| 1.4, myster (ok), 12:18, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +12 +/– |
 Кстати, веб-браузеры, сфокусированные на "заботе о конфиденциальности" (типа LibreWolf), по-умолчанию постоянно проверяют все посещаемые ресурсы по этому OCSP, тем самым вся конфиденциальность коту под хвост.
| | |
| |
| |
| 3.12, Аноним (12), 12:50, 09/12/2024 [^] [^^] [^^^] [ответить]
| +2 +/– |
Францию тоже не забудь сюда добавить, благо новость есть прямо здесь. И весь алианс 5 глаз, которому вообще никакие разрешения не нужны, лол
| | |
| |
| 4.67, chdlb (?), 01:06, 10/12/2024 [^] [^^] [^^^] [ответить]
| –3 +/– | |
ANSSI облажалась и ее выкинули из CA для всех браузеров, а две ссылки сверху это то, что ты должен будешь скушать, используя куяндекс браузер или еще что-то подобное
у Казахстана не получилось пропихнуть MITM, а вот в случае со скрепным браузером им уже никто не помешает, кроме тебя самого, но ведь сколько людей поставили себе корневые сертификаты, когда устанавливали например клиент-банк, ЭЦП, ну вот это вот все
кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))
| | |
| |
| 5.78, timur.davletshin (ok), 09:54, 10/12/2024 [^] [^^] [^^^] [ответить]
| +3 +/– |
 >>> у Казахстана не получилось пропихнуть MITM
Казахстан не сделал ничего такого, за что стоило бы заблэклистить их CA. Российский же не заблэклистили до сих пор. Казахи пострадали всего-то из-за какого-то озабоченного придурка, который создал багрепорт и начал верещать о том, что вот-вот репрессивный режим начнёт всех слушать. У французов, у немцев, у голландцев (и многих других) государственные CA остаются в дефолтных поставках браузеров и ОС даже после попыток подделывать сертификаты. А как там поживает коммерс Hetzner? Что-то ему было за попытку слушать jabber.ru? Но вы продолжайте носиться с CA Казахстана или Минцифры.
>>> кстати у FF свой корень CA, а хром юзает системный, вот и живите с этим )))
Вы так говорили, будто это что-то плохое. Firefox может прекрасно использовать системный.
| | |
| |
| |
| 7.84, timur.davletshin (ok), 19:00, 10/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>>> я не буду что-то коментировать все твои набросы, хватит и этих что я помню по памяти, что ты трындишь
Неумёха, пока ты гуглишь, я скидываю сертификаты в /usr/local/share/ca-certificates и наблюдаю их в Управлении сертификатами Firefox с пометкой System Trust (зачем-то же этот флажок придумали). Мало того, милый друг, я их же вижу в LibreOffice и Evolution! Но для всего этого надо уметь настраивать NSS.
>>> https://bugzilla.mozilla.org/show_bug.cgi?id=1272156
Какое отношение это имеет к моим тезисам?
>>> Казахстан сделал, и все правильно что сертификат забанили.
Где и кого он заMITM'им?
| | |
| |
| 8.85, chdlb (?), 20:12, 10/12/2024 [^] [^^] [^^^] [ответить] | –2 +/– | а винде ты их куда будешь складывать а ты каждый дистр проверял а у тебя FF па... текст свёрнут, показать | | |
| |
| 9.86, Аноним (86), 20:32, 10/12/2024 [^] [^^] [^^^] [ответить] | +/– | Открываешь файл, импорт, выбрать хранилище корневиков, поставить Firefox - secu... текст свёрнут, показать | | |
| |
| 10.87, chdlb (?), 22:58, 10/12/2024 [^] [^^] [^^^] [ответить] | +/– | security enterprise_roots enabled - позволяет использовать СВОИ импортированные ... текст свёрнут, показать | | |
| |
| |
| 12.96, chdlb (?), 12:26, 11/12/2024 [^] [^^] [^^^] [ответить] | –1 +/– | скачай с сайта мозиллы английскую версию, не позорься Agence Nationale de Certif... текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
| 3.16, Pahanivo (ok), 13:56, 09/12/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
 Да уж, MITM, так сказать, в каждый дом!
А учитывая, что они сейчас начали всех заставлять ставить "russian trusted root CA" в сервисах, чебурнет все ближе и ближе.
| | |
| |
| |
| 5.27, Pahanivo (ok), 15:51, 09/12/2024 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Так ты просто ставь Яндекс Чебурбраузер и всё.
Откровенного трояна еще не хватало.
| | |
| |
| |
| 7.60, Аноним (60), 21:12, 09/12/2024 [^] [^^] [^^^] [ответить]
| +6 +/– |
----
Штирлиц вошёл в туалет, там крупно синела надпись "Штирлиц русский шпион!"... Штирлиц достал из кармана карандаш, аккуратно закрасил слово "шпион" и написал поверху "разведчик"...
----
Если ФСБшная, то видимо разведческая. Шпионская это ФБР, Моссад или чья там еще...
| | |
|
|
|
|
| 3.20, Аноним (20), 14:52, 09/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
>государственный корневой сертификат интегрирован только в продукты Яндекс.Браузер и Атом.
Попробовал скачать браузер Атом (https://atom.browser.ru/), пишет что "Сайт заблокирован, Если вы владелец сайта, просто оплатите аккаунт".
Неужели это тот браузер, который мы действительно заслуживаем?
| | |
| |
| |
| 5.46, Аноним (20), 18:41, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>С 13 сентября 2024 года Atom перестанет быть доступным для скачивания и обновления
С чего бы такое?
| | |
|
|
|
| 2.29, timur.davletshin (ok), 15:54, 09/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
"Используется политика владельца CA", - так было бы корректнее выразиться. Поставь security.pki.crlite_mode = 2, для надёжности ещё отруби OCSP, и не нагнетай.
| | |
|
| 1.7, Аноним (17), 12:32, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Все время говорил что сбор данных есть, а местные эксперты не верили. Вот одну из технологий отключили. Но ещё кучу оставили. Но хома продолжит хавать что дают.
| | |
| |
| 2.13, Аноним (13), 12:54, 09/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Все время говорил что есть вредно, а местные эксперты не верили. Ведь в еде встречаются неорганические соединения, соль, сахар и даже спирт. Но хома продолжит хавать что дают.
| | |
| 2.42, fuggy (ok), 17:59, 09/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
 И кто говорил что Let's Encrypt чья корова и кто её доит.
| | |
| |
| 3.66, нах. (?), 23:03, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Теперь вопрос стоит иначе - а зачем они эту корову зарезали-то?
(наиболее вероятный правильный ответ - что они все же дол...6ы)
| | |
|
|
| 1.21, Аноним (20), 14:59, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не было".
Ну типа ВНЕЗАПНО оказалось, что для обслуживания процедур поддержания удостоверяющего центра, необходимо принимать миллионы запросов, на один сгенерированный церт.
Послать всех в веб "сами скачивайте мы все опубликовали" - способ всяких сбербанков "договор присоединения мы опубликовали в интернете, идите сами скачивайте" самый простой из возможных.
| | |
| |
| 2.26, keydon (ok), 15:34, 09/12/2024 [^] [^^] [^^^] [ответить]
| +4 +/– |
 Если бы хотели "оптимизировать" свой бизнес, то просто продавали бы логи запросов рекламщикам.
Хватило бы и на новые сервера чтобы запросы обслуживать и команду и еще осталось бы.
| | |
| |
| 3.47, Аноним (20), 18:44, 09/12/2024 [^] [^^] [^^^] [ответить]
| +4 +/– | |
>то просто продавали бы логи запросов рекламщикам.
А с чего ты решил, что они самые "непродажные"?
Потому что нет открытой инфы о сделках?
Ну так можно и без денег - придут из одной государственной конторы и пояснят им кто чья корова, и кому их можно доить.
| | |
| |
| 4.57, OpenEcho (?), 20:23, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А с чего ты решил, что они самые "непродажные"?
Кому продавать? Самим себе? Кто там в списках "безвозмездных" меценатов?
| | |
| 4.70, keydon (ok), 01:19, 10/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
> А с чего ты решил, что они самые "непродажные"?
> Потому что нет открытой инфы о сделках?
> Ну так можно и без денег - придут из одной государственной конторы
> и пояснят им кто чья корова, и кому их можно доить.
Если бы я был аморальным !@#$%^ и получал кучу денег за данные из логов, то я бы молчал в тряпочку и точно бы не поднимал вопрос насчет конфиденциальности OCSP.
| | |
|
|
| 2.31, нах. (?), 16:08, 09/12/2024 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Да просто не смогли эти данные продать. Логи не окупились - давайте их отключим вместе с сервисом который они логали.
А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена) и надо их запретить-запретить?
| | |
| |
| 3.43, Аноним (43), 18:36, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> А помните, помните сколько вони было от "разработчиков" мразилы и хромонога что crl ооооочень долго загружать, никак ниможна, аграменный объем (это когда сайтов с https вообще было хрен да нихрена)
В этом плане ничего и не изменилось, это всё ещё огромный объём, который только увеличился с тех пор. Разница в том, что сейчас, во-первых, есть доиашний гигабит по оптике везде, где это имеет значение (т.е. в городах-миллонниках стран первого мира), и, во-вторых, к браузеру прикрутили фильтр Блума. Сам CRL как был огромным и неудобным файлом, так и остался. Ну хоть OCSP костыль выкинули, и на том спасибо. Крайне неудачная идея была, чмо-то уровня протокола FTP.
| | |
| |
| 4.48, Аноним (20), 18:46, 09/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
фильтр Блума — это вероятностная структура данных!
он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе данных, но сказать со 100% вероятностью, что элемент находится в наборе, он не может (возможны ложно положительные результаты).
| | |
| |
| 5.56, нах. (?), 20:22, 09/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
> фильтр Блума — это вероятностная структура данных!
> он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
> данных, но сказать со 100% вероятностью, что элемент находится в наборе,
> он не может (возможны ложно положительные результаты).
вот при положительном результате - уже можно потратить даже десять секунд ценного времени юзера и проверить список по настоящему, а не по косвенным признакам.
хотя на самом деле, разумеется, и эта деятельность бессмысленна, и никаких адских требований к ресурсам в проверке списков напрямую нет.
| | |
| 5.71, keydon (ok), 01:20, 10/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
> фильтр Блума — это вероятностная структура данных!
> он может сказать вам со 100% вероятностью, что элемент отсутствует в наборе
> данных, но сказать со 100% вероятностью, что элемент находится в наборе,
> он не может (возможны ложно положительные результаты).
Внезапно (да?) этого достаточно для CRL.
| | |
|
|
|
| 2.63, Аноним (63), 21:50, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Мне, с моей колокольни просто кажется, что ребята поплыли в обслуживании приходящих запросов, и просто пытаются оптимизировать свой бизнес "что бы у нас все было, а нам за это ничего не было".
Там настолько простые запросы что их сотнями тысяч RPS сможет и какая-нибудь малинка раздавать, лишь бы трафика хватило.
| | |
| |
| 3.88, RM (ok), 23:43, 10/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
 осетра таки надо урезать, порядка на 2 минимум
а то 200 000 rps на гигабитном линке это 5 байт на запрос/ответ.
малинка гигабитный линк зарауть то на wire speed или сможет - даже это еще вопрос, а тут rps...
| | |
| |
| 4.100, нах. (?), 12:57, 11/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
порядков на пять.
Потому что это тебе не гигабитный линк загадить, а делать ровно то что теплая компания гуглезилы сочла нипасильной-нипасильной задачей для браузеров - на каждый(!) запрос прошерстить весь список сертификатов, найти нужный (ну или не найти, в плохом способе реализации, на от..сь), криптографически подписать, помимо обычной tls сессии... чота мне кажется сгорит к хренам тот кипятильник, точнее их нужна будет целая гирлянда на городскую елку, и та тоже сгорит.
| | |
|
|
|
| 1.28, Аноним (28), 15:53, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
SSL сертификаты на публичных новостных сайтах - зло. Старые устройства постоянно ругаются так как информация о корневых УЦ у них устарела. Можно конечно новые устройства купить, но сейчас не то время.
| | |
| |
| 2.34, нах. (?), 16:48, 09/12/2024 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> SSL сертификаты на публичных новостных сайтах - зло. Старые устройства постоянно ругаются
а на новых БЕЗ ssl только страшное красное пустое место с ашипкаашипка показываетсо.
Поэтому извини, конечно, но твой второй ипхон пора выбросить. Время самое то, рождественские скидки.
| | |
| 2.37, Rev (ok), 16:52, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
 Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность добавлять туда рекламу и следящие скрипты?
| | |
| |
| 3.44, Аноним (43), 18:37, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Можно ещё построить машину времени и вернуться в тот самый тёплый ламповый интернет восьмидесятых, где все друзья.
| | |
| 3.55, нах. (?), 20:20, 09/12/2024 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Так а что делать-то? Гонять весь трафик в открытую, давая провайдерам возможность
> добавлять туда рекламу и следящие скрипты?
не пользоваться помойными провайдерами, и вообще решать свои проблемы грошовой экономии как-то самому, не перекладывая их на других.
| | |
| |
| 4.62, Аноним (63), 21:48, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и переехать? А чтобы что? Чтобы всякие старьёвщики ходили со своих арахн на пентиумах в интернет клиртекстом? И почему это на тебя перекладывать нельзя, а ты перекладывать можешь? Ну нет уж голубчик, давай-ка я тебя не спрошу и буду и пользоваться дешёвым провайдером, и рекламы от него не видеть. А ежели зазнавшихся старьевщиков-эгоистов от этого коробит, так это ещё лучше.
| | |
| |
| 5.64, нах. (?), 22:14, 09/12/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> Охренеть, а если кроме помойного провайдера в радиусе 10 км других нет, может мне ещё и
> переехать?
можешь прямо по месту прописки продолжить страдать.
Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем? Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.
| | |
| |
| 6.82, Аноним (63), 17:52, 10/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Почему кто-то должен за твою ленивую задницу поиметь СЕБЕ проблем?
А почему наоборот? Причём твоя параноя чисто теоретическая, а баннеры на опеннете видели все.
> Вот опеннет - отлично ради таких как ты подставил ВСЕХ своих посетителей под еще один трекинг (а ведь долго держался...) Без которого мы прекрасно бы обошлись.
В новости же написано что OCSP прикрыли, тебя что-то ещё не устраивает?
| | |
| |
| 7.99, нах. (?), 12:49, 11/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
лично я баннер увидел ровно один раз. (точнее - заметил, он был, надо признать, очень аккуратно впихнут в чудо-дизайн этогосайта - даже менее вырвиглазен чем тутошняя официальная реклама, поэтому замечен как что-то чужеродное был не с первого явно раза)
И больше не увижу, поскольку ровно с этого момента мегафоновским интернетом без vpn не пользуюсь.
(чего в общем-то ждать от компании где целиком пятиэтажное офисное здание в очень дорогом районе очень дорогого городишки занято вовсе не сотовой связью)
И если ты "не параноик" - то учти, что они и с ssl прекрасно видят куда ты ходишь. И пишут. Опер про всех писать велел.
| | |
|
|
|
|
| 3.75, Аноним (75), 07:31, 10/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
Не используй просто всякие Ростелекомы, локальные провайдеры такой фигней обычно не страдают.
| | |
|
| 2.53, Аноним (53), 19:51, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– |
А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу. А браузер послушно исполнит.
| | |
| |
| 3.58, нах. (?), 20:26, 09/12/2024 [^] [^^] [^^^] [ответить]
| –2 +/– |
> А без ТЛС трёхбуквенная организация тебе внедрит вредоносное ПО в каждую страницу.
> А браузер послушно исполнит.
кругом враги! Как жыть!
| | |
| |
| 4.65, Аноним (65), 23:00, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
>кругом враги! Как жыть!
Шапочка из фольги абсолютно защищает от всех трехбуквенных (отечественных и зарубежных), но существенно увеличивается риск Кащенко.
| | |
|
|
| 2.61, Аноним (63), 21:40, 09/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Владельцы старья должны страдать, а владельцы закрытого старья должны страдать втройне.
| | |
|
| 1.51, YetAnotherOnanym (ok), 19:12, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу
Ой, сюрпрайз-то какой!
| | |
| 1.52, Аноним (53), 19:50, 09/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>В качестве причины прекращения поддержки OCSP упоминается забота о конфиденциальности. Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат
Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling. При нём - ничего не отправляется. И OCSP Must Staple. Который требует, чтобы OCSP-ответ был прикреплён.
При этом удостверяющий центр и так в позиции нарушать приватность.
Наверняка их *попросили* об этом разведовательные органы.
| | |
| |
| 2.54, нах. (?), 20:19, 09/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
> Пропагандистстский аргумент, рассчитанный на некомпетентных. Есть такая штука, OCSP Stapling.
категорически непригодная для нагруженных систем и вредная и опасная даже для твоей домашней странички. (Потому что вебсерверу это все совершенно чуждая деятельность и реализовано оно там... ну как-то так...)
> При нём - ничего не отправляется. И OCSP Must Staple. Который
> требует, чтобы OCSP-ответ был прикреплён.
А сервер тебе такой - "знаешь куда пройти?"
Никто не обязан поддерживать эту чудовищную несуразицу. Сначала мы внедрили очередное ненужное ненужно которое (ох кто бы мог подумать и было ли ему чем) сливает всю историю посещений, а потом вот - педальный самокат позволяющий частично вернуть как было.
> Наверняка их *попросили* об этом разведовательные органы.
что ж они, фраеры, сдали назад-то? Разведовательному органу, похоже, те логи не пригодились. Ну или пригодились, но не сошлись в цене.
| | |
| |
| 3.73, Аноним (73), 04:22, 10/12/2024 [^] [^^] [^^^] [ответить] | –1 +/– | Сфигали Для каждого запроса не требуется свежее прикрепление Знаю Несуразица ... большой текст свёрнут, показать | | |
|
|
| 1.72, Аноним (72), 04:16, 10/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Почему нельзя оставить альтернативу? Пусть пользователь в настройках конфиденциальности браузера выбирает способ.
| | |
| |
| 2.79, Ramiralez (?), 12:26, 10/12/2024 [^] [^^] [^^^] [ответить]
| +1 +/– |
Скачивание CRL не дает возможности понять какой именно сертификат клиент собирается проверять.
| | |
|
| 1.77, Ivan_83 (ok), 09:02, 10/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Всегда выключал в настройках OCSP как и всякие "безопасные интернеты", антифишинги, антивирусы, антитрекеры и прочую муйню: если я лезу на сайт то это мой выбор и мнение посторонних относительно него меня не интересует.
| | |
| |
| 2.97, нах. (?), 12:39, 11/12/2024 [^] [^^] [^^^] [ответить]
| +/– | |
Ну а проверять вменяемость своего выбора ты как-то собираешься? Или просто нутром чуешь? Раньше (и снова здрасти) мы для этого в том числе использовали crl - если сертификат сайта в этом списке, вряд ли стоит на него заходить.
Кстати, забавно, но ты вряд ли сможешь его выключить. Интересно, не на это ли и разменяли ocsp?
| | |
|
| 1.94, Ilya Indigo (ok), 10:34, 11/12/2024 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 > Использование OCSP приводит к тому, что при каждой установке защищённого соединения для проверки действия сертификата клиентская система отправляет запрос на OCSP-сервер удостоверяющего центра, сгенерировавшего сертификат. В ответ сервер предоставляет сведения о том, можно ли доверять указанному сертификату. Проблема в том, что удостоверяющий центр получает информацию о том, когда и какие сайты посещает пользователь в привязке к его IP-адресу, что может рассматриваться как утечка конфиденциальных данных.
ssl_stapling on;
ssl_stapling_verify on;
resolver 1.1.1.1 8.8.8.8 valid=300s ipv6=off;
Может я что-то не так понимаю, но мне казалось, исходя из документации к nginx, что nginx сам запрашивает у сервера валидность своих же сертификатов и передаёт клиенту подписанный результат этой проверки.
Никакой утечки и никаких обращений от пользователя тут нет.
| | |
|
