Войти в систему

Home
    - Создать дневник
    - Написать в дневник
       - Подробный режим

LJ.Rossia.org
    - Новости сайта
    - Общие настройки
    - Sitemap
    - Оплата
    - ljr-fif

Редактировать...
    - Настройки
    - Список друзей
    - Дневник
    - Картинки
    - Пароль
    - Вид дневника

Сообщества

Настроить S2

Помощь
    - Забыли пароль?
    - FAQ
    - Тех. поддержка



Пишет Misha Verbitsky ([info]tiphareth)
@ 2017-12-02 19:44:00


Previous Entry  Add to memories!  Tell a Friend!  Next Entry
Настроение: sick
Музыка:Dedalus - Dedalus
Entry tags:fascism, internet, ljr, putin

Сертификат истёк 12.11.2014 15:46
Какое-то странное явление
http://lj.rossia.org/community/ljr_bugs/105296.html
выгядит, как подмена сертификата, причем массовая
у нас сертификат let's encrypt, есличо, и он истекает
12/19/17.

Такое вообще бывает? Я думал, подмена сертификата
дело непростое и очень редко применяется.

Здесь тоже жалуются:
http://lj.rossia.org/users/tiphareth/2081841.html?thread=109744177#t109756721
(на то же самое явление). Прошу объяснить, кто знает.
Спасибо

Привет



(Читать комментарии) - (Добавить комментарий)


[info]lookatindivid
2017-12-03 04:58 (ссылка)
я как бы умом понимаю, но душа отказывается принимать столь суровые реалии


>НИКАК невозможно убедиться, что это не mitm. вообще никак. технически невозможно.

но ведь владелец сайта может выложить характеристики актуального сертификата в открытый доступ, или даже разослать юзерам их физической почтой на бумаге

> но ты зря тратишь усилия на попытки что‐то перепроверить в заведомо нерабочей системе.

я исхожу из того, что только что появившийся сайт не представляет интереса для злоумышленников
значит до организации ими mitm пройдет какое-то время и появятся признаки нормального функционирования ssl
плюс можно использовать e2ee коммуникацию между владельцем ресурса и юзерами (но такое кажется не практикуется в реальности) для уточнения подробностей о нормальной работе ssl

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]ketmar
2017-12-03 05:06 (ссылка)
>но ведь владелец сайта может выложить характеристики актуального сертификата в
>открытый доступ

…которые ты скачаешь через недовереные каналы, с нулевой гарантией того, что трафик не подменили.

>разослать юзерам их физической почтой на бумаге
где гарантия того, что пришло то же самое, что ушло?

централизованые системы с «довереными центрами» не работают. не «иногда не работают», не «бывает, что не работают», а вообще не работают. никогда не работали, и никогда работать не будут, это технически невозможно.

>я исхожу из того, что только что появившийся сайт не представляет интереса для
>злоумышленников

тогда опять таки можно принимать все сертификаты и не париться.

без разницы, совершенно без разницы. пока безопасность зависит ещё от кого‐то кроме тебя и Того Парня, она не существует. это включает в себя и фиготень типа «банк выдал сертификат на флэшине при личном визите»: точно так же не работает. потому что безопасность зависит не от двух людей, желающих договариваться, а от тебя и «сотрудников банка», которым похуй.

просто позволь себе забить на эту промывку мозгов. она затеяна исключительно для того, чтобы «удостоверяющие центры» продавали ничто за деньги. именно для этого она сдизайнена централизованой, именно для этого её пиарят. если бы ты был удостоверяющим центром — для тебя в этом хоть профит был бы. а так — и профита нет, и время с нервами зря тратишь. просто поставь расширение, которое будет принимать любой сертификат — и не парься.

(Ответить) (Уровень выше) (Ветвь дискуссии)


[info]lookatindivid
2017-12-03 07:03 (ссылка)
изначально, когда узнал об ssl/tls, то не задумывался о подлостях со стороны удц
почему-то по умолчанию они воспринимались, как надежный элемент системы (гипнотическая сила слова trust лол)
потом казалось, что конкуренция и чисто коммерческие соображения должны служить гарантией
сейчас уже не уверен, но все же масштабы косяков не впечатляют
если это так плохо, то почему так мало жертв?
хотя в теории понятно, почему оно так плохо, но не понятно за счет чего такие случаи не происходят каждый месяц

можно только предположить, что это точечные атаки, информация о которых просто не вылазит на публику

а массовые трудно заметить и о них тоже никто не рассказывает

(Ответить) (Уровень выше)


(Анонимно)
2017-12-03 15:17 (ссылка)
Сразу видно человека с черно-белым мышлением.
Как в анекдоте про блондинку, которую спросили, какова вероятность того, что выйдя на улицу она встретит динозавра. И она отвечает, конечно же 50%, либо встречу либо нет.
Первый же вопрос сразу возникает, автоматически, когда вижу такие размышления - кому это надо?
Кому ты нахер нужен, сертификаты тебе подменять в почте?
Если ЦРУ или китайцам надо, они тебя через бэкдор в железе будут слушать, а если родным гэбульникам понадобится, они тебе паяльником жопу прозондируют, и не будут возиться с какими то подменами сертификатов

(Ответить) (Уровень выше) (Ветвь дискуссии)


(Анонимно)
2017-12-05 00:40 (ссылка)
а тебя просто клювом в угол посадят щелкать

(Ответить) (Уровень выше)


(Читать комментарии) -