forum.opennet.ru

Составление сообщения

Исходное сообщение

"В Firefox, Chrome и Safari заблокирован внедряемый в Казахст..."
Отправлено пох., 23-Авг-19 09:54

> А сайтов дофига и их владельцы далеко, аналогия хреновая.
у меня в known_hosts за десятки лет - несколько сотен строк. Владельцы большинства из них очень далеко и я эти хосты никогда не увижу. Сайтов, которым я доверил какие-то свои данные, хотя бы уровня логина fuckoff с паролем 123 - вряд ли больше.
А на опеннет мне, как ты понимаешь, глубоко начхать.
Отдельно спросим тебя, сколько из них ты _на_самом_деле_ проверял. Дай угадаю - ноль. А ведь там ты можешь потерять не только логин от опеннета, но и репутацию у работодателя.
Но все правильно - тут твоя паранойя спит спокойно, никому не нужен неуловимый джо.
>> В том числе и есть ли реальная опасность при впервыйраззаходе на сайт
>> гугля, в принципе.
> Опасность утечки введённых тобой данных есть всегда, какая разница, первый заход или нет?
при втором в браузере уже будет known cert, и он поднимет вой, что в этой помойной кафешке подменили сертификат ( поэтому на страничку где написано всего лишь "интернет предоставляется любому, заказавшему чашку кофе, нажмите ок" ты не попадешь и останешься без сети ;-)
> Вы пользовались WoT в PGP? Оно совсем не похоже на PKI. Всех нужно добавлять явно. Можно
> регулировать для каждого уровень доверия.
пытался, еще когда оно было модным и свежим. Совершенно бесполезная фигня. Даже физические встречи с обменом подписями были бесполезны - ну я верю, что это подпись васина. А с чего я должен верить что вася не расп..здол и не подписал что попало?
Доверие либо есть, либо его нет, а нужна хитрая иерархия, причем в юзеропонимаемом виде.
(ну либо уж ии, который будет за тебя все просчитывать и выводить краткое резюме вида "тут цепочка из хз скольки уровней, но ты уже такой же точно понадоверял в виде исключений столько, что тебя все равно поимеют - сдавайся, считай этот ключ доверенным)
> В PKI же ты доверяешь по-сути производителю браузера, т.е. одной организации.
не больше чем производителю openpgp.
Можешь повыковырять или заблокировать хоть весь trusted store - только работать ничего старше мозилы 3.6 не будет. Специально сломали. Не думаю что чтобы всех поиметь, скорее - ради счастия пользователя с куриными мозгами. Такие же башковитые кодописцы.
> Но как в реальности оценить можно ли доверять _организации_ (CA)?
так же как сейчас - аудит, заставлять соблюдать сложные принятые процедуры, в том числе и с возможностью контроля на промежуточных участках. Но если все это ТОЛЬКО ради первого коннекта - можно просто предположить, что ТАК сложно тебя никакие враги преследовать не будут.
Просто заплатят гуглю чтобы он слил им уже расшифрованное. Опять же никто не мешает тебе перепроверять - хоть через личный приход в офис гугля, хоть теми же способами что ssh.
> С людьми как-то проще.
нет. Их вообще невозможно контролировать - сегодня вася твой друг и собутыльник, а завтра набухался и сдал тебя товарищмайору, сам того не желая. У него ни процедур, ни формального подхода, ни разделения полномочий, ни аудита, ни физической безопасности.

Исходное сообщение
"В Firefox, Chrome и Safari заблокирован внедряемый в Казахст..." Отправлено пох., 23-Авг-19 09:54
> А сайтов дофига и их владельцы далеко, аналогия хреновая. у меня в known_hosts за десятки лет - несколько сотен строк. Владельцы большинства из них очень далеко и я эти хосты никогда не увижу. Сайтов, которым я доверил какие-то свои данные, хотя бы уровня логина fuckoff с паролем 123 - вряд ли больше. А на опеннет мне, как ты понимаешь, глубоко начхать. Отдельно спросим тебя, сколько из них ты _на_самом_деле_ проверял. Дай угадаю - ноль. А ведь там ты можешь потерять не только логин от опеннета, но и репутацию у работодателя. Но все правильно - тут твоя паранойя спит спокойно, никому не нужен неуловимый джо. >> В том числе и есть ли реальная опасность при впервыйраззаходе на сайт >> гугля, в принципе. > Опасность утечки введённых тобой данных есть всегда, какая разница, первый заход или нет? при втором в браузере уже будет known cert, и он поднимет вой, что в этой помойной кафешке подменили сертификат ( поэтому на страничку где написано всего лишь "интернет предоставляется любому, заказавшему чашку кофе, нажмите ок" ты не попадешь и останешься без сети ;-) > Вы пользовались WoT в PGP? Оно совсем не похоже на PKI. Всех нужно добавлять явно. Можно > регулировать для каждого уровень доверия. пытался, еще когда оно было модным и свежим. Совершенно бесполезная фигня. Даже физические встречи с обменом подписями были бесполезны - ну я верю, что это подпись васина. А с чего я должен верить что вася не расп..здол и не подписал что попало? Доверие либо есть, либо его нет, а нужна хитрая иерархия, причем в юзеропонимаемом виде. (ну либо уж ии, который будет за тебя все просчитывать и выводить краткое резюме вида "тут цепочка из хз скольки уровней, но ты уже такой же точно понадоверял в виде исключений столько, что тебя все равно поимеют - сдавайся, считай этот ключ доверенным) > В PKI же ты доверяешь по-сути производителю браузера, т.е. одной организации. не больше чем производителю openpgp. Можешь повыковырять или заблокировать хоть весь trusted store - только работать ничего старше мозилы 3.6 не будет. Специально сломали. Не думаю что чтобы всех поиметь, скорее - ради счастия пользователя с куриными мозгами. Такие же башковитые кодописцы. > Но как в реальности оценить можно ли доверять _организации_ (CA)? так же как сейчас - аудит, заставлять соблюдать сложные принятые процедуры, в том числе и с возможностью контроля на промежуточных участках. Но если все это ТОЛЬКО ради первого коннекта - можно просто предположить, что ТАК сложно тебя никакие враги преследовать не будут. Просто заплатят гуглю чтобы он слил им уже расшифрованное. Опять же никто не мешает тебе перепроверять - хоть через личный приход в офис гугля, хоть теми же способами что ssh. > С людьми как-то проще. нет. Их вообще невозможно контролировать - сегодня вася твой друг и собутыльник, а завтра набухался и сдал тебя товарищмайору, сам того не желая. У него ни процедур, ни формального подхода, ни разделения полномочий, ни аудита, ни физической безопасности.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>> А сайтов дофига и их владельцы далеко, аналогия хреновая.

> у меня в known_hosts за десятки лет - несколько сотен строк. Владельцы 
> большинства из них очень далеко и я эти хосты никогда не 
> увижу. Сайтов, которым я доверил какие-то свои данные, хотя бы уровня 
> логина fuckoff с паролем 123 - вряд ли больше.
> А на опеннет мне, как ты понимаешь, глубоко начхать.
> Отдельно спросим тебя, сколько из них ты _на_самом_деле_ проверял. Дай угадаю - 
> ноль. А ведь там ты можешь потерять не только логин от 
> опеннета, но и репутацию у работодателя.

> Но все правильно - тут твоя паранойя спит спокойно, никому не нужен 
> неуловимый джо.

>>> В том числе и есть ли реальная опасность при впервыйраззаходе на сайт 
>>> гугля, в принципе.
>> Опасность утечки введённых тобой данных есть всегда, какая разница, первый заход или нет?

> при втором в браузере уже будет known cert, и он поднимет вой, 
> что в этой помойной кафешке подменили сертификат ( поэтому на страничку 
> где написано всего лишь "интернет предоставляется любому, заказавшему чашку кофе, нажмите 
> ок" ты не попадешь и останешься без сети ;-)

>> Вы пользовались WoT в PGP? Оно совсем не похоже на PKI. Всех нужно добавлять явно. Можно 
>> регулировать для каждого уровень доверия.

> пытался, еще когда оно было модным и свежим. Совершенно бесполезная фигня. Даже 
> физические встречи с обменом подписями были бесполезны - ну я верю, 
> что это подпись васина. А с чего я должен верить что 
> вася  не расп..здол и не подписал что попало?
> Доверие либо есть, либо его нет, а нужна хитрая иерархия, причем в 
> юзеропонимаемом виде.
> (ну либо уж ии, который будет за тебя все просчитывать и выводить 
> краткое резюме вида "тут цепочка из хз скольки уровней, но ты 
> уже такой же точно понадоверял в виде исключений столько, что тебя 
> все равно поимеют - сдавайся, считай этот ключ доверенным)

>> В PKI же ты доверяешь по-сути производителю браузера, т.е. одной организации.

> не больше чем производителю openpgp.
> Можешь повыковырять или заблокировать хоть весь trusted store - только работать ничего 
> старше мозилы 3.6 не будет. Специально сломали. Не думаю что чтобы 
> всех поиметь, скорее - ради счастия пользователя с куриными мозгами. Такие 
> же башковитые кодописцы.

>> Но как в реальности оценить можно ли доверять _организации_ (CA)?

> так же как сейчас - аудит, заставлять соблюдать сложные принятые процедуры, в 
> том числе и с возможностью контроля на промежуточных участках. Но если 
> все это ТОЛЬКО ради первого коннекта - можно просто предположить, что 
> ТАК сложно тебя никакие враги преследовать не будут.
> Просто заплатят гуглю чтобы он слил им уже расшифрованное. Опять же никто 
> не мешает тебе перепроверять - хоть через личный приход в офис 
> гугля, хоть теми же способами что ssh.

>> С людьми как-то проще.

> нет. Их вообще невозможно контролировать - сегодня вася твой друг и собутыльник, 
> а завтра набухался и сдал тебя товарищмайору, сам того не желая. 
> У  него ни процедур, ни формального подхода, ни разделения полномочий, 
> ни аудита, ни физической безопасности.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру