The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Раскрыты данные о взломах инфраструктуры VeriSign в 2010 году"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Раскрыты данные о взломах инфраструктуры VeriSign в 2010 году"  +1 +/
Сообщение от opennews on 03-Фев-12, 10:53 
В США был недавно принят новый закон, согласно которому компании обязаны в своих годовых отчётах для комиссии по ценным бумагам и биржевым операциям указывать о случаях вторжения в их информационную инфраструктуру. Подчиняясь этим требованиям, Verisign (https://www.verisign.com), одна из крупнейший компаний, заведующих доменными зонами COM, ORG и NET, объявила (http://www.reuters.com/article/2012/02/02/us-hacking-verisig...) о том, что в 2010 она несколько раз подвергалась взломам. В результате взломов инфраструктуры Verisign злоумышленники похитили данные и, возможно, произвели какие-то другие действия, масштаб которых до сих пор неизвестен.


Подобного рода атаки могут иметь колоссальные последствия для всего мира, ибо преступники теоретически могли заменить DNS записи интересующих их веб сайтов, перенаправив трафик на свои серверы, при этом получив доступ к конфиденциальным данным. Ещё следует учесть, что компания VeriSign занимается выдачей SSL-сертификатов, ч...

URL: http://www.reuters.com/article/2012/02/02/us-hacking-verisig...
Новость: http://www.opennet.ru/opennews/art.shtml?num=32978

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +3 +/
Сообщение от Анониматор on 03-Фев-12, 10:53 
Вирусы давно уже в мировых масштабах перенапрвляют вендоюзеров на свои собственные фейсбуки контактиги и прочее.
Vrisign ломать ради этого - даже не надо.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +13 +/
Сообщение от skJ on 03-Фев-12, 11:32 
Вы мыслите очень мелко и в обратном направлении.
Перенаправить виндоюзеров в масштабах одного ботнета, пусть и очень большого - это далеко не то же самое, что перенаправить всех, да еще и независимо от системы.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +8 +/
Сообщение от тоже Аноним (ok) on 03-Фев-12, 11:51 
Причем "всех" включает в себя не только пользователей, но и сервера, обменивающиеся информацией...
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от D.B.Ktyby on 03-Фев-12, 12:01 
Великое складывается из малого.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 14:25 
> Перенаправить виндоюзеров в масштабах одного ботнета, пусть и очень большого - это
> далеко не то же самое, что перенаправить всех, да еще и
> независимо от системы.

А знаешь, правительство США нажавшее на верисайн так может сделать на раз-два-три, выписав себе через них сертификат что они - все подряд, от вконтакта до яхи. И фиг оспоришь - факт того что они не верблюд завизирован крЮтым удостоверяющим центром.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

31. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 17:46 
> А знаешь, правительство США нажавшее на верисайн так может сделать на раз-два-три,
> выписав себе через них сертификат что они - все подряд, от
> вконтакта до яхи. И фиг оспоришь - факт того что они
> не верблюд завизирован крЮтым удостоверяющим центром.

Точно также как правительство РФ может надавить на удостоверяющий центр в РФ, удостоверяющих центров больше тысячи - на все страны хватит.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

34. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +2 +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 18:30 
>> правительство США нажавшее на верисайн
>правительство РФ может надавить на удостоверяющий центр в РФ,
> удостоверяющих центров больше тысячи - на все страны хватит.

В Христиании -- есть? Чтоб "правительство" ещё меньше давило.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

37. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от the joker (ok) on 03-Фев-12, 20:05 
Куда уж меньше-то? :-)

P.S.: Очень давно читал о них. Было интересно. Смутно представляю себе, как там сейчас.

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

53. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 00:58 
> Точно также как правительство РФ может надавить на удостоверяющий центр в РФ,
> удостоверяющих центров больше тысячи - на все страны хватит.

Может. При этом если честно мне не так уж важно, какое именно правительство или хакер сделает подделку. Просто сам факт: протокол свою задачу не выполняет. Совсем. Декоративная хрень.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

7. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Anonplus on 03-Фев-12, 13:51 
Тут, как в известном анекдоте, "есть один нюанс". При условии, что сайт поддерживает https, вирусы могут обперенаправляться до усеру, но браузер будет показывать, что сертификат самоподписанный/поддельный. А вот заломав VeriSign мы можем нагенерировать себе полностью валидные сертификаты для любого домена.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

40. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Анон on 03-Фев-12, 20:10 
>При условии, что сайт поддерживает https, вирусы могут обперенаправляться до усеру, но браузер будет показывать, что сертификат самоподписанный/поддельный.

вирусу достаточно добавить свой CA в список системных и не будет.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

68. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 02:23 
> вирусу достаточно добавить свой CA в список системных и не будет.

Иди расскажи это комодохакеру, лихо выписавшему себе сертификат "дигинотаром клянусь, я весь из себя гугл, мозилла, скайп и яху". В браузерах по дефолту некислая пачка дятлов внесена как "trusted" CA. И любой из этой оравы может удостоверить кому угодно чего угодно. И когда их 1500 штук - логично что их _будут_ ломать и лихо удостоверять что вот я - это пэйпэл и ваш банк, так что давайте ваши пароли сюда!

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

47. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 03-Фев-12, 20:43 
> Тут, как в известном анекдоте, «есть один нюанс». При условии, что сайт
> поддерживает https, вирусы могут обперенаправляться до усеру, но браузер будет показывать,
> что сертификат самоподписанный/поддельный. А вот заломав VeriSign мы можем нагенерировать
> себе полностью валидные сертификаты для любого домена.

во-первых, как сказали выше, достаточно добавить «поддельный» сертификат в пул — и ОПА! уже никто ничего не говорит.

во-вторых, большинство юзеров вообще не читает страшного окна с воплями о сертификатах, и знать об этом ничего не желает: им надо, блин, билеты в театр купить, а не разбираться в том, «что это от них хочет дурацкий компьютер».

ничего хорошего в таком положении дел нет, конечно, но: немалая вина в том, что пользователи игнорируют подобные предупреждения, лежит и на самой неудобоваримой системе «fraud prevention». в том числе и на диалогах в браузерах, где без пол-литры так сразу и не разберёшься.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

67. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 02:18 
> во-первых, как сказали выше, достаточно добавить «поддельный» сертификат в
> пул — и ОПА! уже никто ничего не говорит.

Самое жесткое - что в случае взлома верисайнов и подобных ничего добавлять как раз и не надо. Они и так уже в пуле trusted CA висят и все что они подписывают будет захавано за чистую монету. А вот это уже реальная подстава, я бы сказал. Потому что достаточно взломать одного из "типа доверяемых" CA и от его лица выписать кому-то что-то. И все остальные это скушают. Жопа а не протокол.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

45. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от anonimous on 03-Фев-12, 20:27 
Внезапно! 1. Существуют не только "вендоюзеры"(андройды, айосы, другие сервера). 2. Вирусом еще заразить нужно(читай затраты на покупку вируса/распространение). 3. Вирус можно вычислить и вылечить на локально взятой машине.
Вот поэтому VeriSign ломать очень даже выгодно.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  –2 +/
Сообщение от ананим on 03-Фев-12, 12:00 
интересно, на чём у них инфраструктура.
<троль>и какой очередной бсдссш винлват.</троль>
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +4 +/
Сообщение от Аноним (??) on 03-Фев-12, 14:28 
> <троль>и какой очередной бсдссш винлват.</троль>

<эльф>В прошлый раз помнится был виноват неизвестный 0day в винде, видимо позволяющий ремотно получить SYSTEM </эльф>

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 03-Фев-12, 13:15 
потому что эта идея «сертификации» defective by design. но до сих пор есть люди, которые верят, что «https — это надёжно!» например, такие идиоты сидят в гитхабе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  –2 +/
Сообщение от Аноним (??) on 03-Фев-12, 14:29 
> есть люди, которые верят, что «https — это надёжно!» например, такие
> идиоты сидят в гитхабе.

Я честно говоря вообще не понимаю смысла в шифровании этого траффика. Чего такого секретного в работе с публичным репозиторием который и так всем доступен? :)

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

13. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +5 +/
Сообщение от MaMoHT on 03-Фев-12, 15:12 
Ник + пароль тоже в открытом виде передавать ? А никто не покоцает мой репозиторий?
Наверное это по большой части все таки для целостности данных.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Иван Иванович Иванов on 03-Фев-12, 15:24 
хеширование с солью никто не отменял.

Попробуйте sha512(соль + пароль) расшифровать - нобелевку получите

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от MaMoHT on 03-Фев-12, 15:42 
Это понятно, но результат вашего предложения - реализация соственного протокола-велосипеда, гарантирующего целостность. Который надо отладить, и еще помимо прочего надо внедрить везде и всюду, дабы просто накручивать полезный функционал. И это вместо того, чтобы воспользоваться уже готовыми проверенными решениями, которые работают везде.

Оно стоит того?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  –2 +/
Сообщение от Иван Иванович Иванов on 03-Фев-12, 15:55 
Это вы минус поставили, да?

Так вот я вас огорчу - вы сейчас какую-то хрень выдумали - на куче сайтов подобная схема реализована (на JavaScript, естественно) и работает как часы.

Если не согласны или, хуже того не знаете, не надо ставить минусы. За умного сойдёте.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 16:19 
>какую-то хрень выдумали -
> на куче сайтов подобная схема реализована (на JavaScript, естественно) и работает
> как часы.

Почему у Вас реализация "какой-то хрени" на js, которую по какому-то недоразумению ещё не взломали/отэксплойтили, вызывет _больше _доверия, чем получившая своё система CA ?

> Если не согласны или, хуже того не знаете, не надо ставить минусы.
> За умного сойдёте.

да ну, какой вэтом профит.....

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от Иван Иванович Иванов on 03-Фев-12, 16:32 
Идея CA уже 500 раз доказала свою несостоятельность. Полный контроль США за CA в 501 раз доказывает её 1000% несостоятельность. При таком количестве CA, которые есть в современном браузере, говорить о доверии CA based SSL вообще невозможно.

Собрались, понимаешь, спецы по безопасности. Ставьте минусы дальше.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от playnet (ok) on 03-Фев-12, 16:54 
> Идея CA уже 500 раз доказала свою несостоятельность. Полный контроль США за
> CA в 501 раз доказывает её 1000% несостоятельность. При таком количестве
> CA, которые есть в современном браузере, говорить о доверии CA based
> SSL вообще невозможно.

Есть же не-сша центры? Почему про них мало известно? Провести акцию "нормальные центры в массы".. Другое дело, центров как-то совсем уж много развелось.

> Собрались, понимаешь, спецы по безопасности. Ставьте минусы дальше.

Чего так переживаешь, это не хабр :) Набери хоть -100500, это ничего не изменит, сообщения не скроет, бан не получишь... Кто-то не согласен и всё.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

36. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 19:28 
>> Идея CA уже 500 раз доказала свою несостоятельность. Полный контроль США за
>> CA в 501 раз доказывает её 1000% несостоятельность. При таком количестве
>> CA, которые есть в современном браузере, говорить о доверии CA based
>> SSL вообще невозможно.
> Есть же не-сша центры? Почему про них мало известно? Провести акцию "нормальные
> центры в массы".. Другое дело, центров как-то совсем уж много развелось.

Помнится был в Норвегии, который закрылся по известным причинам...

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

69. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 02:33 
> Есть же не-сша центры?

Получил допустим Вася в не-США центре сертификат того что он - Вася. Сертифицированный.
Правительство США (хакер, конкурент...) решили что хорошо бы прикинуться сайтом Васи, но так чтобы пользователи ничего не заподозрили.
Берется CA в США или где там еще. И его силами подписывается серт на то что правительство сша - Вася. Мамой клянусь, и вон той ауторитей.
Браузер при заходе на лже-Васин сайт видит: ага, сертификат. Подписан СШАшной ауторитей. Ауторитя доверяемая. Это - Вася. Вася хороший парень, это его сайт, все дела.

Поскольку CA чуть более чем дохрена, вероятность взлома или нажима хотя-бы одного из всей оравы (что подставляет всю схему вообще) - понятно какая.

Итого: совершенно левая сущность теперь выглядит сайтом Васи. Никаких варнингов по этому поводу браузер выдавать не будет. Опаньки!

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 17:16 
> Идея CA уже 500 раз доказала свою несостоятельность

Вы со мной _спорите_??? Я то же самое и написал -- "получившая своё система CA".

Дискуссия не склалась.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

22. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от evgeny_t (ok) on 03-Фев-12, 16:13 
hmac не слышали ?
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

25. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Иван Иванович Иванов on 03-Фев-12, 16:34 
> hmac не слышали ?

Я в курсе, а народ в теме нет.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Кирилл (??) on 03-Фев-12, 17:29 
Извините, и как вы себе это представляете? Причём тут расшифровка? К тому, что вы собрались зашифровывать?
Честно, совершенно не понятно.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

32. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-12, 17:49 
> Попробуйте sha512(соль + пароль) расшифровать - нобелевку получите

Осталось придумать как передать пароль на сервер при регистрации через интернет :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

33. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 18:06 
>> Попробуйте sha512(соль + пароль) расшифровать - нобелевку получите
> Осталось придумать как передать пароль на сервер при регистрации через интернет :)

И как защитить хэш от перехвата, разница не велика войти в аккаунт под перехваченным паролем, сессионной cookie или хэшем от пароля.


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

35. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +2 +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 18:53 
>сессионной cookie или хэшем от пароля.

Битва набирала. Всё смешалось, кони, перехват сессий---

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

65. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от Аноним (??) on 04-Фев-12, 02:11 
> И как защитить хэш от перехвата,

Легко. Самый примитивный вариант:

sever -> client: а ты это правда ты? Вот те long_random_number, битов так 512.
server:
local_result = sha512 (password + long_random_number)
client:
response = sha512 (password + long_random_number)
client -> server: это я! вот пруф: response.
server:
if (local_result != response) pls_fxxxoff("да ты самозванец?!");

Заметьте, в этой схеме нигде не передается ни пароль ни даже его хеш. Передается хэш от конкатенации пароля с рандомом. Рандом каждый раз разный чтобы предотвратить replay (вероятность выиграть в лотерею "1 из 2^512" вам не понравится).

Это, если что, простейший вариант challenge-response авторизации, довольно баянное изобретение человечества.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

75. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 12:26 
> Заметьте, в этой схеме нигде не передается ни пароль ни даже его

Эта схема подразумевает генерацию после успешной проверки сессионного идентификатора, по которому пользователь сможет работать на сайте. Если не используем SSL, то никто не мешает перехватить данный идентификатор и притвориться этим пользователям не проходя вообще фазы аутентификации.

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

78. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 15:52 
> Эта схема подразумевает генерацию после успешной проверки сессионного идентификатора,

Эта схема подразумевает что клиент и сервер где-то внутри себя знают пароль и могут сделать одинаковые вычисления и сравнить что вышло, не более того. Про HTTP или какие-то сессии я вообше тут не издал ни звука, то что у вас HTTP-оз головного мозга и поэтому вы в принципе не способны представить ничего кроме http и типичной организации сессии в нем - это уже на вашей совести.

> по которому пользователь сможет работать на сайте. Если не используем SSL,

На самом деле, в случае HTTP ключевой дыркой будет то что алгоритм не реализован в браузере или еще какой-то монументальной сущности которая не заменяется атакующим вотпрямщасеймомент. Т.е. алгоритм придется догружать откуда-то сбоку, например на JS, а это FAIL. Если пассивный сниффер будет полностью обломан таким протоколом, то вот активный может просто вгрузить юзеру _другой_ код, например не считающий sha512() а просто отсылающий пароль на немного другой сервер плэйнтекстом, как его юзер ввел. При том юзеру не очень видно что JS сделал ;)

> то никто не мешает перехватить данный идентификатор и притвориться этим пользователям
> не проходя вообще фазы аутентификации.

Вообще, такой протокол очень даже может мешать таким потугам. Подумайте о том что в принципе так можно авторизовывать вообще все запросы юзера. Новый запрос - новый рандом от сервера - новый ответ - шлем нафиг, если вычисления не совпали. То что в рамках стандартного http и привычных вам механизмов это не совсем удобно - второй вопрос.

Тем не менее, похожие по смыслу алгоритмы реально применяются для аутентификации по паролю без отсылки этого пароля и даже его хеша. Обеспечивается защита от "replay", т.е. если сервер кинул рандом, юзер ответил а некто подсмотрел это, в следующий раз авторизоваться на сервере подсмотревший не сможет, потому что сервер кинет другой рандом. А посчитать ответ не зная пароля - опаньки, потому что sha512(password+random1) ничего не говорит о том каким должен быть sha512(password+random2).

Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

79. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 21:05 
> того. Про HTTP или какие-то сессии я вообше тут не издал
> ни звука,

Перечитайте начало ветки, здесь обсуждается заявление что использование хэшей для проверки  паролей на github обеспечивает аналогичную безопасность, как при использовании SSL.


> то что у вас HTTP-оз головного мозга и поэтому
> вы в принципе не способны представить ничего кроме http и типичной
> организации сессии в нем - это уже на вашей совести.

Вы хам, не вижу смысла пояснять что-то  человеку не способному увидеть дальше своего носа и считающему, что другие тоже этого не могут видеть. Не нужно мерить знание других только по своему ограниченному кругозору.

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

81. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 05-Фев-12, 02:02 
> Перечитайте начало ветки, здесь обсуждается заявление что использование хэшей для проверки
>  паролей на github обеспечивает аналогичную безопасность, как при использовании SSL.

вообще-то бОльшую при правильной реализации. и тебе это изо всех сил пытались пояснить, портянки текста писали. но ты встал в позу «миня абидели» (хотя на самом деле эта поза называется «яничивонипонял!») и делаешь вид, что д'Артаньян. ну, на здоровье, чем бы дитё ни тешилось.

Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

93. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 05-Фев-12, 11:28 
> вообще-то бОльшую при правильной реализации. и тебе это изо всех сил пытались

Это вы отказывайтесь понять, что без шифрования всех данных в сеансе связи, кроме необходимости защиты паролей от перехвата возникает кучу сопутствующих факторов, которые могут свести всю вашу защиту по хэшам на нет. Примеры перехвата идентификаторов сессии с последующим входом в аккаунт через них я приводил.

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

96. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 05-Фев-12, 12:43 
а тебе тут пытались пояснить, что даже хэши надёжней, чем «шифрование», которое скомпрометировано изначально. в том числе и потому, что не дают иллюзию защиты.
Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

107. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 06-Фев-12, 16:07 
> Это вы отказывайтесь понять, что без шифрования всех данных в сеансе связи,

Не вижу никакого смысла в шифровании моей активности по браузингу публичного репа под гуестом. Кто угодно может браузить этот реп до усера, он публичный. Кто угодно на любом узле через который идет мой трафф может видеть куда я конекчусь и даже прикинуть что я делал за счет тайминг атак. Прятать надо то что следует прятать, а в данном случае от SSL только нехилый тормоза на установку SSL-соединения (+ еще несколько roundtrip times на установку SSL сессии, там же идет согласование используемого шифроавния, ключа, etc).

> кроме необходимости защиты паролей от перехвата возникает кучу сопутствующих факторов,
> которые могут свести всю вашу защиту по хэшам на нет. Примеры перехвата идентификаторов
> сессии с последующим входом в аккаунт через них я приводил.

Лечится и так: просто новая challenge-response авторизация на любое потенциально привилегированное действие неодоступное анонимусу и все, готово. Вроде бы все видно, но чувствительные операции требуют доказать что не верблюд, посчитав верный ответ на новый рандом. И хрен сломаешь вот так сходу при нормальной реализации.

Ответить | Правка | ^ к родителю #93 | Наверх | Cообщить модератору

99. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Кирилл (??) on 06-Фев-12, 15:30 
А как вы будете обеспечивать синхронность примеси? Этот велосипед уже до Вас создан и он совершенно не подходит для массовых коммуникаций на существующей инфраструктуре.
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

101. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 06-Фев-12, 15:35 
ну сказали же: простейший; есть и «более другие» варианты. но я так понимаю, что поинтересоваться материалами про «безопасный обмен данными по недовереным каналам» — не барское дело.
Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

104. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Кирилл (??) on 06-Фев-12, 15:44 
Просто вы обмолвились об использовании рандомной примеси. Вот и интересно, как вы будете извлекать из полученного сообщения полезную часть, если на концах эта самая "рандомность" никак не согласована. И речь идёт не о безопасном обмене, а о гарантированной идентификации. Для начала. Вам, как клиенту, нужно идентифицировать сервер, а серверу - клиента. Как это сделать? Без третьей стороны и без сложной инфраструктуры.
Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

106. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 06-Фев-12, 15:56 
> Просто вы обмолвились об использовании рандомной примеси.

я? O_O с тех пор, как я таки зарегистрировался, я анонимусом уже не пишу. и в дискуссии про соль я так, мимокрокодил. в том числе и потому, что я таки немного в криптографии нахватался, но совершенно не готов разворачивать полномасштабный бой: это не моя область, слишком много надо будет времени затратить на обновление и добавление знаний, чтобы аргументировано оппонировать.

и, кстати, вопрос был совсем другой: про «синхронность примеси», а не про уверенную идентификацию другой стороны. да, оно связано, но не одно и то же (если я верно понял вопрос).

в принципе, если нет *ни одного* канала, который можно считать довереным, то проблема вряд ли разрешима, и в таком случае SSL со всеми своими сертификатами никак не поможет: с чего бы сертификаты считать более довереными, чем всё остальное? особенно учитывая факапы root authorities. в любом случае нужно сначала хоть по какому-то довереному каналу обменяться чем-то. а дальше уже тот же socialist millionaire protocol поможет, например.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

109. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 06-Фев-12, 16:36 
> я? O_O с тех пор, как я таки зарегистрировался, я анонимусом уже не пишу.

Просто ты иногда похоже на меня мыслишь, наверное поэтому и путают. Я бы даже сказал, довольно часто. Ты зачастую умудряешься эпично и сурово откапитанить, избавив меня от такой необходимости. За это я тебе временами весьма благодарен, человек. И даже капитаню вместо тебя, когда тебе лениво :)

> и в дискуссии про соль я так, мимокрокодил. в том числе и потому, что я таки
> немного в криптографии нахватался, но совершенно не готов разворачивать
> полномасштабный бой: это не моя область, слишком много надо будет времени затратить
> на обновление и добавление знаний, чтобы аргументировано оппонировать.

Собственно я тоже не криптограф-гуру, просто мне до некоторой степени интересна эта область + приходилось пару раз делать самопалы, а халявить я не привык и поэтому до того как за что-то хвататься, маны и факи я все-таки курю и думаю головой, а не иными частями тела. Поэтому очевидные профанации и дезу я не допущу. Предложенная схема - предельно упрощена для очевидности Капитаном, в реальных протоколах обычно все несколько сложнее.

> и, кстати, вопрос был совсем другой: про «синхронность примеси», а не про
> уверенную идентификацию другой стороны. да, оно связано, но не одно и
> то же (если я верно понял вопрос).

Я вообще не вижу проблем организовать синхронизированную примесь. А рандом - так тот вообще сервантом клиенту посылается. Если злодей его заменит, ответ не сойдется и сервер пошлет клиента нафиг.

> в принципе, если нет *ни одного* канала, который можно считать довереным, то
> проблема вряд ли разрешима, и в таком случае SSL со всеми
> своими сертификатами никак не поможет: с чего бы сертификаты считать более
> довереными, чем всё остальное?

Ну вообще, если есть доверяемые инсталляции софта там и тут, можно сгенерить свои CA а остальные - выпнуть. Далее - динамический обмен ключами. Хотя и тут есть риск что одна из сторон хапнет поддельный CA-серт, но это детектабельно по левому фингерпринту. Хоть и потенциально не 100% безопасно.

> особенно учитывая факапы root authorities.

Вообще, идиотская затея - столько дятлов в рут ауторитях по дефолту и каждый может кому угодно что угодно подписать. ИМХО можно было как минимум запоминать параметры серта при первом визите сайта и если он изменился без внятной причинф, особенно изменилась ауторитя или фигнерпринт - однозначно ALARM. Почему столь простую и действенную затычку не сделали сразу - ?? (вроде бы очевидное решение).

> в любом случае нужно сначала хоть по какому-то довереному каналу обменяться чем-то. а
> дальше уже тот же socialist millionaire protocol поможет, например.

А дальще поможет уже хоть простое шифрование с pre-shared key'ем. Отсюда кстати вытекает еще одна возможность по проверке пароля без его отсылки, только вместо хешей будет шифрование. Шифруем рандомный сеансовый кей паролем, шлем его. Пытаемся юзать оный для поднятия шифрованной сессии. Если не выходит - лох не знал пароля и не смог верно расшифровть сессионный кей, пусть идет нафиг :)

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

114. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 06-Фев-12, 16:53 
> Просто ты иногда похоже на меня мыслишь, наверное поэтому и путают. Я
> бы даже сказал, довольно часто. Ты зачастую умудряешься эпично и сурово
> откапитанить, избавив меня от такой необходимости. За это я тебе временами
> весьма благодарен, человек. И даже капитаню вместо тебя, когда тебе лениво
> :)

взаимно. %-)

> Предложенная схема
> — предельно упрощена для очевидности Капитаном, в реальных протоколах обычно все
> несколько сложнее.

видимо, надо к каждому посту disclaimer добавлять. наподобие «я в курсе, что на самом деле Земля не шар».

> Ну вообще, если есть доверяемые инсталляции софта

так я о том же: должно быть хоть что-то, чему доверять таки можно — для начального обмена «секретом». а дальше уже и по обычным каналам не западло.

> минимум запоминать параметры серта при первом визите сайта и если он
> изменился без внятной причинф, особенно изменилась ауторитя или фигнерпринт — однозначно
> ALARM. Почему столь простую и действенную затычку не сделали сразу —
> ?? (вроде бы очевидное решение).

а разве оно не так? впрочем, у меня все root authorities выпилены нафиг, поэтому меня про любой сертификат спрашивают. а вот claws mail, например, при смене гуглевого сертификата вполне себе заорал: «шеф, всё поменялось, всё поменялось, шеф, я в панике, чо делать будем?!»

>> дальше уже тот же socialist millionaire protocol поможет, например.
> А дальще поможет уже хоть простое шифрование с pre-shared key'ем.

это чутка разное. «миллионер» позволяет убедиться, что на том конце таки вася лоханкин, а не лох васянкин, при этом не отсылая никуда «секрет» ни в каком виде. zero-knowledge proof.

> вытекает еще одна возможность по проверке пароля без его отсылки

да нафиг эта «проверка пароля» никому не упёрлась, тащемта. это нам может продемонстрировать, например, otr — который как раз и гарантирует, что *во время сеанса* левые не пройдут. плюс профаченье ключей не означает, что автоматически профачились все предыдущие сессии. не то, чтобы я рекомендовал именно otr применять, просто как пример реализации.

Ответить | Правка | ^ к родителю #109 | Наверх | Cообщить модератору

108. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 06-Фев-12, 16:08 
> создан и он совершенно не подходит для массовых коммуникаций на существующей
> инфраструктуре.

Наверное именно поэтому методы аутентификации такого типа довольно стандартны для почтарей, например :)

Ответить | Правка | ^ к родителю #99 | Наверх | Cообщить модератору

54. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 01:27 
> Ник + пароль тоже в открытом виде передавать ? А никто не
> покоцает мой репозиторий?

Ну это да, для авторизованых юзеров оно оправдано. Но для гуестов которые пришли на проект посмотреть это вообще ничего кроме тормозов не дает. Ну побраузил я гит репо. И на кой для этого SSL мне втюхивать?

> Наверное это по большой части все таки для целостности данных.

В SSL она довольно декоративная. Сколько там из 1500 торговцев доверием сломали и сколько и каких фэйковых сертификатов гуляет - да кто же его знает?!

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 15:41 
>> есть люди, которые верят, что «https — это надёжно!» например,
> Я честно говоря вообще не понимаю смысла в шифровании этого траффика.

Главное же, не путать аутентифткацию, про которую речь в связи с сертификатами, с шифрованием. Нет?

> Чего такого секретного в работе с публичным репозиторием который и так всем доступен? :)

Это модно и трЭндово! Вы точно B)) не понимаете!!!!

...хотя... ну, анонимность, например.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

55. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 01:29 
> ...хотя... ну, анонимность, например.

Анонимность браузинга публичного репа? Факт моего конекта к нему виден по src/dst IP в пакетах как ни крути. Что я примерно делал можно восстановить по тайминг атакам, например. А учтя что сырец и так публично вывален, не вижу особого смысла прятать этот траффик вообще. Тем более что SSL - весьма декоративная безопасность.

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

21. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +2 +/
Сообщение от тоже Аноним (ok) on 03-Фев-12, 16:04 
Насчет "публичный и всем доступен": https://github.com/plans
Если бы гитхаб был просто бесплатной кодосвалкой, он бы давно уже прекратил работу за нерентабельностью.
А люди, которые готовы ему платить, явно не хотят, чтобы их оплаченные аккаунты вдруг стали публичны и всем доступны.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

41. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 03-Фев-12, 20:13 
только непонятно, как отсюда вытекает «…потому давайте включим https всем принудительно». а я вот — не хочу https, например. мне жалко на это процессорных тактов. поэтому пользуюсь гитхабом как просто местом для бэкапа репозиториев (впрочем, багтрекер и вики там такие убогие, что всё равно оно больше ни для чего не подходит).
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

82. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +2 +/
Сообщение от anonymous (??) on 05-Фев-12, 02:56 
Без HTTPS проснифить твои куки (или пароль, если он будет в открытом виде передаваться, без хеширования на стороне клиента) кому-то из локальной сетки не составит большого труда,
а с ними и залогиниться можно ;)
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

83. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 05-Фев-12, 03:02 
> Без HTTPS проснифить твои куки (или пароль, если он будет в открытом
> виде передаваться, без хеширования на стороне клиента) кому-то из локальной сетки
> не составит большого труда,
> а с ними и залогиниться можно ;)

кэп! что-то дофига вас развелось нынче. а ты не думал, что я вполне, например, это понимаю, и всё равно хочу возможность послать в пень https? помимо того, что никому не упёрлось снифать мой логин, есть и ещё нюанс: ну и что они будут делать с моим паролем и логином на гитхабе? вытрут репы? тю, как будто это единственная копия. пойдут гадить от моего имени другим в багтраки и ты пы? так это меня совершенно не волнует, да и смысл подобного действа нулевой. не надо меня «защищать», если я об этом не просил.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

95. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от Аноним (??) on 05-Фев-12, 11:35 
> кэп! что-то дофига вас развелось нынче. а ты не думал, что я

Сделают от вашего имени троянский коммит в каком-нибудь проекте, который вам доверяет. Доберутся до закрытый репозиториев. Но мы же обсуждаем GitHub как отвлечённый пример, а вы сейчас пытайтесь спустить всё на ненужность защиты как таковой.

Ответить | Правка | ^ к родителю #83 | Наверх | Cообщить модератору

97. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 05-Фев-12, 12:48 
> Сделают от вашего имени троянский коммит в каком-нибудь проекте, который вам доверяет.

бугога. давай, я тебе дам пароль от аккаунта, а ты попробуешь сделать коммит, а? оборжака.

> Доберутся до закрытый репозиториев.

любой человек, который считает, что публичный сервис обеспечивает хоть какую-то приватность — дегенерат. (это я, если что, о держателях «закрытых репозиториев» на гитхабе)

> Но мы же обсуждаем GitHub как отвлечённый
> пример, а вы сейчас пытайтесь спустить всё на ненужность защиты как
> таковой.

да? O_O фигасе. а по-моему, мы как раз гитхаб и обсуждали. и высказывался я именно о гитхабе.

и что-то не припомню, кстати, чтобы я говорил «защита не нужна»: я говорил, что *такая* защита не нужна. которая изначально скомпрометирована и является не более чем иллюзией защиты. какой смысл устраивать тройную проверку на главном входе, если сзади в заборе дырка?

Ответить | Правка | ^ к родителю #95 | Наверх | Cообщить модератору

94. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 05-Фев-12, 11:32 
> Без HTTPS проснифить твои куки (или пароль, если он будет в открытом
> виде передаваться, без хеширования на стороне клиента)

Я бы ещё добавил, что имея возможность перехвата трафика, не представляет труда перехватить нужные для хеширования на стороне клиента.

Ответить | Правка | ^ к родителю #82 | Наверх | Cообщить модератору

98. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  –1 +/
Сообщение от arisu (ok) on 05-Фев-12, 12:56 
> Я бы ещё добавил, что имея возможность перехвата трафика, не представляет труда
> перехватить нужные для хеширования на стороне клиента.

да? наивно спрашивать, но всё таки: тебе ничего не говорят слова «Diffie–Hellman key exchange»?

вопрос, снова, не в том, чтобы вести шифрованый обмен по ненадёжному каналу. вопрос в том, можно ли доверять https. и ответ очевиден: до тех пор, пока существуют trused authorities в их нынешнем виде — нет, доверять нельзя. и если хочется действительно безопасного канала, то https отпадает сразу.

p.s. для особо въедливых: самоподписаные сертификаты проблему тоже не решают, тащемта. необходим механизм независимой множественной проверки сертификатов, которого сейчас элементарно нет.

Ответить | Правка | ^ к родителю #94 | Наверх | Cообщить модератору

110. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 06-Фев-12, 16:44 
> да? наивно спрашивать, но всё таки: тебе ничего не говорят слова «Diffie–Hellman
> key exchange»?

Эти криведки никогда не слышали о подобных схемах. Они только минусы умеют винтить тем кто говорит дельно. Вот пипец деградантство то. Не ну я понимаю что криптография грузная штука но прочитать какойнить фак может даже и не доктор наук, имхо.

> тех пор, пока существуют trused authorities в их нынешнем виде —
> нет, доверять нельзя. и если хочется действительно безопасного канала, то https
> отпадает сразу.

Вот именно. Дефективный механизм. Кто угодно может удостоверить что угодно вместо кого угодно. И никто это и не заметит вот так сразу.

> p.s. для особо въедливых: самоподписаные сертификаты проблему тоже не решают, тащемта.

Как сказать? Если это единственная ауторитя, то в принципе решают. Если забыть о том противном моменте что их надо заранее передать через какое-то дупло, чтобы MITM свое не впарил по пути :)

> необходим механизм независимой множественной проверки сертификатов, которого сейчас
> элементарно нет.

Да хотя-бы элементарную затычку могли б сделать - проверять что сертификат не изменился с момента прошлого юзания сайта без внятной причины (aka expiration). Это конечно не 100% панацея, но брутальные выходки типа комодохакерских потуг - срубило бы. И вообще, выписка нового сертификата породит массовый вой браузеров, что совсем не нужно хацкерам.

Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

117. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 06-Фев-12, 17:07 
> Как сказать? Если это единственная ауторитя, то в принципе решают. Если забыть
> о том противном моменте что их надо заранее передать через какое-то
> дупло, чтобы MITM свое не впарил по пути :)

это костыль, в общем-то, а не полноценное решение. потому я и сказал, что «не решают».

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

118. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Кирилл (??) on 06-Фев-12, 17:20 
Для точка-точка и передачей ключей курьером в запечатанном конверте вполне подходит.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

119. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Кирилл (??) on 06-Фев-12, 17:22 
Механизм, конечно же есть, но он не массовый и с довольно муторной инфраструктурой.
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

56. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 01:29 
> Если бы гитхаб был просто бесплатной кодосвалкой, он бы давно уже прекратил
> работу за нерентабельностью.

Как же тогда публичные кодосвалки типа гиториуса работают до сих пор?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

39. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 03-Фев-12, 20:10 
> Я честно говоря вообще не понимаю смысла в шифровании этого траффика. Чего
> такого секретного в работе с публичным репозиторием который и так всем
> доступен? :)

на самом деле гитхаб сделан для хомячков, так что я погорячился: полагаю, авторы гитхаба вполне осознают, что *принудительный* https там и нафиг не упёрся. но эта фича помогает привлекать микроцефалов, которые свято уверены в том, что сайт с принудительным https безопасней сайта с поциональным https или вообще без оного.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

57. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 01:30 
> упёрся. но эта фича помогает привлекать микроцефалов,

Ну хоть какая-то польза: научатся хорошей системой контроля версий пользоваться.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

59. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 04-Фев-12, 01:33 
так приходят-то не потому, что https, а именно потому, что git. а вот среди вариантов выбирают в том числе и за «безопасность».
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

63. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от Аноним (??) on 04-Фев-12, 01:58 
> так приходят-то не потому, что https, а именно потому, что git. а
> вот среди вариантов выбирают в том числе и за «безопасность».

Ни разу не видел такого. Скорее за удобные средства взаимодействия. Хотя может особо отмороженные корпорастивные манагеры и ведутся, черт их там знает. Честно говоря, таких напыщенных дураков не очень жалко.

Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

64. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 04-Фев-12, 02:08 
> Скорее за удобные средства взаимодействия.

ни одного, кстати, не нашёл. какие-то непонятной ценности ошмётки неизвестно чего. хотя, конечно, при отсутствии списков рассылки и нормальной вики оно может показаться удобным.

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

66. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 02:15 
> ни одного, кстати, не нашёл. какие-то непонятной ценности ошмётки неизвестно чего. хотя,
> конечно, при отсутствии списков рассылки и нормальной вики оно может показаться удобным.

Да просто у некоторых и такого нет. Вика у гитхаба кстати действительно угребищная и я не понимаю смысл ее существования. А что, ей кто-то еще и пользуется? Ни разу такого не видел :)

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

70. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 04-Фев-12, 02:34 
пользуются. и даже тем, что у гитхаба называется «багтрекер» тоже пользуются.
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

72. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 03:18 
> пользуются. и даже тем, что у гитхаба называется «багтрекер» тоже пользуются.

Можно я пользуясь случаем толкну long hateful rant? :)

Или несколко полезных советов о том как грамотно притормозить свой проект :)

1. Чуваки, если вы хотите чтобы пользователи вашего проекта чертыхались, вику писали только лично вы в одно лицо, а багрепортеры обошли стороной ваш багтрекер, смело используйте встроенные недоноски гитхабов, гуглокодов и какое там еще дерьмецо я забыл. Тогда в силу угребищности и неудобности, с хорошей вероятностью вы будете единственным мазохистом который в вашей вике представлен и делает 100% работы по ее поддержанию. То же самое касается и багтрекера. Ну а толпа желающих поработать на вас совершенно бесплатно (за интерес к проекту) - пролетит как стая напильников. Проектов в мире много, а свободного времени - не бесконечно, так что сами понимаете, садомазо в свободное время - штука не очень популярная. Вообще, чем дефолтнее и запущеннее выглядит ваш проект - тем меньше вас будут доканывать всякие левые личности! Идеальным вариантом является всего 1 ревизия в системе контроля версий, чтобы все думали что проект давно сдох. Можно сделать ехидный trollface и мерзко хихикать над пролетающими мимо идиотами. Особо тонким троллингом является пустая система конТролля версий. Ведь так мило найти позарез нужный проект, чтобы узнать что он вот уже как целых 5 лет...в состоянии PLANNED :). Правда когда и если он перейдет в более внятное состояние - затролленые типажи врядли когда-то об этом узнают, но разве такие мелочи вас интересуют? Ведь проект можно в принципе писать и в гордом одиночестве :). Чтобы подчеркнуть свою любовь к стимпанку и вообще уникальность, можно выбрать системой контроля версий CVS. То-то всякие умники привыкшие к уютненьким гитам обломаются.

2. Если вы все-таки расперлись и поставили свой портал, неплохим вариантом является максимально загеморроить регистрацию. Сделайте с десяток неочевидных капч, форму на 50 полей, выясняющую кличку собаки, дату рождения прапрапрабабушки и прочий очень полезный для вас шит. Потребуйте аппрува аккаунта модераторами, желательно устроить по этому поводу голосование в ассамблее ООН, иначе будет недостаточно представительно. Аппрув меньше месяца - серьезное упущение. Забаньте наиболее очевидные бесплатные почтовые сервисы, ведь погеморроиться с регистрацией ящика для лично вас - это же прикольно, правда? Максимально завинтите гайки от спамботов. Враг не пройдет. Аппрувнув аккаунт посадите юзера в ридонли. А то вдруг он спамбот?! Упомянутые меры надежно огородят вашу вику и багтрекер от любого спама. Ну и от этих противных пользователей заодно. Если этого показалось мало, поставьте форум. Систему контроля статусов билдов, CMS, и еще что-нибудь, обязательно с шахматами и поэтессами. И главное: упаси вас боже сделать single sign-on! Гораздо веселее если пользователю придется повторить всю описанную долботню с каждым из сервисов индивидуально. Если все сделать правильно, у вас будет целая толпа народа. Целых 0 человек!

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

12. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-12, 14:41 
Альтернатива?
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

42. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 03-Фев-12, 20:13 
> Альтернатива?

чему?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от pavlinux (ok) on 03-Фев-12, 15:23 
Если считаешь её дефективной, значит есть с чем сравнивать?  
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

16. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +3 +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 15:36 
> значит есть с чем сравнивать?

.."значит, в ней есть известные дефекты" fixed!?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

43. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 03-Фев-12, 20:14 
> Если считаешь её дефективной, значит есть с чем сравнивать?

помимо того, что дефекты можно видеть и без сравнений, скажу ещё, что да, есть: с любым сайтом, где мне дают возможность выбрать, хочу ли я использовать http или https. а когда за меня решают, что мне таки лучше — это начинает напоминать некие известные корпорации.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

49. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Anonymouse on 03-Фев-12, 20:51 
> да, есть: с любым сайтом, где мне дают возможность выбрать, хочу
> ли я использовать http или https. а когда за меня решают,

Ариша - ответь на два вопроса:
1 - пользуешь ли Вы он-лайн банкинг? ,
2 - и если да - должен ли банк давать Вам возможность юзать это пр http ?

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

50. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 03-Фев-12, 21:44 
> Ариша — ответь на два вопроса:
> 1 — пользуешь ли Вы он-лайн банкинг?

нет. на всякий случай: это не значит, что я не в курсе, что оно такое и как организовано. в том числе и «изнутри» (нет, я сам в банке не работал; а вот мой хороший друг — таки да, и в немаленьком, и как раз там, где этим занимаются).

> 2 — и если да — должен ли банк давать Вам возможность
> юзать это пр http ?

да. вполне возможно, что только после того, как я авторизуюсь и в настройках поставлю галку «идите в пень вместе со своим https, дайте мне просто http», но возможность должна быть.

к тому же, «банковский https» не более «надёжен», чем любой другой. защита, которую он предоставляет, увы, иллюзорна.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

58. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 01:32 
> 1 - пользуешь ли Вы он-лайн банкинг? ,
> 2 - и если да - должен ли банк давать Вам возможность юзать это пр http ?

Скажи честно, что помешает митму при столь декоративной секурности этого протокола влезть в середину с левым сертификатом "мамой клянусь, я твой банк" и немного поменять парметры транзакции? Секьюрити не бывает второй свежести, как и рыба. Или протокол защищает, при том от всех, от школьника Васи до NSA, или это декоративная фигня от которой мало толку.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

80. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Michael Shigorin email(ok) on 05-Фев-12, 00:07 
> Или протокол защищает, при том от всех, от школьника Васи
> до NSA, или это декоративная фигня от которой мало толку.

Категорические утверждения абсолютно неверны! (ц)

Как и в любом споре щита и меча, есть вопрос паритета.  При этом школьнику Васе вполне может хватить брони неуловимого Джо от направленных атак или неприбыльности ресурсов -- от ненаправленных...

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

112. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 06-Фев-12, 16:47 
> Категорические утверждения абсолютно неверны! (ц)
> Как и в любом споре щита и меча, есть вопрос паритета.  

В случае криптографии факт взлома величина довольно-таки бинарная: ваши данные или уж перехватывают успешно, или уж нет.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

115. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 06-Фев-12, 16:56 
> В случае криптографии факт взлома величина довольно-таки бинарная: ваши данные или уж
> перехватывают успешно, или уж нет.

ну, не совсем так. в принципе, иногда играет роль время, необходимое на дешифровку. но это частности.

Ответить | Правка | ^ к родителю #112 | Наверх | Cообщить модератору

103. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Кирилл (??) on 06-Фев-12, 15:39 
Бывает и второй, и третьей, и сто пятидесятой свежести. Это вопрос управления рисками, а не некой абстрактной непробиваемой безопасности.
Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

111. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 06-Фев-12, 16:45 
> Бывает и второй, и третьей, и сто пятидесятой свежести. Это вопрос управления
> рисками, а не некой абстрактной непробиваемой безопасности.

В случае текущего механизма https оно вообще один сплошной большой риск.

Ответить | Правка | ^ к родителю #103 | Наверх | Cообщить модератору

120. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Кирилл (??) on 06-Фев-12, 17:25 
> В случае текущего механизма https оно вообще один сплошной большой риск.

Скажем, риск будет нарастать. Но в инфраструктуру вложено слишком много средств и усилий, чтобы её менять или отбрасывать. Она, в подавляющем числе случаев, достаточно надёжна. Хотя я покупки карточкой, на которой есть получение налика через банкоматы, больше не оплачиваю ;)

Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

19. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от playnet (ok) on 03-Фев-12, 15:51 
> потому что эта идея «сертификации» defective by design. но до сих пор
> есть люди, которые верят, что «https — это надёжно!» например, такие
> идиоты сидят в гитхабе.

Поясните пожалуйста развернуто. Ну и какие аналоги тогда должны использоваться.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

44. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +1 +/
Сообщение от arisu (ok) on 03-Фев-12, 20:17 
> Поясните пожалуйста развернуто.

мнэ… до сих пор кому-то надо пояснять, почему централизованые системы (пусть с несколькими центрами, но) без средств взаимного контроля являются epic fail? увольте, для Кэпа это слишком длинная лекция.

> Ну и какие аналоги тогда должны использоваться.

аналоги *чего*? ты тоже из лагеря тех, у кого большие проблемы с русским? таки я тогда поясню, что «аналог» подразумевает аналогичную функциональность. зачем делать аналог системы, которая defective by design? это ReactOS получится.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

61. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 04-Фев-12, 01:47 
> Поясните пожалуйста развернуто.

Поясняю: любой козел может кому угодно удостоверить что угодно в меру своей дурости (или по мере взлома своей инфраструктуры).

А потом получается как-то так:
- DigiNotar'ом клянусь! Я гугл, мозилла, скайп и яху вместе взятые! (ComodoHacker)

Совершенно любой дятел может удостоверить что угодно кому угодно. Хак любого из 1500 означает что заходя на сайт вашего банка/пэйпэла и прочее вы в принципе можете увидеть валидный сертификат и для хакерского сервака. Который с удовольствием сопрет у вас логин/пароль или просто переиначит немного параметры транзакции.

> Ну и какие аналоги тогда должны использоваться.

Картонный щит, пластмассовая сабля, водяной пистолет, игрушечный танк, надувной молоток, windows_xp_with_firewall.jpg - вам хватит уже аналогов, или еще добавить? :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

8. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Аноним (??) on 03-Фев-12, 14:23 
> В результате взломов инфраструктуры Verisign злоумышленники похитили данные и,
> возможно, произвели какие-то другие действия, масштаб которых до сих пор неизвестен.

Ну что, делаем ставки что еще подпишет себе ComodoHacker или кто-нибудь еще.И бурно доверяем SSL и аналогичным по смыслу протоколам с удостоверяющими центрами, ага. При том что один их главных центров так красиво обделался.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Кирилл (??) on 03-Фев-12, 17:21 
Этого давно стоило ожидать. Схема с УЦ довольно ущербная.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Andrey Mitrofanov on 03-Фев-12, 17:26 
> Этого давно стоило ожидать. Схема с УЦ довольно ущербная.

За сколько _лет_ до сообщений о Комодо начали этого ждать Вы? Ваши посты на опеннет, например, не предъявите?

А так, 3+ за старательность, 2- за внушаемость и стадность. Конфетка на полке, деньги в бидоне.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

100. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  –1 +/
Сообщение от Кирилл (??) on 06-Фев-12, 15:33 
Изначально. Со знакомства с SSL/TLS-ом. Другое дело, что я не склонен эту проблему драматизировать. У любой широкодоступной технологии есть свой существенные издержки, без которых она бы не стала столь массовой.
ЦА элементарно подвержены банальному ректальному взлому паяльником.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

86. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010 год..."  +/
Сообщение от Аноним (??) on 05-Фев-12, 04:21 
А зачем конторе гарант доверия? Она что, себе не доверяет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

87. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 05-Фев-12, 04:27 
> А зачем конторе гарант доверия? Она что, себе не доверяет?

гарант нужен (по логике ссл) третьей стороне. которая смотрит на сертификат, выданый васисуалию лоханкину, и видит, что это не самодел, а Большие Серьёзные Парни выдали. значит, васисуалий — он хороший, ему можно доверять. идея была неплохая: не заставлять пользователя задумываться над каждым сертификатом, а считать, что сертификаты, подписаные некими конторами, по-умолчанию «хорошие». а получилось как обычно и получается с закрытыми централизованными системами.

Ответить | Правка | ^ к родителю #86 | Наверх | Cообщить модератору

88. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 05-Фев-12, 04:33 
Логика немножко странная, но приму во внимание. И все-таки было бы неплохо ссылочку на то кто-где-и как использует подобные сертификаты, please!
Ответить | Правка | ^ к родителю #87 | Наверх | Cообщить модератору

89. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 05-Фев-12, 04:39 
> Логика немножко странная, но приму во внимание. И все-таки было бы неплохо
> ссылочку на то кто-где-и как использует подобные сертификаты, please!

google:<i>https, google:</i>ssl
оно, кагбэ, всё на этом основано. зайди у себя в браузере в управление сертификатами и умились.

p.s. вот те самые authorities — это Большие Парни. сертификатам с их подписью браузер доверяет и не задаёт глупых вопросов. такие дела.

Ответить | Правка | ^ к родителю #88 | Наверх | Cообщить модератору

90. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 05-Фев-12, 04:45 
>> Логика немножко странная, но приму во внимание. И все-таки было бы неплохо
>> ссылочку на то кто-где-и как использует подобные сертификаты, please!
> google:<i>https, google:</i>ssl
> оно, кагбэ, всё на этом основано. зайди у себя в браузере в
> управление сертификатами и умились.
> p.s. вот те самые authorities — это Большие Парни. сертификатам с их
> подписью браузер доверяет и не задаёт глупых вопросов. такие дела.

Спасибо, поизучаю на досуге :-)

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

91. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от anonimouse on 05-Фев-12, 05:13 
Ну хорошо - тебе эта схема не нравится. Я правильно понял?
Тогда предлагай что по твоему надо внедрять.
Только учти - я банк, "кольцо доверия" и прочее тут не сработает :)
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

102. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Кирилл (??) on 06-Фев-12, 15:35 
Не кольцо, а сеть ;)
В действительности эффективной массовой альтернативы нет.
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

105. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 06-Фев-12, 15:45 
> В действительности эффективной массовой альтернативы нет.

потому что её не сделали. в принципе, даже «перекрёстные подписи» уже повышают уровень доверия (натурально, если они делаются по-уму, а не «стопицот омериканскех компаней подпейсали друх у друха»). но это всё, конечно, полумеры, потому что централизованые системы именно в силу централизованности обречены на факапы.

Ответить | Правка | ^ к родителю #102 | Наверх | Cообщить модератору

113. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от Аноним (??) on 06-Фев-12, 16:50 
Можно для начала хотя-бы сохранять серт при первом визите сайта и смотреть не поменялся ли он без валидных причин. Если поменялся а причин на то не было - по любому что-то тут не так. Или их хакнули что они должны были заменить серт внепланово, или это хакер себе новый серт подписал, пардон. Надлежит отловить и зарубить.
Ответить | Правка | ^ к родителю #105 | Наверх | Cообщить модератору

116. "Раскрыты данные о взломах инфраструктуры VeriSign в 2010..."  +/
Сообщение от arisu (ok) on 06-Фев-12, 17:00 
оно, конечно, хорошо. только слабо работоспособно. проверено не только личным опытом: юзеры или пугаются, увидев подобные сообщения, или тупо жмут «да, я согласный, всё хорошо, только отстань, железяка тупая!»
Ответить | Правка | ^ к родителю #113 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру