forum.opennet.ru

Составление сообщения

Исходное сообщение

"Доступен второй черновой вариант спецификации HTTP 2.0"
Отправлено serg1224, 11-Июл-13 00:40

>>>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
>>> diginotar. trustwave. это уже на два раза больше, чем допустимо.
>> Вы имеете в виду (возможный) выпуск левых сертификатов?
> да.
Ну с кем не бывает. Технологией предусмотрены CRL-списки.
>> Т.е. если кто-то нарушил закон, то значит закон — фуфло?!
>> Напрашивается аналогия с правилами дорожного движения.
> нет, не напрашивается. дырка в системе мало того, что известна, но и
> была успешно использована. на публике.
Есть ссылочка на эту демонстрацию?

>> Кто ж захочет поумнеть, до «граблей»?
>> Человеки именно так и воспитываются.
> да вот не хотят. я, например, тут уже сколько толкую, что безопасность
> https — иллюзия (ergo, https бесполезен, ибо не выполняет свои задачи).
> ан нет, не доходит.
Обжечься нужно чтобы понять, что ГОРЯЧО.

>>>> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
>>>> Весьма простое решение.
>>> (умилительно) офигенное «секурити».
>> Что не так?
> всё не так. sms нельзя считать довереным каналом передачи даже если хорошо
> накушаться веществ. а «otp-модули»… только после аудита квалифицированой
> незаинтересованой стороной (если я верно понял, что подразумевается).
По отдельности эти средства безопасности мало полезны, а вот в совокупности дают удовлетворительный эффект.

>> Нормальное решение для двухфазной аутентификации.
> нормальное. а надо — хорошее.
"Нормальное" здесь значит удовлетворительное. Приемлемое по цене/качеству. Для бизнеса это крайне важно. А предела совершенству нет, как известно.

>> Даже в теории вероятности
>> допускается, что произведение двух маловероятных событий считается
>> событием невероятным.
> я очень рад. то, что конкретно меня может сбить конкретная машина с
> конкретным номером в конкретное время — очень маловероятно. невероятно,
> фактически.
> однако если это произойдёт, я мало утешусь тем, что случилось «невероятное
> событие».
Разработчики систем массового обслуживания (в т.ч. государство) сознательно пренебрегают такой "мелочью" как отдельные случаи.

>> Есть конечно «одарённые» пользователи, оставляющие без присмотра и брелок
>> от сигнализации.
>> Но таким «хомячкам» только грабли помогут, даже целый курс хождения по
>> граблям.
> я думаю, владелец машины будет просто в восторге от того, что когда
> у него разбили стекло в салоне и что-нибудь оттуда спёрли, сигнализация
> таки визжала. как его от этого защитит носимый с собой брелок?
От рисунков гвоздиком на борту автомобиля сигнализация тоже не спасает :-)
Кстати, надеюсь Вы в курсе, от прямого попадания в ПК ядерной бомбы SSL тоже не защищает :-)
Давайте всё-таки говорить о соизмеримых угрозах и средствах противодействия им.

>> Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки
>> больше.
> и поэтому мушину можно бросать где угодно: сигнализация же защитит!
"Абсолютно?" - конечно не защитит, но риск снизит. Особенно, если рядом будет стоять машина без сигнализации.

>> SPDY тоже пока не поддерживается
> интересно, а зачем тогда в about:config опции со словом «spdy»? в частности,
> например, network.spdy.enabled?
Готовится. Уже есть массовое использование?
Да и потом, Вы себе же противоречите:
> сложно «начать переходить» на то, что не поддерживается.
>> Вы поставьте себя на место провайдера услуг. В том-то и дело, что
>> забота о безопасности — это прежде всего его забота, а уж
>> потом клиента.
> нет. в такой ситуации ни о какой безопасности речи идти опять не
> может.
Голословно. Аргументы есть?

>> Клиент может просто следовать в русле, заданном поставщиком услуг.
>> Или отказаться от услуги.
> только при этом клиенту как-то забывают пояснить, что «мы заботимся о вашей
> безопасности» — рекламный булшит до тех пор, пока клиент вопросы безопасности
> ставит не на первое место и не думает об этом сам.
Я Вам даже больше скажу. В соглашении (договоре), как правило указывается, что риски компрометации ключей шифрования несёт клиент.

> увы, такая вот у безопасности специфика: без взаимодействия обеих сторон ничего
> хорошего не получится.
Согласен. Хотя и выбор у клиента небольшой: принять условия или отказаться от услуги этого поставщика.

>>> «компромиссы» в отношении безопасности работают только в одну сторону: убирают
>>> безопасность.
>> В реальной жизни, а особенно в IT, безопасность никогда не бывает абсолютной.
> верно. но это ни разу не является причиной считать безопасным то, что
> уже как минимум два раза публично облажалось, и не подверглось с
> тех пор никакой починке.
Ссылочками поделитесь или в Гугл пошлёте? :-)

Исходное сообщение
"Доступен второй черновой вариант спецификации HTTP 2.0" Отправлено serg1224, 11-Июл-13 00:40
>>>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию? >>> diginotar. trustwave. это уже на два раза больше, чем допустимо. >> Вы имеете в виду (возможный) выпуск левых сертификатов? > да. Ну с кем не бывает. Технологией предусмотрены CRL-списки. >> Т.е. если кто-то нарушил закон, то значит закон — фуфло?! >> Напрашивается аналогия с правилами дорожного движения. > нет, не напрашивается. дырка в системе мало того, что известна, но и > была успешно использована. на публике. Есть ссылочка на эту демонстрацию? >> Кто ж захочет поумнеть, до «граблей»? >> Человеки именно так и воспитываются. > да вот не хотят. я, например, тут уже сколько толкую, что безопасность > https — иллюзия (ergo, https бесполезен, ибо не выполняет свои задачи). > ан нет, не доходит. Обжечься нужно чтобы понять, что ГОРЯЧО. >>>> Бывет. Одноразовые пароли через OTP-модули или даже SMS. >>>> Весьма простое решение. >>> (умилительно) офигенное «секурити». >> Что не так? > всё не так. sms нельзя считать довереным каналом передачи даже если хорошо > накушаться веществ. а «otp-модули»… только после аудита квалифицированой > незаинтересованой стороной (если я верно понял, что подразумевается). По отдельности эти средства безопасности мало полезны, а вот в совокупности дают удовлетворительный эффект. >> Нормальное решение для двухфазной аутентификации. > нормальное. а надо — хорошее. "Нормальное" здесь значит удовлетворительное. Приемлемое по цене/качеству. Для бизнеса это крайне важно. А предела совершенству нет, как известно. >> Даже в теории вероятности >> допускается, что произведение двух маловероятных событий считается >> событием невероятным. > я очень рад. то, что конкретно меня может сбить конкретная машина с > конкретным номером в конкретное время — очень маловероятно. невероятно, > фактически. > однако если это произойдёт, я мало утешусь тем, что случилось «невероятное > событие». Разработчики систем массового обслуживания (в т.ч. государство) сознательно пренебрегают такой "мелочью" как отдельные случаи. >> Есть конечно «одарённые» пользователи, оставляющие без присмотра и брелок >> от сигнализации. >> Но таким «хомячкам» только грабли помогут, даже целый курс хождения по >> граблям. > я думаю, владелец машины будет просто в восторге от того, что когда > у него разбили стекло в салоне и что-нибудь оттуда спёрли, сигнализация > таки визжала. как его от этого защитит носимый с собой брелок? От рисунков гвоздиком на борту автомобиля сигнализация тоже не спасает :-) Кстати, надеюсь Вы в курсе, от прямого попадания в ПК ядерной бомбы SSL тоже не защищает :-) Давайте всё-таки говорить о соизмеримых угрозах и средствах противодействия им. >> Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки >> больше. > и поэтому мушину можно бросать где угодно: сигнализация же защитит! "Абсолютно?" - конечно не защитит, но риск снизит. Особенно, если рядом будет стоять машина без сигнализации. >> SPDY тоже пока не поддерживается > интересно, а зачем тогда в about:config опции со словом «spdy»? в частности, > например, network.spdy.enabled? Готовится. Уже есть массовое использование? Да и потом, Вы себе же противоречите: > сложно «начать переходить» на то, что не поддерживается. >> Вы поставьте себя на место провайдера услуг. В том-то и дело, что >> забота о безопасности — это прежде всего его забота, а уж >> потом клиента. > нет. в такой ситуации ни о какой безопасности речи идти опять не > может. Голословно. Аргументы есть? >> Клиент может просто следовать в русле, заданном поставщиком услуг. >> Или отказаться от услуги. > только при этом клиенту как-то забывают пояснить, что «мы заботимся о вашей > безопасности» — рекламный булшит до тех пор, пока клиент вопросы безопасности > ставит не на первое место и не думает об этом сам. Я Вам даже больше скажу. В соглашении (договоре), как правило указывается, что риски компрометации ключей шифрования несёт клиент. > увы, такая вот у безопасности специфика: без взаимодействия обеих сторон ничего > хорошего не получится. Согласен. Хотя и выбор у клиента небольшой: принять условия или отказаться от услуги этого поставщика. >>> «компромиссы» в отношении безопасности работают только в одну сторону: убирают >>> безопасность. >> В реальной жизни, а особенно в IT, безопасность никогда не бывает абсолютной. > верно. но это ни разу не является причиной считать безопасным то, что > уже как минимум два раза публично облажалось, и не подверглось с > тех пор никакой починке. Ссылочками поделитесь или в Гугл пошлёте? :-)

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>>>> Можно узнать, что именно Вы имеете в виду? Какую компрометацию?
>>>> diginotar. trustwave. это уже на два раза больше, чем допустимо.
>>> Вы имеете в виду (возможный) выпуск левых сертификатов?
>> да.

> Ну с кем не бывает. Технологией предусмотрены CRL-списки.

>>> Т.е. если кто-то нарушил закон, то значит закон — фуфло?!
>>> Напрашивается аналогия с правилами дорожного движения.
>> нет, не напрашивается. дырка в системе мало того, что известна, но и 
>> была успешно использована. на публике.

> Есть ссылочка на эту демонстрацию?

>>> Кто ж захочет поумнеть, до «граблей»?
>>> Человеки именно так и воспитываются.
>> да вот не хотят. я, например, тут уже сколько толкую, что безопасность 
>> https — иллюзия (ergo, https бесполезен, ибо не выполняет свои задачи).
>> ан нет, не доходит.

> Обжечься нужно чтобы понять, что ГОРЯЧО.

>>>>> Бывет. Одноразовые пароли через OTP-модули или даже SMS.
>>>>> Весьма простое решение.
>>>> (умилительно) офигенное «секурити».
>>> Что не так?
>> всё не так. sms нельзя считать довереным каналом передачи даже если хорошо 
>> накушаться веществ. а «otp-модули»… только после аудита квалифицированой 
>> незаинтересованой стороной (если я верно понял, что подразумевается).

> По отдельности эти средства безопасности мало полезны, а вот в совокупности дают 
> удовлетворительный эффект.

>>> Нормальное решение для двухфазной аутентификации.
>> нормальное. а надо — хорошее.

> "Нормальное" здесь значит удовлетворительное. Приемлемое по цене/качеству. Для бизнеса 
> это крайне важно. А предела совершенству нет, как известно.

>>> Даже в теории вероятности 
>>> допускается, что произведение двух маловероятных событий считается 
>>> событием невероятным.
>> я очень рад. то, что конкретно меня может сбить конкретная машина с 
>> конкретным номером в конкретное время — очень маловероятно. невероятно, 
>> фактически.
>> однако если это произойдёт, я мало утешусь тем, что случилось «невероятное 
>> событие».

> Разработчики систем массового обслуживания (в т.ч. государство) сознательно пренебрегают 
> такой "мелочью" как отдельные случаи.

>>> Есть конечно «одарённые» пользователи, оставляющие без присмотра и брелок 
>>> от сигнализации.
>>> Но таким «хомячкам» только грабли помогут, даже целый курс хождения по 
>>> граблям.
>> я думаю, владелец машины будет просто в восторге от того, что когда 
>> у него разбили стекло в салоне и что-нибудь оттуда спёрли, сигнализация 
>> таки визжала. как его от этого защитит носимый с собой брелок?

> От рисунков гвоздиком на борту автомобиля сигнализация тоже не спасает :-) 
> Кстати, надеюсь Вы в курсе, от прямого попадания в ПК ядерной бомбы 
> SSL тоже не защищает :-)

> Давайте всё-таки говорить о соизмеримых угрозах и средствах противодействия им.

>>> Согласитесь, что если бы не было автосигнализаций, угонов было бы на порядки 
>>> больше.
>> и поэтому мушину можно бросать где угодно: сигнализация же защитит!

> "Абсолютно?" - конечно не защитит, но риск снизит. Особенно, если рядом будет 
> стоять машина без сигнализации.

>>> SPDY тоже пока не поддерживается 
>> интересно, а зачем тогда в about:config опции со словом «spdy»? в частности, 
>> например, network.spdy.enabled?

> Готовится. Уже есть массовое использование?
> Да и потом, Вы себе же противоречите: 
>> сложно «начать переходить» на то, что не поддерживается.
>>> Вы поставьте себя на место провайдера услуг. В том-то и дело, что 
>>> забота о безопасности — это прежде всего его забота, а уж 
>>> потом клиента.
>> нет. в такой ситуации ни о какой безопасности речи идти опять не 
>> может.

> Голословно. Аргументы есть?

>>> Клиент может просто следовать в русле, заданном поставщиком услуг.
>>> Или отказаться от услуги.
>> только при этом клиенту как-то забывают пояснить, что «мы заботимся о вашей 
>> безопасности» — рекламный булшит до тех пор, пока клиент вопросы безопасности 
>> ставит не на первое место и не думает об этом сам.

> Я Вам даже больше скажу. В соглашении (договоре), как правило указывается, что 
> риски компрометации ключей шифрования несёт клиент.

>> увы, такая вот у безопасности специфика: без взаимодействия обеих сторон ничего 
>> хорошего не получится.

> Согласен. Хотя и выбор у клиента небольшой: принять условия или отказаться от 
> услуги этого поставщика.

>>>> «компромиссы» в отношении безопасности работают только в одну сторону: убирают 
>>>> безопасность.
>>> В реальной жизни, а особенно в IT, [b]безопасность никогда не бывает абсолютной[/b].
>> верно. но это ни разу не является причиной считать безопасным то, что 
>> уже как минимум два раза публично облажалось, и не подверглось с 
>> тех пор никакой починке.

> Ссылочками поделитесь или в Гугл пошлёте? :-)

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру