люди сочли для себя возможным пожертвовать толикой безопасности ради удобства. Если скажем проблемы от этого станут настолько массовыми что перевесят удобство, ползунок ДОБРОВОЛЬНО сдвинется вправо. Для этого не нужен некий мировой жандарм который решает за всех как можно делать, а как нельзя.
mvv-rus
Все правильно. Но есть нюанс: непрофессиональные участники рынка зачастую недооценивают риск, вызванный недостаточным уровнем безопасности.
Что с этим делать — не знаю, лично я — за просвещение с целью улучшения способности оценивать, благо само функционирование рынка этому весьма способствует (но пострадавших все равно жалко).
Cerberuser
В смысле, что только идиоты хотят пользоваться современным обществом?
0xd34df00d
Ну, пока ещё не всякое современное общество сделано для идиотов, но мы туда мчимся на всех парах.
mvv-rus
Иная простота хуже воровства. Например, было бы проще ввести одинаковый скоростной режим для автомобилей и во внутридворовых проездах, и на автомагистралях. Однако — разбираться пришлось.
BugM
Аналогия это как котенок с дверцей.
mvv-rus
В чем вы видите различия?
BugM
Я общего-то ничего не вижу. А вы про различия начинаете.
mvv-rus
Если не видите — подскажу.
Точно так же как котики и банк выглядят в целом похоже — это веб-сайты, которрые в браузере смотрят, автострада и внутридворовый проезд тоже выглядят в целом похоже — это полосы земли, покрытые асфальтом (или, иногда, бетоном), по которым ездят автомобили. И, одновременно, и там, и там есть нюанс.
Так понятно?
BugM
Я скорее про потенциальные траты и потенциальные плюсы.
У вас траты это жизни людей, деньги и время. Всех людей, даже не управляющих машинами. Преимущества вообще их не окупают.
В вопросе https везде все ровно наоборот. Траты это время администраторов давно заброшенных сайтов, деньги фирм для переделки внутренних сетей и поддержки старых устройств ну и страдания гиков с ардуинами. В обмен получаем получаем защищенность и приватность для всех. Вообще для всех, даже ничего не понимающих в этом. Обмен стоит того.
mvv-rus
И там, и там преимущества, и траты — это деньги (да, жизни людей — это тоже деньги, жизни, если смотреть с точки зрения общества, тоже имеют цену).
То есь в обоих случаях можно брать и считать эти деньги. И почти наверняка выяснится, что оптимален некий промежуточный вариант.
BugM
Я не зря использовал слово все. Всеобщность часто дает оптимальное решение в крайних точках.
mvv-rus
Я уже где-то назвал несколько недостатков всеобщего шифрования: вычислительные затраты, невозможность кэширования контента провайдером. Так что — надо считать.
Ну а если учесть, что большинству потребителей технологии HTTPS реально требуется не шифрование, а проверка неизменности контента (для которой перечисленные недостатки сильно смягчены), то оптимальное решение тем более оказывается неочевидным.
gecube
не проблема
выше уже сказали - нехрен вообще кэшировать провайдеру ничего. Сколько говна я поел из-за того, что криво настроенный сквид отдавал протухшие данные. А для статики есть CDN. Кстати, Вас тезис ложен. У провайдеров вполне себе стоят акселераторы интернета от Гугла, которые позволяют ютубы отдавать конечным пользователям быстрее. И https не помеха.
mvv-rus
Ваше ничем не обоснованное мнение. А мне вот приходилось видеть весьма недешевую железку — аппаратный балансировщик нагрузки, помимо самой балансировки нагрузки разгружающий серверы от занятия шифрованием. Тогда как его аналог — программный балансировщик на ту же нагрузку, но без SSL offload — стоил по корпоративным меркам копейки и разворачивался на виртуалке с не сильно большими системными требованиями к хосту. Конкретно там, где я это видел, без HTTPS было нельзя — это было в банке. Но всеобщая HTTPSизация создает те же проблемы там, где без шифрования можно было бы и обойтись.
Это — не указание свыше, а всего лишь ваше недостаточно обоснованное мнение, не более того. Я принял его к сведению, но вы меня не убедили. А вот пользу от локального кэширования я наблюдал.
Я — тоже, только причина была несколько другая: написанная мышкой на ASP (тогда это было-стильно-модно-молодежно) самопальная CMS не отдавала адекватных заголовков Expires(если программировать мышкой — то так оно обычно и бывает), и пришлось что-то делать с этим уже на уровне IIS.
Есть. Но это — дополнительные деньги, отдаваемые на сторону, которые повышают цену рекламы на сайте со всем вытекающими. Плюс — дополнительные глобальные риски (у CDN тоже uptime не 100%). А кэширование у провайдера для владельца сайта бесплатно и проблемы с ним — локальные, на доступность сайта для широкого круга клиентов почти не влияющие.
Недостаток у этих железок от Гугла один: они — от Гугла. И, к примеру, в РФ сейчас с ними есть некие проблемы. А ещё — они конкретно для YouTube. И не кэшируют контент какого-нибудь другого, альтернативного видеохостинга (вот, в РФ сейчас, к примеру, набирается популярность у RuTube, пусть, зачастую — и добровольно-принудительными мерами всех заинтересованных сторон, но набирается). То есть эти ускорители — инструмент монополизации рынка, которую общепринято считать нехорошим явлением.
RalphMirebs
А куда визуально вставлятся эта реклама? Если у меня страница без баннеров, чистый хтмл 4 + сss, то её могут прикрепить? Или плохие провайдеры умеют добавлять баннеры над /под всей страницей, по сути завораживая страницы сайта во внешние обертки, часть из которых баннеров, а другая часть содержимое html-ки?
amkartashov
браузер не обладает ИИ, чтобы понять, что за сайт перед ним. Поэтому надо помечать небезопасным.
0xd34df00d
Помечать, но не запрещать доступ.
amkartashov
только что открыл http://example.com/ в chrome и ff
vikarti
Как минимум опсос не сможет натыкать рекламы. И не сможет от имени сайта показать формочку для
вводаслива пароля от Facebook например.pewpew
То что http-трафик можно подменить незаметно — это ясно как день, но какой в этом прок, если ты запрашиваешь просто статический файл с раз в час формирующимся прогнозом погоды?
Вот к примеру я на ардуинке левой пяткой наколхозил себе мониторинг погоды и чтобы показывало для нескольких городов из списка + часики, я сильно рад, а данные беру из url-ки, к которой обращаюсь по http. Мне глубоко фиолетово, что и кто там отследит. А данные в xml / json со своей структурой и рекламу туда воткнуть никак не выйдет.
А если внезапно запретить http и заменить на обязательный https — всё у меня там навернётся.
Или например курсы валют с CBR — до сих пор можно забирать по http. Запретят — сколько сервисов навернётся…
dartraiden
Никакого. Но зато, благодаря стимулированию внедрения HTTPS, удастся заставить использовать HTTPS те ресурсы, которым он не повредит, но владельцы которых забивали на поддержку HTTPS.
Стопорить этот процесс ради какой-то погодной странички — слишком велика честь. Надо же, какой важный курица этот погодный сайт.
Реальный пример: у нас во двор дома каждый день ходят мочиться десятки людей, распивающих вечерами пиво в расположенном рядом сквере. На глазах коллег по распитию им мочиться зазорно, поэтому они обоссывают угол нашего дома. Аромат в жару стоит просто потрясающий. Чтобы бороться с этим, жильцы дома будут ставить забор. И вот представим, найдётся Вася, у которого обоняние атрофировано, которому забор мешает (это же надо сдавать деньги на установку забора, да и каждый раз при выходе из двора кнопочку нажимать, чтобы калитку открыть — лишнее движение). Все остальные должны нюхать ссанину, потому что Вася против?
mvv-rus
Вот вы, насколько я помню, сторонник личной свободы и личной инициативы.
В таком случае скажите мне, а почему за меня кто-то там имеет право решать, что мне лучше не использовать HTTP, если ни я, ни владелец сайта не против?
Я вот как-то против всяких попыток из благих побуждений стимулировать то, что имеет сомнительную пользу, методами того русского из анекдота про то, как простимулировать кошку жрать горчицу: благими побуждениями, говорят, дорога в ад вымощена.
gecube
не используйте [эти сайты]. Или Вы сторонник того, что на автозаправках должно быть топливо отличное от 95/98/и евродизеля? Или может быть сторонник ненужности личной гигиены (не мыть руки перед едой, после туалета? Не пользоваться презервативами и пр.)?
0xd34df00d
Кстати, не мою руки перед едой, полёт уже 30+ лет нормальный. Благодарен, что нет закона, обязывающего меня это делать.
При этом протираю клавиатуру очистителем где-то минимум раз в день (не потому, что бактерии или что-то, а потому, что выделения из кожи делают её неприятной на ощупь). Агитировать за соответствующий закон мыслей нет.
khajiit
То есть, хреново, но моете. Если, конечно, процедура не производится в перчатках.
0xd34df00d
Перед едой, в обычном смысле — нет. Ну, в смысле «в окрестности нескольких минут до принятия еды и прямо причинно связанно с потреблением еды». Так-то, конечно, для любого момента X потребления еды существует момент Y мытья рук такой, что Y < X (возможно, «с утра» или «вчера»), но обычно под мытьём рук перед едой имеется в виду не это.
mvv-rus
Я — сторонник того, что все риски я оцениваю сам, сам принимаю решение и сам отвечаю за последствия. Вариант, когда это (но обычно «почему-то»- только первые два пункта) делают без меня и за меня, я не люблю. Если чо, я прожил хороший такой кусок жизни в СССР, где такой вариант был распространен, так что мой выбор — это результат ещё советского воспитания.
Например, что касается лчиной гигиены, то я свободно пью у себя дома некипяченую воду из под крана, но делать это где-нибудь в поселке в Астраханской области, где можно таким путем получить не только ПТИ, но что-нибудь посерьезнее, вплоть до холеры, не буду.
Аналгично насчет мытья рук: одно дело — после моего любимого сортира у себя дома — размывать особо не надо, а если спешишь сильно — можно и пропустить, совсем другое — после «туалета типа сортир» где-нибудь на вокзале, там желательно мыть так, как врачи в кино моют.
Тут уже решаю не я, а производитель двигателя: на какое минимальное ОЧ он рассчитал свой весьма сложный, весьма нагруженный и весьма теплонапряженный агрегат. Я могу лишь выбрать марку автомобиля и двигателя. Ну, или доработку двигателя — в СССР, например была распространена установка прокладок под блок головок, чтобы Жигуль на 76-м бензине мог ездить.
amkartashov
вы знаете разницу между HTTPS и HTTP, а среднестатический пользователь нет.
Браузер не умеет оценивать знания пользователя, а ещё он не понимает, это сайт погоды, сайт банка или фишинговая страница со слизанным дизайном банка, с тем же доменом + без протокола в адресной строке.
mvv-rus
Ваша идея обязательно показывать предупреждение о небезопасном подключении мне нравится. Хотя лично мне обычно хватает и замочка.
Ну, а пользователь дожен хоть немного обучиться, чтобы пользоваться Интернет-банком. Например, как он обучился дверь запирать, даже когда на пять минут выходит из дома (в деревнях наши предки это часто не делали) Или — заблокировать интернет-банк.
Я, вот, считаю, что я обучился недостаточно. Потому — заблокировал.
Вообще «В наше время верить нельзя никому. Порой — даже себе.»(с). Вы вот описния случаев чисто телефонного мошенничества с переводом средств «на безопасный счет» читали? Если нет, то зря: поучительно.
amkartashov
в том то и дело, что пользователь может уметь пользоваться интернет банком, но не сможет отличить фишинговую страницу с HTTP от оригинала с HTTPS.
Да и вы не сможете, если, допустим, почистили кэш браузера (или не был изначально включен HSTS) и начали использовать WiFi/VPN контролируемый злоумышленником: картинки попиксельно совпадать будут, потому что браузеры не показывают протокол в url.
то есть это не попасться на социальную инженерию, а технический взлом.
mvv-rus
Не знаю, как на телефонах, а на ПК или планшете под Windows (у меня — такой) браузер показывает, защищенное ли это соединение. Тем самым замочком.
amkartashov
так в том то и дело, что если б он на http не ругался, вы бы не поняли, что это соединение - небезопасное.
mvv-rus
Я там немного поправил, для ясности.
PS Если чо, я могу и цепочку доверия сертификата проверить: я этому обучен.
amkartashov
ещё раз, нет никакой цепочки. Есть фишинговый сайт с HTTP. Да, у него не будет замочка. Но вероятность незаметить отсутствие замочка или забыть проверить наличие замочка больше чем вероятность незаметить Not Secure и тем более проигнорировать "А вы точно хотите открыть этот небезопасный сайт?"
mvv-rus
В чем вы хотите меня убедить? Я же вам написал, что ваша идея оповещать пользователя, что подкючение не защищено, мне нравится.
А то, что лично мне этого не требуется — это мои личные трудности: будет оповещать — хуже не станет, не будет — и так справлюсь
amkartashov
ок. меня просто сбило с толку "хотя" после "нравится" :)
Ndochp
Я на 92 езжу. А 98 нафига?
gecube
если ты решился на то, что твой бизнес зависит от погоды (планирование закупок, еще что-нибудь серьезное), то сломанный прогноз может вынудить тебя произвести какие-то действия (или наоборот - ты их не сделаешь), что в дальнейшем приведет к убыткам для твоего бизнеса (мало ли тебя конкурент заказал), либо к расширению хакерской атаки. Например, эти статические данные на самом были не такие статические и вызвали переполнение буфера в браузере пользователя - дальше RCE и поехали (фантастика, да, но лучше перестраховаться)
о! отличный пример! Если эти данные используются в процессе принятия решений.... то вы в беде
pewpew
Хм… Допустим даже если это так (разумеется, для подобного бизнеса потребуются более надёжные источники данных), вы можете представить столь странную атаку, как подстановка заведомо неверных данных путём подмены трафика? Если бизнесу можно навредить таким способом, то явно можно сделать что-нибудь и поинтереснее. Учитывая, что есть доступ к каналу связи (а для подмены трафика он просто обязан быть).
gecube
не исключено. Но мы же понимаем, что может быть бизнес может использовать самые защищенные системы - WAF'ы, файрволлы, наладить процессы. А сломается из-за какой-то тупости - вроде того, что разработчики забыли, что нельзя ничего передавать или получать по недоверенным каналам связи.
достаточно этот доступ иметь не со стороны клиента - а в любом месте тракта МЕЖДУ сайтом и клиентом.
mvv-rus
ОК, давайте для таких случаев оставим возможность получать информацию по HTTPS — для тех немногих случаев, когда надежность источника действительно имеет значение. Ну и, заодно — для параноиков.
В большенстве же случаев сам по себе прогноз погоды недостаточно надежен, чтобы опасаться ещё и его искажения злоумышленником.
PS К новостным сайтам это тоже в полной мере относится: уровень достоверности их сообщений обычно и так крайне низок, чтобы искажение в процессе передачи что либо дополнительно испортило.
gecube
с точки зрения содержимого информации - да. Но с точки зрения других побочных вещей - вроде внедрения дополнительных нежелательных скриптов в МОЙ браузер - это вообще зашквар. Я прекрасно понимаю, что эти самые новостные сайты и так уже напичканы трекерами действий пользователя по самые гланды, но зачем это еще и усиливать?
mvv-rus
Да потому что ничего особо более вредного туда не внедрят.
PS А вообще-то я тут немного параноик: я хожу в интернет с отдельной виртуалки, изолированной брандмауэром от локальной сети. Так что пусть внедряют: уж аномальную-то активность я увижу. Например, когда у меня тихо и внезапно сдох кулер на процессоре, и он свалился в тротлинг, я это увидел.
0xd34df00d
Если от прогноза погоды зависит мой бизнес, то я буду агрегировать данные с нескольких источников прогнозов, получать их по нескольким разным каналам (вдруг один упадёт?), и так далее.
BugM
Не будете. На практике выбирается один поставщик которому вы платите деньги за прогноз для ваших точек. Иногда этот поставщик даже несёт финансовую отвественность за неверный прогноз. Аэропорты примерно так прогнозы получают.
0xd34df00d
Наверное, это что-то погодно-специфичное. Когда я работал в месте, где для успеха бизнеса были нужны финансовые данные, там и несколько источников было, и верификация контрольных сумм по независимым каналам (к слову, несмотря на https и scp — просто чтобы удостовериться, что файл докачался до конца, етц).
uranik
Эту мутню можно отдать на аутсорс и забирать оттуда готовые данные уже из одного места.
amkartashov
http надо запрещать или помечать небезопасным, чтобы пользователь понимал, что на этом сайте нельзя оставлять свои данные.
michael_v89
Ну как это не выйдет.
{"weather": "+12, сильная облачность. Зонтики со скидкой, телефон ..."}Web делается не для ардуинок, а для пользователей, которые пользуются им через браузер. Если решили использовать Web не по назначению, то не надо удивляться, что получилось неудобно.
Norgorn
А я знаю правильный ответ! Потому что разные люди делают разные части, и тот, кто настраивал https мог вообще не знать, какие там ходят данные, потому что к коду приложения (или чего ещё) не имеет никакого отношения.
И, вероятно, это лучше, чем наоборот - не настроить https для важных данных.
KarhuBo
Едва ли разработчики браузера будут заморачиваться и определять содержимое JSON-файла и определять секретность данных в нём.
Dinxor Автор
Вполне достаточной, но только с перенаправлением трафика как мне кажется мимо - если злоумышленник создал свою версию сайта и смог вас на неё перенаправить, скорее всего и сертификат у него тоже будет.
WraithOW
Нет, перенаправление тут именно в цель. Отправляем пользователя на свою страничку «Чтобы пользоваться сервисом войдите через fb/vk/google», оттуда — обратно на реальный сайт. Собранные данные — используем сами или продаем.
amkartashov
я создал копию online.sberbank.ru на своём серваке и через WiFi отдал вам DNS server, который для этого hostname даст вам IP моего сервака. Осталась одна деталь.
Не подскажете, где я могу на online.sberbank.ru взять сертификат, чтоб ваш Chrome не орал, что этот сертификат не подписан ни одним известным ему CA?
Эх, жаль браузеры помечают http небезопасным, а то б я тупо отдавал HTTP а вы бы даже и не заметили - кто ж на протол сильно смотрит, особенно когда его выкосили из адресной строки?
Dolios
Опсосы недавно взяли моду в чужие http сайты свою рекламу встраивать. Вы даже не будете знать, что ваш сайт кому-то рекламу показывает. А кроме рекламы можно и трекеров понавешать...
mvv-rus
Правильно, владельцу сайта, зарабтывающему рекламой на нем, HTTPS нужен. Точнее, ему нужна всего лишь цифровая подпись отдаваемого контента, но с этим, увы, в реальном Интернете туго.
michael_v89
Как вы представляете цифровую подпись контента без шифрования?
randomsimplenumber
Одно от другого не зависит. Никто не мешает подписывать нешифрованные данные.
Pinkbyte
В IPSEC даже режим специальный есть - называется AH. И там(в отличие от ESP) контент как раз не шифруется, а именно подписывается.
mvv-rus
Прошу прощения за ошибочный минус, мышкой не туда щелкнул.
Надеюсь, плюс в карму искупит мою ошибку.
michael_v89
АУТЕНТИФИКАЦИОННЫЙ ЗАГОЛОВОК (AH)
Поле "Данные аутентификации" содержат значение контроля целостности, рассчитанное по всем данным, которые не изменяются в пути следования пакета или предсказуемы на момент достижения им получателя. Значение ICV рассчитывается в зависимости от алгоритма, определенного в SA, например код аутентификации сообщения с ключом симметричного или асимметричного алгоритма или хэшфункции.
Хэш-функция это конечно не совсем шифрование, но тут мне не очень понятно, как предотвращается вариант, что хакер поменял данные и сам посчитал хеш-функцию. Ведь предполагается, что получатель как-то будет ее вычислять для сравнения, значит алгоритм известен. Методы с приватным/публичным ключом как раз и придуманы для предотвращения такой ситуации, а это опять же шифрование.
mvv-rus
Алгоритм подсчета криптографического хэша обычно включает использование криптографического ключа (секретного, согласованного при создании SA или закрытого, если секретный ключ не согласуется), которого у хакера быть не должно.
michael_v89
Ну тогда это то же самое, что и HTTPS. Сами данные может и не шифруются, но это все равно предполагает, что на обоих сторонах соединения есть программный код, работающий с ключами шифрования, который проверяет корректность некоторых переданных данных. Разница только в их объеме. И браузеры все равно бы показывали предупреждение для тех сайтов, где такое подписывание данных отсутствует.
mvv-rus
Это — как раз не то же самое. Существеннаяя разница -она в том, что данные не шифруются, а потому, во-первых, передаваемая информация может быть прочитана посредником, а, во-вторых, сам процесс передачи требует существенно меньше вычислений: вычисление хэша от комбинации текста и секретного ключа против шифрования всего текста.
iig
Несущественно. Вычисление криптографических хешей - тяжелая операция. А AES многие процессоры уже умеют.
mvv-rus
Вы зря оцениваете чисто по текущему моменту.
Чисто по алгоритму AES и ему подобое шифрование — более тяжелая операция. А аппаратное ускорение криптографического хеширования будет точно так же реализовано в массовой продукции при достаточной его востребованности.
BugM
AES уже реализовано во всем массовом и уже не является тяжелым. Вы же про будет, если и тому подобное. Все уже сделано.
Менять работающую хорошую технологию на другую есть смысл только если у второй есть какие-то преимущества. Пока вы таких не перечислили.
mvv-rus
Вам тоже скажу: зря вы оцениваете чисто по текущему моменту: моменты меняются, и я, например, хорошо помню времена, когда AES вообще просто не было, не говоря уж об ускорении. Потом все появилось.
PS Path dependence — она конечно есть в природе, но стоимость смены пути в данном случае сильно меньше, чем в реальном мире (например, стоимость смены ж/д колеи). Тем более, что криптография — это такое дело, в котором используемые алгоритмы вынуждены меняться, хотя бы количественно, по длине ключа: требования к криптостойкости неизбежно растут с ростом скорости вычислений, а потому всякие аппаратные ускорения тоже неизбежно будут меняться или добавляться.
BugM
Как сменится так и приходите. Пока у AES запас выглядит достаточным для любого реального использования на годы вперед.
Зачем его менять на что-то другое непонятно. Вы тоже так и не написали зачем надо переделывать все от процов до браузеров и стандартов. Тратить кучу денег и времени чтобы что?
mvv-rus
Меняться оно будет все равно. И куча времени и денег все равно будет потрачена. А по поводу «чтобы что» мы, вроде как, уже дошли до конца дискуссии.
BugM
Так как будут реальные причины для смены так и приходите. Зачем пытаться решать проблему которой нет? Никто не знает как, когда и почему AES может стать плохим. И соответственно никто не знает как после этого сделать снова хорошо.
Чтобы что вы так и не ответили. Лазить в чужой трафик нельзя. Забудьте. Ушли те времена. Любой новый стандарт приватность понижать не будет. Только повышать.
mvv-rus
Боюсь, что в реальности они только приходят. Причем — не только в России. Например, в разных странах идет борьба со сквозным шифрованием в мессенджерах без возможности доступа к передаваемой информации спецслужб.
BugM
Не приходят. Их борьба это их борьба. Там больше идет борьба чтобы мессенджеры хоть как-то сотрудничали с государством. Это реально и вероятно будет делаться. Метаданные и тому подобное будет передаваться.
Провайдеры аналогично. Метаданные без проблем. Вот этот юзер пересылал байтики во на эти адреса. Вот табличка.
Данные не отдаст никто вероятно никогда. Мир достаточно развит чтобы послать всех кто хочет в чужом белье копаться.
mvv-rus
Ваша вера заслуживает уважения — но это всего лишь вера. Более того, мне бы тоже хотелось в это верить, ибо шестое чувство советского человека — чувство глубокого удовлетворения от деятельности государства — мне ещё более не свойственно иназад в СССР я не хочу, совсем. Но, увы, верить в это у меня не получается. Впрочем, это — опять не технический вопрос.
randomsimplenumber
Модульную арифметику над длинными числами вряд ли получится разизобрести обратно.
mvv-rus
Проблема тут в том, что вопрос этот — не технический. Например, ещё в древнем, ныне давно заброшенном корпоративном брандмауэре MS TMG можно было настроить принудительную инспекцию трафика из корпоративной локалки используя MITM — через сертификаты, выдаваемые этим самым брандмауэром, которым браузеры в локалке доверяли, потому что нужный корневой сертификат на них был установлен в доверенные. И если чисто технически, то ничто не мешает внедрить такую вот принудительную инспекцию во всем государсве. Помешать государству тут могут только вещи нетехнические — например, выражение воли народа тем средством, которое рождает власть. ;-)
PS А ещё может получиться изобрести секретную теорему алгебры (кстати, ходили такие легенды в начале 90-х про КГБ, вместе с легендами про красную ртуть). Или — квантовый компьютер.
iig
Да.
Нужно всего лишь разработать протокол HTTPDS (вместо шифрования - цифровые подписи), выпустить серверы и браузеры с его поддержкой и подождать, пока производители оборудования наклепают аппаратных ускорителей. Чтобы что? Чтобы ББ было удобнее заглядывать через плечо, чего вы там читаете в википедии?
mvv-rus
Нет. Чтобы снизить требования к вычислительной мощности устройств и чтобы облегчить локальное кэширование данных: про все это я уже писал.
BugM
Быстрее AES уже просто некуда. Там сумасшедшие скорости. Все максимально оптимизировано начиная от проца. Заметно быстрее вы не сделаете.
Локальное кеширование работает. Посмотрите в консоль браузера. 304 там регулярно бывает. А всем сидящем на трубе нефиг смотреть что там передается. Не их ума это дело. Тут есть мировой консенсус. Вы его не измените.
mvv-rus
Впрочем, эту тему мы уже обсудили до конца.
Но я хотя бы попробую. Потому что этот консенсус не выглядит разумным. А то, что он существует — так это ещё Гегель в своей диалектике писал, что не все существующее есть действительное, а потому кое-что из этого сущетсвующего меняется. Но это уже философия, а философию на Хабре я тоже обсуждать не хочу.
И предсказывать, будет ли в реальности использоваться версия защиты информации на канале передачи данных для протокола HTTP без шифрования, но с подписью, не возьмусь.
Ну и с практической же точки зрения для проживающих в России еще важно, существует ли массовое аппартное укорение для ГОСТ.
BugM
Это не про лично вам. Это про провайдеров всех уровней. Начиная от владельца ВайФай точки в кафешке и заканчивая тир1 провайдерами. Им нефиг лазить в трафик. То что вы лично тоже не сможете это допустимое ограничение. На него мир пойдет.
Я возьмусь. Нет, не будет.
Это понижает приватность и не дает никаких преимуществ ни пользователю ни распространителю контента. Такие стандарты не имеют шанса даже до драфта RFC добраться.
Нет, не важно. Нет, не существует в массовом железе.
Сама необходимость внедрения в массы ГОСТ шифрования находится под вопросом. Плюсов не видно, минусов полно, стоит дорого, работает хуже, совместимость никакая. И зачем? Чтобы что?
Поэтому ничего и не делается. Никто не видит зачем оно нужно.
mvv-rus
Это тольку в условиях сохранения единой технологической зоны. А это не гарантировано: по моим (и не только моим) оценкам сейчас человечество в реальности стоит на развилке: сохранение этой единой зоны или распсад ее на несколько независимых (но это — не вопрос для обсуждения на Хабре, потому что не технический). И вот, во втором варианте это будет, очевидно, нужно.
PS По всемм остальным вашим рассуждениям рациональная дискуссия упираются в ваш ценностный выбор. Который вам почему-то кажется единственно верным — но, на самом деле, ему существуют альтернативы, причем логически обосновать выбор из этих альтернатив невозможно (если чо, это не мой вывод, а из немецкой классической философии).
BugM
Давайте я вас продолжу расстраивать.
Нет, мир не развалится на части. Нет, не будет изолированных значимых частей. Нет, особые технологии не нужны и их тоже не будет.
Глобализация в виде RFC, общих технологий, алгоритмов, кода и совместимости всего со всем даёт очень много плюсов и ни одного минуса. Никто никуда не выйдет из этого.
У вас в корне неверные представления как все работает. Лучше пока не поздно обратить внимание на то как реальный мир устроен. И разобраться почему сделано так, а не иначе. Неглупые люди делали.
mvv-rus
Все вообще обсуждать не хочу, приведу лишь базовое, на мой взгляд, обстоятельство из области общественного бытия (которое определяет ощественное сознание), почему рисуемая вами картина мира неадекватна:
Это — неверное утверждение. Удлиннение производственных цепочек за счет возрастающей специализации при глобализации приводит к увеличению рисков при сбое в каком-либо месте цепочки. То есть, глобализованная экономическая система оказывается весьма хрупкой. И, например, история с ковидом это наглядно продемонстрировала: даже вначале, когда ковид был локальной китайской проблемой, рынки уже почувствовали себя плохо, ну, а последующая пандемия — по сравнению с предыдущими весьма мягкая — вообще привела к серьезному расстройству мировой экономики. Складывается впечатление, что имеющиеся сейчас у человечества возможности по контролю за рисками недостаточны для надежного управления глобализованной экономикой.
Я в реальности уделяю немало сил, чтобы понимать, как устроен реальный мир. Кое-какие из моих наблюений, из числа неожданных, вы имели возможность видеть в ответах вам. И, в целом, получающийся из моих наблюдений результат оказывается плохо совместимым с благостной картиной т.н. «конца истории». Но это — не технический вопрос, а потому обсуждению на Хабре он, по моему мнению, не подлежит.
PS И вы меня не расстроили. Все, что вы написали, я, в том или ином варинате, видел неоднократно. А также — хорошо знаком с возражениями против вашей картины мира. Но все это — не технические вопросы, не те, которые я считаю подходящими для обсуждения на Хабре. Так что пусть они останутся без рассмотрения в рамках дискуссии.
BugM
RFC и стандарты это достаточно технические вопросы. Не про какие-то цепочки или что-то там. Именно про RFC, стандартные алгоритмы и стандартный код. IT чистое.
В мире есть стандарты и все. Есть некоторые застрявшие на более старых стандартах. Все развитие идет только от мирового уровня стандартов и софта. Развивать что-то застрявшим в прошлом нет никакого смыла, проще перейти на более новую мировую версию. Она точно лучше, чем все что они смогут придумать и сделать.
Есть люди которые могут делать стандарты и софт на мировом уровне. Так они это и делают. Кликхаус. Наши ребята, гордимся. И они ушли на мировой рынок, потому что иначе это не имеет смысла. Мир хорошо их принял и использует. Повысив общий уровень мировых технологий.
Дальше будет ровно так же. Любая крутая штука спокойно встроится в мировую систему и будет всеми использоваться. Так специально сделано. Максимальная гибкость и открытость.
А если кто-то не хочет или не может использовать лучшие мировые технологии, то они будут обречены сидеть на устаревших технологиях. Без возможности даже самыми лучшими ребятами сделать что-то крутое. Просто общего уровня не хватит.
mvv-rus
Нет. Стандарты делает стандартами только их принятие субъектами рынка. А это уже — не чисто технический вопрос. Он имеет много нетехнических аспектов.
PS То, что существование «мировой системы» просто-напросто не гарантировано, я уже писал выше. Поэтому, пожалуйста, не надо ссылаться на нее как на основной аргумент.
BugM
Простите, а куда мировое IT делось? Вы пишите со стандартного браузера, по стандартному https, на стандартном сайте со стандартным шифрованием.
Я даже больше скажу. Ничего друго просто не существует. Вообще в мире. Браузер или стандартный или его нет. Шифрование или стандартное или не работает. Сеть или стандартная или ее нет. И так все в IT.
Я больше скажу. Сделать тоже самое, но другое невозможно. И не имеет смысла. Значит это делать никто не будет. Люди способные создать такое понимают бессмысленность этого действия.
iig
Изобретатели дюймовой резьбы (ЭВМ Сетунь, языка GO.., системы SECAM) выронили монокль ;)
BugM
Я вижу прям очередь желающих написать свой браузер, свой аналог https и http, может быть даже tcp переписать стоит?, свое шифрование.
Я вижу аналоги всего Интернета сделанные на другом стеке, злобные капиталисты их просто не пускают.
Может хотя бы начнем с того что всем миром нормального конкурента Хрому сделаем? Одно очень полезное и важное дело. Не замахиваясь ни на что больше.
iig
Гипертекстовый Векторный Фидонет :D
mvv-rus
Да никуда оно особо не делось. Просто оно — не мировое, а совокупность организаций, к тому же ещё каждая — в соей юрисдикции.
А вот тут вам пара примеров по жизни.
По совершенно замечательны и совершенно стандартный протокол IPv6. Первый — мой предыдущий основной, ныне резервный провайдер (у которого крысы кабель сгрызли) — хороший провайдер, но только IPv6 у него в сети нет. Наверное — потому что работает он давно и старое оборудование вовсю использует. И мне IPv6 не нужно — хотя бы по причине того, что NAT в IPv4 дает гарантию, что ко мне на устройства во внутренней сети из интернета никто просто так не подключится. С дополнительной блокировкой доступа во внутреннюю сеть для виртуалки, с которой я браузер использую, это — хорошая гарантия без гемора.
ВТорой аналогичный случай — некий банк, в котором я 4 года назад работал: IPv6 у них там тоже не было, даже в плане: много старого оборудования. А с учетом перспектив развития банка — продажа и использование имени чисто как брэнда — и смысла обновлять оборудование не было.
Вот с криптографией как раз есть нюанс. Возьмем, к примеру алгоритмы ассиметричного шифрования на элиптических кривых. Там в качестве стандартных параметров используются некие константы, рекомендованые NSA. А вот почему они рекомендованы — сие мне неизвестно: то ли они дают особо хорошую криптостойкость, то ли, наоборот, для них у NSA бэкдор для понижения стойкости ко взлому есть. Лично мне это пофиг, мне от NSA скрывать нечего, но вот госорганы стран — например, разных — это не может не напрягать.
Возможно. Но часто экономически не оправдано. Но в дело могут встпить и внеэконеомические соображения — как с криптографией. Или — даже вполне себе экономические: не платить патентные отчисления.
BugM
Их совокупность и является мировым IT. Все кто реально работает и развивает. Опенсорс и стандарты тоже делаются в основном на деньги корпораций. Не вижу в этом ничего плохого.
И? Про проблему ipv6 все в курсе. Зачем менять, если и так работает в полный рост. О чем я вам и говорю. Тут даже более хороший стандарт внедрить не выходит, потому что и старый работает.
Она наконец-то начала решаться. ipv6 only сервисы делать еще рано. А поднимать оба стека на всех сервисах уже пора.
https://www.google.com/intl/en/ipv6/statistics.html
Вы это серьезно? Уже теории заговора пошли в ход?
Вы можете у себя везде перейти на Ed448 кривая для которого была сделана другими математиками. Если есть какая-то предвзятость. Никаких проблем. Стандарт разрешает.
Почитать можно тут https://crypto.stackexchange.com/questions/67457/elliptic-curve-ed25519-vs-ed448-differences И там же написать если считаете что-то небезопасным. Там разбирающиеся люди, не то что я.
Вы о чем? Какие патенты? Все открытое и бесплатное. Стандарты бери, читай и пиши по ним код. Море кода под лицензиями которые позволяют делать с ним все. Вообще все. Хорошего, проверенного всем миром кода.
Как оно с криптографией вышло мы прекрасно видим. Оно уверенно и стабильно никому не нужно и в дикой природе не встречается. Меня такой результат устраивает. Ненужное умирает само.
Все остальное еще лучше. Даже в лаборатории не существует. Это просто идеальный результат. 0 траты ресурсов на ненужные штуки.
Я уверен что индустрия позаботится чтобы оно все ровно так же стабильно мертво оставалось. Это в интересах этой индустрии.
mvv-rus
Замечательно! Из-за спин некоего аморфного и благородного «сообщества IT» наконец-то показываются реальные бенефициары всего этого блудняка — корпорации, которые деньги сначала дают, а потом хотят вернуть в кратном размере.
Вполне серьезно. А в теории заговра спецслужб я после разоблачений Сноудена вполне верю — тем более, когда предмет оказывается непосредственно в области их задач. Но, впрочем, сецслужбы тут — не самая интересная часть существующего блудняка.
Ой ли? Я тут для примера лучше вспомню старое, общеизвестное: помните такой формат изображений для интернетов — GIF, да? Если чо, он и сегодня не устарел. А уж 20 лет назад использовался вовсю. Только вот формат сжатия в нем тогда в нем был запатентован. Правда срок патента истек уже в 2003 году, но формат широко использовался и до того.
Я правильно понимаю, что слово «индустрия» в данном контексте следует читать как «копорации»? А то иначе смысл высказывания ускользает.
PS Корпорации я люблю ещё меньше, чем государство. Ибо государство подобно скотоводу: оно стадо выпасает и о нем по-свему заботится — не из благотворительности, а чисто потому что без стада ему кушать нечего будет. А корпорации подобны тут стае волков — ухватили, что смогли, а дальше — не их проблемы.
BugM
А кто их делать должен?
Есть консенсус что государства и чиновников подпускать нельзя. Достаточного числа бедных, голодных и гениальных художников в IT нет. И кто остается? Корпорации это совсем неплохой вариант. Особенно когда объединяются для согласования. Когда одна сама делает это уже не очень хорошо. Хром становится проблемой.
Назовем это IT сообществом и успокоимся. Вы тоже можете поучаствовать, если размера мозга хватает. Там легко берут.
Поновее совсем ничего не нашлось? В давние времена много всякого было. Пока не выработали правила как правильно делать.
С таким подходом и IT делать нечего. Тут корпоративный мир. В крайнем случае независимые художники. И принято все доказывать и обосновывать. Перед очень придирчивыми людьми.
Ваш господход не имеет не единого шанса. Вам отправят GR отдел из директоров в костюмах. Они будут проводить долгие совещания, много говорить, писать длинные письма и отчеты. И делать все чтобы государство не влияло на стандарты и технологии. Вот это они делать будут очень эффективно. Большой успешный опыт есть.
mvv-rus
Что ж, балгодарю вас, что вы прямо и без обиняков озвучили свою позицию. Считаю, что и на эту тему дискуссию следует окончить: это вопросы уже не технические, это — та самая политика, которую я обсуждать на Хабре не хочу. Разве что, кого-то ещё эта дискуссия заинтересует — но это вряд ли.
Благодарю вас. Но я уж как-нибудь сам по себе, подальше от этого жабогадюнкинга между корпорациями и государствами.
randomsimplenumber
Почему же. Футурология это такой вот способ экстраполяции ;) Сможете обосновать свое видение распада на отдельные изолированные зоны? В смысле зачем это нужно и кому?
iig
Нужно сначала наклепать много-много новых устройств, несовместимых со старыми. Хитрый план ;)
В местах, где с интернетом плохо, это может быть востребовано. Хотя это не точно. Вместо быстрых линий связи строить датацентры для проксирования - какой-то странный прогресс получается.
mvv-rus
Называется он «преодоление зависимости от пути». И иногда кое-где этим занимались. Например, перешивали ж/д колею на другой стандарт.
И про несовместимость тут речь не идет, скорее, просто будет добавлен новый блок ускорителя, старый же никуда не денется: при нынешней тенденции роста числа элементов в кристалле этого совсем не требуется.
Такое вполне может быть. Например, из-за того, что старые линии менять не выгодно — не успели окупиться. AFAIK в США, где развитая инфраструктура на технологиях прндыущих поколений была построена давно, такое бывает регулярно.
randomsimplenumber
Ошибаетесь. Или путаете с подписью.
mvv-rus
Никоим образом. Например, на практике для генерации AH часто используется та или иная модификация HMAC, в котором хэш берется от сцепки текста и некоего небольшого блока байт, который создается с использованием секретного ключа (и так два раза).
PS Возможно, вас смутила терминология.
edo1h
да
нет.
мы можем подписать открытое сообщение приватным ключом, при этом каждый, знающий публичный ключ, сможет проверить нашу подпись. злоумышленник же, не имеющий приватного ключа, не может подписать изменённое сообщение.
michael_v89
"подписать сообщение приватным ключом" это шифрование. Даже если вы делаете его не для всех данных, а для какой-то небольшой части.
andreymal
Шифрование - это по определению сокрытие информации от посторонних. Подпись же ничего ни от кого не скрывает
michael_v89
Скрывает то, что шифруется приватным ключом. Даже если это просто хеш от открытых данных.
DrPass
Подпись не скрывает то, что шифруется приватным ключом. Иначе как бы вы смогли проверить, валидна подпись или нет, если вы не будете видеть, какие именно данные были подписаны?
michael_v89
Я говорю о данных, к которым применяется приватный ключ. Результат отправляется на клиент, клиент применяет к нему публичный ключ, получает исходные данные, которые потом как-то использует для проверки. А данные, которые были таким образом подписаны, передаются отдельно в открытом виде, их видят все. Если в процессе вообще нет данных, которые скрываются, тогда и ключи не нужны.
Я может быть упускаю какие-то нюансы в силу незнания предметной области, можете предложить какой-то конкретный пример.
DrPass
В процессе вообще нет данных, которые скрываются :) Цифровая подпись используется не для сокрытия данных, а для контроля, что в данные не внесли изменений. Это примерно то же самое, что и хеш, с тем отличием, что хеш по документу может сгенерировать кто угодно, а ЭЦП лишь тот человек, у кого ключ есть.
michael_v89
Ок, опишите пожалуйста, каким образом производится контроль, что в данные не внесли изменений. Клиент получает данные в открытом виде, дополнительно к ним некий хеш, у него уже есть публичный ключ, а что дальше?
iig
Внутри подписи - хеш открытого текста + random salt. Всё это зашифровано приватным ключом. При проверке подпись расшифровывается публичным ключом, хеш-сумма пересчитывается. Если всё совпало - проверка пройдена. Если нет - либо данные поменялись, либо подпись. Где-то так.
michael_v89
Ну вот я и говорю, технически это шифрование. Скрывается тут хеш открытого текста, полученный на отправляющей стороне. То что рядом передаются данные, по которым можно его вычислить без публичного ключа, это уже особенность применения с целью разрешить только чтение.
mentin
Ещё майнеры встраивают.
Владельцу сайта при этом может и плевать, а как пользователь я стараюсь нттр избегать.
nckma
Мне кажется, проблема в том, что люди пользователи не осознают что опасно, а что неопасно. И то, что выглядит неопасным на самом деле внезапно может оказаться опасным. Поэтому, лучше сразу по умолчанию решить за недальновидного пользователя или недальновидного администратора сайта.
Пользователь постоянно посещает сайты и остается цифровой след. А следы (что смотрел, когда, почему) лучше не оставлять. Даже на ардуинке.
AlexanderS
Это всё легко и просто, когда прямой доступ в инет есть. А если у меня в локальной сети какой-нибудь служебный ресурс развёрнут — зачем вот эта вся морока, когда и так всё устраивает?
iig
Если это ваш собственный сайт, который вы развернули для себя, и никто кроме вас туда не ходит - вы можете с собой договориться использовать браузер из 2000-х. Или игнорировать предупреждение о несекюрности ;)
aMster1
А если это железка?
У меня имеется несколько разных железок, с просрачеными сертификатами, которые работу работают, новых версии ПО нет ( потому что железкам 10+ лет) а старыми версиями браузеров мне религия (и некоторые товарищи, которые совсем не товарищи) не позволяет пользоваться.
Да, сеть там технологическая, без всяких там интернетов.
gecube
правильный ответ - обновить.
ничего страшного.
ну, в этом случае народ выкручивается как может. Начиная от установки реверс-прокси перед этими железками, которая трафик перешифровывает. И кончая VDI - на которых стоят совместимые версии браузеров с нужными плагинами (если эти конченые железки требуют всякую срань типа activex). И доступ к железкам ограничен только с этих VDI
vadimk91
Вот, теперь я знаю, как называть длинковские маршрутизаторы, к примеру DES-1210. У нас подобных множество, и в конце прошлого года у всех отвалился Web интерфейс, теперь только телнетом, новых прошивок на них давно нет. Прощай красивые картинки, от них была польза (например в реальном времени можно было видеть, какие порты работают, какие глючат). Я правда так и не понял, зачем в браузерах совсем убили поддержку старых технологий, порушив кучу технологических применений.
gecube
ActiveX сдох, потому что это чисто мелкомягкая технология была. И слава богу. А еще небезопасная. Потому что позволяла с непонятных конченых железок устанавливать на компьютер непроверенный код. А уж конфликты версий этих самых плагинов... ох... А все потому что эти ребята не могли написать нормальный бекенд с HTML5 фронтом. Сейчас уже проблема не актуальна, потому что IE проиграл битву браузеров. Ну, и что бы я делал с ActiveX с MacOS, скажем, или андроида?
AlexanderS
Не катит браузер из 2000-ых, так как развёрнуто там современное облако Nextcloud.
Поэтому сначала игнорируем, потом усиленно игнорируем, потом включаем опцию в браузере чтобы иметь возможность игнорировать, потом… генерим самоподписной сертификат лет на 100 и начинаем опять игнорировать, но теперь уже игнорировать другое… ну и к чему все эти палки в колёса?
dartraiden
К тому, чтобы мой трафик не митмил кто попало (начиная от школьника Васи, врезавшегося в линию, продолжая моим собственным провайдером, и кончая товарищем майором) только лишь потому, что вам лень однократно сгенерировать сертификат на 200 лет.
Благодаря этим «палкам» HTTPS проник на ресурсы, где он совсем не лишний, но владельцы которых до этого не чесались его настроить.
AlexanderS
Внутренняя локалка — моя зона ответственности, а не разработчика браузера. Браузер должен интернет показывать в первую очередь. Безопасный он или нет — он его должен показывать, а не заглушки ставить. А то все РКН ругают, а тут так сразу про безопасность. Я ж не против того, чтобы предупреждения о безопасности выдавались. Я против того тренда, который рано или поздно привезёт к запретам и самоподписных сертификатов, потому что так видите ли «менеджеры по безопасности» решили.
gecube
самоподписанные никто никогда не запретит. Вы его только в доверенное хранилище добавьте, не забудьте. И все будет в порядке. И никаких предупреждений.
mvv-rus
В свое время наш VIP-эникейщик испытывал затруднения с установкой нашего корпоративного сертификата на iPhone начальства. Не знаю, как с этим сейчас, но хотелось бы, чтобы таких затруднений вообще не было.
AlexanderS
У меня какое-то приложение было, помню, которое коннектится к этому локальному облаку не желало по причине «SSL no valid». Не нравился ему самоподписанный сертификат. А вы говорите «никогда» — тут это просто тупо не предусмотрели) Хотя чего такого — если человек сам подписывает, то наверное всего скорее он точно знает что делает, подписать-то уметь всё же надо.
gecube
приложение (если это стороннее приложение) может реализовывать ssl pinning. Но тогда это проблемы совершенно другого порядка. Вообще же даже на iphone/android можно добавлять кастомные сертификаты в хранилище, чем успешно пользуются корпораты
AlexanderS
Вот про это я что-то в то время не подумал. Имея телефон с рутом-то… на худой конец сертификат вообще можно было попробовать системным сделать!)
gecube
ну, для этого надо определенную инфраструктуру поднимать (решения типа mdm тащить, которые могут это делать, либо официальные от apple/android). А рут сейчас не модно.
geher
Почему-то не уверен в этом.
gecube
затем, что есть ситуация с внутренним нарушителем.... а там в локальной сети пароли администратора от AD открытым текстом идут...
mvv-rus
Начнем с того, что пароли администратора там в открытом виде просто не хранятся.
PS Я в роли администратора предприятия с большим вниманием изучу рекомендации поставщика ПО, но хочу иметь возможность принимать решение сам: в конце концов, мне отвечать не только за безопасность (возможно, мистическую), но и за функциональность.
gecube
это не важно. Важно то, что я видел неоднократно ВНУТРЕННИЕ порталы, опубликованные по HTTP, с доменной авторизацией. Как Вы можете догадаться - оттуда угнать данные доступов как дважды два.
функциональность при переходе на HTTPS не страдает.
mvv-rus
Я о таком почему-то не догадываюсь. Например, если аутентификация — по Kerberos (в IE, к примеру, она уже давным-давно была по дефолту): все, что видит от клиента сайт — это Service Ticket, зашифрованный на DC секретным ключом для учетной записи этого сайта. На *nix, кстати, Kerberоs от домена Windows настроить тоже не сложно, правда там уже одной мышью это не сделаешь. Ну, а если сайтостроитель сделал аутентифкацию в домене по Basic, то мне жалко и его, и пользователей.
И при переходе на чисто TLS 1.3, который уже лет пять как очень активно тащат как единственно доступный (подозреваю, что именно это — причина ошибки на скриншоте в статье) — тоже? Свежо предание…
Ну, и отдавать статику или WebDAV по HTTPS в локалке с ее гигабитными скоростями может неслабо так нагружать процессор сервера. Всякое БУ уже может и не потянуть.
gecube
а вы ведь правда знаете почему его тащат? Буквально недавно же был HEARTBLEED, благодаря которому эффективность защиты SSL становилась нулевая... я уж не говорю о том, что потом почему-то вдруг SSL переименовали в TLS.
SerjV
Переименовали лет 20+ назад, вообще говоря. Просто всем было пофиг (как и на шифрование трафика заодно), пока не выключили поддержку более старых протоколов по SSL 3.0 включительно - SSL запомнился в своё время, и новая аббревиатура оставалась в тени.
mvv-rus
Да, зачем TLS 1.3 тащат, и чем он лучше предыдущих версий — я в курсе.
Я плохо понимаю другое: зачем тащат HTTPS за пределы той области, где он необходим. И почему не разработают протокол, который гарантирует защиту целостности содержимого без шифрования: ведь в большинстве случаев, где криптографическая защита необходима, достаточно криптографической подписи, без шифрования. А ведь шифрование же — довольно требовательная к ресурам процессора операция.
BugM
Нет, не требовательная. Она на всех массовых процах аппаратно ускорена.
Зачем плодить сущности? Зачем заставлять каждого пользователя лишний раз думать где свои данные отправлять безопасно, а где нет? Зачем учить всех админов двум технологиям и заставлять выбирать?
mvv-rus
Точно на всех? А то тут кто-то Ардуину вспоминал.
И всегда ли это ускорения не влияет существенно на цену даже не процессора — микроконтроллера?
Примерно затем же, зачем пешехода заставлять думать, где можно гулять свободно, а где — только в специально обозначенных местах и только на разрешающий сигнал светофора: чисто для устранения дополнительных издержек для всего общества, которые были неизбежны в обоих крайних вариантах.
Тем более, что этот выбор делается, в общем-то, разработчиком и/или администраторм сайта.
PS Технология там одна: протокол HTTP, а TLS — это только прослойка поверх нее, которая может присутствовать (в HTTPS), а может и отсутствовать. И, поскольку одним нешифрованным HTTP все потребности закрыть невозможно, админам приходится знать и про HTTP и про TLS.
BugM
Это прям самый-самый корнер кейс. Купите хотя бы малину или подобное и нет проблем. Раздавать html напрямую с ардуины это прям для особых любителей.
Задачи раздавать html с микроконтроллеров нет. Задача защищать весь этот iot есть. И она решается подходящими методами. И нераздача html напрямую с устройств это один из методов защиты.
Издержки шифрования всего минимальны. Общество часто идет на какие дополнительные затраты если результат стоит того. Тут баланс затраты/преимущества очевиден.
Если бы. Каждый пользователь должен быть в курсе что вот тут логин/пароль или что-то такое вводить небезопасно и лайкать на этом сайте знакомств тоже небезопасно, а тут безопасно. Уровень среднего пользователя точно недостаточен чтобы разобраться в таких вопросах.
Она не может отсутствовать. Все просто. Берем любой типичное решение и прикручиваем отдельным слоем.
mvv-rus
А внутри защищенного периметра? Для API, используемого на сайте управления?
Мне — нет. И со стороны затрат: дело не только в шифровании. Например, раньше провайдер локалки мог закэшировать часто используемые страницы у себя в локалке, потому что видел трафик. Сейчас — нет.
И со стороны преимуществ: сокрытия контенат для довольно многих его видов сомнительны.
Ой ли? Даже бродячие собаки приучаются к тому, что по автодорогам бегать просто так небезопасно, а только — по переходу и на зеленый сигнал светофора. А человек — он ведь ко всему привыкает куда лучше собаки, про это даже пословица есть.
Как так? Я вот помню первый сайт, с которым не пришлось по жизни иметь дело (не создавать, но администрировать) на Русском Апаче — HTTPS там не было, совсем.
BugM
Тем более. Раз хватило денег на периметр хватит и на реверс проксю. Это копейки по сравнению с периметром.
И это замечательно. Не дело провайдера что-то там кешировать. И вообще в трафик лазить ему не позволено. Его дело байтики пересылать.
Против человека играет другой человек. Обычно более разбирающийся в нужном вопросе. Не зря фишинг живет и приносит деньги. Много денег. Лучше защититься по максимуму превентивно.
За окном 2022 год. Не может уже.
mvv-rus
А зачем тратить деньги когда можно их раздать
пенсионерамработникам в качестве премии. Да и периметр чато бывает совсем недорог: например, это просто отдельный VLAN для портов, куда физически воткнуто нужное оборудование.Почему это должен решать кто-то, кроме провайдера и его клиентов, что дело провайдера, а что — не дело? Прокси в локалке в те времена, когда внешний канал оставлял желать лучшего, был большим подспорьем. И, кстати, далеко не факт, что такие времена не вернутся.
А против такого вот человека, делового — полиция и вообще государство.
Не всегда лучше. Например, большинство автомобилей имеют никакую бронезащиту — хотя, теоретически, вас могут обстрелять по дороге (ну, чисто маньяк попадется). Однако тяжелая тачка, с броней жрет много бензина, а маньяки встречаются редко.
Ну и проблему фишинга HTTPS все равно целиком не решает.
gecube
я не хочу в такие времена. Если вы там в своем мордоре такое хотите, то хотя бы остальных не тащите в это :-)
ну, я соглашусь с тем, что и фишинговые сайты запросто могут иметь HTTPS сертификат. Тем более сейчас сертификат получается на язян. Другой вопрос, что можно попробовать закрыться проверками на госуслугах для получения доменов... Но это точно на корню убьет весь малый бизнес. И ничем особенным скорее всего не поможет
mvv-rus
Хотите или нет, но ничего вас от этого не гарантирует: все эти процессы находятся вне вашей власти — технологи развиваются неравномерно, инвестиции в прошлые технологии могут не успевать окупаться и т.д., и т.п.
Не знаю, как там у вас в Испании, но в РФ сейчас идут очень интересные процессы по расширению и упорядочиванию использования квалифицированных электронных подписей. Я эти процессы особо не отслеживаю, но не исключено, что благодаря им дополнительные издержки на проверки станут настолько малыми, что их сможет позволить себе и малый бизнес.
PS Что до малого бизнеса, то за последние пять лет серьезный удар по нему нанесло сокращение возможностей по уходу от налогов из-за внедрения средств IT — общей БД в Налоговой, онлайн-касс и т.д. Но это уже офтопик, дальше обсуждать я его не буду.
gecube
ага, насколько упорядоченные процессы, что левачный УЦ может мне выписать ЭП. Прецеденты со скандалу в РФ уже были. Толку развивать технологии, когда люди точно такие же коррумпированные, и точно такие же разгильдяи.
А насчёт Вашего ура патриотизма у меня сомнений уже не возникает от слова совсем.
mvv-rus
Стоп! Где вы увидели у меня «упорядоченные процессы» — я ведь писал всего лишь про процессы по упорядочению. И ни хода, ни достигнутых результатов этих процессов я не знаю (правда, я краем уха слышал про изменения в законодательстве касательно этих самых ЭЦП — но, лишь краем). СОгаситесь, что это — таки разные вещи.
Если вы считаете, что «эта страна» — место проклятое, и у нее ничего никогда не получится, то вынужден вас разочаровать на конкретном примере.
Был конкретный кейс, когда у государства Россия кое-что получилось: успешное внедрение средств IT в Налоговой инспекции, которое, как я понимаю, курировал тогдашний начальник Налоговой, он же — нынешний премьер. Я не скажу, что лично я от этого пострадал, но вот неким моим приятелям, к примеру, стало очень сложно работать: они обслуживали в пллане всяческого учета разный там мелкий бизнес, который, естественно до осуществления этого проекта работал вчерную, через помойки и обнал, а с этими аспектами работы после реализации проекта стало сильно хуже. В результате, один из них, как я знаю, выжден был уйти на заслуженный отдых (он на него заработал, да, еще в 90-х, но денег все равно много не бывает), про других — не совсем в курсе, но, вроде, никто не сел.
Это я все к тому, что нынешнюю власть и ее способность управлять страной не надо недооценивать — недооценка может реально поломать жизненные планы.
И да, с коррупцией (точнее, с обвинениями в ней) в России тоже происходят последние лет пять, если не семь, не самые хорошие вещи, начинающие мне напоминать о годах Культа Личности — только вот вместо обвинения в сотрудничестве с иностранными разведками нынешнее типичное обвинение для проигравшего борьбу в верхах стала коррупция и хищения. И сажать-то стали людей весьма серьезных. А Культ Личности — это тот период, в котором я желал бы оказаться даже меньше, чем в годы революции.
Так что и люди, и обстановка вокруг них — они тоже тут меняются (но не факт, что в лучшую сторону).
Вы почему-то решили перейти на личности, вместо того, чтобы продолжать аргументи рованную дискуссию. Почему? Где вы увидели у меня патриотизм, да ещё и «ура»? В неверно прочитанной и понятой вами фразе?
Вообще-то, я — патриот только в очень некотором смысле: я хочу жить в стране, в которой жизнь не ухудшается, а улучшается. А потому готов поспособствоать улучшению жизни в стране, за соразмерную плату. Но при этом, в другом смысле я — не патриот, т.к. не готов безвозмездно жертвовать ради государства своими интересами.
Вам такой подход чем-то не нравится?
BugM
Это несерьезно. Задача поднять реверс прокси вот для этой пачки ценных но старых железок умеющих только http тривиальна. Она требует смешного времени от любого админа и совсем смешного железа.
Не преувеличивайте.
Пользователи не должны разбираться почему у них что-то не работает. Да и не смогут.
Кеширование v2 уже давно сделали. CDN и GGC. Трафик кеширует владелец этого трафика, который понимает что там и знает что и как можно делать. Это хорошо работает и не допускает что трафик полезет неизвестно кто.
Времена когда любой мог лазить в трафик не вернутся. Это невозможно.
Баланс трат и пользы. Вероятность что по вам будут стрелять на дороге пренебрежимо мала. Вероятность что вам попробуют подсунуть левый сайт банка на случайном вайфае достаточно высока. Платить за бронирование надо много и всем. Платить за https надо совсем немного и тоже всем.
mvv-rus
Но есть нюанс — домашняя сеть. Оборудование там может быть очень старым, админа нет, регистрации в DNS узлов локальной сети — тоже.
Не смогут сами — попросят приятеля-админа. Или — местную компьютерную скорую помощь. Тут ситация аналогична ремонту: простой пользователь вряд ли сам сможет отремонтировать какой-нибудь смартфон, но желание производителей ограничить возможность ремонта таких устройств вызывает предсказуемую и неслабую реакцию — требование «права на ремонт». И эта реакция уже достаточно сильная, чтобы ей заинтересовались политики.
Есть нюансы. В CDN трафик кэширует владелец CDN (вы доверяете ему больше чем провайдеру? А почему?). А GGC — это часть монополии Гугла, со всем вытекающими отсюда последствиями.
Я — сторонник того, чтобы смещать этот баланс коллективными усилиями, а не индивидуальными. А то ведь это я в IT что-то соображаю, а стреляю-то очень плохо.
В частности, научить пользователя понимать разность правила допустимого поведения для сайтов банков и сайтов котиков — это вполне посильная для пользователей задача. Они вполне успешно в других областях жизни решают подобные задачи: например, практически любой взрослый понимает, что пачка денег и с пачка бумаги требует разного поведения — что, к примеру идти с пачкой денег в руках, уткнувшись в смартфон — это плохая идея.
BugM
Вы буквально на сообщение выше говорил про виланы и периметр безопасности. Вы уж определитесь. Или гик дома или предприятие. Решения для этих случаев будут полностью разными.
И вот и в другом случае решения несложные и доступные целевой аудитории.
Вы серьезно? Накладывать на пользователей еще больше проблем с непонятными решениями просто так? Кривой кеш по пути до сервера довольно сложно диагностируется. И прям очень сложно чинится. В процессе починки надо писать очень много писем, которые вероятно будут проигнорированы.
И все это ради чего?
Конечно. С согласия и под контролем владельца ресурса. Ему даже платят за это. Выглядит как хорошая сделка для всех.
GGC это пример. Провайдеры без проблем на тех же условиях ваш сервер поставят. Если вы будете генерировать столько же трафика как Гугл. Рыночек все быстро разрулит.
Нет. Это нереально. Проходили уже лет 20 назад.
Информационная безопасность это очень сложно и очень неочевидно. И очень больно когда ломают.
Тут с паролями пользователей бы обучить простейшим правилам. А вы на такие высокие материи замахиваетесь.
mvv-rus
Я не «определяюсь» — я стараюсь рассмотреть максимум возможных сценариев. Потому что уверен, что для значительной части из них обязательный HTTPS есть излишество.
Почему «на пользователей» — на людей, которые способны решить их проблему за небольшую плату. И аналогия с ремонтом из моего предыдущего комментария тут достаточно полная.
Не совсем: я тут не вижу гарантии со стороны владельца CDN пользователю: они отношениями не связаны — в отличие от провайдера.
Как хорошо, что вы вы использовали крайне точное слово для описываемой ситации: «рыночек» — т.е. нечто, на рынок формально похожее, но неконкурентное: либо с доминированием одного или малого количества участников, либо с неравными правилами игры. Это слово многое проясняет в обстановке: тот же Гугл имеет возможность давить на провайдеров — потому что рыночек, потому что он — монополия. И все гарантии отсутствия злоупотреблений основываются на добропорядочности Гугла, надеяться на которую, вообще-то наивно.
Почему вы пригнорировали мои слова, написанные после цитированного вами отрывка?
BugM
Я могу обсуждать любой конкретный кейс который вызывает затруднения. А вот все сразу не готов. Там все слишком по разному.
Кейс фирма с дорогим старым оборудованием - реверс прокси и хорошо что их наконец-то заставили хотя бы немного спрятать это оборудование. Им же лучше будет.
Кейс гик с кастомной штукой на ардуине - галочка воон там. А лучше поставь наконец-то хаб который все это проксировать будет. И спрячь свою кастомную ерунду подальше от доступа. Пока не сделали DDOS через миллиард ардуин. Я знаю у тебя код скопипащен с типового. И там таже уязвимость есть.
Кейс IOT - бегом на работу через хаб переходить. Иначе ваш дом точно взломают завтра.
И тому подобное
Я не готов с уверенностью продиагностировать проблему со внешним кешем, если я не контролирую сервер. Довольно высокую вероятность дать могу, но это прям работа и без гарантированного результата. Не стоит оно того. А вы тут про случайных людей говорите. Не нужно оно им. Дешевле гарантированно байтики пересылать провайдером.
Вы переоценили долю моего сарказма. Часть про монополии, преимущества и тому подобное я заложил, но это именно небольшая часть. В целом оно не влияет.
Тут важнее тот же договор с большими провайдерами на вашем рынке что они ваш трафик бесплатно брать будут. Допустим на М9. Вот тут прям война постоянная идет.
Оно не имеет значения. Я уверен что обычного человека, допустим водителя автобуса, не нужно всему этому учить. Должно быть интуитивно понятно и абсолютно логично и безопасно для него. Гораздо лучше если мы сядем подумаем, потом поработаем и в итоге сделаем так чтобы им тоже хорошо стало. Даже если они не поймут что именно им лучше стало.
Для примера возьмите своих родителей или бабушек/дедушек они такие же пользователи которые и деньги через интернет банки проводят и сидят на сайтах про которые не хотят чтобы знали все вокруг. Аниме по ночам смотрят. Стыдно и хочется одновременно.
mvv-rus
А вам оно точно надо — продиагностировать эту проблему? Может, пускай провайдер делает на свой страх и риск, а пользователи оценят его деяния суммой денег, как и положено на рынке?
Вы опять определяете, что другим нужно, а что нет — а это противоречит самому духу частной инициативы как движущей силы развития общества и рынка как средства ее реализации. Вы сторонник социализма, я правильно вас понимаю? Или нет — тогда задумайтесь — может, социализм лично вам, при зрелом размышлении, покажется неплохой штукой? Он ведь и по жизни — неплохая штука, только у него чисто технические проблемы с реализацией.
Кому оно это должно (вопрос — чисто автоматическая реакция на слово «должно»)?
Увы, не могу: мои родители умерли ещё в Перестройку, ну, а бабушки-дедушки — в основном, сильно раньше.
И я сейчас сам в предпенсионном возрасте. Так вот, лично я для себя интернет-банк отключил: сценариев, когда он мне мог бы понадобиться, я практически не вижу, а зачем нести лишние риски — пусть даже я их хорошо понимаю.
Ну, а сображения «стыдно» явно не являются объективными, и на объективные причины не использовать HTTP не влияют.
PS Как я заметил, у нас с вами по жизни сильно разные ценностные ориентации, поэтому вести дискуссию с вами дальше я смысла не вижу: свои позиции мы в достаточной для посторонних мере изложили, а к консенсусу мы с вами все равно не придем — из-за этой самой разницы в ценностях.
amkartashov
а что, есть браузер, который вообще не даёт на http зайти? Везде же можно принудительно игнорировать вроде...
AlexanderS
Я гиперболизировал конечно. Но тренд-то виден. Даже по комментам посмотрите — часть народу за то, что HTTP должен умереть)
Wayfarer15
Ага, мой хостер предложил $150 ежегодно. Покажите мне, у какого зарубежного хостера это делается одним кликом совершенно бесплатно?
nidalee
Можно начать отсюда.
Wayfarer15
Взял первый попавшийся по своей стране - 120 баков в год. Мой текущий провайдер - 100 баков на два года, но без SSL. Ну и на кой мне такой баян?
nidalee
Понятия не имею. Но вы же понимаете, что разница в цене не из-за наличия SSL?
mortadella372
> одним флажком в панели
А на ESP8266?
vabka
ESP8266 не должен раздавать html.
Да и безопасность в IoT сильно недооценена.
edo1h
в некоторых случаях да, а в некоторых, увы, нет.
вот вам задача: сделать устройство, которое будет отдавать через веб-интерфейс температуру, например, и которое можно будет включить через 50 лет и воспользоваться.
есть хоть какой-нибудь способ выдачи сертификатов, которые будут валидны через 50 лет?
в другую сторону проблема тоже есть, обновление сертификатов letsencrypt, например, показало её: куча устройств имеет прошитые старые корневые сертификаты и не предусматривает обновление. в результате проблематично создать сайт, который сможет быть открыт как современными, так и старыми устройствами.
gecube
какой-то огромный горизонт планирования... Кто подпишется под гарантиями? Тут промышленную электронику не всегда могут так сделать - та же проблема с бессвинцовыми припоями...
edo1h
хорошо, сделайте железку, которую я смогу включить хотя бы через 5 лет и обратиться к ней по https без ругани браузера
gecube
не сделаю, выше уже приводили примеры железяк, которые требовали activex для запуска админ панели. Или какую-то древнюю версию джавы - в новой не работает и точка. Что делать? Ничего, в помойку все.
Либо использовать интерфейсы, которые хоть как-то стабильны. Ну, не знаю. Телнет. Хотя не. Телнет плохо. ssh - во, норм вариант
randomsimplenumber
Вот вам задача - проиграть виниловую пластинку (50 лет назад очень mainstream оборудование). Или сделать фото 35мм фотоаппаратом. Или хотя бы купить банальный фитиль для керогаза.
Что через 50 лет в интернетах будет в mainstream - сложно представить.
gecube
это все выглядит как потерянные знания древних... Я вообще с трудом себе представляю - даже если я найду проигрыватель винила, то почти наверняка у него будет проблема с иглой (я знаю, что для них это расходный материал). И где я ее буду покупать? Это проблема схожа с проблемой заправки картриджей для первых лазерных принтеров. У меня когда был энтерпрайз агрегат из 90-х - https://www.amazon.es/HP-LaserJet-impresora-láser-capacit/dp/B0009LS2OG 5Si. Прекрасный аппарат. Меня даже 600x600 качество для текстов вполне устраивает. Но! Сейчас ни тонер, ни комплектующие днем с огнем не сыскать.
mikelavr
Купить картридж для LaserJet 5si совершенно не проблема, как оригинал, так и совместимый.
У меня дома и на даче используются два ч/б HP 2420, и два цветных HP 3600, год выпуска примерно 2008. Картриджи служат долго (потому что офисные модели), ресурс принтеров для домашнего применения огромный. Подключены по Ethernet, драйвера под Win10/11 есть. Чего еще желать? Цветные фотографии я не печатаю.
Когда потребовалось купить новые ролики для загрузки бумаги - легко нашел на aliexpress (в прошлом году). Если потребуется что то крупное типа печки - всегда можно купить на avito.
gecube
может быть :-) Но это уже не столь тривиальная задача как для более современных аппаратов. К тому же там еще и старческие болезни начались - вроде того, что пластик потрескался и LCD начал барахлить (это я так понял, что у них вообще типовая проблема). К сожалению, я не настолько люблю старую технику, чтобы в нее инвестировать бесконечное количество средств и сил. В остальном аппарат доставлял только радость - и драйвера стандартные, и network интерфейс (и это еще в какие-то бородатые времена), и сделан с умом (удобно собирать-разбирать).
iig
Me помнит времена, когда не проблема было купить 35 мм пленку и химикаты для проявки.
mikelavr
Я имею в виду настоящее время, 2022 год.
iig
2022 год не навсегда. ЕВПОЧЯ.
Cerberuser
В смысле что дальше будет ещё хуже?
iig
В смысле владеть старыми вещами будет всё дороже и дороже. Запчасти - пока есть доноры, драйвера при очередном обновлении Windows выпилят..
mortadella372
В крупном городе это и сейчас не проблема.
Ogoun
Я как и автор тоже не понимаю смысла заморачиваться с https у сайтов где нет хранения личных данных, которые просто отдают информацию. Сайты-визитки, постеры, архивы, вариантов очень много. Выглядит как очередной хайп, у которого появились евангелисты не способные охватить все сценарии, и решившие что знают как лучше для всех.
gecube
мимо. Сайты визитки, например, очень часто имеют форму обратной связи.
выглядит так, что многие комментирующие и защищающие необходимость HTTP застряли в XVIII веке. И вообще не понимают что к чему
andreymal
В комментариях уже несколько разных людей на разных примерах объяснили, почему https нужен даже для информационных сайтов… Вас все эти дискуссии всё ещё не убедили?
0xd34df00d
Меня — нет.