Easyelectronics.ru

Электроника для всех
Текущее время: 20 ноя 2019, 12:57

Часовой пояс: UTC + 5 часов



JLCPCB – Прототипы печатных плат за $2/10pcs (Любой цвет!)
Крупнейший производитель печатных плат и прототипов. Более 600000 клиентов и свыше 10000 заказов в день!
Получите скидку на почтовую отправку при первом заказе в JLCPCB!

Начать новую тему Ответить на тему  [ Сообщений: 44 ]  На страницу Пред.  1, 2
Автор Сообщение
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 13 апр 2018, 16:03 
Старожил

Зарегистрирован: 19 мар 2013, 19:37
Сообщения: 2627
Откуда: Санкт-Петербург
Кстати, репозиторий с цифровыми подписями как раз позволяет не пользоваться https - достаточно проверить подпись.
А вообще по нынешним временам имеет смысл использовать https по умолчанию, используя откатываясь для оптимизации на http только там, где заведомо известно, что MitM вреда не нанесёт (как в примере с репой: скачали файл, проверили подпись, не сошлась - стёрли).

И ещё: https с его иерархией CA в плане надёжности - говно. Мало-мальски осмысленным его делает разве что использование Certificate Pinning (чтобы если юзер уже зашёл на ваш сайт - то ему не могли запросто подменить сертификат через Root Authority, которую вам добавили по решению какого-нибудь казахского правительства или внедрённую антивирусом для проверки скачиваемых файлов) и Certificate Transparency (чтобы узнать, что вас атакуют и часть юзеров идёт на фейковый сайт).


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 13 апр 2018, 18:47 
Старожил

Зарегистрирован: 17 сен 2013, 13:53
Сообщения: 3302
aamonster писал(а):
Кстати, репозиторий с цифровыми подписями как раз позволяет не пользоваться https - достаточно проверить подпись.


С одной стороны как бы позволяет тебе не заморачиваться, с другой стороны позволяет кому то идентифицировать, что ты там ставишь, и соответственно получить больше инфы для атаки.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 13 апр 2018, 23:44 
Старожил

Зарегистрирован: 23 мар 2017, 14:45
Сообщения: 6026
imry писал(а):
Тут вроде ясно пояснили, что https защищает от атак типа Man-in-the-Middle "мужик посередине".
Для тех кто не вкуривает, поясняю, что это значит что:
1) Ваши пароли не поймает чувак с tcpdump
2) Вам внезапненько не подменят/допишут скачиваемые данные (не важно что скачивается, файл, или HTML страница)
Зачем например https на файлообменнике? А зачем он на хостинге картинок?! Злые хакеры подменят картинку? - да я и так вижу, когда не то, чего мне надо. И тыща других случаев когда насрать на мужика посередине: я всё равно проверяю сам: чего скачалось и что с этим делать (запускать, не запускать, стереть, исправить...)
И https ни в малой степени не отменяет необходимость такой проверки.
imry писал(а):
3) Вы уверены, что заходя на сайт mysite.com, вы заходите именно НА него, а не левый сайт, поскольку кульхаскеры ломанули DNS.
Да я и так никогда не уверен, какая лежит [***]ня на любом конкретном сайте, будь он ломаный или нет. Вам не известно, что Интернет - это реальная помойка? И что вы там поймали - добро или нет, совсем не зависит ни от каких хакеров, а зависит от вашей собственной разумности.

Иными словами: с чего Вы взяли, что "аутентичному сайту" должно быть больше доверия, чем тому "мужику посередине"?
Для меня они оба - одинаковые темные лошадки, нету разницы между ними.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 14 апр 2018, 10:30 
Старожил

Зарегистрирован: 16 авг 2012, 23:27
Сообщения: 1941
Откуда: Москва
Чтото сомнительно что вы каждый даташит скачаный с интернета проверяете всеми существующими антивирусами. Кстати а антивирусам то можно доверять, скачанным из интернетов?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 14 апр 2018, 11:03 
Старожил

Зарегистрирован: 23 мар 2017, 14:45
Сообщения: 6026
Не, не всеми конечно))))) ПДФка - это не того полета птица, чтоб проверять ее как экзешник. Достаточно использовать вьюер, который не способен запускать встроенный код (буде его туда вставят). То же и про картинки.
И, (страшно сказать!) *.txt не проверяю совсем)))) потому что в системе поставлено принудительное отображение всех расширений (т.е. сразу видно фокусы типа Readme.txt.exe)

Про антивирусы - вопрос настолько обширный, что лучше откройте отдельную тему. С удовольствием поучаствую.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 14 апр 2018, 18:55 
Старожил
Аватара пользователя

Зарегистрирован: 13 май 2010, 01:32
Сообщения: 1372
Откуда: Из сказки.
https был разработан для более однозначного понимания кто ты
то-есть для более чёткого управления и сбора более достоверной информации.
Тоесть это как бы намекает что если ты сидишь по https то это однозначно только ты,а не сосед вот прямо сейчас подменил пакет и поставил за тебя фразу "Эй жиды, возвращайтесь на историческую родину и христианство с собой заберите"
Никакой защиты в нём нет от очень заинтересованных людей.

_________________
Береги планету.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 14 апр 2018, 19:32 
Старожил

Зарегистрирован: 17 сен 2013, 13:53
Сообщения: 3302
Какое доверие пдфкам и картинкам, видимо люди не в курсе про векторы атаки на винде, когда превьюшка содержала выполняемый код, естесно выполниться могла только изза косяков в системной проге, что эту превьюшку показать чучелку у экрана должна была.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 14 апр 2018, 21:22 
Старожил

Зарегистрирован: 16 авг 2012, 23:27
Сообщения: 1941
Откуда: Москва
Лет десять назад, я работал настройщиком интернетов населению днём, а по вечерам промышлял переустановкой осей, настройкой всего и изгнанием вирусни, кстати на винлоках тогда неплохой доход был :) Так вот мною было отловлено и отправлено в лаборатории популярных у нас антивирусов не один десяток неизвестных ранее образцов. Среди них был и занятный pdf документ, который на вирустотале на тот момент не детектился вообще, а по факту из под юзера умудрялся запускать и прописывать в автозапуск процесс с админскими правами который уже пытаться скачать и установить троянца, причём троянца антивирус знал и давил, но кто его качает он в упор не видел.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 16 апр 2018, 13:29 
Только пришел

Зарегистрирован: 17 апр 2017, 23:41
Сообщения: 17
Цитата:
Зачем например https на файлообменнике? А зачем он на хостинге картинок?! Злые хакеры подменят картинку? - да я и так вижу, когда не то, чего мне надо.


Что-бы никто не подглядывал что вы там скачиваете? ;) Не забываем, есть страны где государство очень хочет "следить за моральным обликом". Ну например какой-нибудь Иран, где вроде запрещено порно.

Так-то на файлообменнике по большинству https не особо нужен (ну при передаче пароля он пригодится). Но просто сегодня разница для конечного пользователя между http и https не видна. Для администратора вебсервера включение https по умолчанию тоже не составляет сложности, но добавляет немного защищенности. Так зачем держать голый http?

Цитата:
Да я и так никогда не уверен, какая лежит [***]ня на любом конкретном сайте, будь он ломаный или нет. Вам не известно, что Интернет - это реальная помойка? И что вы там поймали - добро или нет, совсем не зависит ни от каких хакеров, а зависит от вашей собственной разумности


Абсолютно согласен. Я тоже придерживаюсь поведения "trust no one" и "следи за собой, будь осторожен".
И когда я хожу через публичный вайфай, первый делом я запускаю vpn тоннель :)
Но! 99% процентов населения не являются такими гиками как мы. И не думают, что при подключении по публичному вайфаю их учетные данные могут спереть. И именно для большинства населения HTTPS является невидимым ангелом-хранителем. Браузер начинает артачится когда видит левый сертификат. Подает юзеру сигнал что мол "тут какая-то хрень, оно тебе надо?".

Да, эти средства зашиты не панацея, но именно самые простые средства защиты применяемые массово, обеспечивают значительное повышение среднего уровня защищенности.

Грубо говоря для борьбы с любой эпидемией важно заставить народные массы соблюдать базовую гигиену. :)
А на всякие исключительные случаи типа вспышки боевого штамма вируса Эболы существуем мы, фрики в костюмах микробиологической защиты первого класса с замкнутой системой дыхания, и походной лабораторией. Но это не значит что каждому колхознику нужен такой костюм. :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 16 апр 2018, 13:38 
Старожил

Зарегистрирован: 17 сен 2013, 13:53
Сообщения: 3302
Знаете ли, резерватив не стопроцентная гарантия, но почему то рекомендуют его использовать.
А так да, можно сказать, что использование https портит удовольствие от инета, "ощущение не то" :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 16 апр 2018, 15:37 
Старожил

Зарегистрирован: 23 мар 2017, 14:45
Сообщения: 6026
imry писал(а):
Что-бы никто не подглядывал что вы там скачиваете? ;) Не забываем, есть страны где государство очень хочет "следить за моральным обликом".
Вот как раз от этого, к сожалению, не защищает((((((((
Я говорю об общедоступных сайтах, куда я захожу без пароля. Пусть данные перехватить нельзя - но можно залоггировать адреса, по которым я заходил. Зайти по ним и увидеть всё то, что и я видел, и что взял. Какая ж это приватность?

А куда входим с паролем - список тех паролей давно кому надо известен, тут и обсуждать нечего. Дуров-то у нас только один ;))


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 16 апр 2018, 16:10 
Старожил

Зарегистрирован: 17 сен 2013, 13:53
Сообщения: 3302
Кот495 писал(а):
imry писал(а):
Что-бы никто не подглядывал что вы там скачиваете? ;) Не забываем, есть страны где государство очень хочет "следить за моральным обликом".
Вот как раз от этого, к сожалению, не защищает((((((((
Я говорю об общедоступных сайтах, куда я захожу без пароля. Пусть данные перехватить нельзя - но можно залоггировать адреса, по которым я заходил. Зайти по ним и увидеть всё то, что и я видел, и что взял. Какая ж это приватность?


А для этого кроме HTTPS еще VPN пользуют.
Чтоб лазить оттуда, где вы никому не интересны.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 16 апр 2018, 16:36 
Старожил

Зарегистрирован: 23 мар 2017, 14:45
Сообщения: 6026
Вот VPN - это уже несколько иной коленкор))))))
Дума уже обсуждает мысль о его запрете... это значит - действительно защищает...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 16 апр 2018, 18:51 
Старожил
Аватара пользователя

Зарегистрирован: 11 апр 2016, 18:04
Сообщения: 2482
Откуда: Китай, Пекин
Кот495 писал(а):
Вот VPN - это уже несколько иной коленкор))))))
Дума уже обсуждает мысль о его запрете... это значит - действительно защищает...


вы просто безграмотны в сетевых технологиях. и вся эта ветка фактиически тому посвящена.
stunnel - проброска портов ИМЕННО по HTTPS, активно используется в китае для того чтобы прятать в нем VPN трафик. без такого туннеля любой широко используемый VPN по сигнатурам вычисляется и блочится на раз.

у меня есть проект VPN поверх обычного открытого HTTP. трафик передается внутри фэйковых картинок и страниц. Но только при заходе на специально генерируемые URL.
обычный пользователь зайдя на сайт не заметит ничего необычного.

блокировщики замучаются "пыль глотать" вычисляя подобным образом скрытый VPN трафик.

кстати для работаы под OpenWRT, написан на LUA.
сносно работает даже на примитивных роутерах.
сервак написан на JAVA.
но получаются большие накладные расходы, для того чтобы это выглядело именно как HTTP

если бы не любимый wireguard, сейчас сидел бы на этом проекте.

_________________
unirail.org


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 16 апр 2018, 19:11 
Старожил

Зарегистрирован: 17 сен 2013, 13:53
Сообщения: 3302
cheblin писал(а):
вы просто безграмотны в сетевых технологиях. и вся эта ветка фактиически тому посвящена.


Информационная безопасность не профиль данного форума.
Потому и ветка в "Щас скажу..."

cheblin писал(а):
блокировщики замучаются "пыль глотать" вычисляя подобным образом скрытый VPN трафик.


Перехвать кодовое сообщение о начале поджога шин может и не перехватят, а вот читать вражьи голоса, или хотя бы затруднить чтение, возможно. Если трафик с неодобренных партией сайтов, то либо резать вообще, либо резать полосу данного трафика.
Благо одно время провы с торрентами так пытались бороться и некоторые методики отработали.
И у пользователя был выбор, либо звонить прову и объяснять что там за хитрый трафик, либо уходить к более адекватному прову.

cheblin писал(а):
если бы не любимый wireguard, сейчас сидел бы на этом проекте.


Главное не сидеть ЗА этот проект :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 16 апр 2018, 19:58 
Старожил

Зарегистрирован: 05 фев 2013, 00:58
Сообщения: 3518
:)


Последний раз редактировалось iev91 18 май 2019, 03:53, всего редактировалось 1 раз.

Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 17 апр 2018, 11:45 
Старожил

Зарегистрирован: 23 мар 2017, 14:45
Сообщения: 6026
Возня идет за тотальный контроль ваще-т.
А возможности государства не стоит недооценивать. Имхо.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 19 апр 2018, 16:40 
Старожил

Зарегистрирован: 23 мар 2017, 14:45
Сообщения: 6026
fr0ster писал(а):
Если я иду на форум то неправильный сертификат повод туде не идти.
Мне на такие сайты не ходить? :)


Вложения:
screenshot.gif
screenshot.gif [ 5.84 Кб | Просмотров: 406 ]
Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: От кого защищает https?
СообщениеДобавлено: 19 апр 2018, 16:47 
Старожил

Зарегистрирован: 19 мар 2013, 19:37
Сообщения: 2627
Откуда: Санкт-Петербург
Если кто себе сломал список Root CA - сам себе злобный Буратино. А если сломалось без вас - повод разобраться, прежде чем логиниться на сайте, вводить на нём какие-то личные данные, скачивать с него что-то и т.п.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 44 ]  На страницу Пред.  1, 2

Часовой пояс: UTC + 5 часов


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Русская поддержка phpBB