проспал 1 июля.

[Vascom]

azsx, за тебя это делает браузер.
Вообще какая-то чушь процитирована, поскольку https не шифрует название сайта и провайдер всегда видит куда ты хочешь зайти.

[Vascom]

Базлайтер. Это хорошо, что мы поняли, что предъявляем разные требования к облачным хранилищами.
А вот шифровать честному и законопослушному человеку надо в ещё большей степени. Лишь это позволит избежать попадания важной информации в руки злоумышленников и преступников. Утечки есть как из коммерческих структур, так и из правоохранительных органов. Только конечное шифрование на устройстве пользователя обеспечивает безопасность.

[Базлайтер]

Vascom
По поводу приведённой цитаты azsx. Там как бы хитрО. Если я правильно понимаю. Ну, по нубски. Без сертификата, провайдер не может смотреть и ограничивать шифрованный трафик. Значит он сделал так, что у юзера при попытки зайти на сайты везде ахтунг и ничего не открывается.
Конечная цель - впендюрить свой сертификат юзеру, что бы тот радовался доступности сайтам, со всеми вытекающими. Или мимо?

Ну в итоге сошлись на разных требованиях, всё таки взаимопопонимание достигнуто. Это то же хорошё.
Я всегда в идеале представлял иную картину. Что бы органы меня как раз защищали от всего подобного, а не я от них защищался. ))
Вобщем стану маньяком-параноиком в итоге. Ехх.

[Bizdelnick]

Что они там могут в итоге впендюрить в клиенты с диском, как вариант.... стрёмно уже.

А зачем ставить их клиент? У них же WebDav есть.

Поясните, пожалуйста, дилетанту. Вот есть https. Сами сертификаты чаще всего удостоверяют только то, что этот сайт -- это и есть этот сайт. Провайдер может сделать подмену сертификата. Кому отдали закрытую часть серта, я не знаю. Как в этом случае для меня сервис гугла может быть надёжен?

Провайдер не может подменить сертификат. У гугла свой CA и публичные ключи они, ясен пень, кому попало не раздают.

Есть просто факт того, где этот сервис находится.

Да сейчас же все сколько-нибудь порядочные сервисы под страхом блокировки вынудили переместить сервера в Россию. Персональные данные, платежи — всё это по закону не должно за пределы России уходить. Посмотрите и убедитесь: обращения к тому же PayPal идут на московские сервера.

Вы усложняете работу ФСБ и упрощаете работу АНБ. По мне так лучше иметь здесь проблемы с ФСБ, чем куда то прилететь выпить и почпокаться и оказаться в чужом полицейском участке.

Привлечь внимание АНБ намного сложнее. Кто я такой, чтобы вызвать их интерес? А ФСБ запросто: крамольные вещи вот на форуме пишу, нехорошо это.

То есть захожу я на unixforum. Чо я его проверять что ли буду? Тот мне провайдер сертификат отдаёт или нет?

А почему бы и не проверить? SHA256: 9E:3E:DB:AE:30:26:E5:3E:3C:A6:0B:1F:D9:4D:BC:7E:84:82:1A:49:24:7A:D4:7F:12:97:B7:80:3B:85:A2:B0

Зачем если я честный человек?

Если ФСБ получает доступ к огромному массиву переписки, она наверняка захочет как-то его использовать. Разбирать всё вручную ресурсов не хватит, да и просто нерационально. Значит прикрутят какой-нибудь ИИ для анализа. ИИ может дать сбой и решить, что в переписке честного человека фигурирует что-то подозрительное. Дальше займутся человеком вплотную уже живые люди, и тут надо учитывать, что 1) этим людям платят за результат; 2) все сотрудники спецслужб склонны видеть кругом врагов; 3) любого человека есть за что посадить; 4) даже если не найдут реальных причин, могут получить компрометирующие показания одним из множества способов (от психологического до физического воздействия), причём сами будут уверены в их правдивости; 5) даже при отсутствии убедительных доказательств вины наша дорогая судебная система склонна выносить обвинительные приговоры, примеров чему множество; 6) даже если не посадят, и даже если до суда не дойдёт, жизнь могут испортить основательно.
В общем, чем меньше там о тебе знают, тем лучше, даже если ты честный человек.

[Базлайтер]

Bizdelnick
Всё абсолютно верно.

[azsx]

Поясните, пожалуйста, подробнее. Не раз я слышал, что провайдер подменяет сертификат, чтобы видеть, что происходит на закрытой части сайта. То есть я захожу на unixforum по https и вижу сообщения в личке. Мой провайдер подменяет сертификат незаметно для меня в самом начале. Соотвественно у меня значок https горит, а на самом деле, я уже не под вашим, а под сертом провайдера сижу. То есть если я не буду проверять сертификат, то провайдер читает мою личку.
Вопрос.
Это всё не правда?
То есть если я сертификат открою, sha суммы сравню -- то я выведу на чисту воду негодяя. Но я ведь так делать не буду, верно. Или вы так делаете?

[Vascom]

Это всё неправда. Твой браузер (если он свежий) сам автоматически проверяет сертификат сайта и, если это будет какой-либо другой сертификат, то блокирует соединение.
Описанный тобой вариант возможен если ты самолично руками добавишь корневой сертификат провайдера в свой браузер.

[azsx]

Vascom уточните пожалуйста.
1. То есть до какой то версии браузеров такой проверки не было?
2. Правильно ли я понимаю, что если провайдер подменит сертификат, а у меня новый браузер, выйдет просто "это не доверенное соединение, нажмите дополнительно, принять сертификат"? И приянть будет достаточно всего один раз, не читая. Далее принятый сертификат будет работать для всех сайтов.

[Bizdelnick]

У провайдера есть теоретическая возможность подменить сертификат. Но для этого он должен иметь валидный ключ для подписывания этого сетификата. Удостоверяющие центры, которые выдавали такие ключи левым конторам, до сих пор довольно быстро исключались из числа доверенных, а поскольку это влечёт за собой большие финансовые потери, никто уже не рискует. В принципе провайдер может потребовать от всех пользователей установить свой корневой сертификат, но это явно не тот случай, когда слежка осуществляется незаметно.

[Vascom]

1. Я не могу уверенно сказать за старые версии браузеров. В современных Chromium и Firefox с этим всё нормально.
А использовать любые другие неподдерживаемые версии - сродни выстрелу себе в ногу из-за их известных уязвимостей.

2. Неправильно. Браузер не предложит доверить сертификату. Просто заблокирует соединение и всё.

[azsx]

То есть провайдер может подменить сертификат только если я сперва установлю его сертификат в доверенные узлы. Просто дополнительно и принять сертификат в браузере, когда я захожу на какой то сайт -- никак не получится?

[Vascom]

Верно.

[Bizdelnick]

То есть провайдер может подменить сертификат только если я сперва установлю его сертификат в доверенные узлы.

Бантики.
Какие ещё узлы?

Просто дополнительно и принять сертификат в браузере, когда я захожу на какой то сайт -- никак не получится?

Получится. Но последние версии браузеров всё равно будут показывать, что соединение не защищено. Да и зачем так делать?

[azsx]

Вы пишите разные вещи. То есть по словам бездельника провайдер всё таки может подменить сертификат. То есть я захожу на unixforum, мне браузер выводит (сертификату нет доверия) я жму дополнительно, принять и затем любой сайт с https будет выходить под сертом провайдера.
Браузер не будет зелёным в углу показывать, но будет типа работать, хотя всю личку уже читает провайдер. Верно?
Или же это принципиально невозможно провайдеру прочитать мою личку на unixforum подменив мне сертификат?

[Vascom]

Вот ты дотошный

[azsx]

Vascom потому что я хочу разобраться один раз. На сегодня, насколько я понимаю -- нет смысла от чужих сервисов. Так как 1. Они почти все на площадках ростелекома; 2. провайдер подменяет сертификат только в путь.

[Vascom]

Провайдер не подменяет сертификат, забудь. Если бы хоть один провайдер это сделал - интернет уже на ушах стоял бы и кого-нибудь точно посадили бы.

Смысл от "чужих" сервисов всё же есть. Не забывай, что с этими сервисами ты общаешься по HTTPS и ни кто посторонний без решения суда не сможет прочитать твои транзакции и данные. Просто "свои" сервисы ещё и без решения суда могут сливать информацию "куда надо", а остальным репутация важна.

[SLEDopit]

Зачем если я честный человек?

Скажите ещё, что вам нечего скрывать.

[azsx]

Если бы хоть один провайдер это сделал - интернет уже на ушах стоял бы и кого-нибудь точно посадили бы.

в гугле: провайдер подменил сертификат
То есть условно говоря, как теперь понял я. Провайдеру надо прочитать мою личку на unixforum. Он может выборочно для этого сайта подменить мне сертификат. Браузер выведет "не доверяю", я по привычке "дополнительно, принять". Браузер современный обязательно будет гореть красным, но на сайт в личку меня пустит. Провайдер прочитает личку. Если надо ещё какой то сайт с https прочитать провайдеру, то дополнительно мне писать уже браузер не будет, просто красным будет гореть. Теперь верно?

[Vascom]

В хроме нет "дополнительно, принять".

[azsx]

В хроме проверил для самоподписанного сертификата (перешёл на этот сайт. Дополнительные - перейти на сайт.
Vascom как бы в деталях я могу ошибаться. Вопрос у меня другой.

[Vascom]

А где есть сайт с самоподписанным сертификатом? Тоже хочу проверить.
Ну и это может быть несколько другой ситуацией, чем когда идёт подмена сертификата провайдером.

[azsx]

Можно я вам дургой дам проверить, а то тот мой, самоподписанный.
Вот откройте в хроме бракованый https://cacert.org/

[Vascom]

А есть, да.
Но браузер не добавляет сертификат, а будет спрашивать каждый раз.

[azsx]

в ФФ точно добавляет. Повторюсь, вопрос то мой не в этом.
Re: проспал 1 июля.
я прошляпил один раз и всё, меня уже читают.

[Vascom]

Напиши багрепорт в ФФ.

[Bizdelnick]

То есть я захожу на unixforum, мне браузер выводит (сертификату нет доверия) я жму дополнительно, принять и затем любой сайт с https будет выходить под сертом провайдера.

Не любой. Вы принимаете самоподписанный (или подписанный недоверенным УЦ) сертификат для конкретного сайта, для других сайтов он будет недействителен. Чтобы принимались любые провайдерские сертификаты, они должны быть подписаны доверенным УЦ — то есть либо Вы специально устанавливаете корневой сертификат УЦ провайдера, либо какой-то доверенный УЦ, рискуя репутацией, выдаёт ему сертификат для подписи.

[azsx]

Bizdelnick спасибо, вот теперь понятно. Значит сделать сертификат годный для "любого" домена нельзя, только каждый раз принимать для каждого домена, где решили подменить -- отдельно.Это немного лучше, но вот для таких как я, безопасность резко к нулю идёт. Что на гугл драйв, что на клоуд майл, что на уникс форум. Я ткну принять сертификат и даже разбираться не буду, чо у вас там сбойнуло.
То есть у вас серт действителен с июля 18 по октябрь 18. Почему так мало? Вы написали, можно проверить sha, но как бы я его проверил если бы в теме не написали? Как sha для другого сайта проверить, я не знаю его.
Или же приянть корневой, что часо делают в гос конторах не глядя чо принимают.
---
Я очень часто встречаюсь с сайтами на которых https надо принимать. У меня другое отношение к безопасности, поэтому я их принимаю не глядя.
Может вам это будет как красный флаг, все гугл драйв сломан -- сбегаем.

[Vascom]

Этот сертификат выдаётся на три месяца и постоянно периодически выдаётся новый. Это бесплатный сертификат.

azsx, если принимаешь не глядя - то разговор можно заканчивать. С тем же успехом можно переходить дорогу, не глядя на светофор, железнодорожные пути и т.п.

[SLEDopit]

У меня другое отношение к безопасности, поэтому я их принимаю не глядя.

Смысл сокрушаться о том, что "безопасность резко к нулю идёт", если сами же не соблюдаете элементарные правила и даже не хотите в них разобраться?