Безобидно ли настойчивое желание всюду впарить https

Дядя же в любой момент может сертификат свой отозвать

Мать Селестия, да откуда вы лезете? Дяде не надо возиться с отзывом сертификата. Опасаясь, что вы сделаете новый. Если дяде надо закрыть ваш сайт, то он пойдёт через суд и хостер его удалит, регистратор разделегирует домен, а в крайнем случае провайдерам будет предписано блокировать доступ на него.

Чего же убьёт? Шифрование то будет. MitM не считается.

MitM не считается.

Именно считается. Особенно сегодня. Начиная от желания менеджеров провайдеров (как последней мили, так и магистральных) впихнуть уникальные предложения для пользователей в каждую страницу и кончая всяких Яровых, страстно желающих хранить расшифрованный трафик и даже простого админа Васяна, подрабатывающего у провайдера и не прочь подсунуть майнер monero каждому клиенту.

Если дяде надо закрыть ваш сайт

Ты назвал 3 способа, этот станет четвертым. Потому что каждый из этих способов по отдельности так или иначе можно обойти.

Ещё только может быть станет, но ор стоит как будто это единственный способ и виноват во всём tls, а не дядя.

Ну дык именно дядина рука его так активно внедряет, других заинтересованных лиц нет

Это все заговор корпораций. Спасайся, заклей жопу скотчем, чтоб в нее не попали наночипы врага, а сам беги в тайгу.

Если конечно, сайт не из тех, что pinned.

https://hstspreload.org/ и в чём проблема? Каждый сайт должен быть pinned.

DNS

Решето by design. dnscrypt — мертворожден и недавно сдох, уступив dns-over-tls, но это всё ещё не решение.

Кого цитируешь?

И да, реши проблему доверия незнакомцу без третьей стороны, потом ной.

То, что сейчас нет более годных решений, не отменяет того факта, что https решето.

Сейчас? Их принципиально нет, PKI или аналог неустранимы.

Можно придумать какой-нибудь блокчейн с сертификатами, щас же это модно

Их принципиально есть. Ты идешь в банк с паспортом и получаешь токен. Ну или в общем случае - предварительно обмениваешься секретными ключами по гарантированно защищенному каналу.

И PKI не решает проблемы доверия незнакомцу. Точнее, это не то доверие, которе тебе на самом деле нужно. Доверие, которое тебе на самом деле нужно, это выполнение обязательств сторон контракта в рамках одной транзакции (чтобы либо обе стороны выполнили обязательства, либо контракт был разорван без потерь для любой стороны). А PKI это всего-лишь не очень надежный способ подтвердить, что это именно тот незнакомец, которого ты имел в виду.

других заинтересованных лиц нет

Это уже клиника. В первом же посте показал, что заинтересованы все пользователи. Потому что у среднего пользователя есть реальный шанс столкнуться с 3.14дарасом на магистральном канале, который с удовольствием врежет ему рекламу или криптомайнер. И более чем призрачные - столкнуться с отзывом сертификата дядей. У которого в руках уже сейчас более действенные методы, чем этот.

И да, реши проблему доверия незнакомцу без третьей стороны, потом ной.

PKI это всего-лишь не очень надежный способ подтвердить, что это именно тот незнакомец, которого ты имел в виду.

ОК, убедил, реши для начала эту.

Мать Селестия

Папа Егор.
Дяде неинтересно идти в суд. В отличие от тебя, дядя знает, сколько стоит адвокат и судебные издержки. Так же, дядя не любит встречаться с другими дядями, которые могут попросить поделиться. Дяде нужна надежная кнопка отключения карапузов, желательно без привлечения внимания других дядь.

ОК, убедил, реши для начала эту.

Идешь в банк с паспортом... Ну и т.д. и т.п.

Дяде неинтересно идти в суд. В отличие от тебя, дядя знает, сколько стоит адвокат и судебные издержки.

Вам сколько лет, интересно? Потому что мне стало интересно, как можно было не понять, что под «дядей» тут имеются ввиду спецслужбы. Которые ничего не боятся, а в суды ходят как к себе на работу. В основном потому что это их работа и есть. Оплачиваемая из налогов.

А одиноким нищебродам, которые даже на адвоката жмутся никто отзыв сертификата делать не будет, потому что выдача сертификатов - бизнес любой такой компании.

Вам сколько лет, интересно?

Старше тебя.

как можно было не понять, что под «дядей» тут имеются ввиду спецслужбы.

А кого они обслуживают?

Которые ничего не боятся, а в суды ходят как к себе на работу.

Ты плохо себе представляешь внутреннюю кухню спецслужб. Меньше кино смотри.

Старше тебя.

У-у-у. Школьник в ярости. :-D

А кого они обслуживают?

Нищебродов, которые будут из под полы просить удостоверяющий центр по тихому отозвать сертификат. Очевидно же.

Меньше кино смотри.

Просветите меня. Примерами не из кино. (P.S. Мультики и комиксы тоже не считаются.)

незнакомцу

без третьей стороны

Ты — ОС. Ты открыл свой первый сокет с момента установки, и тебе надо убедиться, что с той стороны — именно vasyan.org. И только вякни еще про паспорт и банк.

Валяй. Ты — ОС. Ты открыл свой первый сокет с момента установки, и тебе надо бустрапнуть и скачать блокчейн с сертификатами, без доверия провайдеру. Твои действия?

это как сознательно отказаться от прививки во время зомби-апокалипсиса. можно, но только один раз. после, окружение само начнёт отстреливать таких отказников, т.к. ты этим отказом уже несёшь угрозу.

У круза, ЕМНИП, выжили как раз отказавшиеся.

Ты звонишь васяну и просишь продиктовать фингерпринт pgp ключа.

Альтернатива - vasyan.org дает тебе филькину грамоту, подписанрную одним из овер9000 «доверенных» СА (степень доверенности определяют разработчики софта и наличие обновлений). «Доверенный» СА может быть хакнуть иранскими хакерами и месяц раздавать налево и направо сертификаты гмейла, пока сотрудники СА знают и молчат. «Доверенный» СА может быть хакнут израильскими спецслужбами, чтобы подписать стукснет валидными сертификатами риалтека. «Доверенный» СА может быть в банановой республике (Венесуэла, рили?), в упоротой теократии (ОАЭ, рили?), в «неблагожелательном государстве», где СА контролируется государством напрямую в идеологических целях (китайцы, ау!), в «благожелательном государстве», где промежуточный СА аутсорсится киберсекьюрити конторам в «коммерческих» (читай, шпионских) целях (Франция, ау! Штаты, кстати, тоже ау, но не удалось найти инфу, хотя в начале нулевых она была). В «доверенном» СА может работать уборщица Маня, выписывающая рандомному хрену с горы сертификат на microsoft.com потому что социал инжиниринг (verisign, ау!). Итого, стоит хотя-бы одному из 100500 занятых в индустрии человеков лажануться, и vasyan.org уже не торт.

Ну т.е. когда ты смотришь в рекламный проспект Packet Forensics и видишь фразу «Your investigative staff will likely collect its best evidence while users are lulled into a false sense of security afforded by web, e-mail or VoIP encryption», то как-то поздно уже пить боржоми. Собственно вот - false sense of security это и есть Суть PKI. Перекидываться по HTTPS котиками - это да, это можно. Что-то серьезнее - увлоьте.

Почему я должен мешать провайдеру вставлять на свой сайт полезные уведомления? Я, может, и мудак, но не настолько. Иди-ка в пинус со своим противоречащим KISS фашизмом.

Вирусня была ещё в те времена. И куда более коварная.

99% не смогут заходить на не одобренные свыше сайты

Так они и так не ходят, хрен с ними.

Почему я должен мешать провайдеру вставлять на свой сайт полезные уведомления?

Трололо на уровне «толстый зелёный».

Мать Селестия

А Дочь и Святой Дух кто?!

Почему трололо? Четыре года назад меня так опсос предупредил так о повышении тарифов. Не предупредил бы — остался бы я внезапно без интернетов, несмотря на настроенный регулярный платёж.

который с удовольствием врежет ему рекламу или криптомайнер

Будто что плохое. Многие хомячки даже не подозревают, что их колоссальные вычислительные ресурсы простаивают и их можно задействовать с пользой. А кто осознаёт и не хочет, пускай защищается сам.

Вам сколько лет, интересно? Потому что мне стало интересно, как можно было не понять, что под «дядей» тут имеются ввиду спецслужбы. Которые ничего не боятся, а в суды ходят как к себе на работу. В основном потому что это их работа и есть.

Детсад ) Спецслужбы по судам не ходят. Они все решают тихо, келейно и быстро.

Четыре года назад меня так опсос предупредил так о повышении тарифов.

Предупредил не sms/звонком робота на контактный телефон, не письмом на указанный в договоре email, а именно вторжением в http трафик?

И вы это считаете правильным и нормальным.

Вы не хотите воспользоваться более человечными методами. Например, чтобы в личном кабинете можно было поставить галочку «получать полезные уведомления прямо в трафик» и кликнуть по ссылке «установить наш левый корневой сертификат в качестве доверенного». Вы не хотите установить сайт провайдера как домашнюю страничку и начинать день с чтения невероятно полезных уведомлений. И даже не хотите, чтобы можно было зайти на этот сайт один раз и утвердительно ответить на запрос браузера «хотите ли вы получать невероятно полезные уведомления от этого сайта» и дальше наслаждаться ими.

Нет. Вы хотите, чтобы их пихали прямо в трафик. Всем. Принудительно. А кто не согласен с этим - тот фошизд. Яснопонятно.

А Дочь и Святой Дух кто?!

Дочь - Твайлайт Спаркл, ибо послана была в Понифиль для спасения всехпони.
Дух - Фларри харт, ибо дух от её королевских подгузников воистину божественной силы! (P.S. Вам и правда всё это интересно?)

Они все решают тихо, келейно и быстро.

Ещё один школьник всё знает из мультиков и кино.

ОК, шланг.

Просветите меня.

У тебя столько денег нет.

У тебя столько денег нет.

А, ну ясно.

А SMS с предупреждением опсос прислать ну никак не мог? Или у тебя это свисток был?

Вы хотя бы за новостями следите? ) Чуть ли не каждый день сверху идут новые предложения о том, чтобы блокировку производить без решения суда. Суд же - это место, где надо приводить доводы и где действия органов власти можно и нужно оспаривать, что полностью противоречит самому назначению спецслужб. Откуда вы вообще взяли эту идею -будто спецслужбы ходят по судам и дают вам возможность оспаривать их действия? ) Вспомните нотификацию - спецслужбы решили, спустили свое решение вниз и вы имеете дело только с таможенниками. Хрен вам дадут возможность судиться с сами спецслужбами, для этого есть менты, прокуроры, таможенники, роскомнадзоры и прочие.

на контактный телефон
на указанный в договоре email

Ясно, рашкованы даже не представляют, что можно просто купить в магазине модем и пользоваться.

более человечными методами

В наше время понятия рабства и ущемления свободы часто подменяют понятиями цивилизации и общественного блага. Не надо так делать.

чтобы в личном кабинете можно было поставить галочку

На каждый эпизодический юзкейс галочку внедрять? Они ж не каждый год такое чудят.

домашнюю страничку

Это что ещё за привет из 90-х?

чтобы их пихали прямо в трафик. Всем. Принудительно

Опсос имеет право, он этот трафик передаёт. Всё равно что ныть, что при платеже на 100 рублей реально стягивается 102, потому что комиссия.

ибо послана была в Понифиль для спасения всехпони

Тема предсказания пришествия Лунной Пони в какой-то Мухосранск не раскрыта. Так что это стечение обстоятельств, прилетела бы в деревню уравниловки — ходила бы Глимми с крылышками.

дух от её королевских подгузников воистину божественной силы!

Это уже было в Короле Симбе II, боян, перефорс.

Ну гипотетически он мог прислать SMS на свисток. И свистопердельный Mobile Partner его бы даже показал. А кто тупой модемодозванивалкой коннектится, тот ССЗБ :->

Чуть ли не каждый день сверху идут новые предложения о том, чтобы блокировку производить без решения суда.

Вы хотя бы понимаете, что жизнь на Земле не ограничивается Российской Федерацией. Равно как и IT с его развитием и поддержкой расположены далеко не здесь? И уж точно не правительство РФ и его «спецслужбы» решают какие технологии и куда пропихивать.

В августе сотрудники ФСБ пришли к Соколову второй раз — чтобы забрать компьютеры его жены и детей. Им также удалось изъять незашифрованный жесткий диск активиста и получить доступ к его почте. Благодаря этому следствие сделало его обвиняемым и по делу о постах в фейсбуке — так как зарубежная соцсеть, в отличие от российских, не сотрудничает с властями и не выдает пользователей, единственным способом связать реального человека и аккаунт оказалась почта, на которую приходили уведомления. Чтобы придать сообщениям из электронного ящика статус легальных доказательств, сотрудники ФСБ задним числом оформили это как «снятие информации с технических каналов связи» — то есть как «прослушку» через СОРМ. На самом же деле они, сидя в кабинете, просто открывали браузер на компьютере Соколова, заходили в аккаунт и читали сообщения — например, его жалобы в прокуратуру на незаконное преследование по 282 статье или рассказ о предыдущем обыске.

Считаю разумным принцип, что забота о чьей-то безопасности только тогда является реально заботой о ней, когда озабочиваемый имеет возможность сознательно отказаться от нее

Возможность получить безопасность всем куда важнее возможности горстки неадекватов от неё отказаться. А с этим сейчас очень плохо, потому что всем пофиг, а некоторые ещё и вижжат против. Поэтому то что незащищённые соединения ущемляются как только можно, это очень правильно.

Хотя бы потому что де-факто вынуждает ставить на сайт их код, который что-то там выкачивает

Как у вас при таком уровне компетенции поднялась рука создать тему? Идите учите матчасть. Есть с десяток реализаций клиентов протокола ACME, хоть руками сертификаты подписывай.

Но самое неприятное, что защиты-то особой https и не дает, если можно перехватить DNS-соединение или насовать левых сертификатов на комп

Ещё одно безграмотное утверждение. Никакое вообще решение по безопасности не заёт «особой» защиты, для каждого что-то «можно». Вплоть до перехватить сигнал от контроллера клавиатуры или насовать хардварных жучков на комп. HTTPS, как и любая технология, всего лишь делает устраняет или усложняет часть атак. Когда каждый сраный опсос пихает в трафик свою рекламу и продаёт кому не попадя точный список товаров и тем которыми я интересовался в сети, о каких нафик левых сертификатах можно говорить?

Возможность получить безопасность всем куда важнее возможности горстки неадекватов от неё отказаться. А с этим сейчас очень плохо, потому что всем пофиг, а некоторые ещё и вижжат против. Поэтому то что незащищённые соединения ущемляются как только можно, это очень правильно.

Ну вот ты уже заранее назвал горсткой неадекватов, тех кто хотел бы от чего-то отказаться. А ведь в данном контексте речь о том, чтобы не заставлять искусственно насаждать https и не более того.

Как у вас при таком уровне компетенции поднялась рука создать тему? Идите учите матчасть. Есть с десяток реализаций клиентов протокола ACME, хоть руками сертификаты подписывай.

Может и зря об этом, просто на практике ставят нечто от них. Ну да, можно обойтись.

HTTPS, как и любая технология, всего лишь делает устраняет или усложняет часть атак. Когда каждый сраный опсос пихает в трафик свою рекламу и продаёт кому не попадя точный список товаров и тем которыми я интересовался в сети, о каких нафик левых сертификатах можно говорить?

Про опсосы я повторюсь, что все еще впереди, опсосы просто еще не выдумали, не отработали технологии как нагнуть юзеров с https и vpn. Когда таких станет слишком много, они что-нибудь выдумают, не беспокойся за эти компании =) И не исключено выдумают такое, что вставка лишних тегов в html покажется небольшой шалостью.

И я еще раз повторю, я не против https, но против, чтобы их запихнули во все щели, где надо и не надо, при том, что к ssl/tls есть немало вопросов. А про DNS тут смысл в том, что все должно равномерно развиваться, на текущий момент https уже практически везде стоит, где передается какая-то чувствительная информация (хотя бы логин/пасс) и на первый план начинает вылезать ненадежность DNS, а не открытость http.

Let's encrypt - это не совсем решение. Хотя бы потому что де-факто вынуждает ставить на сайт их код, который что-то там выкачивает.

Клиент имеет открытый код, имеются альтернативные реализации от сторонних разработчиков. В чем проблема?

Ладно хрен с их клиентом, возможно не совсем подумавши добавил об этом.

Вообще-то возможно не отдавать приватный ключ центру сертификации и при этом все равно получить сертификат. Просто это требует чуть больше действий со стороны пользователя. Кстати, let's encrypt вроде как так и делает.

Ясно, рашкованы даже не представляют, что можно просто купить в магазине модем и пользоваться.

И в какой же стране телематические услуги оказываются без заключения договора? (Подсказка: Оферта - это договор.) Понимаете, если вы как человекаайпадоножка жмякаете на всё не глядя, это ещё не значит, что вы ничего не подписывали и ничего не обязаны. :)

В наше время понятия рабства и ущемления свободы часто подменяют

Вы ведь уже не помещаетесь в тред, вы вытекаете из него...

На каждый эпизодический юзкейс галочку внедрять?

Такова судьба тех, кто хочет экзотики.

Это что ещё за привет из 90-х?

Ну, ничего. Сам интернет родом вообще из 80-х. И ничего, пользуемся.

ныть, что при платеже на 100 рублей реально стягивается 102, потому что комиссия

«Вот потому-то наша Родина - жопа, сынок». (C) Как известно, скупой платит дважды, тупой - трижды, а лох - постоянно. И ещё радуется. (Ну или короче говоря, такие вопросы должны оговариваться заранее. А вот когда договорились на 100, а внезапно вылезает 102, то господину «на эти 2 процента и живу» пора бить морду.)

Опсос имеет право, он этот трафик передаёт.

Не имеет. Закон о связи регламентирует опсосам только деятельность по передаче трафика.

Изучи матчасть. Связь с CA для установки https соединения не требуется в принципе. Корневые сертификаты хранятся в ОС или браузере. Сервер отдаёт цепочку всех остальных сертификатов необходимых для проверки и браузер их проверяет.