Карикатура: Сергей Ёлкин, DW
Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу».
Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи. «Яндекс.Почта» и «Яндекс.Диск» входят в Реестр организаторов распространителей информации и по закону обязано предоставлять ключи шифрования в течение десяти дней после поступления запроса, а прошло уже гораздо больше времени.
Издание РБК опросило экспертов с вопросом, чем грозит «Яндексу» такое неподчинение. С аналогичной проблемой скоро может столкнуться Tinder, а последствия неподчинения можно наблюдать на примере Telegram. Сначала сотрудники ФСБ составили протокол на Telegram за нарушение КоАП, а потом Роскомнадзор начал блокаду Telegram с веерной блокировкой миллионов посторонних IP-адресов.
Согласно законодательству, Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».
Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством» и отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
Как говорит источник РБК, между «Яндексом» и ФСБ идёт дискуссия в юридической плоскости. В частности, юристы «Яндекса» считают «слишком широкой» трактовку «закона Яровой» сотрудниками ФСБ: «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователя к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — сказал он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК.
Сессионные ключи шифруют только одно соединение между пользователем и сервером, в том числе логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. Узнав пароль, спецслужбы фактически получают доступ ко всем коммуникациям и приватным данным пользователя на других сервисах «Яндекса», а не только к его переписке. Вероятно, именно это юристы называют «широкой трактовкой» закона.
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис: «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно».
Один из собеседников РБК также добавил, что «Яндекс» озабочен своим имиджем в глазах пользователей. Компания беспокоится, что сотрудничество с ФСБ может привести к оттоку пользователей и потере доли на рынке: «ФСБ не принуждает к такому сотрудничеству иностранные компании, например Google, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — сказал собеседник.
Партнёр Центра цифровых прав Саркис Дарбинян считает позицию «Яндекса» довольно сильной в том смысле, что вряд ли ФСБ осмелится инициировать постоянную блокировку на территории России сервисов крупнейшей российской интернет-компании, но и у ФСБ есть рычаг давления, который спецслужба может использовать: «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведёт к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — сказал он.
Филипп Кулин, автор канала «Эшер II», согласен, что данный слив, скорее всего, происходит от самого «Яндекса», который таким образом просит о помощи.
Версию о сливе от «Яндекса» выдвинула Александра Баязитова, автор канала «Адские бабки»: «Глупо сомневаться, что раньше Яндекс не работал с ФСБ. Конечно, работал, и по их требованию всё им раскрывал и давал допуски к нашим небольшим тайнам, — пишет она. — Но не надо быть профи в технических нюансах, чтобы понять: теперь ФСБ требует такое, утечку чего Яндекс не может потом скрыть. Одно дело — предоставить временный допуск товарища капитана к вашей почте, другое — отдать им возможность доступа к миллионам паролей от всех сервисов. В лучшем случае эти пароли просто окажутся в продаже на Савеловском рынке, а ваши неудачные фотки с Яндекс.Диска — в свободном доступе. В худшем — пойдёт волна краж с кошельков Яндекс.Денег, или блокировки устройств, которые привязаны к аккаунтам Яндекса… До сих пор Яндекс был, пожалуй, единственным реальным достижением российской экономики за двадцать лет. Как быстро его угробят?»
Канал Roem.ru напоминает, что Медведев ещё в 2018-м году запретил интернетчикам обсуждать их общение с ФСБ, так что Яндекс оказался в патовой ситуации: «Заверять владельцев email и данных в безопасности сервисов — необходимо. Но сложно одновременно и молчать и строить PR-оборону от подозрений в сливе данных».
Пресс-секретарь президента РФ отказался прокомментировать ситуацию вокруг «Яндекса» и ФСБ: «Это не тема Кремля все-таки, нужно интересоваться в Федеральной службе безопасности или в правительстве, но это не тема Администрации президента», — сказал Дмитрий Песков.
В реестр ОРИ на данный момент включено более 170 сервисов, в том числе Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и другие. В январе 2019 года в реестр включён сервис «Сбербанк Онлайн».
Комментарии (113)
General_Failure
04.06.2019 09:32последствия неподчинения можно наблюдать на примере Telegram
А что случилось с Telegram? Или это шутка такая?
AllexIn
04.06.2019 11:12+1Как что? Он стал популярнее среди активной части населения. И люди пользоваться VPN научились немного. Это также способствовало развитию и других механизмов обхода блокировок.
korzhof
04.06.2019 18:34Мне сейчас пришла в голову замечательная мысль: государство учит нас плавать кидая на глубину без жилета — жизни учит и выживанию.
MTyrz
05.06.2019 12:56– Когда ты еще не принял монашества – как обходились с тобой иноки в обители?
Г.Л. Олди, «Мессия очищает диск».
– Ну… – Змееныш замялся.
Скрытый смысл вопроса был ему неясен.
– Старшие братья учили меня жизни, – наконец нашелся он.
– Учили жизни? Ты служил в армии? – удивленно нахмурился преподобный Бань. – Когда? Где?
И Змееныш проклял свой язык.
FenixFly
04.06.2019 11:13-4Ну долгое время в телегу было не зайти, приходилось искать бесплатные прокси, только недавно обнаружил, что телега работает без проксей. А десктоп клиент приходилось качать либо через тор, либо с левых сайтов.
General_Failure
04.06.2019 14:34Прокси, vpn и т.п. помогало и помогает оставаться на связи, и не только в телеге. Ну а десктоп-клиент — случайно не пробовали в виндовом маркетплейсе поглядеть? По крайней мере в макоси (как и на мобилах) клиенты из сторов не пропадали.
fur_habr
04.06.2019 15:08Что-то не поняла зачем человека минусят? Он где-то соврал? Может немного преувеличил, но проблемы реально были и периодически остаются в регионах.
То, что человек только недавно обнаружил, что работает без проксей — ну он же сказал, что он это недавно обнаружил, а не то, что так у всех.
То, что сейчас всё работает, ну так напишите про свой опыт.
либо с левых сайтов.
Если причина минусов в этом — ну так напишите, что лучше не качать с левых сайтов.
Видимо, я чего-то не понимаю в культуре комментирования на хабре.
tcapb1
05.06.2019 00:35+1Скажу как разработчик сервиса, который активно использует Telegram для рассылки уведомлений пользователям. Многие обычные пользователи не пережили блокировку. У кого-то до сих пор стоит старая версия Telegram, которая не защищена от блокировок, у кого-то — вообще альтернативный клиент, кто-то при блокировках поставил себе прокси, который затем умер, и так и не может зайти. У кого-то работает, но время от времени отваливается, соответственно уведомления вовремя не приходят.
Поэтому не могу сказать, что блокировка Телеграму как слону дробина. Думаю, если бы не блокировка, аудитория у Телеги в РФ была бы сильно больше.
Javian
04.06.2019 09:33Кто-то поверит, что какая-то компания официально признает факт передачи ключей?
cyber_roach
04.06.2019 09:37+1Яндекс чуть в более выигрышном положении, т.к. у Яндекса большая база корпоративных пользователей (почта для домена, облака и пр..).
И это действительно будет «кошмар», но уже для властей, если бизнес будет проблемы испытывать из-за отвалившихся сервисов.
Многим компаниям это не понравится, e-mail это корпоративный стандарт для всего и вся в РФ, одно дело личная переписка, и совсем другое корпоративная. Будет прецедент с Яндексом, значит под угрозой все остальные, вот и здравствуйте «удобные» облака.nanshakov
04.06.2019 09:54С телеграммом тоже у бизнеса много отвалилось — и ничего.
dilukhin
04.06.2019 10:53Если порассуждать логически (с), то приняв за Y — капитализация Яндекса, T — Телеграма, O(T) — то, что отвалилось у бизнеса в случае с Телеграмом, то можно оценить O(Y) (то есть то, что отвалится у бизнеса в случае с Яндексом) как O(T) * Y / T. Как думаете, тоже будет ничего?
vanxant
04.06.2019 21:58Ну вот не надо сравнивать мыло и телегу, при всём уважении к Дурову там три порядка разницы.
vics001
05.06.2019 00:06+1Отвалившийся пользователь от Телеги прямой прибыли не приносит, а от Yandex очень даже. Учитывая, что Телега хочет быть международной и теряло 10%, оно может позволить играть в игры с Роскомнадзором, сможет ли Yandex хотя бы 1 месяц — это вопрос.
remzalp
04.06.2019 10:18Amazon тоже накрывало, пока телеграмм гоняли, бизнес страдал.
ZetaTetra
04.06.2019 23:11+1Бизнес уже давно прикупил корпоративных VPN'ов. Вообще, эта война с интернетом сильно подстегнула бизнес связанный с VPN'ами, жалко только что не в Россию деньги идут, а в Европу, Штаты и пр.
POS_troi
04.06.2019 10:26Госам по большей части наплевать, они прикроются «средства направленные на обеспечение нац.безопасности» и всё, а учитывая что большей части, легче дотянутся до яндекса чем до ФСБ, то яндекс отхватит все последствия в одно лицо.
А кто решит погнать на гос. тому 30к штрафа :)
inspector1985
04.06.2019 10:31Вы действительно думаете, что у «властей» будет «кошмар», если пострадает бизнес? Мы сейчас, думаю, оба говорим про российскую федэрацию, а это не либертарианская страна, и в ней «власти» беспокоятся только о *собственном бизнесе*, а не о том, где у них нет доли. Вспомните, какие решения принимаются в области мясного импорта, субсидии и отдельные квоты для мираторга (если на пальцах упрощенно: останкинский мясокомбинат может импортировать 1 кг говядины, а мираторг — 18 кг), или отъемы портов, кошмары Миракс групп, Евросеть и т.д. Решения принимаются без оглядки на бизнес, или наоборот — с оглядкой *на свой бизнес*.
q2digger
04.06.2019 10:36мне кажется, что принимающие законы «яровых» и прочие нормативные акты аналогичного содержимого, плевать хотели на бизнесы и яндексы. их кормушка лежит в другой сфере экономики. надо будет прижать яндекс — прижмут, даже на минуточку не задумаются о последствиях.
kaleman
04.06.2019 10:58+1Наоборот в худшем положении. Он в РФ а значит в их власти. Можно устроить маски-шоу с изъятием серверов, ноутбуков, телефонов и вообще всего мало-мальски ценного. Просто блокировать работу компании. Яндекс безусловно выдаст ключи шифрования, а вся шумиха нужна только для того чтобы показать: «Мы пытались бороться, но не смогли..»
bano-notit
04.06.2019 20:26Можно узнать с каких это пор Яндекс в РФ?)
Whuthering
04.06.2019 22:44+2Пусть родительская компания у них в Нидерландах, но основная команда разработчиков, и, что гораздо важнее, основной рынок и следовательно основной источник доходов у них в РФ.
Bombus
04.06.2019 20:44+2Предположу, что вначале нагнут Яндекс, который будет в итоге передавать сессионные ключи (могут простимулировать или вынудить продать бизнес какому-нибудь Усманову). После этого, когда на рынке останется сильный подконтрольный игрок, можно будет уже попросить предоставить сессионные ключи от Google, и если он откажется, то власть может отказаться от Googlе'а.
Еще один важный момент Сбербанк-Онлайн тоже входит в ОРИ (Реестр организаторов распространителей информации). И если он тоже предоставляет сессионные ключи, то считай логины/пароли от личных кабинетов доступны для ФСБ открытым текстом.
И это все для чего? Особенно учитывая то, что Яндекс и так предоставляет данные по запросу. Тут явно не борьба с терроризмом.
ibrin
05.06.2019 04:36А разве нельзя сделать так, чтобы сессионный ключ становился бесполезным по окончании сессии?
Whuthering
05.06.2019 08:33Смотря что вы понимаете под "становился бесполезным". С одной стороны, следующую сессию "на лету" вы им уже не расшифруете, на то он и сессионный, и он действительно в этом плане станет бесполезным.
С другой стороны, если данные переданные в прошедшей сессии уже записаны (см. пакет Яровой), то сессионный ключ от нее для расшифровки окажется очень полезным, и ничего с этим уже не сделать.
tcapb1
05.06.2019 00:41Яндекс это уже проходил, но не с российскими пользователями, а с украинскими. Насколько мне известно, на Украине Яндекс до сих пор заблокирован. На Украине эффективность блокировок сильно ниже, чем у нас, однако многие сайты и сервисы пострадали. Перестала работать Метрика, Яндекс карты на сайтах и т.д. Однако бизнес как-то пережил. И у нас переживёт. Куча всего поотваливается, будут огромные издержки, однако со временем перейдёт на альтернативные сервисы.
Другое дело, что заниматься бизнесом и пилить веб-сервисы, зная что в любой момент либо тебя, либо сервис от которого ты зависишь могут заблокировать (и ведь не просчитать никак! это может быть Телеграм, Яндекс, Гугл, Фэйсбук, что угодно. И как правило внезапно) — это весьма такое. Трижды подумаешь перед тем, как начинать в России новый веб-проект.
EvilGenius18
04.06.2019 09:54+5Почему же заголовок не совпадает с текстом статьи?
Заголовок:
РБК: «Яндекс» отказался выдать ФСБ сессионные ключи шифрования
Текст:Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством» и отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
По закону они как раз обязаны хранить и передавать все данные, раз уж подчиняются закону Яровой (поскольку они не заблокированы в РФ).
Если бы они действительно не передавали информацию и защищали права граждан, они бы громко об этом заявляли при любой возможности, а не отказывались бы от комментариев, пытаясь замять не удобные вопросыx67
04.06.2019 14:26Не путайте информацию и ключи шифрования. В случае информации, фсб необходимо сформировать запрос на получение инфы. А ключи дают возможность выключить яндекс полностью и по сути качать все необходимое без оглядки на законные процедуры.
Идеальным (но осуществимым) разрешением конфликта вижу создание специальных апи или сервисов, в которых у фсб будет возможность ограниченно смотреть необходимую им инфу. А не когда они могут "скачать яндекс" и продать его на черном рынке.
Но для этого нужны компетентные люди по обе стороны, готовые решать проблему с оглядкой на права человека и возможность появления новых проблем в следствии некомпетентных или халатных решений.
pavelpromin
04.06.2019 09:57+1Подскажите альтернативы почты для домена кроме GSuit, Mailru и селфхостинга?!
q2digger
04.06.2019 10:18+1За денежку — www.fastmail.com
suharik
04.06.2019 10:27«Новость» от апреля 2006 года: Правительству Австралии разрешили читать электронную почту граждан
Более свежая новость, от июля 2017: Австралия готовит закон, который обяжет IT-компании дешифровать сообщения пользователей
Еще и за денежку )q2digger
04.06.2019 10:32ну и что, в первоначальном запросе не было пункта «и чтобы меня правительство Австралии не читало».
suharik
04.06.2019 14:54Считаете, что они не сотрудничают и Интерпол в обеих странах просто так кресла занимает? Все будет зависеть от того, какие грехи навесят наши, местные, при обосновании запроса о разглашении переписки. Ищите почтовый сервис в стране, которая не имеет дел со Скрепляндией.
dmitrmax
04.06.2019 10:33+1Zoho, Microsoft и т.д. Только зачем? Как только они станут популярны, их опять возьмут за жопу таким же способом. Селфхостинг и зимбра. Или что-нибудь аналогичное.
kaman
04.06.2019 11:25Если будут массовые селфхостинги (в виде продажи готовых контейнеров, например) — возьмут и их за это самое. Обязав провайдеров стучать на клиентов, пользующихся ssh, как один из вариантов.
dmitrmax
04.06.2019 11:32Ну будут стучать и что? Пользоваться ssh не запрещено. Дальше, что? Требовать лично у вас предоставить свои ключи? Основной момент, который нужен ФСБ — это не нагнуть лично вас, чтобы вы выдали свои ключи, а наблюдать за вами негласно, чтобы вы не знали, что конкретно вами интересуются.
namikiri
04.06.2019 11:46Пользоваться ssh не запрещено.
Запретят. Или обяжут настраивать серверы так, чтобы был общий, сертифицированный(tm) алгоритм шифрования и дубликат ключа у тащмайора.dmitrmax
04.06.2019 12:01Будем использовать ssh с рандомной дополнительной сигнатурой переменной длины в начале пакета, чтобы обламать все DPI и прочее. Тут можно только запретить интернет.
tbl
04.06.2019 12:10+1Или запретить рандомные пакеты, а разрешить только те, что в установленной форме, согласованной тащмайором
dmitrmax
04.06.2019 12:20+1Если согласовывать протоколы вплоть до application уровня, то это примерно то же самое, что запретить интернет.
tbl
04.06.2019 12:29Ну, кстати, Мегафон уже таким занимается: используемое ими решение DPI рубит пакеты SPDY (предшественник HTTPS/2), пришедшие по трансграничным линкам.
alekseymarkov75
04.06.2019 13:35Основной момент, который мы наблюдаем в данный момент — очередной раз создать миф о вездесущих органах. Это — не более чем мыльный пузырь.
Jeka_M3
04.06.2019 17:07Подскажите альтернативы почты для домена кроме GSuit, Mailru и селфхостинга?!
Швейцарская компания ProtonMail вроде что-то предлагает для бизнеса.
Jipok
04.06.2019 19:34Недавно нашёл хороший список почтовиков: dismail.de/serverlist.html
Так же у самого dismail.de можно зарегистрировать почту.
Сам я давно использую cock.li. Там большой список доменов на выбор. Названия конечно странные, но в остальном всё замечательно. Единственный проблемный случай — это сейчас при регистрации на хабре. Решил таки зарегистрироваться после стольких лет чтения, но хабр не принял ящики с airmail.cc и firemail.cc
q2digger
04.06.2019 10:16мм… вопрос от неспециалиста в SSL. а каким образом можно реализовать хранение сеансовых ключей SSL (ага и их последующую выдачу)?
Я верно понимаю, что сеансовый ключ генерится на время сеанса между конкретным клиентом и сервером, и после завершения сессии «протухает»?remzalp
04.06.2019 10:20Просто его надо аккуратно сохранять в БД с пометкой — когда и кому такой был сгенерён. Потом берём из пакета Яровой запись трафика, складываем с сессионным ключом из предоставленной БД. Profit!
q2digger
04.06.2019 10:23Ну… не уверен что так просто. Разве Яндекс должен хранить наш трафик согласно пакета Яровой? Или он (пакет) относится к операторам?
remzalp
04.06.2019 10:25Обязанность предоставлять ключи есть, из этого немного нелогично следует обязанность их хранить (чтобы предоставить) срок примерно похожий на срок хранения трафика другими участниками
q2digger
04.06.2019 11:55да, я понимаю это. у меня всеже вопрос несколько более практический.
у меня есть сервис, nginx letsencrypt вот это все. каким образом я, как администратор этого сервиса могу организовать хранение сессионных ключей?
это кого надо ковырять — nginx или строить еще какой то, прости господи, mitm между сервером и клиентами?remzalp
04.06.2019 12:121. Встречал рецепты для браузеров Chrome/Firefox, чтобы они сохраняли сессионные ключи в текстовый файл для анализа HTTPS трафика в Wireshark. Подозреваю для Nginx и аналогов такое или легко допиливается или уже даже встроено (про Nginx навскидку не нашел)
2. Плох в криптографии, но буквально комментом ниже есть ветка, где идёт обсуждение, что достаточно отдать приватный ключ Яндекса и всем будет хорошо.
habr.com/ru/news/t/454692/#comment_20240532
Но и там сводится к тому, что если отдать приватный ключ — то в будущем задача облегчится. А вот если отдать старые сессионные ключи, то и к прошлому трафику можно легко применять анализ.
okeld
04.06.2019 10:28Шифрование в вебе (до SSL v3) осуществляется с помощью асимметричной криптографии, когда у клиента есть
- сертификат удостоверяющего центра, (он проверяет подпись у открытой части пары, отправляемой сервером), который зашит в ОС или браузер,
- а также у провайдера (в нашем случае Яндекса) есть приватный ключ, который и нужен ФСБ,
dmitrmax
04.06.2019 10:40+1Из какого года вы нам пишете? en.wikipedia.org/wiki/Forward_secrecy
okeld
04.06.2019 10:46Спасибо, подправил комментарий, не знал, что уже в SSLv3 ввели эти протоколы. Тогда возможно Вы можете пояснить: насколько я понимаю, если у ФСБ будет возможность получить приватный ключ TLS сертификата, то они смогут получить всю цепочку генерируемых ключей, в том числе и долговременных ключей, что даст им возможность читать переписку/смотреть файлы/историю поиска и т.п.?
dmitrmax
04.06.2019 11:08уже в SSLv3
Нет, всё-таки из какого года вы нам пишете? )) У нас уже TLS 1.3, в котором пропагандируется отказ от алгоритмов без PFS.
если у ФСБ будет возможность получить приватный ключ TLS сертификата, то они смогут получить всю цепочку генерируемых ключей
Асимметричные ключи в настоящий момент модно использовать только для того, чтобы понять, что сервер, к которому вы подключились по TLS, принадлежит тому, кому принадлежит домен. Выработка сессионных ключей осуществляется алгоритмом Diffie-Hellman'а (одной из разновидностей). Таким образом, если у ФСБ будет возможность получить приватный ключ сервера, то они смогут сделать атаку MITM и с этого момента иметь все сессионные ключи. Но это слишком хлопотно. Поэтому они хотят тупо сессионные ключи. Если нету атаку MITM, но есть приватный ключ, то это ничем не поможет.okeld
04.06.2019 11:31Спасибо за пояснение! Действительно, до MITM атак под компании они вряд ли дойдут, но вот законодательно заставить внедрить корневой сертификат на устройства могут заставить, ведь заморачиваться с требованием сессионных ключей у каждого оператора ПД они тоже вряд ли начнут.
vibornoff
04.06.2019 11:32Ну попросят сессионные ключи. Тоже мне проблема. CloudFlare'ы всякие так и работают: делегируют TLS handshake серверу клиента, получают сессионные ключи и дальше с ними работают.
Яйцеголовые специалисты от мира криптографии утверждают, будто невозможно доказать, что сессионный ключ был создан с использованием наперёд выбранного сертификата, а следовательно оба участника обмена информацией могут пойти в отказ и сказать что «не, это не наша сессия, вы всё сами выдумали».
Но мы то знаем, что вопрос лежит в юридической плоскости. Будет сертификат-лицензия какая-нибудь на сервер хранения сеансовых ключей и закон-постановление из серии «что хранится в этой железяке, аз есмь истина в последней инстанции».dmitrmax
04.06.2019 11:58> Ну попросят сессионные ключи. Тоже мне проблема.
Вы точно прочитали начало этого треда, в котором ставился вопрос (на самом деле несколько иначе, но по сути так) почему уже просят именно сессионные ключи, а не приватные?vibornoff
04.06.2019 12:09Потому что, сюрприз, от приватных нет практически никакой пользы. Городить глобальный MITM нашим правоохранителям не с руки, да и городилка не выросла.
А вот застравить других, у кого руки откуда надо растут, сделать «красиво» — это запросто.
trueMoRoZ
04.06.2019 10:29А вот ещё есть государственный sputnik, которому яндекс вроде как конкурент. А давайте зажмём яндекс и принудительно заставим всех пересесть на сервисы спутника. Чем не бизнес план для серьёзных мужчин?
middle
04.06.2019 11:36Спутника больше нет.
www.cnews.ru/news/top/2018-08-17_rostelekom_tiho_obankrotil_sobstvennyj_poiskovik
hippohood
04.06.2019 10:36Хорошо сейчас напомнить о смеху#чках связанных с пакетом Яровой: " хаха, какой смысл хранить трафик защищённой сессии".
Есть смысл, как видим: все серверы будут хранить сессионные ключи и будут выдавать по первому зову (скорее всего, будут просто записываться через СОРМ). Те кто не будут — рано или поздно перестанут быть доступны с территории России.
На любые возражения на тему что это будет дорого, неудобно, не мешает преступникам и ударит по бизнесу можно отвечать: "Да, ну и что?"pvsur
04.06.2019 12:28Рано или поздно весь интересный бизнес уйдет из РФ при таком раскладе, останутся только интернет-магазины АКИТ и Госуслуги… Как в Казахстане, к примеру,…
saipr
04.06.2019 11:24Узнав пароль, спецслужбы фактически получают доступ ко всем коммуникациям и приватным данным пользователя на других сервисах «Яндекса», а не только к его переписке.
Отсюда следует, что сотрудники Яндекса имеют такой доступ. И дай бог, чтобы и последующем не пришлось обсуждать, что кто-то из них слил эту информацию.
middle
04.06.2019 11:39-2Сначала Телеграм отказался. Потом VPN-сервисы. Потом Яндекс. Пацаки совсем чатланам на голову сели!
sergeyns
04.06.2019 11:56Вау! Значит ли это что у Яндекса есть крыша, более мощная чем «товарищъ майор»?
alz72
04.06.2019 12:34Я так подозреваю что у Яндекса пока просто не реализовано ПО которое сессионные ключи может сохранять, ибо никто в здравом уме их не хранит ( а зачем ??? ).Простейшее решение — ssl плагин от Wireshark — но я так подозреваю что он не совсем подходит, ибо тормоза он точно обеспечит ...
tbl
04.06.2019 12:44Думаю, с их траффиком, у них железные http/https-балансеры, а это не про "ПО переписать".
alz72
04.06.2019 12:49ну на железках тоже ПО крутится — правда тогда это уже ПО совсем не Яндекса ...
tbl
04.06.2019 13:20Если ПО на них есть, то это больше про диагностику и настройку оборудования, а сам траф обычно через FPGA/ASIC гонится (алгоритмы шифрования затачиваются под то, чтобы их в железе было удобно реализовывать)
jia3ep
04.06.2019 12:49У меня только один вопрос — о чем эта новость? Варианты ответа:
1. Это пиар акция Яндекса, который типа стоит на защите данных пользователей и не отдает их ключи. Как попытка реабилитироваться после отчета RDR.
2. Яндекс хочет привлечь внимание общественности, чтобы не городить механизм хранения сессионных ключей, т.к. это лишние затраты.
3. Все нужные ключи уже давно отдали. А это слив инфы от (не)правильно информированных сотрудников.
4. Яндекс работает по HTTP («работает в полном соответствии с действующим законодательством»), а шифрованием занимается голландский CDN — вот к ним и обращайтесь.
5. Свой вариант.
decomeron
04.06.2019 12:54Не значит ли это, что скоро вопрос « Тебя что в Яндексе забанили?» будет актуален?
YetAnotherSlava
04.06.2019 12:55А не врёт ли Яндекс?
FreeBa
04.06.2019 13:37Скорее всего яндекс эти самые ключи просто не сохранял. Сейчас допилят софт и начнут сотрудничать. Деваться им некуда.
А новость так — чистый пиар.
alecv
04.06.2019 13:37У яндекса сертификат от поляков (т.е. страны NATO). Вполне возможно, что его просто отзовут, как скомпроментированный. И так много раз.
Certificate chain
0 s:/C=RU/O=Yandex LLC/OU=ITO/L=Moscow/ST=Russia/CN=yandex.ru
i:/C=RU/O=Yandex LLC/OU=Yandex Certification Authority/CN=Yandex CA
1 s:/C=RU/O=Yandex LLC/OU=Yandex Certification Authority/CN=Yandex CA
i:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA
2 s:/C=PL/O=Unizeto Technologies S.A./OU=Certum Certification Authority/CN=Certum Trusted Network CA
i:/C=PL/O=Unizeto Sp. z o.o./CN=Certum CA
Scf
04.06.2019 15:11Инициирует-не инициирует. Яндекс расположен в РФ, поэтому можно и штраф выписать, и конкретных ответственных найти.
Гугл проиграл борьбу с ФБР, яндекс ждет та же судьба.
dominigato
04.06.2019 16:29Жаль Яндекс, был одним из редких примеров построения настоящего бизнеса с нуля и без воровства с распилами. Теперь ФСБ уже не отстанет, Яндекс лишится некоторой части сознательных пользователей и некоторых корпоративных клиентов, которым дорога приватность.
Основная масса пикабушников и прочих "мне нечего скрывать" все захавает или даже не заметит.
shalm
04.06.2019 19:13Вроде бы сегодня не первое апреля, к чему такие новости, всё равно никто не поверит.
glowingsword
04.06.2019 20:38+1У них ещё и шифрование есть? :)
А я то думал, что они данные в не шифрованном виде хранят, что почту, что файлы на Диске… Так хранить дешевле и проще. В любом случае, конфиденциальные данные доверять Яндексу и Google — себя не уважать. Шифруете, потом на диск сохраняете. А не конфеденциальные, вроде фоточек с отдыха — пусть смотрим себе товарищ майор, смотрит и завидует.
В любом случае, позиция Яндекс заслуживает уважения. Они понимают, насколько важно не перегибать палку и беречь репутацию. В бывшем СНГ это мало кто понимает. Чувствуется, что за ребятами стоит кто-то с западным менталитетом.
KodyWiremane
05.06.2019 00:18+1А если к сервисам Яндекса из-за рубежа коннектиться, трафик в Россию доходит, или где-нибудь в Европах приземляется?
Tzimie
По данным Судебного департамента при Верховном суде России, за 2018 год российские суды удовлетворили 828,5 тыс. ходатайств правоохранительных органов об ограничении конституционных прав граждан на тайну переписки и контроле их телефонных переговоров.
В России 150м народу, минус дети пенсионеры итд, кто активно флудит наверное 30 миллионов. А ходатайств почти миллион, то есть каждый тридцатый.
Если убрать из активно флудящих неинтересных ФСБ инстаграм-губки-уточкой, тугосерь и "мы покакали" и котиков, то будет наверное каждый первый
inspector1985
Что такое «тугосерь»?
BlackMokona
Маленькие дети
MTyrz
sim2q
Спецслужбам будет в будущем о чём потом напомнить :)
Так что не исключаем
MTyrz
О том, что в детстве были запоры О_О?
Я не очень хорошо отношусь к спецслужбам, но не настолько же :)
koshi-dono
Развитая форма пузожителя.
sumanai
Или личиночная форма Homo Erectus, смотря с какой стороны посмотреть.
Valerij56
leshakk
Offtopic ON
Не надо недооценивать ни детей (начиная с младшего школьного возраста), ни пенсионеров.
Времена, когда «энти ваши антарнеты» были «закрытым» клубом IT-шников уже давно прошли.
И те и другие в большинстве своём (по крайней мере, в городах) уже давным-давно активно являются активными пользователями сети.
Umpiro
Если б вы знали чего мне стоило научить свою мать яндекс.транспорт пользоваться…
leshakk
Конечно, всё от человека зависит.
Но в последнее десятилетие замечаю резкое увеличение людей в возрасте среди пользователей интернета. Может, на хабре это не так заметно, но скажем, в «дачных» группах фейсбука таких пользователей большинство.
Полагаю, основными факторами снижения «порога вхождения» стали распространение относительно недорогих планшетов, фактически не нуждающихся в предварительной настройке (ввод пароля на WiFi не в счёт) и доступность мобильного интернета.
NetBUG
Здесь ещё вопрос в сущности «пользования».
Я (и, наверное, Вы) начинали пользоваться Сетью, когда нужно было помнить названия нужных ресурсов, поиск информации был работой с неопределённым результатом, а эйфория от наличия DNS-имён вместо незапоминаемых IP-адресов ещё не прошла.
Для современного человека пользование интернетом — это открытие приложения на телефоне, имеющего доступ к Сети; приложения часто ставятся и настраиваются кем-то другим.
Опять же, сложность стека, обеспечивающего работу приложения, заметно увеличилась, и глубинное понимание, скажем, TCP/IP не нужно для 90% задач.
NightGhost
Ну а моя мать без проблем пользуется сервисами яндекса, букинга, кучей сервисов для путешествия, ну и т.п. Всё это всего лишь личный опыт.
amimotogo
Речь же не только об интернете.
sim2q
Думаю чуть в будущем и весь траффик с IoT и всю эту «гаджет обвязку» с индивида обяжут в отдавать. Ну я бы так сделал даже как инженер — конечно-же во благо,
СансареМатрице нужно больше-больше сенсоров…SkyLineGTR
Ждем появления маски-шоу по домам Волжа&Co, с последующей срочной продажей их долей Усманову, эммиграцией упомянутых в Нидерланды и появления Яндексграмма… ))