forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Firefox 70 страницы открытые по HTTP начнут помечаться как..."
Отправлено пох., 19-Июл-19 11:39

> Я-то лично как раз не верещу, а ещё и не успеваю следить за загнивающим вебом.
блин, ну нельзя же ТАК тормозить?!
записывай вкратце: hpkp отменил гугель. То есть можно считать что его нет, при их-то 75%. Нет, для себя и друзей - оставил, то есть телеметрию перехватить ты не сможешь, а вот сайты - пожалуйста.
Причиной была названа, ну конечно же ж, забота о дорогих пользователях - владельцах сайтов, которые все время теряли ключи от прибитых гвоздем сертификатов, и потом не могли зайти на свой сайт и очень плакали.
ocsp - это ответ гугля и мазилы на отмену crl - который был просто списком отмененных сертификатов, и его скачивание ничуть не раскрывало, к какому именно сайту ты обращаешься, поэтому было объявлено, что они загружаются ну ооооочень долго, пользователь не может ждать - вот тормозить при каждом новом обращении к шифрованному сайту (потому что помимо сессии с ним устанавливается еще и невидимая тебе сессия с ocsp - и пока не установится, хэшдшейк не пройдет) - это норм. Теперь уже конкретный сертификат браузер предоставляет на рассмотрение цензору, на предмет одобрения его использования в каждом конкретном случае.
Попутно при этом владелец ocsp-сервера узнает, в хорошем случае (веб-сервер на который ты зашел, снабжен вредной и опасной функциональностью ocsp stapling) - о факте посещения аноном конкретного сайта, в плохом (владелец сервера решил что гори ты синим пламенем, но сервер подставлять под лишние уязвимости, баги, глюки и лишнюю нагрузку он не будет) - еще и твой фингерпринт получает для коллекции.
Этой прекрасной технологии немного мешал тот факт, что в браузере зачем-то было установлено стопиццот CA, каждый из которых мог иметь собственный ocsp-сервер, а отдельные ретрограды в количестве over 60% вообще не использовали https.
Поэтому проблему решили традиционным способом, объявив раздачу бесплатного сыра, разумеется, ради заботы о безопастносте. Пытавшихся раздавать неправильный сыр или продавать по демпинговым ценам - объявили предателями и врагами нации, и их сертификаты объявили недостоверными. Одни поняли все правильно (wosign, их разблокировали без шума, пыли и лишних анонсов), другие не поняли, и решили что претензия была к их инфраструктуре. Построили новую с нуля (недешево, она физическую безопасность должна обеспечивать, помимо цифровой), занесли _снова_ два вагона денег мафии за согласования и подтверждения достойности, и пошли лесом, поскольку не усекли главного - бесплатный сыр может быть только в одной мышеловке, а не у каждого китайца.
А за 60 евро в год (минимум, и без гарантий что не подорожает) или за 120 - ты, наверное, и сам не захочешь.

Исходное сообщение
"В Firefox 70 страницы открытые по HTTP начнут помечаться как..." Отправлено пох., 19-Июл-19 11:39
> Я-то лично как раз не верещу, а ещё и не успеваю следить за загнивающим вебом. блин, ну нельзя же ТАК тормозить?! записывай вкратце: hpkp отменил гугель. То есть можно считать что его нет, при их-то 75%. Нет, для себя и друзей - оставил, то есть телеметрию перехватить ты не сможешь, а вот сайты - пожалуйста. Причиной была названа, ну конечно же ж, забота о дорогих пользователях - владельцах сайтов, которые все время теряли ключи от прибитых гвоздем сертификатов, и потом не могли зайти на свой сайт и очень плакали. ocsp - это ответ гугля и мазилы на отмену crl - который был просто списком отмененных сертификатов, и его скачивание ничуть не раскрывало, к какому именно сайту ты обращаешься, поэтому было объявлено, что они загружаются ну ооооочень долго, пользователь не может ждать - вот тормозить при каждом новом обращении к шифрованному сайту (потому что помимо сессии с ним устанавливается еще и невидимая тебе сессия с ocsp - и пока не установится, хэшдшейк не пройдет) - это норм. Теперь уже конкретный сертификат браузер предоставляет на рассмотрение цензору, на предмет одобрения его использования в каждом конкретном случае. Попутно при этом владелец ocsp-сервера узнает, в хорошем случае (веб-сервер на который ты зашел, снабжен вредной и опасной функциональностью ocsp stapling) - о факте посещения аноном конкретного сайта, в плохом (владелец сервера решил что гори ты синим пламенем, но сервер подставлять под лишние уязвимости, баги, глюки и лишнюю нагрузку он не будет) - еще и твой фингерпринт получает для коллекции. Этой прекрасной технологии немного мешал тот факт, что в браузере зачем-то было установлено стопиццот CA, каждый из которых мог иметь собственный ocsp-сервер, а отдельные ретрограды в количестве over 60% вообще не использовали https. Поэтому проблему решили традиционным способом, объявив раздачу бесплатного сыра, разумеется, ради заботы о безопастносте. Пытавшихся раздавать неправильный сыр или продавать по демпинговым ценам - объявили предателями и врагами нации, и их сертификаты объявили недостоверными. Одни поняли все правильно (wosign, их разблокировали без шума, пыли и лишних анонсов), другие не поняли, и решили что претензия была к их инфраструктуре. Построили новую с нуля (недешево, она физическую безопасность должна обеспечивать, помимо цифровой), занесли _снова_ два вагона денег мафии за согласования и подтверждения достойности, и пошли лесом, поскольку не усекли главного - бесплатный сыр может быть только в одной мышеловке, а не у каждого китайца. А за 60 евро в год (минимум, и без гарантий что не подорожает) или за 120 - ты, наверное, и сам не захочешь.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> Я-то лично как раз не верещу, а ещё и не успеваю следить за загнивающим вебом.

> блин, ну нельзя же ТАК тормозить?!

> записывай вкратце: hpkp отменил гугель. То есть можно считать что его нет, 
> при их-то 75%. Нет, для себя и друзей - оставил, то 
> есть телеметрию перехватить ты не сможешь, а вот сайты - пожалуйста. 
 
> Причиной была названа, ну конечно же ж, забота о дорогих пользователях - 
> владельцах сайтов, которые все время теряли ключи от прибитых гвоздем сертификатов, 
> и потом не могли зайти на свой сайт и очень плакали.

> ocsp - это ответ гугля и мазилы на отмену crl - который 
> был просто списком отмененных сертификатов, и его скачивание ничуть не раскрывало, 
> к какому именно сайту ты обращаешься, поэтому было объявлено, что они 
> загружаются ну ооооочень долго, пользователь не может ждать - вот тормозить 
> при каждом новом обращении к шифрованному сайту (потому что помимо сессии 
> с ним устанавливается еще и невидимая тебе сессия с ocsp - 
> и пока не установится, хэшдшейк не пройдет) - это норм. Теперь 
> уже конкретный сертификат браузер предоставляет на рассмотрение цензору, на предмет одобрения 
> его использования в каждом конкретном случае.
> Попутно при этом владелец ocsp-сервера узнает, в хорошем случае (веб-сервер на который 
> ты зашел, снабжен вредной и опасной функциональностью ocsp stapling) - о 
> факте посещения аноном конкретного сайта, в плохом (владелец сервера решил что 
> гори ты синим пламенем, но сервер подставлять под лишние уязвимости, баги, 
> глюки и лишнюю нагрузку он не будет) - еще и твой 
> фингерпринт получает для коллекции.

> Этой прекрасной технологии немного мешал тот факт, что в браузере зачем-то было 
> установлено стопиццот CA, каждый из которых мог иметь собственный ocsp-сервер, а 
> отдельные ретрограды в количестве over 60% вообще не использовали https.
> Поэтому проблему решили традиционным способом, объявив раздачу бесплатного сыра, разумеется, 
> ради заботы о безопастносте. Пытавшихся раздавать неправильный сыр или продавать по 
> демпинговым ценам - объявили предателями и врагами нации, и их сертификаты 
> объявили недостоверными. Одни поняли все правильно (wosign, их разблокировали без шума, 
> пыли и лишних анонсов), другие не поняли, и решили что претензия 
> была к их инфраструктуре. Построили новую с нуля (недешево, она физическую 
> безопасность должна обеспечивать, помимо цифровой), занесли _снова_ два вагона денег мафии 
> за согласования и подтверждения достойности, и пошли лесом, поскольку не усекли 
> главного - бесплатный сыр может быть только в одной мышеловке, а 
> не у каждого китайца.

> А за 60 евро в год (минимум, и без гарантий что не 
> подорожает) или за 120 - ты, наверное, и сам не захочешь.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру