1.4, Crazy Alex (ok), 14:53, 25/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Загадочно как-то. Можно просто давать сайту генерировать свой сертификат, подписанный авторизованным центром, а дальше полагаться доверять или этому сертификату сайта или сертификату, им подписанному. Ну и напрашиваются перекрёстные подписи тогда.
А уж почему 30 дней - вообще непонятно.
| |
|
2.18, Аноним (-), 16:01, 25/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> какие-то костыли
Костыли. Но довольно логичные. Вообще, я не понимаю почему запоминание параметров серта + алерт при их изменении не сделали сразу. Так вообще любой rogue CA будет обнаружен и юзер словит аларм.
| |
2.46, arisu (ok), 03:56, 26/05/2012 [^] [^^] [^^^] [ответить]
| +2 +/– |
> какие-то костыли
хуже: это костыли для костылей вообще.
| |
|
1.20, Аноним (-), 16:20, 25/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а что помешает подменить целевой сайт пока браухер ещё не совсем запомнил его?
| |
|
2.24, Аноним (-), 16:35, 25/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> а что помешает подменить целевой сайт пока браухер ещё не совсем запомнил
> его?
Потому и костыль. Надпиленный.
| |
2.35, filosofem (ok), 20:52, 25/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Позвонить в банк/магазин/вебмастеру и попросить продиктовать фингерпринт оригинального сертификата. Или получить его распечатку при оформлении счета.
//KO
То что здесь предлагают, это что-то вроде .ssh/known_hosts, судя по описанию. Не больше и не меньше. Странно, что изначально не доперли это сделать.
| |
|
|
2.41, Crazy Alex (??), 23:43, 25/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Можете предложить что-то лучшее? Понятной альтернативы SSl/TLS пока нет и не предвидится. Когда появится тогда (возможно) и произойдёт переход, а работать надо сейчас. Причем новое решение надо не просто придумать - оно должно стать общепринятым, то есть поддерживаться всеми основными браузерами, быть понятным и приемлемым для бизнеса (что неприемлемо для сетей доверия) и т.п.
| |
|
3.47, arisu (ok), 04:00, 26/05/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Можете предложить что-то лучшее?
конечно. а кто внедрять будет?
> быть понятным и приемлемым для бизнеса (что неприемлемо для сетей доверия) и т.п.
а вот мне положить на «бизнес». совершенно положить. это их личные проблемы. и вот нечто похожее на «сети доверия» как раз будет работать, и работать надёжней (для меня). как с этим будет работать «бизнес» — мне неинтересно. а пока что я просто заблокировал весь https по несамоподписаным сертификатам: не люблю угрюмые централизованые костыли.
| |
|
4.56, 123 (??), 17:56, 26/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Если Вы имеете в виду систему, которая применялась в pgp. То «сеть доверия» накроется при наличии пары дятлов. На самом деле их будет намного больше. ИМХО
| |
|
5.59, arisu (ok), 02:38, 27/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Если Вы имеете в виду систему, которая применялась в pgp. То «сеть
> доверия» накроется при наличии пары дятлов. На самом деле их будет
> намного больше. ИМХО
из принципа читаем выборочно? слова «нечто похожее» незаметны? нет, я не собираюсь сейчас разрабатывать подробную структуру — потому что это время и труд, которые уйдут в помойку. примерно я себе представляю, что и как — мне этого достаточно.
| |
|
6.62, Crazy Alex (??), 04:48, 27/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Ну в общих чертах опишите - во-первых интересно, а во-вторых - если получится прикрутить эту штуку параллельно существующему SSL то может и получится хотя бы среди гиков завести. А там смотря как дело пойдёт.
| |
|
7.63, arisu (ok), 04:54, 27/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
что значит «параллельно»? это в любом случае новый протокол и новые методы (чинить то, что defective by design смысла нет), их надо реализовывать и в серверах, и в браузерах. потому не вижу смысла.
| |
|
|
9.69, arisu (ok), 06:04, 28/05/2012 [^] [^^] [^^^] [ответить] | +1 +/– | это называется 171 делаем подпорки для костылей 187 как я уже говорил, то, ... текст свёрнут, показать | |
|
|
|
|
|
4.61, Crazy Alex (??), 04:46, 27/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Заблокировать https недолго - но клиент-банк как-то работать должен, нужен доступ к закрытой зоне корпоративного сайта (своего или клиентского) и крутящимися там веб-приложениями, к гуглосервисам, без которых сейчас мало кто обходится... Так что без https полностью лично у меня жить не выйдет - хотя бы потому что рабочий trac доступен только через него.
А то, что не подходит для бизнеса, просто-напросто не окажется в браузерах и серверах. По причине отсутствия достаточного количества ресурсов на внедрение. Сеть доверия здесь точно не гдится - там принимать решение приходится массовому неквалифицированному пользователю, что, понятно дело, неприемлемо - он там надоверяет...
| |
|
5.64, arisu (ok), 04:59, 27/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> клиент-банк как-то работать должен
я не использую.
> нужен доступ к закрытой зоне корпоративного сайта
самоподписаные сертификаты.
> к гуглосервисам, без которых сейчас мало кто обходится
я обхожусь. точнее, иногда использую гугломыло, smpt которого у меня и разбанен единственный. и то я его использую только когда надо где-то зарегистрироваться и не берёт mailcatch в основном.
> потому что рабочий trac доступен только через него.
самоподписаные сертификаты.
> А то, что не подходит для бизнеса, просто-напросто не окажется в браузерах
> и серверах.
поэтому я и не вижу смысла напрягаться и «доводить до ума» свои идеи.
> Сеть доверия здесь точно не гдится — там принимать решение приходится массовому
> неквалифицированному пользователю, что, понятно дело, неприемлемо — он там надоверяет…
тут не только сеть доверия, но ещё и как минимум распределённая сеть ключей, как в pgp. и ещё кое-что. неа, уточнять не хочу: будем считать, что я или балабол, или очень жадный.
| |
|
|
3.65, Anonymou (?), 18:20, 27/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Как одна из альтернатив - DANE, уже почти стандарт.
draft-ietf-dane-protocol-21.txt
| |
|
4.67, Crazy Alex (??), 21:49, 27/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
Угу, и те, кто контролирует домен второго уровня, будут монополистами для всех его поддоменов. Сейчас хоть конкуренция есть. В общем, по виду - опять же костыль, да еще и с возможностью вырастить монополистов.
| |
|
|
|
1.37, umbr (ok), 21:40, 25/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Попытка стандартизировать защиту от дурака :)
Запасаемся попкорном и ждем нового расширения для раширения для SSL/TLS, для борьбы с новыми угрозами, возникающими по причине тупости менеджеров и криворукости админов.
| |
1.44, arisu (ok), 03:52, 26/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ребятки упорно чинят то, что defective by design. ну, их право, конечно. выкинуть-то систему нельзя: на ней Большие Люди бабки стригут.
| |
|
2.49, anonimouse (?), 05:28, 26/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> ребятки упорно чинят то, что defective by design. ну, их право, конечно.
> выкинуть-то систему нельзя: на ней Большие Люди бабки стригут.
РеволюЧионеры - в следующей палате!
Вот SMTP - уж его только ленивый не пинал ... но при этом _никто_ не соскочил!
Так что лай собачка, лай ... :)
| |
|
3.74, t28 (?), 16:47, 30/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Вот SMTP - уж его только ленивый не пинал ... но при этом _никто_ не соскочил!
Как это не соскочил? Соскочил и уже давно. Года четыре как, если не пять...
| |
|
|
1.54, Аноним (-), 15:47, 26/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
На самом деле ничего нового. Боян чудовищный - распределение ключей. Точнее доверенная передача закрытого ключа. Корневые CA доверие утратили.
В итоге имеем все то же окошко для самоподписанных ключей: доверять? Y/N
| |
|
2.60, arisu (ok), 02:51, 27/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> В итоге имеем все то же окошко для самоподписанных ключей: доверять? Y/N
а также «круги доверия» и ещё много чего. построить распределённую систему можно, только тогда у CA не выйдет стричь бабло за воздух (а они стригут за воздух, потому что доверия им нет никакого).
| |
|
1.57, XoRe (ok), 00:42, 27/05/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Это расширение не помогает в случае, когда человек заходит на сайт в первый раз, и уже через mitm.
Например, недобросовестный провайдер может настроить ssl сниффер на какой-то банк клиент.
Те, кто будут заходить на сайт в первый раз, никак не защищены этим расширением.
Хотя ничего лучше предложить не могу.
Разве только - усугубление ответственности для CA-компаний.
Кстати, про компанию DigiNotar.
Она обанкротилась.
http://diginotar.nl/
Мне кажется, разработчикам браузеров и дистрибутивов просто нужно оперативно реагировать.
Всплыло что-то про CA-компанию - выкинуть её сертификат нафиг (добавить в crl).
Если что, сертификат можно вернуть.
В следующем обновлении.
В конце концов, CA-компании делают деньги из воздуха, за счет доверия к себе.
Пусть работают над этим доверием.
Пару компаний так наказать, остальные сразу возьмутся за ум.
| |
|
2.68, pavlinux (ok), 00:17, 28/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Это расширение не помогает в случае, когда человек заходит на сайт в
> первый раз, и уже через mitm.
> Например, недобросовестный провайдер может настроить ssl сниффер
> на какой-то банк клиент.
Сейчас почти все банки используют двойную авторизацию, пароль/логин, плюс
таблица разовых ключей или сертификат, который выдают на руки, у кого-то ещё
и SMS есть.
В общем из-за этой всей мудожопии, Вебмани особо не прижилось.
| |
|
3.70, Аноним (-), 14:30, 28/05/2012 [^] [^^] [^^^] [ответить]
| +/– |
> В общем из-за этой всей мудожопии, Вебмани особо не прижилось.
Зато qiwi очень даже прижилось. Из-за широкого распространения терминалов.
| |
|
4.75, Аноним (-), 14:00, 05/12/2015 [^] [^^] [^^^] [ответить]
| +/– |
>> В общем из-за этой всей мудожопии, Вебмани особо не прижилось.
> Зато qiwi очень даже прижилось. Из-за широкого распространения терминалов.
Они просто откатывают не по-детски.
| |
|
|
|
|