How to become an author
Search
Write a publication
Pull to refresh

Comments 41

Вас работадатель с вероятностью 90% установил на рабочем ПК корневой сертификат, который будет расшифровывать весь ваш трафик у администратора сети.

… если вы работаете в крупной компании с профессиональным ИТ-отделом. Если взять вообще все компании, то с вероятностью 90% ваш работодатель вообще не знает, что такое «корневой сертификат».
Total votes 7: ↑7 and ↓0+7
Так же с вероятностью 90% ваш работодатель будет требовать от вас (от ИТ-отдела) предоставить такой анализ активности работников в сети, который требует расшифровку HTTPS с подменой сертификатов.
This comment wasn’t rated yet0
Так же с вероятностью 90% ваш работодатель будет требовать от вас

С вероятностью 99.9% под этим требованием будет пониматься список посещаемых сайтов и время их посещения, а не подробный перечень фоток, которые лайкают бухгалтера во вконтактике. Что-то большее случается только в секьюрных конторах. И то, это защита от дурака, т.к. хоть десять раз подменяй сертификаты HTTPS, это не поможет, например, узнать содержание защищённой PGP переписки.
This comment wasn’t rated yet0
Развлекательные сайты смотрятся на смартфоне.
Зачем работодателю расшифровывать трафик? Кто всё это будет анализировать? И если я как сисадмин расшифровываю и всё вижу, то куда мне смотреть?
This comment wasn’t rated yet0
Руками обычно никто и не смотрит, но на рабочих ПК часто можно встретить заблокированные интерфейсы на ПК и один единственный доступный вариант утечки — интернет, тут собственно и требуется анализ трафика.
This comment wasn’t rated yet0
Подавляющее большинство руководителей в бизнесе любого размера не терпят нецелевое использование рабочего компьютера. Да, есть смартфон, но куда приятнее смотреть видеоприколы на мониторе весь рабочий день. Трафик анализируют так же с целью предотвратить либо зафиксировать факт утечки.
Кое-где с сисадмина требуют докладывать о поиске работы сотрудниками на соотвествующих порталах.
Ну и есть такой распространенный синдромом: Control freak — такие начальники желают знать о подчиненных всё.
This comment wasn’t rated yet0
Теперь я лучшего мнения о своих руководителях, ибо они смотрят на выполняемые обязанности и их качество, а не постороннюю активность на компьютере.
Total votes 3: ↑3 and ↓0+3
Вообще, там 8 орфографических ошибок и 2 грамматические. Но сама новость интересная.
Total votes 4: ↑4 and ↓0+4
You must be fun at parties.

P.S. Да, мне тоже режут глаз эти ошибки, но для этого есть личка :)
Total votes 3: ↑2 and ↓1+1
Поправил большую часть. а так да — буду рад комментариев в личку.
PS
Как оказатся на первом месте в Google

Total votes 5: ↑5 and ↓0+5

Запятую надо между "ой" и "всё"

Total votes 3: ↑3 and ↓0+3
Точку в конце забыли.
Total votes 1: ↑1 and ↓0+1
точку в комментариях писать не совсем обязательно
Total votes 1: ↑0 and ↓1-1
А ещё первая буква в предложении должна быть заглавной.
Total votes 1: ↑0 and ↓1-1
Опрос:
> Поддерживете ли вы стимулирование перехода на HTTPS
Нет, шифрование это плохо

Зачем такие провокационные варианты ответа, ради очередного холивара? Уже сколько раз везде обсуждали, что https — нужен далеко не на 100% процентов сайтов.
Total votes 10: ↑8 and ↓2+6
Добавил бы вариант в опросник «Да, но в пределах разумного»
Total votes 4: ↑4 and ↓0+4
А в каких именно пределах?
This comment wasn’t rated yet0
Ну здесь уже не раз обсуждалось, что не на всех сайтах нужно шифрование. Вот допустим захочу я какую нибудь игрушку с вебсокетами написать, никакой ценной информации для перехвата нет, а скорость нужна, т.е. шифрование только мешает.
Total votes 3: ↑2 and ↓1+1
Вы удивитесь, но WSS будет работать быстрее чем WS из-за игнорирования потока данных при проходе через прокси и различные анализаторы.
PS Вебсокет вообще очень не нравится прокси серверам, особенно корпоративных и если есть возможность его лучше оборачивать…
This comment wasn’t rated yet0
Попытался найти подтверждение тому, что вы сказали, но безуспешно. И непонятно почему прокси вообще как то отличают ws от простого http. Из того что сказано выше выходит что https быстрее http, потому что его данные тоже никто не анализирует.
Total votes 1: ↑1 and ↓0+1
Загуглите forefront websocket
прокси от микрософта в ентерпрайзе — частый случай
This comment wasn’t rated yet0

Например, отдача тяжелого статического контента типа видео или файлов игр (Steam, Origin,...) не имеет смысла поверх HTTPS. И если с клиентами понятно — там свой протокол, то отдать видео в HTTPS-страницу по HTTP проблематично без ругани браузера.

Total votes 3: ↑1 and ↓2-1
или файлов игр

Имеет — можно устроить MITM заразив исполняемый файл
Total votes 2: ↑2 and ↓0+2

Если файлы подписаны и проверяются локально загрузчиком после закачки — какой смысл тратить ресуры на шифрование каждой отдельной сессии?

Total votes 3: ↑2 and ↓1+1
А если я не хочу, чтобы кто-то видел, в какие игры я играю и (особенно) какое видео я смотрю?
Total votes 1: ↑1 and ↓0+1
В декабре, в debian-security пролетало:
[https://lists.debian.org/debian-security/2016/12/msg00016.html](https://lists.debian.org/debian-security/2016/12/msg00016.html)
[https://lists.debian.org/debian-security/2016/12/msg00018.html](https://lists.debian.org/debian-security/2016/12/msg00018.html)

> > What with Let's Encrypt now active, there is no excuse to not move
> everything to HTTPS for updating.
 
1. Bandwidth. It's fairly easy to proxy/cache HTTP, but HTTPS prevents
   that (unless you break HTTPS). This not only affects the server
   side (I have no idea about the amount of "traffic saved" for Debian),
   but also sites running multiple machines with Debian installed.
   Setting up a mirror is more work than just running a squid.
2. That brings us to: Mirrors. There's quite a bunch of them, and
   I'm quite sure that some of them (even primary mirrors) are not
   "Debian Project hardware". That way it's not just "throw a switch
   and everything is SSL", and it even creates some interesting
   questions like third parties (those non-Debian mirror admins)
   having access to debian.org SSL keys.
 
First point is an inconvenience, second point requires a lot of work
to resolve.


И таких ситуаций, где не нужно сквозное шифрование, а достаточно проверки подписи — довольно много.
Total votes 2: ↑0 and ↓2-2
Не удержался:

"… Наиболее часто встречающиеся слова в передаваемом по https трафике: [тут перечень слов]…
По данным телеметрии Firefox."
Total votes 1: ↑0 and ↓1-1
Проясните пожалуйста вопрос. Все SSL сертификаты которые продаются в РФ — реально выпускаются американскими компаниями. Если США имеют доступ к SSL-сертификату который выдали моему сайту, значит они (АНБ) могут и расшифровать весь трафик между моим сайтом и клиентом?
Есть ли чисто российские SSL сертификаты?
This comment wasn’t rated yet0
Все SSL сертификаты которые продаются в РФ — реально выпускаются американскими компаниями.

Нет, можете найти центр сертификации из другой страны.

(АНБ) могут и расшифровать весь трафик между моим сайтом и клиентом?

Генерация приватного ключа может происходить у вас на сервере и никуда не передаватся => трафик между сервером и клиентом нельзя расшифровать. Единственное что можно сделать — подписать другой сертификат, который будет валидный для вашего домена и устроить MITM — эти (и другие) нарушения делали китайские центры сертификации, ща что их выкинули из доверия большинства браузеров.

Есть ли чисто российские SSL сертификаты?

Не слышал, и маловероятно, что они появятся, по законам РФ шифрование должно быть ГОСТ а не то, которое весь мир использует.
This comment wasn’t rated yet0
Единственное что можно сделать — подписать другой сертификат, который будет валидный для вашего домена и устроить MITM — эти (и другие) нарушения делали китайские центры сертификации

1. Значит это не единственные возможные нарушения.
2. Как будут поступать, если на таких нарушениях попадутся крупнейшие американские компании?
ps
Сама новость ни о чём. За год трафик сместился с разных сайтов на некоторые одинаковые крупные, которые исторически на https.
Вопрос в другом, почему американские компании так переживают за то, что мой провайдер в РФ (или другой стране) увидит мои сообщения? И почему насильно не внедряют pgp? Почему компания firefox не доказывает, что если вы обмениваетесь почтовыми сообщениями с абонентом более одного раза, то пошлите ему даже в почте публичный ключ и если именно в этот момент никто его не перехватил — всю жизнь переписывайтесь с товарищем шифровками.
Я просто не понимаю этого.
Total votes 1: ↑0 and ↓1-1
2. — выкинут из доверяемых

Американским компаниям глубоко насрать наш рынок, их больше волнует свой, в котором взломы через публичный wi-fi — не редкость.

А зачем тут pgp?
This comment wasn’t rated yet0
2. — выкинут из доверяемых

Хорошо.
Американским компаниям глубоко насрать наш рынок, их больше волнует свой, в котором взломы через публичный wi-fi — не редкость.

А зачем тут pgp?

Всё таки если весь вопрос в защите пароля, то его не надо передавать, надо хеш передавать. Как я понимаю, защищать надо платёжные данные (номер карты) или собственно сообщения в личку. Чтобы вы могли мне писать в личку всё, что думаете о политиках и не волноваться о СОРМ и прочей мути. Я не прав?
Total votes 1: ↑0 and ↓1-1
Ваш работодатель с вероятностью 90% установил на рабочем ПК корневой сертификат, который будет расшифровывать весь ваш трафик у администратора сети.

Это и троян, я так понимаю, может свой сертификат поставить? Вообще, как можно определить, что установлен сторонний сертификат?

This comment wasn’t rated yet0
UFO just landed and posted this here
В Хроме это где-то в DevTools можно увидеть. У нас (в ЯБ) мы размыкаем замочек в адресной строке и пишем там в деталях. Хотелось бы, чтобы все так делали.
This comment wasn’t rated yet0
UFO just landed and posted this here
Возможно проблемы с сертификатами. Недавно были баны выпускающих центров.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr