LINUX.ORG.RU
ФорумTalks

Безобидно ли настойчивое желание всюду впарить https

 , , ,


2

2

Мысли навеяны заявлением мозиловцев, что теперь безопасность будут пихать во все щели: https://blog.mozilla.org/security/2018/01/15/secure-contexts-everywhere/

Обещают, что все новое отныне будут делать, насколько смогут, доступным только для https. Включая новые стили css, заголовки http, фичи жабоскрипта и api браузера для расширений.

Считаю разумным принцип, что забота о чьей-то безопасности только тогда является реально заботой о ней, когда озабочиваемый имеет возможность сознательно отказаться от нее. Если же забота доходит до назойливого навязывания с фактической невозможностью отказа или больших сложностей, то тут что-то уже не правильно и надо посмотреть, а нет ли тут второго (а может и третьего) слоя?

Как минимум вырисовывается интерес сертификатной мафии (боюсь по другому это уже не назвать) широко навязать свои услуги даже тем, кому защита нафиг не вперлась, например, в интранете или для простых сайтов, статических или где заведомо ничего важного нет и не будет. Потому что, например, хром очень не любит самоподписанные сертификаты (да их и вообще мало кто любит).

Let's encrypt - это не совсем решение. Хотя бы потому что де-факто вынуждает ставить на сайт их код, который что-то там выкачивает. Но в принципе можно обойтись и без их кода, все-равно, это какой-то контроль получается и вообще неудобно.

Более дальняя перспектива, это что простейший следующий шаг - это запрос не только клиентом сертификата, но и наоборот, сервером у клиента. Причем, если дойдет до дела, преподнесено это опять будет как «защита». Например, для интернет-банкинга и т.п. В принципе, юзер и сейчас получается при https-соединении уникально идентифицированным (и это не куки) даже за NAT и прокси, правда только в рамках одного сеанса.

Но самое неприятное, что защиты-то особой https и не дает, если можно перехватить DNS-соединение или насовать левых сертификатов на комп, с чем скандальчики уже тоже были. Если конечно, сайт не из тех, что pinned.

То есть, если уж заботиться о безопасности, на текущем этапе надо пропагандировать защиту DNS-соединений.

★★★★★
Ответ на: комментарий от Napilnik

Теперь аниме показывают и игры.

Сливаешься, уже на 4 части сообщение разделил. Не ответил, про то что понял, что следует называть вещи своими именами, и не мешать в кучу аниме и все остальное, берущего корни у нерадивого Диснея, может ты скрытый фанат Микки-Мауса? И да, анимешники утверждают, что аниме - это «глубокий смысл»(c), рисовка там может быть совсем не, как ты выражаешься, анимешная. Да и такой рисовки-то, честно говоря, не существует в природе. Шо с тобой Вася, ты шо, гонишь? Не гони дуру, яж тебе только семечек дал, одну, смотри какой клювожер, слезёбать хочешь?

Moderators ★★
()
Ответ на: комментарий от Napilnik

Могу, но…

Это означает, «делать не буду». То есть «сейчас не могу», а причина уже не важна.

твои бесполезные задачки

До моей не дошли, ты задачку sjinks решить не смог. Хотя нет ничего проще вычислить x = ind₁₀ 260 (mod 541) даже на листочке бумаги. Если дружить с математикой, конечно.

Там умножений не было

То есть «так стазу можно будет и угадать» сразу не работает, стоит применить умножение? Куда же делась возможность «всё вытащить из трафика», который тебе дали на блюдечке?

Предполагалось, что браузер и шифровальная библиотека несколько модифицированы

«Были ОС и браузер скачанные из интернета, их установили в вируалку и настроили для выхода в сеть» — где здесь про модификацию?

«Все 3 системы одинаковы до байтика, что может одна, то может и другая». Вот и у нас все одинаково считают: a = g^x (mod p). И трафик тебе перехватили: {541, 10, 260}. Почему у тебя «сразу можно» не получается? Вычислительная сложность задачи выше возможности Напильника? Ну вот, ЧТД, для защиты от тебя и десяти бит ключа достаточно, всё равно не взломаешь.

у нас же открытые исходники

И что? Знание алгоритма пока тебе ничем не помогло.

А ты проверь.

Вот и проверяю, можешь ли ты. Так и запишем, «оценить вычислительную сложность напильник не в состоянии».

baka-kun ★★★★★
()
Ответ на: комментарий от Napilnik

Ты отрицаешь сложные измерительные инструменты которые именно считают и выдают готовый результат?

Конечно. Измерительные приборы в первую очередь, сюрприз-сюрприз, измеряют. То есть, по определению, сравнивают с эталоном. Все вычисления в инструменте любой сложности — обработка результатов измерений.

Дай пример «измерительного инструмента», который не измеряет.

Когда ты всё сводишь в матмодели - ты совершаешь большую фигню.

Не нужно с больной головы на здоровую. Наоборот, я утверждаю, что вся криптография — чистая математика, и не является математической моделью чего бы то ни было. Это у тебя получается, что 2+2=5 — математическая модель реального мира. Вот и дай мне эталон (а не ещё одну модель) для проверки этого утверждения.

baka-kun ★★★★★
()
Ответ на: комментарий от Napilnik

Мат.моделью ЧЕГО?

шифрования

Ты вообще понимаешь, что такое математическая модель? Приведи мне реальный физический процесс, мат.моделью которого является шифрование на эллиптических кривых.

baka-kun ★★★★★
()
Ответ на: комментарий от baka-kun

Напильник вообще не способен к вычислениям требующим более одного действия, а тут ты такие сложные задачи ему даешь.

StReLoK ☆☆
()
Ответ на: комментарий от StReLoK

Напильник вообще не способен к вычислениям требующим более одного действия, а тут ты такие сложные задачи ему даешь.

А там ровно одно действие — взятие логарифма :)

baka-kun ★★★★★
()
Ответ на: комментарий от baka-kun

Не, ты представь что ты работаешь с самым примитивным из механических арифмометров. Забудь про всякие корни, умножения и деления - у него даже сложение с вычитанием не всегда корректно отрабатывают, а тут ты со страшными логарифмами.

StReLoK ☆☆
()
Последнее исправление: StReLoK (всего исправлений: 1)
Ответ на: комментарий от praseodim

Выкручивание рук

Да хоть холокостом назовите, оно не перестанет быть полезным и нужным.

Если данные и так открытые, то нет за исключением каких-то совсем уже надуманных ситуаций.

Не бывает открытых данных. Любые данные можно использовать против вас, изменить не в вашу пользу, да и просто банально добавить к ним вредоносный код.

Домен иметь не обязательно, в принципе можно и на чистом IP завести сайт и никому ничего не быть должным. Если для локалок, то даже подключение к сети необязательно.

Так для таких инвалидов и придумали самоподписанный сертификат.

slovazap ★★★★★
()
Ответ на: комментарий от Moderators

Сливаешься, уже на 4 части сообщение разделил

У тебя глюки. Если не нравится что сообщение делят - выражайся одним предложением. Ты и сам привёл только часть ответа - слабо ответить на всё сразу и коротко?

может ты скрытый фанат Микки-Мауса?

Я не ем мышей.

И да, анимешники утверждают, что аниме - это «глубокий смысл»(c), рисовка там может быть совсем не, как ты выражаешься, анимешная.

Смысл есть, а рисовка обычно именно анимешная, твоя Мика как раз так нарисована: молодой, стройной вешалкой.

Napilnik ★★★★★
()
Ответ на: комментарий от Napilnik

У тебя глюки. Если не нравится что сообщение делят - выражайся одним предложением.

25: ещё пять лет и стану волшебником... (комментарий) А ты все продолжал пилить сообщения... Сливаемся потихонечку? Главное, было бы на что отвечать. На это? - Я не ем мышей. И бред про «анимешную» рисовку? Ее по-чесноку можно назвать только Диснеевской, учи матчасть, анимешник...

Moderators ★★
()
Ответ на: комментарий от baka-kun

Это означает, «делать не буду». То есть «сейчас не могу»,

«делать не буду»<>«сейчас не могу»

До моей не дошли, ты задачку sjinks решить не смог. Хотя нет ничего проще вычислить x = ind₁₀ 260 (mod 541) даже на листочке бумаги. Если дружить с математикой, конечно.

Не прикидывайся умным, тебе не идёт. Задача стояла - решить перебором а не хаками на бумажке. То есть сбацать простой автоматизированный метод решения. Встроенными модулями задача не решалась, а подключать дополнительные я не стал, о чём и сообщил. Если надо будет именно подключить, то это вопрос решаемый.

То есть «так стазу можно будет и угадать» сразу не работает, стоит применить умножение? Куда же делась возможность «всё вытащить из трафика», который тебе дали на блюдечке?

Я на любой твой пук не обязан долго и упорно писать и отлаживать программу, но это не значит что кто-то кто знает как с этого навариться, этого делать не станет. Эффект неуловимого Джо. На простые вычисления, потому что там был твой слив.

Ну вот, ЧТД, для защиты от тебя и десяти бит ключа достаточно, всё равно не взломаешь.

А я и не хвастался новым железом и лишним свободным временем. Если всё сводишь к тому как взламывал бы я, то беги, даунгрейдь до уровня моего компьютера компьютеры по всему миру, иначе твоя логика фуфлом попахивает.

И что? Знание алгоритма пока тебе ничем не помогло.

И то, что я этот алгоритм и не изучал. Мне за эти какашки никто не заплатит, а за бесплатно в плюсах ковыряются единицы. СПО для того и пишут на них, чтобы для корпораций было удобно и только для них баги править. Так что пусть лежат баги в шифровальных библиотеках дальше, кто надо, пусть ими пользуется пока не поймают, а лохи пусть надеются на «всё зашибись, математика нас защитит».

Вот и проверяю, можешь ли ты.

Это фигня а не проверка. Напильник пользователь а не уголовник. Но баги в шифровальных цпп либах не печалят меня а скорее веселят.

Napilnik ★★★★★
()
Ответ на: комментарий от baka-kun

Ты отрицаешь сложные измерительные инструменты которые именно считают и выдают готовый результат?

Конечно. Измерительные приборы в первую очередь, сюрприз-сюрприз, измеряют. То есть, по определению, сравнивают с эталоном. Все вычисления в инструменте любой сложности — обработка результатов измерений.

Тогда выброси электронные часы, штангенциркуль, мультиметр, счётчик радиации, градусник и кучу прочих измерительных прибовов с циферками на ЖК табло.

Дай пример «измерительного инструмента», который не измеряет.

Задача не корректная. Нужно спрашивать пример измерительного инструмента который считает, их примеры смотри выше.

Наоборот, я утверждаю, что вся криптография — чистая математика, и не является математической моделью чего бы то ни было.

Ну тай и шифруй трафик на листке с бумажкой и набивай отправляемые пакеты на клавиатуре - делай всё чисто математически.

Это у тебя получается, что 2+2=5 — математическая модель реального мира. Вот и дай мне эталон (а не ещё одну модель) для проверки этого утверждения.

Я тебе даже религию под решение задачи покажу. Человек создан по образу и подобию, стало быть имеет или может заиметь часть всемогущества. А всемогущий может и 2 на 2 умножать так чтобы получалось 5, и с эталонами вытворять разные сложные вещи - тоже. Тебе был дан локальный-глобальный эталон для 2х2=5 и область его применения.

Napilnik ★★★★★
()
Ответ на: комментарий от Moderators

Сливаемся потихонечку?

Не переводи свой слив на окружающих.

Ее по-чесноку можно назвать только Диснеевской

Твой бред не прокатил, лохотронщик.

Napilnik ★★★★★
()
Ответ на: комментарий от Napilnik

Твой бред не прокатил, лохотронщик.

Учи матчасть [2] Тебе любой ~[НОРМАЛЬНЫЙ] анимешник это скажет. Это тебе все просто - называть бредом то, что тебе говорят, но истины это никак не отменяет, и над твоими кривляньями лишь посмеются. Нет бы признать истину - сказать, да, был не прав, но нет же. Видимо анимешная бесовщина крепко в тебе укоренилась.

Moderators ★★
()
Ответ на: комментарий от Napilnik

«делать не буду»<>«сейчас не могу»

Какая разница, по какой причине ты не смог «сразу угадать»? Упёрся в проблему и решил: «дальше не буду». То есть вычислительная сложность оказалась выше возможностей взломщика. Так и работает криптография: тебя остановили 10 бит, кто-то не осилит 1024, а для человечества пока достаточно 4096.

Сложность взлома должна всего лишь превышать потенциальную выгоду. Ты посчитал, что «не стоит возиться», sjinks и его пример выиграли.

Задача стояла - решить перебором а не хаками на бумажке.

Вот незнание математики и приводит к тому, что она выглядит для тебя как магия и «хаки на бумажке». Запрограммировать ты их не можешь просто потому, что не знаешь. И от этого используешь самый медленный алгоритм из всех возможных. Даже тупой перебор элементарно сразу пишется намного эффективней с учетом конечного поля.

Встроенными модулями задача не решалась

«Задача не решалась». А для ребёнка камень виноват в том, что запнулся и ободрал коленку.

даунгрейдь до уровня моего компьютера

При чём здесь ты? От тебя достаточно 10 бит, но не все же настолько ограничены. От всех современных компьютеров пока с запасом достаточно 4096. Станут мощнее, сложность будет увеличиваться дальше.

СПО для того и пишут на них, чтобы для корпораций было удобно и только для них баги править.

Не стоит проецировать своё невежество на других. :)

Это фигня а не проверка. Напильник пользователь а не уголовник.

Причем здесь уголовник? Тебе предложили разложить число на множители, этим в школе учат заниматься. Не смог, предложили задачу проще: хотя бы оценить вычислительную сложность такого разложения. Это входит в набор умений любого нормального разработчик ПО: оценить сложность алгоритма.

Хотя, о чём я, нормальный разработчик не стал бы писать и решение интеграла перебором в int64 без модульной арифметики. Просто потому, что сразу видно — не влезет туда 10⁵⁴¹.

baka-kun ★★★★★
()
Ответ на: комментарий от Napilnik

Тогда выброси электронные часы, штангенциркуль, мультиметр, счётчик радиации, градусник и кучу прочих измерительных прибовов с циферками на ЖК табло.

А при чём здесь устройство отображения? Часы не «считают» время, они сравнивают промежуток с эталоном секунды. Штангенциркуль сравнивает расстояние между губками с эталоном метра. А счетчик Гейгера вообще ничего не измеряет, а подсчитывает количество ионизированных частиц. Поэтому он и «счетчик», а не измерительный прибор.

Изучи азы метрологии и прекращай путать «считать» и «измерять».

Ну тай и шифруй трафик на листке с бумажкой

Спасибо, но мне проще на компьютере, поскольку компьютерные алгоритмы — это чистая математика.

Тебе был дан локальный-глобальный эталон для 2х2=5 и область его применения.

Нет, ты построил на компьютере математическую модель, противоречащую реальному миру. В жизни я выливаю в четырехлитровое ведерко четыре литровых банки воды, и оно полное, а по твоей модели должно остаться место ещё для одной банки.

Ты привел отличное доказательство того, что компьютерный алгоритм — чистая математика.

baka-kun ★★★★★
()
Ответ на: комментарий от Napilnik

Встроенными модулями задача не решалась

OMG…

#include <stdio.h>

int main(int argc, char** argv)
{
        int w, e;

        w = 10;
        e = w;
        for (int i=2; i<30; ++i) {
                e = e * w % 541;
                printf("i=%d, a=%d\n", i, e);
        }

        return 0;
}

Просто те, кто знают математику, знают, что a^x mod p = a^(x-1) mod p * x mod p. И сразу как-то оказывается, что и не надо-то длинную арифметику ради 10 бит подключать.

Я же не просто так рекомендовал с математики начать, с азов.

sjinks ★★★
()
Последнее исправление: sjinks (всего исправлений: 1)
Ответ на: комментарий от bodqhrohro_promo

Это не проблемы правонарушений. Проблемы правонарушений это когда нарушается закон.

peregrine ★★★★★
()
Ответ на: комментарий от bodqhrohro_promo

Принудительно встраивать в браузер доверенный сертификат.

peregrine ★★★★★
()
Ответ на: комментарий от Napilnik

Нет. Дырка там в другом немного, а именно в том, что между открытой и закрытой частями ключа есть некоторая зависимость, а насколько сложно её найти, это уже другой вопрос. В теории можно (наверно, хотя точно никто не сможет доказать, пока не докажут что P!=NP) создать такой алгоритм, что его никто не поломает, хоть на квантовых ПК хоть на каких угодно.

peregrine ★★★★★
()
Ответ на: комментарий от Napilnik

Математическая модель не всегда на 100% соответствует реальности.

Аи информация это не реальность, а абстракция, так что всё нормально.

peregrine ★★★★★
()
Ответ на: комментарий от Napilnik

И кто же на обычных ПК будет заморачиваться с такими длинными числами кроме нескольких любителей извращений?

Все кому надо точно считать длинные числа без плавающей точки.

peregrine ★★★★★
()
Ответ на: комментарий от Moderators

Хм, на самом деле всё сложнее, чем тебе хочет казаться.

Во-первых, аниме может быть нарисовано не только по манге, но и по ранобэ, в котором то даже и картинок может не быть строго говоря, кроме как на обложке и пары рисунков основных персонажей и то не факт что они обязательны, я не настолько отаку чтобы всё это знать на 100% (хотя у меня хватило скила, чтобы понять тестовую картинку на отаку в лурке, спасибо аватаркам местных регистрантов, вроде даже в этом треде есть нужная, и моей привычке гуглить что на них изображено).

Во-вторых, если я нарисую вайфу в анимешном стиле не беря в основу мангу или лайт-новеллу и напечатаю её на подушке-обнимашке, я буду двинутым отаку, не смотря на то что манги нет, аниме нет, ранобэ нет.

В-третьих, анимешник, как и школьник, это состояние души.

В-четвертых, сами японцы называют аниме любую мультипликацию, хотя остальной мир зовет так именно японскую, она несколько другая, особенно за последние 20 лет ещё сильнее ушла в сторону от всей прочей, хотя есть и западные попытки её клонирования. Как пример - японцы, судя по всему, очень любят шаблоны, поэтому в аниме обычно шаблонные герои (как в плане поведения и сюжета, так и в плане некоторых видов характера персонажей, вроде всяких цундере), шаблонная рисовка, шаблонные эмоции, прочие шаблоны поведения вроде крови из носа при встречи ОЯШ-а с персонажем женского пола. А такой подход позволяет штамповать много похожих анимешек в год, за что обычно и хейтят аниме, ведь качество у большинства из них не смотря на это оставляет желать лучшего, т.к. правило 95% никто не отменял.

peregrine ★★★★★
()
Ответ на: комментарий от peregrine

японцы, судя по всему, очень любят шаблоны

False. Хинт: телепоказ аниме почти всегда убыточен. Коммунизма там тоже не наблюдается, а кушают аниматоры регулярно. Дело в том, что деньги делаются не на рекламе во время показа, а на мерче, продактплейсменте и тому подобном, поэтому недостаточно привлечь зрителя к экрану, надо, чтобы он в магазин побежал. Поэтому ЦА всегда сильно сужена, но уж по этой узкой группе бьют из всех калибров. Если ЦА хочется, чтобы школьник, впервые увидевший автомат, нагибал профвоенных, то он будет нагибать. Если ЦА хочет, чтоб каждой няше-стесняше был положен прынц, то оный обязательно появится, даже если придётся поменять свой мерс на белую лошадку.

redgremlin ★★★★★
()

или насовать левых сертификатов на комп, с чем скандальчики уже тоже были.

ну да, 90% админов вообще не задумываются, чьи сертификаты они суют, не проверяют. главное - чтобы заработало.

darkenshvein ★★★★★
()
Ответ на: комментарий от peregrine

на самом деле

Во-первых, анимешник - это диагноз, и имя ему - аутизм, я уже давал ссылку на видео специально для пациентов: https://www.youtube.com/watch?v=WD4e8qCSoKY Вы и сами запросто сможете почувствовать себя в некотором смысле неполноценным, смотря его, это вам не «Зов Джунглей» с Супоневым, а спецконтент, поэтому будьте осторожнее со своим рассудком.
Во-вторых, аниме - это копирка Диснея. Тут даже доказывать ничего не надо, как я уже и писал, любой здравомыслящий человек это знает. За примерами далеко ходить не надо, даже аниме 80-х похоже на Дисней больше, чем Дисней похож сам на себя сейчас, что говорит о прогрессирующем развитии Диснея даже не на заре становления первых аниме-контор, и кто и что берет под копирку, к примеру, 1 > 2, а также, мое любимое - Disney 1, и конечно же - Disney 2 И это не «копирки с аниме», Дисней так рисовал еще с самого начала since 1937, а вот где копирка можете сами догадаться.
В-третьих, аниме - это форменное говноедство, по фактам, которые ты уже перечислил, и не имеет ничего общего с нормальным искусством кроме рисовки Диснея, «Хорошее» аниме? Глянь «ТОПы этого сезона». И рисовка Диснея здесь ни при чем, можешь рисовать как угодно, персонаж от этого не станет «анимешным», но а в плане подушки, которую ты хочешь напечатать со своим персонажем, есть серьезные вопросы...
В-четвертых, процитирую Напильника для пущей наглядности невежества Не про всех анимешных персонажей выпущено аниме

Moderators ★★
()
Ответ на: комментарий от peregrine

спасибо, я вышел из этого возраста

Неужели ты подумал, что я предложил тебе смотреть аниме? Ты только на названия, и еще может, краткие аннотации глянь, чтобы все встало на свои места.

Moderators ★★
()
Ответ на: комментарий от peregrine

Даже это для меня шок-контент. Мне твоей аватарки хватает и лурка.

У меня Мику.

Moderators ★★
()

Мое мнение, что HTTP просто нехватает ЕЦП и все.

cvv ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.