MITM-атака на JABBER.RU и XMPP.RU

Хорошо, я с тобой согласился.

«Минцифрова гора, суверенная мышь и 0,0037%-ное импортозамещение» — можно и стебом назвать, но, по-моему, откровенный глум.

https://habr.com/ru/articles/765334/

:) ну вот есть яндекс браузер, они могут ca минцифры всунуть и будет вам отечественный ca в отдельно взятом манямирке. а хром и фф пошлют вас с отечеством куда подальше по вышеуказанным причинам.

https://habr.com/ru/articles/765334/

Ой, какая мякотка. Там ещё в комментариях Shpankov плановую экономику нахваливает, клеймит хрущёвский ревизионизм и оплакивает предательство социализма. Я-то думал, что маоизм тихо скончался, а он живее всех живых.

национальный CA для Сбербанка и Госуслуг нужен

У тайваньского минцифры, например, есть свой CA и никто почему-то не переживает https://grca.nat.gov.tw/GRCAeng/index.html. В целом с точки зрения безопасности государства иметь национальный СА разумно. Чтобы гос. сервисы не оказались в зависимости от коммерческих структур, а тем более коммерческих структур работающих в другой юрисдикции. Точно так же крупные компании создают СА для внутренней ИТ инфры

Леваки и коммунисты неистребимы как плесень. Идея-то хорошая, но до тех пор, пока не возникает вопрос «а за чей счет банкет» :)

Если до сих пор развивают и продают, получается кому-нибудь да и нужно.

Не очень понял, чем автор статьи недоволен. Предлагает местным интернет-ресурсам, которым отказали продлевать сертификаты, вообще без сертификатов сидеть?

не вижу там никакого глума, максимум ирония с сарказмом.

тем более, что по делу

ну а так Исаков всегда был ехиден.))))

вот в комментах там да, как обычно, ад и изгаиль

нет, на самом деле не так.

он критикует очевидные ляпы и очковтирательство.

ведь там т.н. «импортозамещение» наполовину в стиле «наклеим Маяк на шильдики СуньХуня». т.е. даже до уровня миландровской микросхемы в мониторе ещё не доросли.

плюс прямые и серьёзные юридические ляпы в виде отсутствия законных полномочий на такие действия. вообще-то по законодательству РФ это как минимум на самоуправство.

полный промискуитет или схема с «CA над всеми CA».

но между прочим - именно так это и задумано и работает глобально - под эгидой МинТорга США и соответствующих добрых и правильных майоров из «5 Глаз»

Так сор уже вынесли из избы когда опубликовали факт вовлечения провайдеров. Теперь провайдерам или нужно сказать что они ведут внутреннее расследование или молчать, т.к. местный закон запрещает им разглашать факт обращения правоохранительных органов

местный закон запрещает им разглашать факт обращения правоохранительных органов

Цитадель_свободы.джпг

Кхе-кхе.

$ dig caa linux.org.ru 

linux.org.ru.		866	IN	SOA	ns1.cloudns.net. support.cloudns.net. 2022122309 7200 1800 1209600 3600

Хьюстон?

Неможетбыть, вывсёврети, вынепонимаете, этодругое, это правильный демократический MitM, он полезен и безопасен!

Не очень понятно с чего все решили, что это какая-то немецкая спецслужба, а не тот же самый кейджиби, агентов которого по всей Европе хоть попой кушай.

Ещё какая-то «штази» откуда-то всплыла, которая закончилась вместе с дрезденской карьерой нынешнего президента РФ.

Оккам не велит усложнять без нужды.

Что могли бы сделать уже сейчас - ограничить, каким сайтам подходит корневой сертификат. Чтобы можно было, к примеру, установить корневой сертификат, скажем, от яндекса и сказать что он подходит только для сайтов яндекса, но никак не для гугл.ком и наоборот.

Тогда установка корневых сертификатов не была бы проблемой. Если я ставлю корневой сертификат для джаббер.ру и прописываю что он только для джаббер.ру и все остальные сертификаты - негодные.

Предложение, от которого нельзя отказаться, можно сделать и работнику саппорта, для этого не обязательно быть членом правления Hetzner. Ничего особенно сложного для профессионалов.

Фантазировать можно примерно что угодно. Чем моя фантазия про кейджиби принципиально хуже других в этом треде?

Что могли бы сделать уже сейчас - ограничить, каким сайтам подходит корневой сертификат.

Это не помогло бы, потому что у них тот же самый LE :)))

Не думаю что CAA может от чего-то защитить. Позже добавлю.

Тем, что она отрицает более простое объяснение.

Тогда LE для работы уже не нужен. Джаббер выдавал бы пользователям свой корневой сертификат. Но он подходил бы только к его сайтам.

Короче говоря, нужна более широкая и удобная поддержка самоподписанных сертификатов в браузерах и приложениях.

Плюс расширенная система доверенных цепочек…

Хуже точно не будет. Спасибо.

А зачем сайту про котиков с возможностью донатов через патреон заниматься всей это ерундой с https, скажи пожалуйста? 80% сайтов с https не имеют необходимости защищаться от чего бы то ни было.

Но гугл неумолим, и впендюрил всем https. Мог бы быть также неумолим и в отношении ещё одной строчки в DNS. Подозреваю, что рано или поздно они сделают это обязательным, просто пока рано, поддержка полей CAA появилась ещё не везде.

Отсутствием реакции со стороны провайдеров

Короче говоря, нужна более широкая и удобная поддержка самоподписанных сертификатов в браузерах и приложениях.

Так она есть, для тех кто понимает что делает.

А зачем сайту про котиков с возможностью донатов через патреон заниматься всей это ерундой с https, скажи пожалуйста? 80% сайтов с https не имеют необходимости защищаться от чего бы то ни было.

Чтобы твой провайдер рекламу в канал не сунул. И чтобы твой браузер не орал ААААА ЭТОТ САЙТ НЕЗАЩИЩЕННЫЙ. И чтобы кулхацкеры в кафе не слили твою переписку.

Но гугл неумолим, и впендюрил всем https.

Потому что защита канала от перехвата это хорошо.

Нужно выбросить сертификаты нахрен отовсюду, откуда только возможно, заменив их на публичные ключи в днс. Этот затянувшийся цирк с беготней к дяденьке за справочкой, что у тебя секурненько, давно пора прикрыть.

Нужно выбросить сертификаты нахрен отовсюду, откуда только возможно, заменив их на публичные ключи в днс. Этот затянувшийся цирк с беготней к дяденьке за справочкой, что у тебя секурненько, давно пора прикрыть.

Это не имеет смысла без DoT/DoH, где ты внезапно нарываешься на проблему курицы и яйца.

Поставлять ключи неймсерверов вместо trusted root ca в осях и браузерах, раз уж зло неизбежно. А не сертификаты кучи каких-то васянов, которые воздух продают.

Поставлять ключи неймсерверов вместо trusted root ca в осях и браузерах, раз уж зло неизбежно.

Их слишком много.

А не сертификаты кучи каких-то васянов, которые воздух продают.

LE бесплатный.

И чтобы твой браузер не орал ААААА ЭТОТ САЙТ НЕЗАЩИЩЕННЫЙ.

О чём и речь. Вот пусть и орёт, если сертификат недостаточно качественный.

Потому что защита канала от перехвата это хорошо.

Защита сайта от хостера это тоже хорошо. Так что вся надежда на гугл.

А что, у зарубежных центров были юридические полномочия выдавать сертификаты в зоне ru?

Возможно, что они нужны, но автор не приводит на основании какого закона требуется разрешение выдавать сертификаты.

Их слишком много.

Фсмыслий? Я всего лишь предлагаю растянуть свтлые идеи DNSSEC и на HTTPS тоже.

Нужно выбросить сертификаты нахрен отовсюду, откуда только возможно, заменив их на публичные ключи в днс. Этот затянувшийся цирк с беготней к дяденьке за справочкой, что у тебя секурненько, давно пора прикрыть.

Я говорю о том, что можно сделать уже сейчас, просто немного модифицировав клиентскую часть.

А так да, «у вас тут всю систему менять надо» :)

ЗЫ Публичные ключи надо как-то безопасно распространять и ещё и отзывать. Просто разместить их в ДНС недостаточно. Да и саму ДНС надо тоже полностью переделывать.

На десктопе корневой сертификат будет использоваться для всех, а не для выбранных сайтов. А в Андроиде вообще всё плохо - корневые сертификаты вообще куда-то запрятали…

речь не про сертификаты. а про root CA. читайте внимательнее!

Допустим. Автор статьи приводит ссылки на законодательство? Ресурсы, использующие его, недобровольно их применяют?

Он предлагает альтернативное решение или просто решил поворчать? Ему не разрешают создать свой центр сертификации?

Я не понимаю, в чём проблема то?

отрицает более простое объяснение

Ну, то есть, то, что немцам захотелось почитать русскоязычных чатиков и они устроили цирк с конями, это более простое объяснение, окей.

А для кейджиби это очень сложно, там заграница, а у них лапки и майору Петрову визу не дали. И вообще им такое не интересно.

Как потравить десяток человек в немецкой гостинице, так пожалуйста, а тут сложности.

Пока про эту историю известно только то, что был факт MITM-атаки. Дальше все могут фантазировать что угодно.

Да, можно фантазировать что угодно, но логичнее предполагать, что за событиями в Германии стоят немцы, в США - американцы, на Земле - земляне и так далее. Иначе ты внезапно обнаруживаешь себя в шапочке из фольги отбивающимся от наседающих рептилоидов томиком Климова.

Мы можем только предполагать заинтересованную сторону.

Но вот отсутствие интереса у русских спецслужб к наиболее крупному русскоязычному джабберу я бы не стал отрицать. Тем более, что владельцы ресурса, как я понимаю, не в России, просто так на беседу не вызовешь.

А считать, что границы как-то останавливают те или иные спецслужбы от ведения необходимой деятельности, выглядит как-то наивно.

Но вот отсутствие интереса у русских спецслужб к наиболее крупному русскоязычному джабберу я бы не стал отрицать.

Палок ради им хватает вк, пользователи которого никак не научатся.

Я не отрицаю ничего, лишь делюсь своими соображениями по поводу приоретизации, эммм, фантазий.

Эти палки в МВД ради отчётности ставят, это другая история.

Эти палки в МВД ради отчётности ставят, это другая история.

А жаббир им больше ни на что и не сдался.

Ментам-то понятное дело, что ни на что не сдался. А для гебья это вполне в зоне интересов, но вне возможности прямого контроля.

Обычный человек во вконтактике сидит, там же и с иностранными шпионами из райотдела ведёт переписку. А в этом случае люди особенные, явно что-то злоумышляют. Тем более что сбежали.

Ты сделал очень много допущений, но нет ничего чтобы их подтверждало.

Ну, то есть, то, что немцам захотелось почитать русскоязычных чатиков и они устроили цирк с конями, это более простое объяснение, окей.

А для кейджиби это очень сложно, там заграница, а у них лапки и майору Петрову визу не дали. И вообще им такое не интересно.

В тексте новости есть неточность или не очень стилистически правильное выражение. Провайдер Linode - американский. И вот это существенно все меняет.

Лапки не лапки, но кто вероятнее всего может это сделать?

Судя по описанию, доступному по вышеприведённой ссылке, это просто один из факторов, добавляющий свои «5 копеек» в итоговую надёжность.

Странно, что в CAA или другими способами нельзя ограничить стратегию валидации через DNS (во всяком у Let’s encrypt про это не написано). Понятно, что DNS-01 чуть надёжнее чем HTTP-01, за счёт того, что доступ к зоне может быть выдан людям, отличным от тех, кто имеет «каждодневный» доступ к конфигурации web-серверов (и вообще, зоны можно потенциально размещать на более надёжной и доверенной, хотя и дорогой инфраструктуре, в отличие от хостов, генерирующих трафик).