10:03 

Про ложную "Безопасность"

fire-dragon
Индустрия натаскала пользователей не хуже чем Павлов своих собак, поэтому теперь непременный атрибут сообщить что сайт был безопасный и там был зеленый замочек. Кстати нос, бестрпрактикс перенаправлять пользователей с diary.ru на diary.ru , но это больше мое ехидство.

Итак продолжая за наш замочек, я в общем то в недоумении, 75-85% всего трафика это видео и картинки. Причем это все шифруется. Но зачем?????


Вот например типичная инфраструктура приложения, причем между серверами все ходит в открытую, а все что за пределами центрального региона, это миллионы пользователей. Причем данные им пересылаются в большинстве своем одинаковые, например "оксимурон феат диджей хуй, битва века и ролик на 2 часа в качестве 8к".


@темы: Где логика?, Наблюдения

URL
Комментарии
2018-05-16 в 17:18 

Ну, очевидный ответ, навеянный недавним efail - проще шифровать ВСЕ, чем надеяться, что при разборе с отделением шифрованных-от-нешифрованных частей страницы никто нигде не налажает - нет?

2018-05-16 в 17:53 

fire-dragon
Безопасность через сокрытие (Security through obscurity)? Ты серьезно?

Я сегодня полез на разные профильные форумы, так вот там вполне себе нормальным считается коэффициент 50:1 для дедупликации, а если это на уровне приложения делать то и вообще супер.

Причем с учетом того же закона Яровой и овцы целы и волки сыты. Захотелось сесть и RFC написать, ей богу

URL
2018-05-16 в 18:17 

fire-dragon,
Безопасность через сокрытие (Security through obscurity)? Ты серьезно?
Ээээ? Мы походу о разном:
"Первый вариант атаки производится через модификацию транзитного сообщения, в которое подставляется обращение к внешниму ресурсу при помощи тегов "img" или "style", подставляемых в незашифрованные части HTML-писем (MIME-заголовки). Обращающийся к внешнему хосту атакующего тег открывается до начала шифрованного MIME-блока, а закрывается после него. Почтовый клиент с проблемным MIME-парсером при открытии письма дешифрует шифротекст, а затем разбирая HTML отправляет уже расшифрованный текст в составе подставленного атакующими тега."
И так далее и тому подобное с вариациями, подстановкой жабаскрипта в незашифрованные части страницы и прочая, прочая, прочая. В общем, "данунах" - и целый класс атак отваливается как класс.

2018-05-16 в 18:54 

fire-dragon
Да оружие тебе доверять не стоит. Перестреляешь всех, потому что они потенциально опасны .

URL
2018-05-16 в 19:58 

fire-dragon,
Звиняйте хлопцi и дiвчiны но я-то тут при чём?! Ты спрашиваешь - с какого бодуна в индустрии развилось ну вот такое вот уродство, я отвечаю что очевидная причина - вот. Не "главная", не "единственная" - "очевидная", после чего ты меня чуть ли не в создании вот этого вот всего обвиняешь ;).
Как _пользователя_ возможность подстановки произвольного кода через mitm меня гребет гораздо сильнее, чем проблемы магистральщиков\фронтэндеров, как администратора - исчезающе малая эффективность кэширующих прокси\оверхед на шифрование+отдачу лишнего контента в _корпоративном интранете_ меня расстраивает, но устраивает.
Что характерно - индустрию "в целом" - тоже. Кого сильно напрягает - разрабатывают HTTP/2, алгоритмы кодирования контента и прочая-разная.

2018-05-16 в 20:10 

fire-dragon
Конечный пользователь похож на капризного ребенка, а индустрия на очень занятых родителей.
И я не знаю что меня больше злит этот дурацкий зеленый значок либо гугл, решивший закрыть все самым простым путем.

URL
2018-05-16 в 20:28 

fire-dragon,
Учитывая, что сам по себе SSL с концепцией доверия УЦ - в котором кто угодно может выписать сертификат для кого угодно (Костыли, костыли everywhere! DNSSEC+CAA\DANE! HPKP! Хардкодинг в приложении! И нихрена универсально не работает) и всё будет ОКНОРМ и даже совершенно валидный сертификат никого и ни от чего не защищает, бо что там за cifer suite насогласовался между клиентом и сервером - здоровенное ХЗ.
В общем, один класс уязвимостей прикрыли, три добавили, ага. Зато при виде "зеленого значка"(ТМ) все успокаиваются и решают, что должным образом защищены, доааа.

2018-05-18 в 08:51 

Хе-хе-хе!
"В сентябрьском выпуске Chrome 69 для HTTPS перестанет показываться зелёная надпись "Secure", а в октябрьском выпуске Chrome 70 будет убран и значок с изображением замка для HTTPS, а цвет надписи "Not Secure" для соединений HTTP будет заменён с серого на красный. "
изображение

2018-05-18 в 09:02 

fire-dragon
суки

URL
Комментирование для вас недоступно.
Для того, чтобы получить возможность комментировать, авторизуйтесь:
 
РегистрацияЗабыли пароль?

Разговоры на кухне, за рюмкой коньяка.

главная