Безобидно ли настойчивое желание всюду впарить https

Но самое неприятное, что защиты-то особой https и не дает, если можно перехватить DNS-соединение или насовать левых сертификатов на комп, с чем скандальчики уже тоже были.

Одно дело скандальчики со всовыванием сертификатов и другое - практически повсеместная практика внедрения провайдерами мусорного буллshit во все загружаемые страницы. [1], [2], [3], [4], [5]. Так что использование https не просто желательно, а полностью обязательно для всех сайтов, включая визитки.

возможность сознательно отказаться от нее

это как сознательно отказаться от прививки во время зомби-апокалипсиса. можно, но только один раз. после, окружение само начнёт отстреливать таких отказников, т.к. ты этим отказом уже несёшь угрозу.
а защитить DNS не проблема, вопрос в стоимости повсеместного ssl в каждом тостере в переводе на гигаватты просранной энергии.

Я не говорю, что https - плохо. Но есть и побочные эффекты, на которые приходится обращать внимание.

практически повсеместная практика внедрения провайдерами мусорного буллshit во все загружаемые страницы.

Боюсь от наглости некоторых провайдеров https не спасет. Вот тут бы *надзору подсуетиться и спросить за искажение связи.

емнип я уже где-то видел жалобы (да как бы не на тот же мегафон), что они иногда тупо вообще заменяют страницу сайта своей и надо второй раз вызвать сайт, чтобы попасть.

емнип я уже где-то видел жалобы (да как бы не на тот же мегафон), что они иногда тупо вообще заменяют страницу сайта своей и надо второй раз вызвать сайт, чтобы попасть.

Такое было раньше. Когда оплатный период подходил. Такой сервис. Ломающий все http соединения за пределами браузера, потому что тот же youtube не знал что ему делать, когда вместо данных ему возвращается мегафонавская страничка.

В последнее время не наблюдается. Подозреваю, что именно в связи с массовой миграцией на https, потому что этот прикол с ним совместим чуть менее, чем никак.

это как сознательно отказаться от прививки во время зомби-апокалипсиса. можно, но только один раз. после, окружение само начнёт отстреливать таких отказников, т.к. ты этим отказом уже несёшь угрозу.

А не надо выдуманные случаи ЧП приводить в пример обоснования. Ну и даже в этом случае. Считаю, что имеет право не привиться во время зомби-апокалипсиса, правда в ответ имеют право отселить куда-нибудь за пределы чистой территории.

Что до отказа от прививок, в одну кучу смешаны все ситуации отказа.

А они могут быть от таких, что тупая мамаша вообще чадо не хочет прививать и до того, что например, считает что нефиг прививать пока год не исполнился. Или прививаться от некоторых прививок, чья нужность сомнительна, например от гриппа.

И еще отказы от прививаний возникли не столько из-за дремучести, сколько из-за недоверия системе. От просто недоверия к качеству вакцины, до недоверия в нужность вообще конкретной вакцины и вообще опасения. Были примеры скандалов.

зомби-апокалипсис как раз таки в примере по делу. если все вокруг привиты, а ты нет — ну сдохнешь, например, и фиг с тобой.
а тут ситуация, даже если все защищены, ты можешь стать источником угроз для них, став ботнетом или воруя пароли или давая повод инжектить на твою страницу вирусню, короче много чего, что придумало человечество с тех времён, когда хиппи считали, что интернеты это любовь, взаимное уважение, шифрование не нужно и гипертекстовый http хватит всем.

Tele2 кстати пиедлагает 30р оплатить на некоторорых сайтах, притом что прочайдер у меня виртуальный на базе теле2. Не смотрел там http или https.

У людей доверия нет к системе. Например, что с заботой о здоровье, в случае принуждения к вакцинации, заодно и не стерилизуют определенные группы населения.

Тоже и в случае защит в сети, что нет второго/третьего дна, о чем и речь.

и не должно быть никакого доверия. разделение рисков instead.

Слова умные про разделение рисков, а что с ними на практике? А на практике получается, что когда что-то заставляют нет никакого разделения рисков, есть «я начальник, ты дурак».

хром очень не любит самоподписанные сертификаты

Свой локальный CA делается за 3 минуты вместе с добавлением сертификата во все щели.

де-факто вынуждает ставить на сайт их код, который что-то там выкачивает.

Код «не читал, но осуждаю». Всё, что там выкачивается - токен для авторизации домена.

простейший следующий шаг

Будет поднят на смех, потому что генерить сертификаты в таком количестве никому не всралось. Кстати, в банках и других крупных интранетах весьма активно используется.

юзер и сейчас получается при https-соединении уникально идентифицированным

Провайдером по паре IP:port, избежать можно разве что overlay-сетями.

можно перехватить DNS-соединение

DNSCrypt. Вообще говоря, это не проблема HTTPS в отличии от SNI, через который без использования костылей можно узнать vhost и который работает на всех клиентах без исключений.

насовать левых сертификатов на комп

Без ведома пользователя - уголовно наказуемая хрень, к тому же легко детектируемая если озадачиться.

Не вижу смысла не использовать HTTPS при наличии халявного Let's Encrypt, а необходимо это хотя бы потому, что сильно усложняет MITM-атаки.

Let's encrypt - это не совсем решение. Хотя бы потому что де-факто вынуждает ставить на сайт их код

https://github.com/certbot/certbot код открыт под лицензией Apache.

Но самое неприятное, что защиты-то особой https и не дает, если можно перехватить DNS-соединение или насовать левых сертификатов на комп, с чем скандальчики уже тоже были. Если конечно, сайт не из тех, что pinned.

На данный момент можно без труда себе запилить dnscrypt-proxy, на мобильных девайсах всё сложнее, однако гугол двигает DNS over TLS, так что вскоре всё может измениться.

в последнее время на сайты без https смотрю удивленно и с подозрением. но зависимость огромного количества ресурсов от летсэнкрипта, которому и альтернатив-то, считай, что нет, напрягает, конечно.

Хотя бы не так относились к самоподписанным сертификатам. К примеру вместо зелёного «замочка» ставили бы жёлтый. А то нынешнее положение вещей со сертификатами похоже на лоббирование платных компаний по выпуску сертификатов.

Да и вообще, какое может быть доверие к любому CA, если они могут свистануть ваш приватный ключ во время выдачи сертификата, а дальше кому-то толкнуть? В этом случае тогда свой CA самый безопасный.

Вопрос-то не том, что можно поставить dnscrypt, а что это им надо специально озаботиться, что очень мало кто делает.

Хотя бы не так относились к самоподписанным сертификатам.

Добавишь свой CA в доверенные - будет зелёный замочек.
Иначе в чем тогда прикол, если любой сможет выпустить подобный сертификат?

если они могут свистануть ваш приватный ключ во время выдачи сертификата

А зачем ты им отсылаешь приватный ключ?

Есть подозрение, что это все делается с дальним прицелом. Мы живем в такое время, когда власти всех стран понемногу приходят к мысли о необходимости контроля за интернетом. Переход на https сейчас выглядит не слишком подозрительным. Но ожидаемые шаги, скорее всего будут такими: прижатие браузерами возможности открытия сайтов с самоподписанными сертами; ужесточение контроля при выдаче, LE понемногу введут в общие рамки.

Можно сколько угодно говорить о наличии других браузеров, о том, что всегда можно пропатчить браузер или предпринять подобные меры для поддержания независимости. Но говоря о таких вещах, не стоит забывать, что линукс сообщество, люди для которых доступны такие действия, составляют 1% пользователей интернета. По сути - в пределах статистической погрешности, а них можно не обращать внимания. 99% не смогут заходить на не одобренные свыше сайты. Думаю, что это перспективка на ближайшее десятилетие.

Боюсь от наглости некоторых провайдеров https не спасет. Вот тут бы *надзору подсуетиться и спросить за искажение связи.

От подмены информации и вставки своих скриптов с рекламой спасет.
А *надзору, конечно, лучше подсуетиться, но даже если примут закон, запрещающий искажать трафик, с https всё равно будет спокойнее, кроме провайдеров могут быть разные васяны школохакеры

прижатие браузерами возможности открытия сайтов с самоподписанными сертами

Вряд ли, всякие виндовые антивирусы, корпоративные фильтры делают глобальный MITM и соответственно, требуют возможность ставить свой CA

Иначе в чем тогда прикол, если любой сможет выпустить подобный сертификат?

Прикол в том, что иногда самоподписанного достаточно, например, в интранете (собственно его там и не нужно). Пусть будет даже красный треугольник с восклицательным знаком в строке адреса.

но даже если примут закон, запрещающий искажать трафик,

Так ведь закон есть и давно. Закон «О связи».

Там и хттпс ненужно

Главные корневые сертификаты находятся в США, поэтому они могут сделать МитМ-атаку и расшифровать твоё соединение. Там же, как ни удивительно, находятся корневые DNS серверы и вся прочая инфраструктура.

Не нужен, но его навязывают.

А нет никакой проблемы ввести антивирусы или корпоративные фильтры в общий тренд. Просто поставить перед фактом, понемногу создавая трудности и они все быстро начнуть отдавать полноценные CA. Вон как в KZ чуть целую страну не запихнули под серт. В рамках одной корпорации это вообще не проблема

Сыртификаты не только жрут процессорные ресурсы и защищают лишь от васянов-хакеров, но и представляют потенциальную опасность - а вдруг завтра доступ к буржуйским сыртификатам отключат из-за санкций, и сайты недружественных буржуям организаций станут недоступны.

А зачем ты им отсылаешь приватный ключ?

Ничего он не отсылает. Просто балаболит, а в теме не разбирается.

не одобренные свыше сайты

я правильно понимаю, что ты придумал теорию по которой то, что можно было сделать раньше без затрат не делали потому, что нужно внедрить сложную систему сертификатов?
ну ты там это, к доктору по логике сходи, проверься.

Если же забота доходит до назойливого навязывания с фактической невозможностью отказа или больших сложностей, то тут что-то уже не правильно и надо посмотреть, а нет ли тут второго (а может и третьего) слоя?

Получается, что броузер откажется показывать твой сайт, если сайту не выдан сертификат от доброго дяди из доверенного™ удостоверяющего центра. Дядя же в любой момент может сертификат свой отозвать, если ты попробуешь написать на своем сайте что-либо неугодное дяде (или незаконное с точки зрения законов страны, в которой дядя живёт).

Вот такая занятная «швабодка» вырисовывается в этих ваших веб-два-ноль.

тупо вообще заменяют страницу сайта своей и надо второй раз вызвать сайт, чтобы попасть.

Дом.ру таким грешит.

рамках одной корпорации это вообще не проблема

Именно, что не проблема. А такие сертификаты самоподписанные, их подписывает локальный СА антивируса/фильтра, только сертификат этого СА ставят в пользовательские системы в список доверенных, так что он воспринимается этой системой как «полноценный», с зелёными замочками на страничках.

В локальной сети никто не навязывает

Да и вообще, какое может быть доверие к любому CA, если они могут свистануть ваш приватный ключ во время выдачи сертификата, а дальше кому-то толкнуть?

Тут нужен вот этот мем, только со зрачками в два раза шире.

Ага, а еще конституция. Помогает?

Хром, например, умеет предупреждать о такой системе - говорит, что ваш админ поставил корпоративный MITM, и используйте HTTPS на свой страх и риск. Но работать дает. Файрфокс, когда проверял, даже не ругался.

А вообще, если у вас интернет-банк, то часто там стоит добавленный ручками в доверенные CA сертификат банка.

А если вам надо работать с государственными сервисами (налоговая, центробанк, еще какие хрени), то у вас ручками в доверенные СА добавлен сертификат главного удостоверяющего центра.

10 безопасностей из 10, теперь от тов. Майора спасет только пиннинг.

А чтобы любители кричать, как у Нас всё плохо и не по закону, а у Них всё хорошо и по закону, кричали потише - у Нас MITM по этому рецепту это пока только теория (ну либо нет громких дел). У Них - практика (ну т.е. громкие дела таки есть).

Вся эта лабуда с x509 это не безопасность, а ограничение круга лиц, которым официально разрешено вас ломать.

Да и вообще, какое может быть доверие к любому CA, если они могут сами выпустить валидный сертификат для любого домена, и кому-то толкнуть?

Ну вообще https таки решето

10 безопасностей из 10

Можно для всяких этих интернет-банков, налоговых и прочего завести отдельный браузер, с ГОСТом и криптопро (или чё там ещё)

от тов. Майора спасет только пиннинг

Но это верно

Можно для всяких этих интернет-банков, налоговых и прочего завести отдельный браузер, с ГОСТом и криптопро (или чё там ещё)

ЕМНИП, по крайней мере под оффтопик, только у мозиллы есть своё хранилище сертификатов. Остальные используют системное. Т.е. заводить надо не отдельный браузер, а отдельный компьютер (или как минимум виртуальную машину). Как, кстати, советуют некоторые банки.

Тоже вот напрягает этот вопрос. Но я понял так, что перехватить пароли в HTTP можно намного легче, чем DNS. С другой стороны вокруг HTTPS такой хайп, что перехватом HTTP уже никто и не заинтересуется, все самое ценное и денежное и так хорошо защищено. А неуловимым Джо в любом случае пофиг.

люди для которых доступны такие действия, составляют 1% пользователей ... 99% не смогут заходить на не одобренные свыше сайты

Есть подозрение, что это может быть и правильным подходом. Большинство людей не умеют отличать информацию от «моющих средств». Потому, что их не учили. Ещё многим «умеющим» может быть лень этим заниматься - отличие не всегда очевидно. Итого, возникшая в недавнее время неограниченная возможность распространения контента может приводить к нежелательным (с любых точек зрения) последствиям.

Конечно, можно порешать это всеобщей прививкой т.н. «критического мышления». Но это долго, дорого, и не всегда качественно.

Более дешёвое решение - цензура. Скажем, какая-то контора кое-как банит «неправильное» содержимое. Обход ограничений требует от клиента почитать доку/добавить сертификат и т.п. неочевидные, но достаточно простые действия. Т.о. 99% дефолтно аутсорсят «фильтрацию базара». А кто готов окунать свои мозги в нефильтрованное должен будет включать их заранее. Что хорошо, ибо там они нужны.

когда озабочиваемый имеет возможность сознательно отказаться от нее

Пожалуйста, переходи дорогу всегда на красный и с закрытыми глазами.

Let's encrypt - это не совсем решение потому что де-факто вынуждает ставить на сайт их код
их код

Опенсорсный код. Иди и посмотри что он там выкачивает, толку будет больше чем от твоих параноидальных портянок.

10 безопасностей из 10, теперь от тов. Майора спасет только пиннинг.

Не спасет.

It is acceptable to allow Pin Validation to be disabled for some Hosts according to local policy. For example, a UA may disable Pin Validation for Pinned Hosts whose validated certificate chain terminates at a user-defined trust anchor, rather than a trust anchor built-in to the UA (or underlying platform).

Пока что браузеры так и делают, так что если в системе присутствует CA от товарища майора, браузер ругаться не будет.

whose validated certificate chain terminates at a user-defined trust anchor

EXPLAIN

Потому что без словаря определений звучит так, будто пользователь волен назначать СА, на который можно закорачивать пиннинг. Это же требует дополнительных осознанных телодвижений от юзера. Т.е. не просто добавить СА в доверенные, но осознанно добавить СА в исключения на проверку пиннинга (оно понятно зачем - чтобы корпоративный MITM работал на приколоченных сайтах).

Но это не так страшно как просто добавить доверенный СА, поскольку ты должен явно согласиться, что добавляемый СА сломает тебе пиннинг, а не просто поймать на ровном месте и без явного согласия MITM от какой-нибудь Digital Forensics, сурово посмотревшей на Verisign, или кульхацкера, сломавшего комод, или тов. Майора в ГУЦ.

Или я что-то не понимаю в терминологии?

Да и вообще, какое может быть доверие к любому CA, если они могут свистануть ваш приватный ключ во время выдачи сертификата, а дальше кому-то толкнуть?

А давай ты сначала почитаешь про то, как устроены CA и сама концепция PKI.

Dom.ru таким постоянно грешит

я правильно понимаю, что ты придумал теорию по которой то, что можно было сделать раньше без затрат не делали потому, что нужно внедрить сложную систему сертификатов?

Раньше инет был вообще вольницей. Что хочу, то и ворочу. А сейчас да, сертификаты - один из рычагов контроля, вместе с dpi. Причем то, почему нужны сертификаты - тоже легко объяснимо. Dpi - это контроль за потребителями информации. А сертификаты - контроль за распространителями.

ну ты там это, к доктору по логике сходи, проверься.

Любая теория, прежде чем быть принятой за истину, всегда проходит три стадии - «что за чушь,этого не может быть никогда», «в этом что-то есть», «а разве может быть иначе» )

Есть подозрение, что это может быть и правильным подходом.

В этом то и проблема. Любой контроль, вплоть до крайнего тоталитаризма, всегда создается в самых благих намерениях.

Большинство людей не умеют отличать информацию от «моющих средств». Потому, что их не учили. Ещё многим «умеющим» может быть лень этим заниматься - отличие не всегда очевидно. Итого, возникшая в недавнее время неограниченная возможность распространения контента может приводить к нежелательным (с любых точек зрения) последствиям.

Я согласен, что большинство только одобрит фильтрацию инета «у источника»

Конечно, можно порешать это всеобщей прививкой т.н. «критического мышления». Но это долго, дорого, и не всегда качественно.

Увы, это вообще неосуществимая мечта ) Примерно как коммунизм )

Более дешёвое решение - цензура. Скажем, какая-то контора кое-как банит «неправильное» содержимое. Обход ограничений требует от клиента почитать доку/добавить сертификат и т.п. неочевидные, но достаточно простые действия. Т.о. 99% дефолтно аутсорсят «фильтрацию базара». А кто готов окунать свои мозги в нефильтрованное должен будет включать их заранее. Что хорошо, ибо там они нужны.

Верно. Но все равно пичалька )

надо пропагандировать защиту DNS-соединений

Надо — займись. Мы заодно узнаем сакральный смысл термина «DNS-соединение» в контексте протокола UDP.

А сайты без https не нужны.
</thread>

К примеру вместо зелёного «замочка» ставили бы жёлтый.

Народ, вы бы уже или крестик сняли и трусы бы надели... У топикастера претензия к DNSCrypt в том, что её использует 1% пользователей, а значит она никого не защищает. И тут же требование не агриться на самоподписанные сертификаты, хотя прекрасно понимаете, что если вместо огромной страницы «С ЭТИМ САЙТОМ ЧТО-ТО НЕ ТАК, НА НЕГО НЕЛЬЗЯ ХОДИТЬ» будет лишь жёлтый колокольчик, то 99% пользователей и не заметит этого, похерив всю идею tls окончательно.