проспал 1 июля.
Модератор: Модераторы разделов
Re: проспал 1 июля.
azsx, за тебя это делает браузер.
Вообще какая-то чушь процитирована, поскольку https не шифрует название сайта и провайдер всегда видит куда ты хочешь зайти.
Вообще какая-то чушь процитирована, поскольку https не шифрует название сайта и провайдер всегда видит куда ты хочешь зайти.
Спасибо сказали:
Re: проспал 1 июля.
Базлайтер. Это хорошо, что мы поняли, что предъявляем разные требования к облачным хранилищами.
А вот шифровать честному и законопослушному человеку надо в ещё большей степени. Лишь это позволит избежать попадания важной информации в руки злоумышленников и преступников. Утечки есть как из коммерческих структур, так и из правоохранительных органов. Только конечное шифрование на устройстве пользователя обеспечивает безопасность.
А вот шифровать честному и законопослушному человеку надо в ещё большей степени. Лишь это позволит избежать попадания важной информации в руки злоумышленников и преступников. Утечки есть как из коммерческих структур, так и из правоохранительных органов. Только конечное шифрование на устройстве пользователя обеспечивает безопасность.
Re: проспал 1 июля.
Vascom
По поводу приведённой цитаты azsx. Там как бы хитрО. Если я правильно понимаю. Ну, по нубски. Без сертификата, провайдер не может смотреть и ограничивать шифрованный трафик. Значит он сделал так, что у юзера при попытки зайти на сайты везде ахтунг и ничего не открывается.
Конечная цель - впендюрить свой сертификат юзеру, что бы тот радовался доступности сайтам, со всеми вытекающими. Или мимо?
Ну в итоге сошлись на разных требованиях, всё таки взаимопопонимание достигнуто. Это то же хорошё.
Я всегда в идеале представлял иную картину. Что бы органы меня как раз защищали от всего подобного, а не я от них защищался. ))
Вобщем стану маньяком-параноиком в итоге. Ехх.
По поводу приведённой цитаты azsx. Там как бы хитрО. Если я правильно понимаю. Ну, по нубски. Без сертификата, провайдер не может смотреть и ограничивать шифрованный трафик. Значит он сделал так, что у юзера при попытки зайти на сайты везде ахтунг и ничего не открывается.
Конечная цель - впендюрить свой сертификат юзеру, что бы тот радовался доступности сайтам, со всеми вытекающими. Или мимо?
Ну в итоге сошлись на разных требованиях, всё таки взаимопопонимание достигнуто. Это то же хорошё.
Я всегда в идеале представлял иную картину. Что бы органы меня как раз защищали от всего подобного, а не я от них защищался. ))
Вобщем стану маньяком-параноиком в итоге. Ехх.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: проспал 1 июля.
А зачем ставить их клиент? У них же WebDav есть.
Провайдер не может подменить сертификат. У гугла свой CA и публичные ключи они, ясен пень, кому попало не раздают.azsx писал(а): ↑10.07.2018 04:53Поясните, пожалуйста, дилетанту. Вот есть https. Сами сертификаты чаще всего удостоверяют только то, что этот сайт -- это и есть этот сайт. Провайдер может сделать подмену сертификата. Кому отдали закрытую часть серта, я не знаю. Как в этом случае для меня сервис гугла может быть надёжен?
Да сейчас же все сколько-нибудь порядочные сервисы под страхом блокировки вынудили переместить сервера в Россию. Персональные данные, платежи — всё это по закону не должно за пределы России уходить. Посмотрите и убедитесь: обращения к тому же PayPal идут на московские сервера.
Привлечь внимание АНБ намного сложнее. Кто я такой, чтобы вызвать их интерес? А ФСБ запросто: крамольные вещи вот на форуме пишу, нехорошо это.
А почему бы и не проверить? SHA256: 9E:3E:DB:AE:30:26:E5:3E:3C:A6:0B:1F:D9:4D:BC:7E:84:82:1A:49:24:7A:D4:7F:12:97:B7:80:3B:85:A2:B0
Если ФСБ получает доступ к огромному массиву переписки, она наверняка захочет как-то его использовать. Разбирать всё вручную ресурсов не хватит, да и просто нерационально. Значит прикрутят какой-нибудь ИИ для анализа. ИИ может дать сбой и решить, что в переписке честного человека фигурирует что-то подозрительное. Дальше займутся человеком вплотную уже живые люди, и тут надо учитывать, что 1) этим людям платят за результат; 2) все сотрудники спецслужб склонны видеть кругом врагов; 3) любого человека есть за что посадить; 4) даже если не найдут реальных причин, могут получить компрометирующие показания одним из множества способов (от психологического до физического воздействия), причём сами будут уверены в их правдивости; 5) даже при отсутствии убедительных доказательств вины наша дорогая судебная система склонна выносить обвинительные приговоры, примеров чему множество; 6) даже если не посадят, и даже если до суда не дойдёт, жизнь могут испортить основательно.
В общем, чем меньше там о тебе знают, тем лучше, даже если ты честный человек.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: проспал 1 июля.
Bizdelnick
Всё абсолютно верно.
Всё абсолютно верно.
Re: проспал 1 июля.
Поясните, пожалуйста, подробнее. Не раз я слышал, что провайдер подменяет сертификат, чтобы видеть, что происходит на закрытой части сайта. То есть я захожу на unixforum по https и вижу сообщения в личке. Мой провайдер подменяет сертификат незаметно для меня в самом начале. Соотвественно у меня значок https горит, а на самом деле, я уже не под вашим, а под сертом провайдера сижу. То есть если я не буду проверять сертификат, то провайдер читает мою личку.
Вопрос.
Это всё не правда?
То есть если я сертификат открою, sha суммы сравню -- то я выведу на чисту воду негодяя. Но я ведь так делать не буду, верно. Или вы так делаете?
Вопрос.
Это всё не правда?
То есть если я сертификат открою, sha суммы сравню -- то я выведу на чисту воду негодяя. Но я ведь так делать не буду, верно. Или вы так делаете?
Re: проспал 1 июля.
Это всё неправда. Твой браузер (если он свежий) сам автоматически проверяет сертификат сайта и, если это будет какой-либо другой сертификат, то блокирует соединение.
Описанный тобой вариант возможен если ты самолично руками добавишь корневой сертификат провайдера в свой браузер.
Описанный тобой вариант возможен если ты самолично руками добавишь корневой сертификат провайдера в свой браузер.
Спасибо сказали:
Re: проспал 1 июля.
Vascom уточните пожалуйста.
1. То есть до какой то версии браузеров такой проверки не было?
2. Правильно ли я понимаю, что если провайдер подменит сертификат, а у меня новый браузер, выйдет просто "это не доверенное соединение, нажмите дополнительно, принять сертификат"? И приянть будет достаточно всего один раз, не читая. Далее принятый сертификат будет работать для всех сайтов.
1. То есть до какой то версии браузеров такой проверки не было?
2. Правильно ли я понимаю, что если провайдер подменит сертификат, а у меня новый браузер, выйдет просто "это не доверенное соединение, нажмите дополнительно, принять сертификат"? И приянть будет достаточно всего один раз, не читая. Далее принятый сертификат будет работать для всех сайтов.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: проспал 1 июля.
У провайдера есть теоретическая возможность подменить сертификат. Но для этого он должен иметь валидный ключ для подписывания этого сетификата. Удостоверяющие центры, которые выдавали такие ключи левым конторам, до сих пор довольно быстро исключались из числа доверенных, а поскольку это влечёт за собой большие финансовые потери, никто уже не рискует. В принципе провайдер может потребовать от всех пользователей установить свой корневой сертификат, но это явно не тот случай, когда слежка осуществляется незаметно.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
Re: проспал 1 июля.
1. Я не могу уверенно сказать за старые версии браузеров. В современных Chromium и Firefox с этим всё нормально.
А использовать любые другие неподдерживаемые версии - сродни выстрелу себе в ногу из-за их известных уязвимостей.
2. Неправильно. Браузер не предложит доверить сертификату. Просто заблокирует соединение и всё.
А использовать любые другие неподдерживаемые версии - сродни выстрелу себе в ногу из-за их известных уязвимостей.
2. Неправильно. Браузер не предложит доверить сертификату. Просто заблокирует соединение и всё.
Re: проспал 1 июля.
То есть провайдер может подменить сертификат только если я сперва установлю его сертификат в доверенные узлы. Просто дополнительно и принять сертификат в браузере, когда я захожу на какой то сайт -- никак не получится?
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: проспал 1 июля.
Бантики.
Какие ещё узлы?
Получится. Но последние версии браузеров всё равно будут показывать, что соединение не защищено. Да и зачем так делать?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
Re: проспал 1 июля.
Вы пишите разные вещи. То есть по словам бездельника провайдер всё таки может подменить сертификат. То есть я захожу на unixforum, мне браузер выводит (сертификату нет доверия) я жму дополнительно, принять и затем любой сайт с https будет выходить под сертом провайдера.
Браузер не будет зелёным в углу показывать, но будет типа работать, хотя всю личку уже читает провайдер. Верно?
Или же это принципиально невозможно провайдеру прочитать мою личку на unixforum подменив мне сертификат?
Браузер не будет зелёным в углу показывать, но будет типа работать, хотя всю личку уже читает провайдер. Верно?
Или же это принципиально невозможно провайдеру прочитать мою личку на unixforum подменив мне сертификат?
Re: проспал 1 июля.
Vascom потому что я хочу разобраться один раз. На сегодня, насколько я понимаю -- нет смысла от чужих сервисов. Так как 1. Они почти все на площадках ростелекома; 2. провайдер подменяет сертификат только в путь.
Re: проспал 1 июля.
Провайдер не подменяет сертификат, забудь. Если бы хоть один провайдер это сделал - интернет уже на ушах стоял бы и кого-нибудь точно посадили бы.
Смысл от "чужих" сервисов всё же есть. Не забывай, что с этими сервисами ты общаешься по HTTPS и ни кто посторонний без решения суда не сможет прочитать твои транзакции и данные. Просто "свои" сервисы ещё и без решения суда могут сливать информацию "куда надо", а остальным репутация важна.
Смысл от "чужих" сервисов всё же есть. Не забывай, что с этими сервисами ты общаешься по HTTPS и ни кто посторонний без решения суда не сможет прочитать твои транзакции и данные. Просто "свои" сервисы ещё и без решения суда могут сливать информацию "куда надо", а остальным репутация важна.
Re: проспал 1 июля.
Скажите ещё, что вам нечего скрывать.
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.
Re: проспал 1 июля.
в гугле: провайдер подменил сертификатЕсли бы хоть один провайдер это сделал - интернет уже на ушах стоял бы и кого-нибудь точно посадили бы.
То есть условно говоря, как теперь понял я. Провайдеру надо прочитать мою личку на unixforum. Он может выборочно для этого сайта подменить мне сертификат. Браузер выведет "не доверяю", я по привычке "дополнительно, принять". Браузер современный обязательно будет гореть красным, но на сайт в личку меня пустит. Провайдер прочитает личку. Если надо ещё какой то сайт с https прочитать провайдеру, то дополнительно мне писать уже браузер не будет, просто красным будет гореть. Теперь верно?
Re: проспал 1 июля.
В хроме нет "дополнительно, принять".
Re: проспал 1 июля.
В хроме проверил для самоподписанного сертификата (перешёл на этот сайт. Дополнительные - перейти на сайт.
Vascom как бы в деталях я могу ошибаться. Вопрос у меня другой.
Vascom как бы в деталях я могу ошибаться. Вопрос у меня другой.
Re: проспал 1 июля.
А где есть сайт с самоподписанным сертификатом? Тоже хочу проверить.
Ну и это может быть несколько другой ситуацией, чем когда идёт подмена сертификата провайдером.
Ну и это может быть несколько другой ситуацией, чем когда идёт подмена сертификата провайдером.
Re: проспал 1 июля.
Можно я вам дургой дам проверить, а то тот мой, самоподписанный.
Вот откройте в хроме бракованый https://cacert.org/
Вот откройте в хроме бракованый https://cacert.org/
Re: проспал 1 июля.
А есть, да.
Но браузер не добавляет сертификат, а будет спрашивать каждый раз.
Но браузер не добавляет сертификат, а будет спрашивать каждый раз.
Re: проспал 1 июля.
в ФФ точно добавляет. Повторюсь, вопрос то мой не в этом.
Re: проспал 1 июля.
я прошляпил один раз и всё, меня уже читают.
Re: проспал 1 июля.
я прошляпил один раз и всё, меня уже читают.
- Bizdelnick
- Модератор
- Сообщения: 20793
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: проспал 1 июля.
Не любой. Вы принимаете самоподписанный (или подписанный недоверенным УЦ) сертификат для конкретного сайта, для других сайтов он будет недействителен. Чтобы принимались любые провайдерские сертификаты, они должны быть подписаны доверенным УЦ — то есть либо Вы специально устанавливаете корневой сертификат УЦ провайдера, либо какой-то доверенный УЦ, рискуя репутацией, выдаёт ему сертификат для подписи.
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Спасибо сказали:
Re: проспал 1 июля.
Bizdelnick спасибо, вот теперь понятно. Значит сделать сертификат годный для "любого" домена нельзя, только каждый раз принимать для каждого домена, где решили подменить -- отдельно.Это немного лучше, но вот для таких как я, безопасность резко к нулю идёт. Что на гугл драйв, что на клоуд майл, что на уникс форум. Я ткну принять сертификат и даже разбираться не буду, чо у вас там сбойнуло.
То есть у вас серт действителен с июля 18 по октябрь 18. Почему так мало? Вы написали, можно проверить sha, но как бы я его проверил если бы в теме не написали? Как sha для другого сайта проверить, я не знаю его.
Или же приянть корневой, что часо делают в гос конторах не глядя чо принимают.
---
Я очень часто встречаюсь с сайтами на которых https надо принимать. У меня другое отношение к безопасности, поэтому я их принимаю не глядя.
Может вам это будет как красный флаг, все гугл драйв сломан -- сбегаем.
То есть у вас серт действителен с июля 18 по октябрь 18. Почему так мало? Вы написали, можно проверить sha, но как бы я его проверил если бы в теме не написали? Как sha для другого сайта проверить, я не знаю его.
Или же приянть корневой, что часо делают в гос конторах не глядя чо принимают.
---
Я очень часто встречаюсь с сайтами на которых https надо принимать. У меня другое отношение к безопасности, поэтому я их принимаю не глядя.
Может вам это будет как красный флаг, все гугл драйв сломан -- сбегаем.
Re: проспал 1 июля.
Этот сертификат выдаётся на три месяца и постоянно периодически выдаётся новый. Это бесплатный сертификат.
azsx, если принимаешь не глядя - то разговор можно заканчивать. С тем же успехом можно переходить дорогу, не глядя на светофор, железнодорожные пути и т.п.
azsx, если принимаешь не глядя - то разговор можно заканчивать. С тем же успехом можно переходить дорогу, не глядя на светофор, железнодорожные пути и т.п.
Re: проспал 1 июля.
Смысл сокрушаться о том, что "безопасность резко к нулю идёт", если сами же не соблюдаете элементарные правила и даже не хотите в них разобраться?
UNIX is basically a simple operating system, but you have to be a genius to understand the simplicity. © Dennis Ritchie
The more you believe you don't do mistakes, the more bugs are in your code.
The more you believe you don't do mistakes, the more bugs are in your code.