Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2017-12-02 19:44:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Dedalus - Dedalus
Entry tags:fascism, internet, ljr, putin

Сертификат истёк 12.11.2014 15:46
Какое-то странное явление
http://lj.rossia.org/community/ljr_bugs/105296.html
выгядит, как подмена сертификата, причем массовая
у нас сертификат let's encrypt, есличо, и он истекает
12/19/17.

Такое вообще бывает? Я думал, подмена сертификата
дело непростое и очень редко применяется.

Здесь тоже жалуются:
http://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721
(на то же самое явление). Прошу объяснить, кто знает.
Спасибо

Привет



(Читать комментарии) - (Добавить комментарий)


[info]wieiner_
2017-12-03 00:43 (ссылка)
даже если не бесплатный, скорее всего контора маргинальная. напишите им в поддержку.

(Ответить) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 01:23 (ссылка)
Саш let's encrypt это очень хорошая контора, вкрации поясню почему.

много лет механизм цепочки доверия сертов абузился гэбэшниками, секрет полишинеля такой. понятно что принципиально цепочка доверия была выдумана американскими гэбистами, но выпускающие центры сотрудничают с секретной полицией любых государств, потому страдали люди везде. понятно, что умные хорошие эльфы давно пытались совершить комьюнити усилие, и запилить центр сертификации в обход основной цепочки (google: CACert), но усилие это всячески подавлялось, не выходило ничего как-то, постоянно дъявольские совпадения не давали проекту выстрелить.

несколько лет (а именно в 2014) назад амеро гэбисты решили что позволять шифровать траффик диссидентам в гос-вах с авторитарным режимами важнее, нежели прослушивать своих олухов (которые и так поголовно уже сидят с троянами, встроенными прямо в железо), и появился let's encrypt (который развивали с 2012, но до 2014 плохо получалось); let's encrypt делает EFF вместе с Mozilla и в privacy policy у них написана следующая немыслимая для традиционных центров сертификации вещь:

If we are required by law to disclose the information that you have submitted, we will attempt to provide you with prior notice (unless we are prohibited or it would be futile) that a request for your information has been made in order to give you an opportunity to object to the disclosure. We will attempt to provide this notice by whatever means is reasonably practical. If you do not challenge the disclosure request, we may be legally required to turn over your information.



поэтому let's encrypt очень хорошие; конечно, амерам они сливают тоже всю инфу наверняка шлангом, но рашко гэбистам сольют вряд ли, EFF очень хорошая организация всё-таки.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 02:46 (ссылка)
>вкрации поясню почему.
потому что состоит полностью из криворуких долбоёбов, сверху донизу, да.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 05:01 (ссылка)
других к проектам такой важности и не допустят, макака должна быть в состоянии запилить код по подробной спецификации, но недостаточно умна, чтобы впилить бэкдор для себя

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 05:21 (ссылка)
угу. поэтому имеем эпические проёбы перед стартом, уровня первоклашки с приветмиром. но я, конечно, абсолютно верю, что те же самые люди, которые сделали такой проёб, свидетельствующий о полной профнепригодости, больше никогда‐никогда подобного не допустят. подумаешь, один раз не пидарас ведь, всегда security так работало.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 05:47 (ссылка)
А что они там сделали ? Генерили серты своей кривой наколеночной реализацией SSL, или просто пароли на фронт серваки придумывала жена сисодмина, и пару сбрутили и редиректнули десяток юзеров на гоатсе ?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 06:25 (ссылка)
мне лень опять это всё искать. как минимум — проёбывали мыла клиентов (тупая макака не ту кнопочку в гуе клацнула в рассылке, лол), и были детские проблемы с автоапдейтером сертификатов. ещё что‐то, кажется, точно не помню: мне, в общем, неинтересно, чем там выпускники пту для даунов занимаются.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 06:48 (ссылка)
если серьёзно.

инфо сесурити практики в больших организациях всегда исходят из того факта, что люди ошибаются, а также подвержены коррупции, а ещё легко выдают любую информацию при применении довольно простых методов физического воздействия. и вылизываются хорошо, покрывая пространство возможностей наотличненько.

потому большие компании серьёзно ломают редко, а если ломают серьёзно, это потому что у архитектора-дизайнера политик безопасности в голове (и, как следствие на бумаге и в документации) картинка всего многообразия обмена конфиденциальной инфой внутри организации не сложилась. А такое бывает только при выполнении одного из следующих 2х условий: организация либо растёт настолько быстро и динамично, что потоки обмена информацией просто не успевают покрываться нужными практиками безопасности; ну либо вышеозначенный архитектор-дизайнер долбоёб (на практике в больших организациях такое бывает только в постсовке правда, и то уже начинают отвыкать). Но большие организации быстро и динамично не растут.

А вот стартапы всякие, особенно на публичном фандинге вроде let's encrypt, архитекторов-дизайнеров безопасников выделенных не имеют, поэтому инфо сесурити занимаются челы по совмещению с основной специализацией на проекте; а ещё сраные стартапщики в сраном сан франциско много работают (зачастую глупо и впустую), и бывает выгорают так, что падают в обморок прямо на клавиатуру в сраных душных офисах; а ещё многие стартапщики действительно заканчивают пту для даунов, или, например, попадают на проект потому, что хорошо умеют верстать, а потом в долине начинается хайп "full stack engineer", и версталы начинают работать над бэкендом авторизации... вполне естественно, что в таких условиях продукты сраных стартапов будут содержать ошибки и уязвимости.

вообще по возможности пытайтесь избежать бытия стартапщиком или пересечений с таковыми. вот математики много лучше и приличнее: имеют много денег, связи в калабрийской мафии, ходят в дорогих костюмах, дают интервью lenta.ru. а стартапщику подойдёт и конура в общаге в чёрном квартале сан-хосе, которую он будет делить с тремя такими же, коротая вечера за просмотром techcrunch, вместо званых ужинов, премий и встреч с уважаемыми людьми.
потом ещё удивляются, почему у них данные воруют, ага.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 07:05 (ссылка)
>и вылизываются хорошо, покрывая пространство возможностей наотличненько.
это было бы так, если бы инфосекурити действительно заведовали профессионалы, в работу которых никто не вмешивается. а на деле — как показывала куча исследований — простейшая подброшеная на стоянку флэшка мгновенно суётся в технику. а техника у какого‐нибудь босса средней руки всенепременно подключена к корпоративной сети, и засовывание флэшек с автостартом не заблокировано, потому что среднебоссу очень напряжны все эти «меры безопасности». поэтому он ультимативно потребовал сделать как ему хорошо, а не как безопасно.

«большие конторы» не ебёт только очень ленивый. а если большую контору выебали, и это заметили — то большая контора постарается этот факт максимально умолчать, так что Широкая Общественность может и не узнать, что кого‐то raped.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:26 (ссылка)
https://cloud.google.com/security/security-design/resources/google_infrastructure_whitepaper_fa.pdf вот эту штуку ты наверняка читал же (изложение маркетинговый булшит конечно но за ним скрываются тысячи реальных внутренних практик)
у реально технологичных ребят у всех подобно организовано.
чувак который вставляет флэшку он просто пришелец из 20го века, ретроград, ну вроде Путина.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 07:32 (ссылка)
так, поржать. это, на минуточку, ребята, специализирующиеся на security были.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:56 (ссылка)
> For example, unlike Gamma Group, their customer support site needed a client certificate to connect. What they had was their main website (a Joomla blog in which Joomscan[2] didn't find anything serious), a mail server, a couple routers, two VPN appliances, and a spam filtering appliance.
Чёто как то забавно, хакеры-хуякеры, роутеры торчат прямо в сеть. Ну понятно, что за журналистами другие шпионить и не будут. Руткиты писать и в сетях шаманить это кстати два разных навыка, может их руткиты писать в пту для даунов научили, а ipsec настраивать через гейт в облаке не научили.
Но их тоже там 40 человек всего, типичные стартаперы же, только итальянские, эти могут и с калабрийской мафией связи особо тесные иметь, математикам носы хоть в чём-то утрут.

(Ответить) (Уровень выше)


[info]perfect_kiss
2017-12-03 05:53 (ссылка)
В EFF кстати исторически кодеры криворукие, это потому что там не умняша Столлман рулил, а всякие гуманитарии типо укурка Джона Перри Барлоу; наверняка совершивший проёб сисодмин/кодер был из EFF, отвисал под грибами вместо того чтобы маны читать.
Но в плане чистоты идеологии конечно EFF на уровне Столлмана и пропаганда у них прикольная, и логотип клёвый:


(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 06:26 (ссылка)
вот людям сильно легче будет от того, что ебанашка не злонамеренная, а Идеологически Чистая.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 06:53 (ссылка)
Но ведь ебанашки будут всегда, всегда будут как ломать умышленно, так и сливать по тупости, пока есть сети для обмена информацией, разделяемые кучей разных людей и организаций, эта хуйня не исчезнет.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 07:07 (ссылка)
именно поэтому централизованые системы с «довереными узлами» никогда и не будут работать.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]perfect_kiss
2017-12-03 07:58 (ссылка)
всё "работает" и всем норм, а ты тссс! не хочешь в эквадорское посольство часом погостить ?

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 08:00 (ссылка)
а мне давно всё можно, Там знают, что я диванный экстремист, сам ничего делать не буду, и никто меня не слушает. удобно.

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2017-12-03 10:56 (ссылка)
Поебитесь вы уже

(Ответить) (Уровень выше)


(Читать комментарии) -