[Recent Entries][Archive][Friends][User Info]
| November 20th, 2025 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 02:44 am [Link] |     На хабре статья про то, как ужасны ssl-сертификаты Минцифры. https://habr.com/ru/articles/966896/ Автору разумеется сразу же насували в панамку про то все описываемые им ужасы - это штатная функциональность SSL/TLS, избежать которой Минцифры не могло бы даже при желании. Разговор вскоре перетек на то, что SSL/TLS (и ее наиболее распространенная форма HTTPS) концептуально настолько дырява, что в нынешних условиях должна рассматриваться скорее как обфускация чем как шифрование. Вообще, сейчас есть хоть какое-нибудь применение для SSL полезное конечному пользователю? В смысле, что он используется как инструмент при реализации различных форм vendor lock, planned obsolescence и прочих коммерчески трюков я в курсе. (x-post) | ||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Comments | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
Примерение SSL полезное конечному пользователю: 1) электронная коммерция 2) обход слежки и перехвата трафика, также блокировки (Reply to this) (Thread)
1) запустите любое банковское приложение или приложение маркетплейса, или зайдите на сайт и посмотрите. Без SSL это не работает. 2) аналогично, зайдите на любой сайт по https. если речь про защиту от блокировки, то, например, Дуров в период блокировки телеграма использовал такой метод для обхода в десктопном приложении. Если действительно интересны техническим подробности, могу попробовать найти коммит. Там было что-то про подмену хостов, когда на облачном сервисе висит много доменов, ты можешь сделать запрос по одному домену, а потом внутри заголовков подменить на другой, и блокировщики трафика не видели это.
но для чего кому-то может понадобиться тратить время, чтобы догадываться, о чем ты косноязычно спрашиваешь, подмахивая сракой туда, сракой сюда, и вообще отвечать на твой очередной идиотский манявопрос? чтобы что? (Reply to this) (Parent) Ты ишак, однако. SSL уже более пяти лет как устарел даже как термин. После ужасов Heartbleed десять лет назад у всех TLS. Всё равно, что вспоминать WEP... (Reply to this) (Thread) После Heartbleed все версии под названием "SSL" стали устаревшими и уязвимыми, остался только "TLS". Хотя сам протокол в порядке, зашквар идёт от библиотеки OpenSSL. (Reply to this) (Parent)
Да похуй, все говорят Ссл, а Тлс в смысле конкретного протокола, не пизди, ишак. Глупенький, это один и тот же протокол, различается только версиями и внутренностями. (Reply to this) (Parent)
>обфускаций >дырява >я в курсе Лол, да ты еще и по сетевым протоколам специалист. Какой разносторонний младший научный сотрудник. Скоро у тебя не будет никаких vendor lock и обфускаций, не переживай. Будешь заходить через госуслуги по белому списку куда следует. Или у сексотов бронь, поэтому как ни в чем ни бывало вылезаешь потроллить через служебный VPN в экстремистскую соцсеть Meta и в террористический рассадник уголовника Вербицкого? Применения у SSL - никакого. Протокол HTTPS (т.н. "безопасный HTTP", т.е. по-ихнему - подцензурный) был придуман в США только для того, чтобы централизованно контролировать доступ к сайтам через "SSL-сертификаты" (их "безопасные" браузеры вообще не могут подключиться к сайту с неправильным сертификатом), а также позволять серверному PHP-скрипту общаться с браузером через расширенный API, манипулирую выдачей веб-страниц (к примеру, отдавая разные варианты страницы разным пользователям - в случае с, например онлайн-картой, это может иметь феерические последствия). Вы можете не париться: протокол HTTPS, собственно, уже потушен с серверной стороны - браузер думает, что общается через HTTPS, но сервер адекватно обрабатывает только подмножество команд HTTP. Всё это шифрование - это миф: сейчас, после отключения ретрекеров, на загрузку страницы уходит в среднем секунд 10 - если бы шифрование в HTTP реально применялось, пришлось ждать бы вообще пару минут. (Reply to this) (Thread)
Нахуй иди, лахтоногий (Reply to this) (Parent) Что касается "сертификатов Минцифры" и Яндекс-браузера, то Минцифра была только в МНР, а не в РФ. Пользоваться ее наработками не надо, как и Яндекс-браузером, который собран в ЕС для его РАО и относится к тем самым "цензурным" браузерам образца евросоциализма. Вся эта "инициатива" - специальная наработка ГРУ для "брикизации", в первую очередь, большинства ламерских ЕСовских ноутбуков с поддельными ОС. После установки соответствующих патчей, эти идиоты получат "встроенный VPN" с турбо-поддувом, т.е. особый IPшник от DHCP-сервера в Смоленске, который не позволит им ходить на большинство сайтов. Хотите евросоциализма - наслаждайтесь "безопасным интернетом".))) А ставить им придется, иначе маршрутизаторы откажут поддельным ОСям, начиная с Windows 11 и Linux Red Hat, в доступе в интернет вообще. Такие пироги...))) Автор статьи очень долго шёл к выводу >возможность легитимно дешифровать HTTPS‑трафик пользователя. Весь. С любого устройства, где установлен данный сертификат Всё держится на том, что ты безусловно доверяешь тем, кто владеет корневыми сертификатами. Для того, чтобы убедить публику в том, что им можно доверять, они проходят аудит, держат ключи на компьютерах в весьма защищённых помещениях, должны педантично сообщать о любых инцидентах. При любом подозрении на факт использования ключей для сниффинговых промежуточных сертификатов эти Trusted Root CAs тут же вылетают из Trusted. Таким образом, совершенно техническая вещь, связанная с проверкой подлинности сервера, базируется на социальных конструкциях и механизмах. Используемая криптография имеет совершенно косвенное отношение к этому основному принципу, её разглядывать нет большого смысла. Условный RSA 4096 still good enough. Корневой сертификат минцифр создан как альтернативный (международно принятым) корневым сертификатам из технической необходимости. То, что он при этом пригодится для man in the middle атак российским силовикам - это просто приятный бонус. При том "уровне" прозрачности и публичности, который есть сейчас в РФ, никакой другой (условно коммерческий) нотариус сертификатов и не может существовать на описанных выше социальных началах. >Разговор вскоре перетек на то, что SSL/TLS (и ее наиболее распространенная форма HTTPS) концептуально настолько дырява Если говорить про непосредственно шифрование трафика (а не дерево сертификатов и вопрос доверия серверу), то там всё нормально же: даже AES-128 до сих пор толком не сломан. Не нравится AES - бери CHACHA. И TLS с точки уязвимости каждый день разглядывают десятки тысяч людей. А шифрование трафика как таковое нужно вообще для всех сервисов, ведь на любом сраном сайте, где ты вводишь пароль через форму и на любом сервере, где ты предъявляешь bearer token, программист исходит из того, что трафик обязательно шифруется. Если выключить TLS, то сразу выяснится, что любой мудак на любом промежуточном узле может за день набрать столько конфиденциальной информации, что ему до конца жизни хватит. Выяснится, что дома твой сраный китайский роутер, умный тостер, провайдерский роутер и все остальные узлы по пути от тебя до сервера могут и будут сливать твой трафик злоумышленникам. Ну такое себе "расследование" Разговор о том, как автор не мог просто так скачать корневые сертификаты (которые должны быть доступны по прямой публичной ссылке, это нужно хотя бы для нормального функционирования автоматизированных систем) - это только начало, дальше, видимо, автору просто надо было что-то написать, хотя с первого вывода всё и так ясно. Ранее все сайты которые администрирую я перевёл на протокол https, ведь s – в конце означает “secure” – “безопасный”. В этом понятии, наверное, и заключается успех этой рекламной акции: “Сделайте все ваши сайты безопасными”. Да, https сессия может и целесообразна для личной переписки в небезопасных сетях, но для просмотра картинок в социальных сетях в ней нет прямой необходимости (как к этому принуждают популярные браузеры, показывая “безопасность” и “небезопасность” в зависимости от наличия картинок https/http). Поэтому, поддавшись пиару корпораций делал на всех сайтах принудительную переадресацию на https. Но всё это ерунда по сравнению с тем, какие нагрузки протокол https налагает на глобальную цифровую инфраструктуру. Не только сервера шифруют каждый запрос перед отправкой, но и клиенты затрачивают дополнительные мощности для расшифровки полученных данных. Это мнимая забота о безопасности приводит к увеличению потребности в электроэнергии и вычислительных мощностей в глобальном масштабе. Эта мнимая забота о безопасности приводит к более быстрой и частой разрядке батарей, когда при просмотре ленты друзей мобильное устройство только и делает что шифрует-расшифровывает картинки и короткие публично доступные текстовые сообщения. Фактически это создаёт спрос на энергоносители и вычислительные мощности. Я не собираюсь отказываться от этого протокола там, где это оправдано (например в частных переписках). Но там где нет никакой в этом надобности я постараюсь убрать обязательный редирект на https, который я сделал будучи одураченным. Буквально, я купился на то, что браузеры показывали такие сайты как «небезопасные» при открытии новых вкладок. Постепенно я попытаюсь исправить эту свою ошибку и свести к минимум своё персональное участие в том, что провоцирует увеличение бесполезного энергопотребления в глобальных масштабах. | |||||||||||||||||||||||||||||||||||||||||||||||||||||||
![[info]](http://lj.rossia.org/img/userinfo.gif){kind=small}