Previous Entry Share Next Entry
Поддержим инициативу "Новой"!!!
ВЧК
johnamendall

"Новая газета" начала сбор подписей за возбуждение уголовного дела против коррумпированного прокурора Краснодарского края Леонида Коржинека.
Прокурор Коржинек - не только коррупционный покровитель шайки Цапка, он также и коррупционный покровитель сочинской банды "черных рейдеров" Андрея Адаменко, известного как "сочинский цапок", один из организаторов фабрикации уголовных дел против добросовестных кредиторов ГП "ЧерноморТИСИЗ" в интересах и по "заказу" сочинского цапка Адаменко.
Поддержим инициативу "Новой газеты"!!! Призываем всех честных людей подписаться под этим обращением!





  • 1

Почему при попытке открытия инфы выскакивает пре-

дупреждение,
что вэб-страница опасна для меня?

Re: Почему при попытке открытия инфы выскакивает пре-

Введите http:// вместо https://
Я обычно убираю "s", чтобы такие вопросы не возникали, но тут забыл (сайт я админю по https).
Если Вы обратили внимание, браузер ругается на самоподписанный сертификат, т.е. сертификат, который не подписан центром сертификации, который заплатил бабки разрабам браузера за то, чтобы браузер доверял его подписи. Т.е. есть целая буржуйская сертификационная мафия, при этом, однако, большинство сайтов имеет самоподписанные сертификаты. (За исключением банков, инет-магазинов и им подобных, для которых критически важно, чтобы эти пугалки от браузеров неотпугивали клиентов).
Совершенно некорректно, что производители браузеров такие жесткие тексты выкладывают,когда предупреждают о самоподписанном сертификате. Но на этом строится их бизнес и их сверхдоходы.
Вот и все. Никакой опасности нет, даже если допустить, что кто-то подменил сертификат, то это будет означать лишь то, что этот "кто-то" может видеть, что Вы просматриваете на этом сайте. Не более того.
То есть, то, что видят все (провайдер, СОРМ или оконечная нода Tor'a или другой анонимизирующей сети), если Вы соединяетесь по протоколу http, а не https.
Поскольку Вы не вводите номера Ваших банковских карт, пин-коды и т.п., Вам боятся нечего.
Надо наверное заметку на сайтах написать, и кидать на нее ссылки.
Естественно, лучше ходить по ssl, а еще лучше - по ssl over Tor/i2p и т.п.

Спасибо за полное раскрытие вопроса,я профан

в ай-ти технологиях,
надо скопировать Ваш текст
для разъяснений другим,
если будут обращаться.

Re: Спасибо за полное раскрытие вопроса,я профан

Да завсегда пожалуйста :)
Где-то я лучше писал, надо будет написать, где-нибудь на сайте выложить.
Кстати, я думал непонятно будет.
В двух словах, в общем, есть протокол http - гипертекстовой протокол, по которому работает большинство сайтов, и есть https - этот защищенный гипертекстовой протокол (s - от англ. secure), при нем соединение между клиентом и сервером шифруется.
Соответственно, когда Вы идете по http - все пакеты может отснифать провайдер и СОРМ (если напрямую), или, например, если Вы идете через Tor - оператор его exit-ноды (потому что от Вас до экзита оно тоже шифруется согласно архитектуре сети). Ну и соотв. провайдер, который обеспечивает интернетом дата-центр, где крутится сервер, сам датацентр, СОРМ (если сервер в России) или какой-нибудь "эшелон" (европейская сормоподобная гадость) и т.д.
Когда по https - прочитать не могут (сам факт соединения, конечно, они видят, но не содержимое).
Для таких сайтов как наш поддержка https вообще не особо нужна, кроме как пароли защищать, чтобы не сперли в ходе соединения. Ну или если кто-то через веб-форму какой компромат посылает и не хочет, чтобы видели (тогда лучше ходить через Tor, а не только используя ssl, т.е. ssl over Tor).
А вот для всяких интернет-банкингов, инет-магазинов, где вы расплачиваетесь кредитками и даете инфу, которая, если попадет в чьи-то руки (например, недобросовестных работников провайдера, сниффающих Ваше соединение, или фсбшников/ментов всяких - операторов СОРМ) - то просто с Ваших счетов смогут спереть деньги, это критично.
Соответственно, есть атаки против этого соединения, т.н. MITM, "человек посередине", когда подменяется сертификат - Вы думаете, что Вы соединены с тем сайтом, а на самом деле - или не с ним, или даже с ним, но Вам подсунули чужой сертификат, чтобы расшифровать Ваше соединение.
Чтобы предотвратить это, Вы должны знать отпечаток сертификата (если кликнете в браузере на наш замочек, откроется окошко, там его можно найти), чтобы можно было сличить.
Или сертификат должен быть подписан удостоверяющим центром, которых существует определенное количество.
Соответственно, подписи этих центров "зашиваются" производителями браузеров в браузеры, браузеры им доверяют "по умолчанию". Но делается это не бесплатно, а за деньги. Соответственно, тот же проект Mozilla во многом за счет этого живет - сам-то браузер распространяется бесплатно и его исходники являются открытыми.
Эти центры заверяют сертификаты клиентов, но тоже не бесплатно, а за деньги. Поэтому такие сайты как наш просто используют самоподписанные. Если бы мы были инет-магазином, то мы бы, конечно, подписали в центре - ибо процентов 80 клиентов убежало бы, прочтя то, что пишет браузер.
Ну и, конечно, разрабы браузеров поступают некорректно, когда ругаются такими нехорошими словами на самоподписанные сертификаты. Наверное, это должно звучать как-то так: "Сертификат не подписан центром сертификации, аккредитованным за бабло при компании-разрабе браузера, поэтому мы не можем гарантировать его подлинность". А они орут на эти серты очень нехорошими словами, понятное дело - почему: им нужны деньги от центров сертификации, а те существует за деньги тех, кто подписывает сертификаты у них.
Соответственно, эта подпись сертификата гарантирует только то что третья сторона - сертификационный центр, подтверждает, что сертификат подлинный, а не подсунут вам в результате указанной MITM-атаки. С таким же успехом Вы можете сличать отпечаток сертификата из браузера с тем, каким он должен быть, разницы в этом нет никакой.

Re: Спасибо за полное раскрытие вопроса,я профан

Соответственно, в нашем случае (когда мы даем обычно ссылку по http) - это вообще никак не шифруется, т.е., не имея отпечатка нашего сертификата, которому Вы можете доверять, Вы, возможно, можете не быть уверены, что этот сертификат не подсунул противник, чтобы иметь возможность расшифровать информацию, которой Вы обмениваетесь с сайтом. Но в случае когда идет по http - все идет через сеть прямым текстом, без шифрования, там и MITM-атаки не надо, просто включается сниффер, какой-нибудь tcpdump или wireshark.
Что же касается эксплойтов, заражающих клиентские машины вирусами, то это никакого отношения к этому не имеет. Если на сайте есть эксплойт (а их зачастую латентно от владельцев сервисов внедряют всякие кулцхакеры, и словить эксплойт можно на сайте Microsoft или правительства США), то Вы его получите (или не получите, если машина защищена) вне зависимости от того, используется ли http или https, и проведена ли MITM-атака, с помощью которой противник только расшифровывает Ваше соединение.
Тут всем надо понимать, что лазание по инету с этой точки зрения небезопасно. Для винды есть много прог не только антивирусных и блокирующих установку программ, но и специальных антиэксплойтных.
Но для лучшей безопасности (и много-многого другого) лучше юзать никсы (Linux, BSD и т.п.), для них пишется очень мало вирусов/эксплойтов и, если в браузере нет удаленной рут-уязвимости или если пользователь сам сдуру не запустил браузер от рута, или не дал всем права записи в системные файлы (обычно такие права имеет только рут или некоторые системные юзеры), поражены могут быть конфиги браузера в хомяке пользователя, которые можно просто снести и восстановить новые из бэкапов.
Если сильно нагрузил, прошу прощения за непрошенную лекцию.

Re: Спасибо за полное раскрытие вопроса,я профан

P.S. Кстати, проходила инфа об угрозе MITM-атак со стороны спецслужб, которые могут "нагнуть" компании - сертификационные центры, чтобы те выдали им свои ключи, которыми они подписывают сертификаты.
Имея такие ключи, можно сгенерировать фейковые сертификаты и MITM-ить ssl-соединения.
В этом отношении, самоподписанные сертификаты безопаснее. По крайней мере, если к нам обратятся с официальным запросом, мы пошлем найух. (В случае применения терморектальных методов, конечно, мы не может изначально ничего гарантировать, это вот если после пыток не выдадим, то сможем городиться, что мы оказались не такими слабаками, подобно нашим отцам и дедам-партизанам и подпольщикам :) ).
А любую коммерческую фирмы власть ее страны "нагнут" и она выдаст, даже если незаконно. Особенно если это в России. (Хотя большинство центров - западные).

  • 1
?

Log in