forum.opennet.ru - "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." (58)

"Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+/–
Сообщение от opennews (ok), 13-Янв-20, 12:56
Компания Mozilla объявила о начале тестирования в ночных сборках Firefox нового механизма определения отозванных сертификатов - CRLite. CRLite позволяет организовать эффективную проверку отзыва сертификатов по базе данных, размещаемой на системе пользователя. Развиваемая в Mozilla реализация CRLite опубликована под свободной лицензией MPL 2.0. Код для генерации БД и серверные компоненты написаны на Python и Go. Добавленные в Firefox клиентские части для чтения данных из БД подготовлены на языке Rust... Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52175
Ответить \| Правка \| Cообщить модератору

Оглавление

На моём модеме полтора мегабайта качаются полчаса, Lockywolf (ok), 12:56 , 13-Янв-20, (1) –3

14400 , Crazy Alex (??), 13:01 , 13-Янв-20, (5) +4

И все-все-все , Аноним (9), 13:13 , 13-Янв-20, (9) +6

О, кто-то помнит ещё - , Crazy Alex (??), 13:27 , 13-Янв-20, (11) +2

Анон ничего не забывает , Аноним (9), 13:35 , 13-Янв-20, (14) +4

А помнишь Чубакку , Аноним (21), 14:34 , 13-Янв-20, (21) +1
Анона тогда ещё не было Где появился 9600 там настоящие имена требовалось ук, pda (?), 20:05 , 13-Янв-20, (45) +1

Модем на 16800 у меня был, но соединялся только на 14400 А вот про все-все-все, Аноним (28), 16:45 , 13-Янв-20, (28)

Книжка называется 9600 бод и все-все-все , известная тема, Аноним (29), 16:56 , 13-Янв-20, (29) +2

Зачем тебе тогда Firefox , N (?), 13:06 , 13-Янв-20, (6) +3
И зачем ты потратил 5 минут своего модема на бесполезный коментарий , Аноним (18), 13:49 , 13-Янв-20, (18) +12

Мне вон до сих пор нотифы с баштела блочит, хотя у них серт вроде непротухший П, Невдолим (?), 12:57 , 13-Янв-20, (2) –3

после этой фигни станет еще круче - любой сайт может оказаться заблочен потому, мурзилла (?), 13:24 , 13-Янв-20, (10) –12

Вообще-то фильтры Блума - это вполне скучная и выверенная криптография, Crazy Alex (??), 13:29 , 13-Янв-20, (12) +5

главное - свято верить, молиться и поститься, что вываренная криптография от одн, мурзилла (?), 15:21 , 13-Янв-20, (24) –6

Костыль этот прям в новости описан, привет , имя (ok), 17:51 , 13-Янв-20, (31) +2

я и говорю - мы отлично замазали тот факт, что этот костыль достоверным не являе, мурзилла (?), 19:41 , 13-Янв-20, (39) –2

И каким местом это криптография Это обычная вероятностная структура данных, пре, bircoph (ok), 02:58 , 14-Янв-20, (53) +1

Для таких как мурзилла - любой алгоритм сложнее чем 2 2 непонятен Значит, крипт, Аноним (-), 08:27 , 14-Янв-20, (55) –2

И при этом не слово о проверке данных Т е базу может подменить любой желающий , Аноним (4), 12:58 , 13-Янв-20, (4) –4

И так понято, что CRLite будет проверяться по цифровой подписи, как провереются , Аноним (8), 13:10 , 13-Янв-20, (8) +3
Небольшой офтопик Я просто оставлю это здесь Друг просил Hello aluzzardi, хотел спросить (?), 23:46 , 13-Янв-20, (52)

Обожаю мозиллу, корпорация добра, Аноним (7), 13:07 , 13-Янв-20, (7) +1

Они достигли определенных успехов в нанесении пользы и причинении добра , Аноним (-), 13:32 , 13-Янв-20, (13) +10
Работают по методичке Гугла, как обычно Хром давно отказался от OCSP, потому что, Аноним (35), 19:05 , 13-Янв-20, (35) +1

Даже не смотря на сотни мегабайт, это определенно лучше, чем пинок на левые серв, DerRoteBaron (ok), 13:41 , 13-Янв-20, (16) +6

Обновлять-то всё-равно как-то придётся, mumu (ok), 13:46 , 13-Янв-20, (17)

При этом через обновления не утекает история посещений, в худшем случае активнос, DerRoteBaron (ok), 15:39 , 13-Янв-20, (26) +7

история продолжит утекать по другим каналам, Аноним (43), 19:59 , 13-Янв-20, (43)

То ли я чего-то фатально не понял, то ли там сильно лукавят c гигабайтами и ра, Аноним84701 (ok), 20:19 , 13-Янв-20, (46)

Но ведь в этом случае, если нашли начало хеша по локальной урезанной базе, нуж, Гентушник (ok), 20:29 , 14-Янв-20, (61)

Не-не-не Я же специально написал об учитывании возможности ложных срабатываний, Аноним84701 (ok), 21:01 , 14-Янв-20, (62)

Ну я просто не использую ostp, crtlite тоже можно будет вырубить , mommy (?), 08:56 , 14-Янв-20, (57)

В Firefox сейчас можно вырубить много что Даже то, что этот Firefox в конец раз, DerRoteBaron (ok), 10:42 , 15-Янв-20, (63)

К этой статье полезно дать ссылку, насколько все плохо с проверкой отозванных се, Аноним (18), 13:51 , 13-Янв-20, (19) +2

мы сломали, поэтому и не работает Нам, если что, гугель так велел, мы не сами , мурзилла (?), 15:22 , 13-Янв-20, (25)

Я помню когда браузеростроители работали именно над браузером А сейчас что не н, Онаним (?), 14:20 , 13-Янв-20, (20) –2

Мурзилла портит браузер не для того, чтоб люди его выбирали пользоваться, а чтоб, Anonymoustus (ok), 14:59 , 13-Янв-20, (22) +4

Т е каждый день браузер будет обновлять базу, его фингерпринт будет фиксировать, BigBoobs (?), 15:19 , 13-Янв-20, (23)

А что если обновлять базу из репозитория пакетов дострибутива , Сейд (ok), 16:14 , 13-Янв-20, (27) +1
С OCSP при желании уже сейчас можно отследить куда более интересные данные, если, имя (ok), 17:55 , 13-Янв-20, (32) +2

ну и для чего, спрашивается, мы так стремились уничтожить любые CA, кроме letshi, мурзилла (?), 19:44 , 13-Янв-20, (40) –1

а что если отозвать все сертификаты, гудбай суверенный интернет , Аноним (30), 17:06 , 13-Янв-20, (30)

а ты думаешь, зачем делается централизованный контроль всего и почему в противо, Аноним (43), 18:32 , 13-Янв-20, (33) +1
Тоже об этом подумал Самое время нашим суверенноинтернетостроителям подумать об, anonymous (??), 19:10 , 13-Янв-20, (36)

И кто им будет доверять , Ivan_83 (ok), 19:12 , 13-Янв-20, (37) –1

ты и будешь А не будешь - отключим газ И интернет Ой мы ж уже Впрочем, уж, тов. майор (?), 19:46 , 13-Янв-20, (41)

А когда благодаря всему этому экономика ухнет и станет нечего или не на что жрат, Аноним (-), 08:33 , 14-Янв-20, (56) –1

Ну зачем же забьет Служба - она и опасна, и трудна Очередного нацпредателя на, пох. (?), 10:06 , 14-Янв-20, (59)

а никогда не задумывался, зачем какому-нибудь дойчателекому иметь свой CA , Аноним (43), 20:02 , 13-Янв-20, (44)

конечно же мы такие же м ки как и ваши операторы, и обожаем подделывать чужие с, дойчтелеком (?), 22:26 , 13-Янв-20, (48) –1

Комодо же емнип выдавал валидные фейковые серты на домены и всё ещё доверенный , Аноним (51), 23:38 , 13-Янв-20, (51)

нет Что продает _вам_ letshitcrypt Правильно - ничего А это значит - он продае, пох. (?), 09:58 , 14-Янв-20, (58)

Я правильно понимаю, что эта эффективно упакованная база будет полностью распа, Diamond00744 (ok), 18:54 , 13-Янв-20, (34) –1

Нет wiki Фильтр_Блума, Аноним (38), 19:17 , 13-Янв-20, (38)

То, что надо Готовся вечно покупать оперативку, потому что для Мозиллы бесконечн, Аноним (60), 13:18 , 14-Янв-20, (60)

Из этой упакованной базы нельзя получить оригинал, только проверить есть ли в , Анонимус2 (?), 19:52 , 13-Янв-20, (42) +1

В продолжение темы - статистика по эксперименту от Мозиллы https blog mozill, Total Anonimus (?), 15:53 , 23-Янв-20, (64)

Сообщения [Сортировка по времени | RSS]

1. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –3 +/–

Сообщение от Lockywolf (ok), 13-Янв-20, 12:56

На моём модеме полтора мегабайта качаются полчаса

Ответить | Правка | Наверх | Cообщить модератору

5. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +4 +/–

Сообщение от Crazy Alex (??), 13-Янв-20, 13:01

14400?

Ответить | Правка | Наверх | Cообщить модератору

9. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +6 +/–

Сообщение от Аноним (9), 13-Янв-20, 13:13

>14400?
И все-все-все.

Ответить | Правка | Наверх | Cообщить модератору

11. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +2 +/–

Сообщение от Crazy Alex (??), 13-Янв-20, 13:27

О, кто-то помнит ещё :-)

Ответить | Правка | Наверх | Cообщить модератору

14. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +4 +/–

Сообщение от Аноним (9), 13-Янв-20, 13:35

Анон ничего не забывает!

Ответить | Правка | Наверх | Cообщить модератору

21. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +1 +/–

Сообщение от Аноним (21), 13-Янв-20, 14:34

А помнишь Чубакку?

Ответить | Правка | Наверх | Cообщить модератору

45. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +1 +/–

Сообщение от pda (?), 13-Янв-20, 20:05

Анона тогда ещё не было. Где появился 9600... там настоящие имена требовалось указывать. :)

Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

28. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним (28), 13-Янв-20, 16:45

Модем на 16800 у меня был, но соединялся только на 14400. А вот про "все-все-все" не слышал.

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

29. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +2 +/–

Сообщение от Аноним (29), 13-Янв-20, 16:56

Книжка называется "9600 бод и все-все-все", известная тема

Ответить | Правка | Наверх | Cообщить модератору

6. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +3 +/–

Сообщение от N (?), 13-Янв-20, 13:06

Зачем тебе тогда Firefox?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

18. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +12 +/–

Сообщение от Аноним (18), 13-Янв-20, 13:49

И зачем ты потратил 5 минут своего модема на бесполезный коментарий?

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

2. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –3 +/–

Сообщение от Невдолим (?), 13-Янв-20, 12:57

Мне вон до сих пор нотифы с баштела блочит, хотя у них серт вроде непротухший. После этой фигни перестанет или будет ещё лучше?

Ответить | Правка | Наверх | Cообщить модератору

10. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –12 +/–

Сообщение от мурзилла (?), 13-Янв-20, 13:24

после этой фигни станет еще круче - любой сайт может оказаться "заблочен" потому что случайно совпал какой-то бредовый код вычисляемый по из пальца высосанным алгоритмам.
Ну, разумеется, кроме сайтов гугля, гугля и гугля, которые мы на такое совпадение проверяем и добавляем исключение - а васян-сайты должны умереть (так сказал гугль, который нам за это платит)!

Ответить | Правка | Наверх | Cообщить модератору

12. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +5 +/–

Сообщение от Crazy Alex (??), 13-Янв-20, 13:29

Вообще-то фильтры Блума - это вполне скучная и выверенная криптография

Ответить | Правка | Наверх | Cообщить модератору

24. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –6 +/–

Сообщение от мурзилла (?), 13-Янв-20, 15:21

главное - свято верить, молиться и поститься, что вываренная криптография от одного своего упоминания волшебным образом решает любые проблемы, и даже шрамы от вскрытия рассасывает.
А что она не предназначена для употребления подобным образом и никакие костыли и подпорки неспособны исправить этот недостаток - мы скромненько замажем.

Ответить | Правка | Наверх | Cообщить модератору

31. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +2 +/–

Сообщение от имя (ok), 13-Янв-20, 17:51

> и никакие костыли и подпорки неспособны исправить этот недостаток
Костыль этот прям в новости описан, привет.

Ответить | Правка | Наверх | Cообщить модератору

39. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –2 +/–

Сообщение от мурзилла (?), 13-Янв-20, 19:41

я и говорю - мы отлично замазали тот факт, что этот костыль достоверным не является.
Прикладывайте нашу вываренную криптографию так же к чирьям, родимым пятнам и комариным укусам - она и в этом случае отлично поможет, если, конечно, веровать.

Ответить | Правка | Наверх | Cообщить модератору

53. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +1 +/–

Сообщение от bircoph (ok), 14-Янв-20, 02:58

И каким местом это криптография? Это обычная вероятностная структура данных, предназначенная для уменьшения количества запросов к дорогостоящему и медленному источнику.

Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

55. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –2 +/–

Сообщение от Аноним (-), 14-Янв-20, 08:27

Для таких как мурзилла - любой алгоритм сложнее чем 2+2 непонятен. Значит, криптография!

Ответить | Правка | Наверх | Cообщить модератору

4. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –4 +/–

Сообщение от Аноним (4), 13-Янв-20, 12:58

И при этом не слово о проверке данных. Т.е. базу может подменить любой желающий?

Ответить | Правка | Наверх | Cообщить модератору

8. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +3 +/–

Сообщение от Аноним (8), 13-Янв-20, 13:10

И так понято, что CRLite будет проверяться по цифровой подписи, как провереются  загружаемые обновления  и чёрные списки. От подмены на стороне клиента ничего не поможет, с тем же успехом можно настройки изменить, чтобы по OCSP  не лез.

Ответить | Правка | Наверх | Cообщить модератору

52. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от хотел спросить (?), 13-Янв-20, 23:46

Небольшой офтопик... Я просто оставлю это здесь )) Друг просил ))
Hello aluzzardi
They use Psychological Warfare against those who would like to continue pamusb development.
https://twitter.com/FailDef/status/1216514303416815616
aledged and known attacking vectors known so far:
http://hackerscardgame.ch (they will maybe qFire your modem if you access it [see Jacob Applebaum: to protect and infect part 2,
-> part with Quantum Inserts, TURBINE, TARMOIL
greetings from a bigger penguin
Marc jr. Landolt

Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

7. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +1 +/–

Сообщение от Аноним (7), 13-Янв-20, 13:07

Обожаю мозиллу, корпорация добра

Ответить | Правка | Наверх | Cообщить модератору

13. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +10 +/–

Сообщение от Аноним (-), 13-Янв-20, 13:32

Они достигли определенных успехов в нанесении пользы и причинении добра.

Ответить | Правка | Наверх | Cообщить модератору

35. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +1 +/–

Сообщение от Аноним (35), 13-Янв-20, 19:05

Работают по методичке Гугла, как обычно.
Хром давно отказался от OCSP, потому что 1) он требует вызовов к сторонним серверам при каждом SSL соединении, а это лишние тормоза 2) OCSP вызывает утечки данных о посещаемых сайтах центрам авторизации (а они у Гугла не в доле). Хром тоже мог бы использовать что-то вроде CRLite, но ему в любом случае нужно стучать на сервера гугла о каждом посещаемом URL, так что им просто нет нужды.

Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

16. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +6 +/–

Сообщение от DerRoteBaron (ok), 13-Янв-20, 13:41

Даже не смотря на сотни мегабайт, это определенно лучше, чем пинок на левые сервера по одному урлу

Ответить | Правка | Наверх | Cообщить модератору

17. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от mumu (ok), 13-Янв-20, 13:46

Обновлять-то всё-равно как-то придётся

Ответить | Правка | Наверх | Cообщить модератору

26. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +7 +/–

Сообщение от DerRoteBaron (ok), 13-Янв-20, 15:39

При этом через обновления не утекает история посещений, в худшем случае активность

Ответить | Правка | Наверх | Cообщить модератору

43. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним (43), 13-Янв-20, 19:59

история продолжит утекать по другим каналам

Ответить | Правка | Наверх | Cообщить модератору

46. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним84701 (ok), 13-Янв-20, 20:19

> Даже не смотря на сотни мегабайт, это определенно лучше, чем пинок на левые сервера по одному урлу
То ли я чего-то фатально не понял, то ли там сильно лукавят c "гигабайтами" и размерами БД:
> Например, в бинарной форме используемые при генерации исходные данные требуют около 16 ГБ памяти при хранении в СУБД Redis, а в шестнадцатеричном виде дамп всех серийных номеров сертификатов занимает около 6.7 Гб
> ...
> БД отозванных сертификатов занимает около 300 МБ
Конечному пользователю не нужно хранить базу быстрого доступа или номера всех 100 млн. активных сертификатов (что и не далается и в сабже).  Т.е. 16ГБ памяти - это сугубо "проблемы мозилы при генерации сабжевой структуры".
Конечному пользователю нужна только возможность (быстро) проверить, нет ли среди 750 000 отозванных определенного сертификата.
Для этого достаточно передать список первых 128 или 64 бит или даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов.
А это: 750 000 * 16 = 12МБ или 750 000 * 8 = 6МБ, 750 000 * 4 = 3МБ.
Однократно.
В принципе, те же яйца в профиль, но передавая хеши, а не готовую структуру данных, имеем намного меньше проблем с обновлениями. Т.к. в отличие от сабжа (где, насколько я понял, каждый раз генерируется новая структура данных, сильно отличная от предыдущей, так что дельта-обновления "получаются неоправданно большими" ) можно при запросе просто передавать список хешей добавленных после определенной даты сертификатов, который [список] клиент самостоятельно добавит в базу – а не каждый раз заставлять качать полностью новую структуру размером в мегабайт.

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

61. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Гентушник (ok), 14-Янв-20, 20:29

> даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов.
Но ведь в этом случае, если нашли начало хеша по локальной "урезанной" базе, нужно будет всё равно послать запрос OCSP и убедиться что полный хеш всё же совпадает.
Это конечно, в целом, сокращает количество запросов OCSP, но проблему атак на блокирование OCSP не решает (описана в новости).
Так же, небольшая часть данных всё равно будет утекать (по отозванным и "похожим" сертификатам).
Если же дополнительную проверку по OCSP не делать и верить урезанному списку наслово, то возможны ложные срабатывания. Будет забавно если кто-нибудь этим воспользуется и сделает сертификат с началом хеша как у google.com, а потом отзовёт его.

Ответить | Правка | Наверх | Cообщить модератору

62. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним84701 (ok), 14-Янв-20, 21:01

>> даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов.
> Но ведь в этом случае, если нашли начало хеша по локальной "урезанной"
> базе, нужно будет всё равно послать запрос OCSP и убедиться что
> полный хеш всё же совпадает.
Не-не-не. Я же специально написал об "учитывании возможности ложных срабатываний".
Т.е. сделать, как в сабже (только "в профиль") -- иметь  доп. список (в новости: "layer") для ложных срабатываний.
Или использовать вариабельное кол. бит, достаточное для избежания коллизий.
Там, на первый взгляд, проблема будет только в том, что в давно не обновленном списке какой нибудь новый (валидный) сертификат может попасть под ложное срабатывание (но опять же, можно использовать определенный минимум в те же 32 бит).
Ну или взять 64/128 (хотя и тут лучше иметь этот самый доп. список) -- все равно через десяток-другой обновлений выходим по траффику в "плюс".

Ответить | Правка | Наверх | Cообщить модератору

57. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от mommy (?), 14-Янв-20, 08:56

Ну я просто не использую ostp, crtlite тоже можно будет вырубить?

Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

63. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от DerRoteBaron (ok), 15-Янв-20, 10:42

> Ну я просто не использую ostp, crtlite тоже можно будет вырубить?
В Firefox сейчас можно вырубить много что. Даже то, что этот Firefox в конец разломает, и сделает непригодным ни для чего. Так что наверняка да.

Ответить | Правка | Наверх | Cообщить модератору

19. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +2 +/–

Сообщение от Аноним (18), 13-Янв-20, 13:51

К этой статье полезно дать ссылку, насколько все плохо с проверкой отозванных сетрификатов: https://habr.com/ru/post/332730/ (если коротко - она не работает).

Ответить | Правка | Наверх | Cообщить модератору

25. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от мурзилла (?), 13-Янв-20, 15:22

мы сломали, поэтому и не работает.
Нам, если что, гугель так велел, мы не сами!

Ответить | Правка | Наверх | Cообщить модератору

20. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –2 +/–

Сообщение от Онаним (?), 13-Янв-20, 14:20

Я помню когда браузеростроители работали именно над браузером. А сейчас что не новость то "блокировка X по умолчанию", телеметрия и сертификаты. Ощущение что за 3 месяца все что там сделали это переключили флаг с false на true.

Ответить | Правка | Наверх | Cообщить модератору

22. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +4 +/–

Сообщение от Anonymoustus (ok), 13-Янв-20, 14:59

Мурзилла портит браузер не для того, чтоб люди его выбирали пользоваться, а чтоб нахваливали хромог и стояли в загончике Гулагеля довольные.

Ответить | Правка | Наверх | Cообщить модератору

23. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от BigBoobs (?), 13-Янв-20, 15:19

Т.е. каждый день браузер будет обновлять базу, его фингерпринт будет фиксироваться и ... А не будет ли это использованно в качестве метода massive surveillance?
В каждой новой версии FireFox новые зонды.

Ответить | Правка | Наверх | Cообщить модератору

27. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +1 +/–

Сообщение от Сейд (ok), 13-Янв-20, 16:14

А что если обновлять базу из репозитория пакетов дострибутива?

Ответить | Правка | Наверх | Cообщить модератору

32. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +2 +/–

Сообщение от имя (ok), 13-Янв-20, 17:55

> А не будет ли это использованно в качестве метода massive surveillance?
С OCSP при желании уже сейчас можно отследить куда более интересные данные, если что.

Ответить | Правка | К родителю #23 | Наверх | Cообщить модератору

40. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –1 +/–

Сообщение от мурзилла (?), 13-Янв-20, 19:44

ну и для чего, спрашивается, мы так стремились уничтожить любые CA, кроме letshitcrypt? Гугель, блин - ведь это ты ж нам велел?!

Ответить | Правка | Наверх | Cообщить модератору

30. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним (30), 13-Янв-20, 17:06

а что если отозвать все сертификаты, гудбай суверенный интернет?

Ответить | Правка | Наверх | Cообщить модератору

33. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +1 +/–

Сообщение от Аноним (43), 13-Янв-20, 18:32

а ты думаешь, зачем делается централизованный контроль всего? и почему в противовес этому разрабатывают "устойчивый интернет"?

Ответить | Правка | Наверх | Cообщить модератору

36. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от anonymous (??), 13-Янв-20, 19:10

Тоже об этом подумал. Самое время нашим суверенноинтернетостроителям подумать об удостоверяющих центрах.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

37. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –1 +/–

Сообщение от Ivan_83 (ok), 13-Янв-20, 19:12

И кто им будет доверять?

Ответить | Правка | Наверх | Cообщить модератору

41. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от тов. майор (?), 13-Янв-20, 19:46

ты и будешь. А не будешь - отключим газ. И интернет. Ой...мы ж уже? Впрочем, "уже" мы не до конца - пока.
До учета разного рода национал-предателей, вздумавших решать кому они там доверяют, а кому нет - дело дойдет чуть еще попозже.

Ответить | Правка | Наверх | Cообщить модератору

56. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –1 +/–

Сообщение от Аноним (-), 14-Янв-20, 08:33

А когда благодаря всему этому экономика ухнет и станет нечего или не на что жрать - догадайтесь, кто в первых рядах забьет на национал-чтототам и пойдет ларьки крышевать? :)

Ответить | Правка | Наверх | Cообщить модератору

59. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от пох. (?), 14-Янв-20, 10:06

Ну зачем же забьет? Служба - она и опасна, и трудна.  Очередного нацпредателя на бутылочку насадит, потом неспешно направится собирать дань с собирателей дани с ларьков, а тот пусть пока посидит, подумает, как точнее описать свои мыслепреступления в протоколе.
И Родине сплошная польза, и ее верным столпам уважение.
А что холопам жрать станет нечего - ну так они туже затянут пояса и еще теснее сплотятся вокруг Царя-Фюрера. Кто бы им к тому времени ни стал.

Ответить | Правка | Наверх | Cообщить модератору

44. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним (43), 13-Янв-20, 20:02

а никогда не задумывался, зачем какому-нибудь дойчателекому иметь свой CA?

Ответить | Правка | К родителю #37 | Наверх | Cообщить модератору

48. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –1 +/–

Сообщение от дойчтелеком (?), 13-Янв-20, 22:26

конечно же мы такие же м..ки как и ваши операторы, и обожаем подделывать чужие сертификаты, а мазила с гуглем ну конечно же не выкинут нас за это из списка доверия при первом же случае, следом за кучей других - а вы, главное, верьте, что у белых людей самолеты тоже из соломы и навоза, а летают - потому что боги так захотели.
На самом деле мы давно потеряли счет своим железякам с https авторизацией. Включая те что в аренде у пользователей, которые совершенно не оценят визги современных браузеров и отказ открывать статус подключения "аааааа там сертификат self-signed" (да и наши техники тоже не всегда используют единственноверный корпоративный хром). Именно для этой цели нам нужен был полноценный CA. Но мифология вам, конечно же, милее.

Ответить | Правка | Наверх | Cообщить модератору

51. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним (51), 13-Янв-20, 23:38

Комодо же емнип выдавал валидные фейковые серты на домены и всё ещё доверенный. Есть подозрение, что вся эта движуха с "недоверенными" сертами была задумана с одной целью — выдавить конкурентов с рынка торговцев воздухом.

Ответить | Правка | Наверх | Cообщить модератору

58. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от пох. (?), 14-Янв-20, 09:58

нет. Что продает _вам_ letshitcrypt? Правильно - ничего.
А это значит - он продает - вас.
Что продавал вам startssl? Правильно - премиум сервисы для тех, кто привык им пользоваться и кому они на самом деле были нужны.
Почему при этом жив и здравствует wosign? Правильно - потому что мгновенно понял урок и ликвидировал  на корню свою конкуренцию летсшиткрипте - поэтому его оставили в покое.
В результате - сколько там - 90% ocsp запросов приземлялись на сервер такой нужной и полезной компании trendmicro.
Какая муха их сегодня укусила, что они вдруг решили сами же прикрыть результат всей своей деятельности по развалу структуры множественных trusted ca - пока неочевидно.

Ответить | Правка | Наверх | Cообщить модератору

34. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." –1 +/–

Сообщение от Diamond00744 (ok), 13-Янв-20, 18:54

Я правильно понимаю, что эта "эффективно упакованная база" будет полностью распакованная сидеть в оперативке?

Ответить | Правка | Наверх | Cообщить модератору

38. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним (38), 13-Янв-20, 19:17

Нет.
wiki://Фильтр_Блума

Ответить | Правка | Наверх | Cообщить модератору

60. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Аноним (60), 14-Янв-20, 13:18

>Фильтр Блума может использовать любой объём памяти
То, что надо!
Готовся вечно покупать оперативку, потому что для Мозиллы бесконечность не предел! 🦊

Ответить | Правка | Наверх | Cообщить модератору

42. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +1 +/–

Сообщение от Анонимус2 (?), 13-Янв-20, 19:52

Из этой "упакованной" базы нельзя получить оригинал, только проверить есть ли в оригинале какая-то запись.

Ответить | Правка | К родителю #34 | Наверх | Cообщить модератору

64. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." +/–

Сообщение от Total Anonimus (?), 23-Янв-20, 15:53

В продолжение темы - статистика по эксперименту от Мозиллы . https://blog.mozilla.org/security/2020/01/21/crlite-part-3-s...

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	–3 +/–
Сообщение от Lockywolf (ok), 13-Янв-20, 12:56
На моём модеме полтора мегабайта качаются полчаса
Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+4 +/–
	Сообщение от Crazy Alex (??), 13-Янв-20, 13:01
	14400?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+6 +/–
	Сообщение от Аноним (9), 13-Янв-20, 13:13
	>14400? И все-все-все.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+2 +/–
	Сообщение от Crazy Alex (??), 13-Янв-20, 13:27
	О, кто-то помнит ещё :-)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+4 +/–
	Сообщение от Аноним (9), 13-Янв-20, 13:35
	Анон ничего не забывает!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+1 +/–
	Сообщение от Аноним (21), 13-Янв-20, 14:34
	А помнишь Чубакку?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	45. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+1 +/–
	Сообщение от pda (?), 13-Янв-20, 20:05
	Анона тогда ещё не было. Где появился 9600... там настоящие имена требовалось указывать. :)
	Ответить \| Правка \| К родителю #14 \| Наверх \| Cообщить модератору


	28. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+/–
	Сообщение от Аноним (28), 13-Янв-20, 16:45
	Модем на 16800 у меня был, но соединялся только на 14400. А вот про "все-все-все" не слышал.
	Ответить \| Правка \| К родителю #9 \| Наверх \| Cообщить модератору


	29. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+2 +/–
	Сообщение от Аноним (29), 13-Янв-20, 16:56
	Книжка называется "9600 бод и все-все-все", известная тема
	Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+3 +/–
	Сообщение от N (?), 13-Янв-20, 13:06
	Зачем тебе тогда Firefox?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	18. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+12 +/–
	Сообщение от Аноним (18), 13-Янв-20, 13:49
	И зачем ты потратил 5 минут своего модема на бесполезный коментарий?
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

2. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	–3 +/–
Сообщение от Невдолим (?), 13-Янв-20, 12:57
Мне вон до сих пор нотифы с баштела блочит, хотя у них серт вроде непротухший. После этой фигни перестанет или будет ещё лучше?
Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	–12 +/–
	Сообщение от мурзилла (?), 13-Янв-20, 13:24
	после этой фигни станет еще круче - любой сайт может оказаться "заблочен" потому что случайно совпал какой-то бредовый код вычисляемый по из пальца высосанным алгоритмам. Ну, разумеется, кроме сайтов гугля, гугля и гугля, которые мы на такое совпадение проверяем и добавляем исключение - а васян-сайты должны умереть (так сказал гугль, который нам за это платит)!
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+5 +/–
	Сообщение от Crazy Alex (??), 13-Янв-20, 13:29
	Вообще-то фильтры Блума - это вполне скучная и выверенная криптография
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	–6 +/–
	Сообщение от мурзилла (?), 13-Янв-20, 15:21
	главное - свято верить, молиться и поститься, что вываренная криптография от одного своего упоминания волшебным образом решает любые проблемы, и даже шрамы от вскрытия рассасывает. А что она не предназначена для употребления подобным образом и никакие костыли и подпорки неспособны исправить этот недостаток - мы скромненько замажем.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+2 +/–
	Сообщение от имя (ok), 13-Янв-20, 17:51
	> и никакие костыли и подпорки неспособны исправить этот недостаток Костыль этот прям в новости описан, привет.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	39. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	–2 +/–
	Сообщение от мурзилла (?), 13-Янв-20, 19:41
	я и говорю - мы отлично замазали тот факт, что этот костыль достоверным не является. Прикладывайте нашу вываренную криптографию так же к чирьям, родимым пятнам и комариным укусам - она и в этом случае отлично поможет, если, конечно, веровать.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	53. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+1 +/–
	Сообщение от bircoph (ok), 14-Янв-20, 02:58
	И каким местом это криптография? Это обычная вероятностная структура данных, предназначенная для уменьшения количества запросов к дорогостоящему и медленному источнику.
	Ответить \| Правка \| К родителю #12 \| Наверх \| Cообщить модератору


	55. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	–2 +/–
	Сообщение от Аноним (-), 14-Янв-20, 08:27
	Для таких как мурзилла - любой алгоритм сложнее чем 2+2 непонятен. Значит, криптография!
	Ответить \| Правка \| Наверх \| Cообщить модератору

4. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	–4 +/–
Сообщение от Аноним (4), 13-Янв-20, 12:58
И при этом не слово о проверке данных. Т.е. базу может подменить любой желающий?
Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+3 +/–
	Сообщение от Аноним (8), 13-Янв-20, 13:10
	И так понято, что CRLite будет проверяться по цифровой подписи, как провереются загружаемые обновления и чёрные списки. От подмены на стороне клиента ничего не поможет, с тем же успехом можно настройки изменить, чтобы по OCSP не лез.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	52. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+/–
	Сообщение от хотел спросить (?), 13-Янв-20, 23:46
	Небольшой офтопик... Я просто оставлю это здесь )) Друг просил )) Hello aluzzardi They use Psychological Warfare against those who would like to continue pamusb development. https://twitter.com/FailDef/status/1216514303416815616 aledged and known attacking vectors known so far: http://hackerscardgame.ch (they will maybe qFire your modem if you access it [see Jacob Applebaum: to protect and infect part 2, -> part with Quantum Inserts, TURBINE, TARMOIL greetings from a bigger penguin Marc jr. Landolt
	Ответить \| Правка \| К родителю #4 \| Наверх \| Cообщить модератору

7. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+1 +/–
Сообщение от Аноним (7), 13-Янв-20, 13:07
Обожаю мозиллу, корпорация добра
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+10 +/–
	Сообщение от Аноним (-), 13-Янв-20, 13:32
	Они достигли определенных успехов в нанесении пользы и причинении добра.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	35. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+1 +/–
	Сообщение от Аноним (35), 13-Янв-20, 19:05
	Работают по методичке Гугла, как обычно. Хром давно отказался от OCSP, потому что 1) он требует вызовов к сторонним серверам при каждом SSL соединении, а это лишние тормоза 2) OCSP вызывает утечки данных о посещаемых сайтах центрам авторизации (а они у Гугла не в доле). Хром тоже мог бы использовать что-то вроде CRLite, но ему в любом случае нужно стучать на сервера гугла о каждом посещаемом URL, так что им просто нет нужды.
	Ответить \| Правка \| К родителю #7 \| Наверх \| Cообщить модератору

16. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+6 +/–
Сообщение от DerRoteBaron (ok), 13-Янв-20, 13:41
Даже не смотря на сотни мегабайт, это определенно лучше, чем пинок на левые сервера по одному урлу
Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+/–
	Сообщение от mumu (ok), 13-Янв-20, 13:46
	Обновлять-то всё-равно как-то придётся
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+7 +/–
	Сообщение от DerRoteBaron (ok), 13-Янв-20, 15:39
	При этом через обновления не утекает история посещений, в худшем случае активность
	Ответить \| Правка \| Наверх \| Cообщить модератору


	43. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+/–
	Сообщение от Аноним (43), 13-Янв-20, 19:59
	история продолжит утекать по другим каналам
	Ответить \| Правка \| Наверх \| Cообщить модератору


	46. "Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."	+/–
	Сообщение от Аноним84701 (ok), 13-Янв-20, 20:19
	> Даже не смотря на сотни мегабайт, это определенно лучше, чем пинок на левые сервера по одному урлу То ли я чего-то фатально не понял, то ли там сильно лукавят c "гигабайтами" и размерами БД: > Например, в бинарной форме используемые при генерации исходные данные требуют около 16 ГБ памяти при хранении в СУБД Redis, а в шестнадцатеричном виде дамп всех серийных номеров сертификатов занимает около 6.7 Гб > ... > БД отозванных сертификатов занимает около 300 МБ Конечному пользователю не нужно хранить базу быстрого доступа или номера всех 100 млн. активных сертификатов (что и не далается и в сабже). Т.е. 16ГБ памяти - это сугубо "проблемы мозилы при генерации сабжевой структуры". Конечному пользователю нужна только возможность (быстро) проверить, нет ли среди 750 000 отозванных определенного сертификата. Для этого достаточно передать список первых 128 или 64 бит или даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов. А это: 750 000 * 16 = 12МБ или 750 000 * 8 = 6МБ, 750 000 * 4 = 3МБ. Однократно. В принципе, те же яйца в профиль, но передавая хеши, а не готовую структуру данных, имеем намного меньше проблем с обновлениями. Т.к. в отличие от сабжа (где, насколько я понял, каждый раз генерируется новая структура данных, сильно отличная от предыдущей, так что дельта-обновления "получаются неоправданно большими" ) можно при запросе просто передавать список хешей добавленных после определенной даты сертификатов, который [список] клиент самостоятельно добавит в базу – а не каждый раз заставлять качать полностью новую структуру размером в мегабайт.
	Ответить \| Правка \| К родителю #16 \| Наверх \| Cообщить модератору