>>>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
>>> diginotar. trustwave. это уже на два раза больше, чем допустимо.
>> Вы имеете в виду (возможный) выпуск левых сертификатов?
> да.Ну с кем не бывает. Технологией предусмотрены CRL-списки.
>> Т.е. если кто-то нарушил закон, то значит закон — фуфло?!
>> Напрашивается аналогия с правилами дорожного движения.
> нет, не напрашивается. дырка в системе мало того, что известна, но и
> была успешно использована. на публике.
Есть ссылочка на эту демонстрацию?
>> Кто ж захочет поумнеть, до «граблей»?
>> Человеки именно так и воспитываются.
> да вот не хотят. я, например, тут уже сколько толкую, что безопасность
> https — иллюзия (ergo, https бесполезен, ибо не выполняет свои задачи).
> ан нет, не доходит.
Обжечься нужно чтобы понять, что ГОРЯЧО.
>>>> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
>>>> Весьма простое решение.
>>> (умилительно) офигенное «секурити».
>> Что не так?
> всё не так. sms нельзя считать довереным каналом передачи даже если хорошо
> накушаться веществ. а «otp-модули»… только после аудита квалифицированой
> незаинтересованой стороной (если я верно понял, что подразумевается).
По отдельности эти средства безопасности мало полезны, а вот в совокупности дают удовлетворительный эффект.
>> Нормальное решение для двухфазной аутентификации.
> нормальное. а надо — хорошее.
"Нормальное" здесь значит удовлетворительное. Приемлемое по цене/качеству. Для бизнеса это крайне важно. А предела совершенству нет, как известно.
>> Даже в теории вероятности
>> допускается, что произведение двух маловероятных событий считается
>> событием невероятным.
> я очень рад. то, что конкретно меня может сбить конкретная машина с
> конкретным номером в конкретное время — очень маловероятно. невероятно,
> фактически.
> однако если это произойдёт, я мало утешусь тем, что случилось «невероятное
> событие».
Разработчики систем массового обслуживания (в т.ч. государство) сознательно пренебрегают такой "мелочью" как отдельные случаи.
>> Есть конечно «одарённые» пользователи, оставляющие без присмотра и брелок
>> от сигнализации.
>> Но таким «хомячкам» только грабли помогут, даже целый курс хождения по
>> граблям.
> я думаю, владелец машины будет просто в восторге от того, что когда
> у него разбили стекло в салоне и что-нибудь оттуда спёрли, сигнализация
> таки визжала. как его от этого защитит носимый с собой брелок?
От рисунков гвоздиком на борту автомобиля сигнализация тоже не спасает :-)
Кстати, надеюсь Вы в курсе, от прямого попадания в ПК ядерной бомбы SSL тоже не защищает :-)
Давайте всё-таки говорить о соизмеримых угрозах и средствах противодействия им.
>> Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки
>> больше.
> и поэтому мушину можно бросать где угодно: сигнализация же защитит!
"Абсолютно?" - конечно не защитит, но риск снизит. Особенно, если рядом будет стоять машина без сигнализации.
>> SPDY тоже пока не поддерживается
> интересно, а зачем тогда в about:config опции со словом «spdy»? в частности,
> например, network.spdy.enabled?
Готовится. Уже есть массовое использование?
Да и потом, Вы себе же противоречите:
> сложно «начать переходить» на то, что не поддерживается.
>> Вы поставьте себя на место провайдера услуг. В том-то и дело, что
>> забота о безопасности — это прежде всего его забота, а уж
>> потом клиента.
> нет. в такой ситуации ни о какой безопасности речи идти опять не
> может.
Голословно. Аргументы есть?
>> Клиент может просто следовать в русле, заданном поставщиком услуг.
>> Или отказаться от услуги.
> только при этом клиенту как-то забывают пояснить, что «мы заботимся о вашей
> безопасности» — рекламный булшит до тех пор, пока клиент вопросы безопасности
> ставит не на первое место и не думает об этом сам.
Я Вам даже больше скажу. В соглашении (договоре), как правило указывается, что риски компрометации ключей шифрования несёт клиент.
> увы, такая вот у безопасности специфика: без взаимодействия обеих сторон ничего
> хорошего не получится.
Согласен. Хотя и выбор у клиента небольшой: принять условия или отказаться от услуги этого поставщика.
>>> «компромиссы» в отношении безопасности работают только в одну сторону: убирают
>>> безопасность.
>> В реальной жизни, а особенно в IT, безопасность никогда не бывает абсолютной.
> верно. но это ни разу не является причиной считать безопасным то, что
> уже как минимум два раза публично облажалось, и не подверглось с
> тех пор никакой починке.
Ссылочками поделитесь или в Гугл пошлёте? :-)