Re:[to Vitroot] Возможно ли включить https для рулина ?

> И да, подтверждаю, у меня прогрессирует осенние обострение шизофрении ;)

Не-не, не кизди. Осеннее должно происходить в ноябре, ну в конце октября, но никак не в самом начале сентября. Давай выкладывай истинные причины беспокойства.

Re:[to Vitroot] Возможно ли включить https для рулина ?

> Осеннее должно происходить в ноябре, ну в конце октября, но никак не в самом начале сентября. Давай выкладывай истинные причины беспокойства.


Нее, у него еще летнее не закончилось)))

Re:[to Vitroot] Возможно ли включить https для рулина ?

Не надо тут, у меня обострения по NTP и крону, все точно !

Re:[to Vitroot] Возможно ли включить https для рулина ?

UP topic

А куда собственно Витрут пропал, у кого он есть в жабе ?

Re:[to Vitroot] Возможно ли включить https для рулина ?

да легко, а проц тут причем? Там его не особо больше надо, а процев пока все восемь с никакой нагрузкой. Но ставить самоподписанный серт как-то не секурно и несерьезно же

Re:[to Vitroot] Возможно ли включить https для рулина ?

> не секурно и несерьезно же

Ога, куда секурнее ходить с невесть какой публичной точки доступа по открытому протоколу пересылая пароли и кукисы.

Re:[to Vitroot] Возможно ли включить https для рулина ?

>Но ставить самоподписанный серт как-то не секурно и несерьезно же
Почему? После скандала с Trustwave вся концепция подписанных сертификатов умерла окончательно, и польза от них только в отсутствии предупреждения в браузере.

Re:[to Vitroot] Возможно ли включить https для рулина ?

да ладно, разве мне жалко :) Tuxoid все может без проблем сделать, все необходимые права у него есть, да и я всегда готов помочь

Re:[to Vitroot] Возможно ли включить https для рулина ?

> скандала с Trustwave

Поскольку Trustwave упоминается на форуме впервые, хотелось бы подробностей там, деталей каких-нибудь.

Re:[to Vitroot] Возможно ли включить https для рулина ?

>Поскольку Trustwave упоминается на форуме впервые, хотелось бы подробностей там, деталей каких-нибудь.
Вот, например: https://www.computerworld.com/s/article/9224082/Trustwave_admits_issuing_man_in_the_middle_digital_certificate_Mozilla_debates_punishment

Вкратце - Trustwave продала корневой сертификат стороннему лицу, чтобы то лицо могло перехватывать трафик. Сертификат позволял подписать что угодно и как угодно. Потом дело вскрылось, был скандал, мозилловцы обещали удалить, но Trustwave извинилась, и всё утихло. Мол, мы выдали его только для суперспециальной системы, которая генерит сертификат для каждого пользователя, и никакого зла сделать не может, о чём вы вообще? Но мы всё равно больше не будем, так что верьте нам дальше.

Заодно шли разговоры о том, что не только Trustwave таким делом занималась, просто только их застукали. Вот такие дела, web of trust с неограниченным запасом trust даже для тех, кто выдаёт man-in-the-middle сертификаты.

Да, а ещё Comodo и Diginotar - ещё одних сертификаторов, относительно недавно сломали хакиры. Причем сертификаты последней фирмы в браузерах таки ликвидировали, и фирма разорилась, а вот первую трогать побоялись.

Re:[to Vitroot] Возможно ли включить https для рулина ?

Ага.. Есть корневой сертификат траствейва. Они сами себе выдают сертификат[ы] для подписывания сертификатов своих кастомеров (рутовый для этого не используется), удостоверяя тем самым, что они, Траствейв, гарантируют третьей стороне идентичность данного пользователя. Один из таких сертификатов был выдан сторонней компании, что неправильно. Ну его можно ревокнуть и оставить цепочку доверия для остальных сертификатов. Наверное это и было сделано?

В этом плане самоподписанный сертификат наверное даже безопаснее - можно же запомнить каким именно сертификатом был подписан сертификат рулинукса (или даже просто сам сертификат - если злоумышленник не знает приватного ключа от оригинального сертификата) и при несовпадении пугаццо.

Re:[to Vitroot] Возможно ли включить https для рулина ?

> После скандала с Trustwave
А что там за скандал был?

Re:[to Vitroot] Возможно ли включить https для рулина ?

>Один из таких сертификатов был выдан сторонней компании, что неправильно. Ну его можно ревокнуть и оставить цепочку доверия для остальных сертификатов. Наверное это и было сделано?
Да, его ревокнули. Но тут какое дело - нет гарантий, что это был один такой сертификат. Траствейв, похоже, это дело на поток поставил. Причем траствейв абсолютно точно знал, что делает противоречащие смыслу сертификатов действия, т.е. сознательно шел на "преступление". Естественно, что сейчас они будут говорить что угодно, чтобы себя оправдать, но как их проверишь?

По-хорошему, надо было отобрать право что-то подписывать у них, а их сертификат из всех браузеров удалить. Да, пострадала бы куча невиновных кастомеров, которые бы завалили поддержку траствейва запросами и исками, а сам траствейв разорился бы. И хорошо, потому что другие CA стали бы больше ценить понятие репутации, ведь именно на репутации и держится вся система. А теперь получается, что:

1) у нас есть один CA с сомнительной репутацией, и желательно присматриваться к каждому сертификату - вдруг его выдали они. Заодно теряется весь смысл доверенности CA, и снижается юзабельность всей системы;

2) оказалось, что реальных рычагов воздействия на CA у сообщества нет. То есть изначально в системе рассчитывалось, что доверяют только тем, кто никогда ничего плохого не делал, а всех нарушителей клеймят позором и отбирают доверие. Соответственно, никто не будет нарушать, так как моментально лишится бизнеса. Diginotar вот не нарушал, а просто не смог обеспечить безопасность - и лишился. А тут вышло, что компания делает что хочет, но у неё не отберут статус CA. Тем более, если компания богатая и у неё миллионы клиентов. Получается что достаточно стать большим и толстым, и делай что хочешь, раздавай сертификаты спецслужбам и компаниям для слежки, а в ответ тебе будет только ругань на форумах. Система CA стала просто бизнесом с кучей денег, которая уже не делает то, для чего создавалась. За то, что они зарабатывают на этом деньги, можно только порадоваться, а вот то, что система не работает - печально.

Тем более вторая задача CA - проверка того, что сертификат выдаётся и правда тем, кто в нём записан, тоже не особо выполняется: при таких масштабах банально нельзя проверить всех. И это всем понятно. Но если раньше, получая подписанный сертификат, можно было хотя бы быть уверенным, трафик между тобой и невесть какой фирмой не перехватывают, то сейчас в этом нельзя быть уверенным.

>В этом плане самоподписанный сертификат наверное даже безопаснее - можно же запомнить каким именно сертификатом был подписан сертификат рулинукса (или даже просто сам сертификат - если злоумышленник не знает приватного ключа от оригинального сертификата) и при несовпадении пугаццо.
Это да. Система будет работать, если, конечно, сертификат для проверки тоже не перехватят посередине (не на дисках же его раздавать?), и пользователи верят рулинуксу:)

Re:[to Vitroot] Возможно ли включить https для рулина ?

> 1) у нас есть один CA с сомнительной репутацией, и желательно присматриваться к каждому сертификату - вдруг его выдали они. Заодно теряется весь смысл доверенности CA, и снижается юзабельность всей системы;

> 2) оказалось, что реальных рычагов воздействия на CA у сообщества нет.

Таких проблем[ы] в принципе нет :)
Где-то в системе реализации ЭЦП есть список доверенных центров сертификации, который поставляется по умолчанию для удобства пользователей. По определению пользователь может вносить/выносить нужные/ненужные ему certification authorities из этого списка. Вроде бы должен быть ещё и список для недоверенных авторити, сертификаты которых не отозваны, но которым пользователь не доверяет.

Только поскольку мне всегда было на эти сертификаты похуй, я не в курсе где это дело настраивается в линуксе (в венде это делается достаточно просто) и существует ли общий реестр или например тот же фафик использует свой собственный список - в последнем случае подкручивать заебёшься в разных местах. (Разговор о том что файрфокс отказался что-то удалять из доверенных сертификатов какбэ намекает что у них свой отдельный список используется штоле?)

> Но если раньше, получая подписанный сертификат, можно было хотя бы быть уверенным, трафик между тобой и невесть какой фирмой не перехватывают, то сейчас в этом нельзя быть уверенным.

И раньше нельзя было быть в этом уверенным. Можно было быть уверенным только в том, что крупная фирма, кующая нехилое бабло на выдаче сертификатов, не станет жертвовать своей репутацией из-за твоего аккаунта на каких-нибудь вебманях.

> Это да. Система будет работать, если, конечно, сертификат для проверки тоже не перехватят посередине (не на дисках же его раздавать?), и пользователи верят рулинуксу:)

Сертификат публично доступен, но им можно воспользоваться только зная закрытый ключ, поэтому перехватывать нечего: закрытый ключ не покидает сервера. Хотя сервер тоже могут поиметь, конечно..

Re:[to Vitroot] Возможно ли включить https для рулина ?

>Только поскольку мне всегда было на эти сертификаты похуй
>Таких проблем[ы] в принципе нет :)
Так то у тебя. Обычный продвинутый пользователь знает, что доверенный https - это когда у ФФ зелёный значок около урла рисуется. А если такого значка нет, а https есть - значит выскакивает окно о недоверенном соединении. Тут какое дело - те, кто в курсе, что такое эти сертификаты, и так разберутся, а вот основная масса пользователей продолжает быть уверенной в том, что их соединение с гуглом безопасно, и никакой сотрудник ФСБ не прочитает, что за гадости про Путина они пишут в строке поиска. И что их соединение с интернет-банком настоящее.

>Разговор о том что файрфокс отказался что-то удалять из доверенных сертификатов какбэ намекает что у них свой отдельный список используется штоле?
Да, у них свой список, можно в настройках посмотреть. И не у них одних.

>Сертификат публично доступен, но им можно воспользоваться только зная закрытый ключ, поэтому перехватывать нечего: закрытый ключ не покидает сервера. Хотя сервер тоже могут поиметь, конечно..
Для того, чтобы ключ сервера прошел проверку, нужно импортировать ключ CA в браузер. В данном случае CA есть рулинукс. Вот этот ключ какая-нибудь автоматическая система, мониторящая трафик, сможет подменить на ходу, при скачивании.

А без него она сможет подменить и то, что браузер от сайта получает.

Хотя это всё, конечно, паранойя.

Re:[to Vitroot] Возможно ли включить https для рулина ?

> Так то у тебя. Обычный продвинутый пользователь знает, что доверенный https - это когда у ФФ зелёный значок около урла рисуется. А если такого значка нет, а https есть - значит выскакивает окно о недоверенном соединении.

Речь ведь о сообществе и о том что оно может. Сообщество может внутри себя отказаться от использования сертификатов Trustwave в качестве доверенных.

> Да, у них свой список, можно в настройках посмотреть. И не у них одних.

Где это? Я вижу пару ключей app.update.certs отсылающих к Equifax и Thawte - это бровсер для собственных апдейтов по всей видимости использует, а где список доверенных авторити для работы по https?

> Для того, чтобы ключ сервера прошел проверку, нужно импортировать ключ CA в браузер. В данном случае CA есть рулинукс. Вот этот ключ какая-нибудь автоматическая система, мониторящая трафик, сможет подменить на ходу, при скачивании.
Как вариант, Тюксоид может опубликовать на форуме открытый ключ сервера, подписав его своим gpg ключом, которым поделился с Вилфредом на аутсессии. Тогда любой желающий может проверить валидность опубликованных данных. Тогда Вильфред заметит подмену данных.

Re:[to Vitroot] Возможно ли включить https для рулина ?

> Хотя это всё, конечно, паранойя.

Ну, как известно, тот факт, что у тебя паранойя, ещё не означает что за тобой никто не следит.

Опять скандал с фальшивыми сертификатами

Компании Mozilla и Google одновременно объявили о прекращении доверия двум корневым сертификатам удостоверяющего центра TurkTrust и отзыве данных сертификатов из базы, поставляемой в составе браузеров Firefox и Chrome. Причиной удаления сертификатов, являются вскрывшиеся факты использования выписанных от лица сервиса TurkTrust SSL-сертификатов для совершения MITM-атак (man-in-the-middle), направленных на транзитный перехват и расшифровку SSL-трафика на промежуточном узле. 

24 декабря компанией Google был выявлен обманный сертификат, выписанный для доменов *.google.com, который был задействован для совершения атаки на пользователей сервисов Google. Не исключено, что подобные обманные сертификаты могли быть использованы для атаки на другие компании и службы. Удостоверяющий центр TurkTrust, который присутствовал в цепочке доверия у обманного сертификата, провёл внутреннее расследование. Расследование показало, что в августе 2011 года по ошибке двум организациям вместо обычных SSL-сертификатов были выписаны вторичные корневые сертификаты, которые можно было использовать для генерации SSL-сертификатов для любого сайта в сети, при этом подобные обманные сертификаты будут восприняты клиентским ПО, как заслуживающие доверия.

Re:Опять скандал с фальшивыми сертификатами

Вот так и начнётся конец света в итоге...

Re:Опять скандал с фальшивыми сертификатами

Да не, я думаю человеки просто станут подходить более внимательно в выбору доверенных центров сертификации. А то расплодилось их слишком дофига.

Re:Опять скандал с фальшивыми сертификатами

будто бы хомячки догадываются, что это такое... Они ориентируются исключительно по тому, что им говорит ишачок

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

11.01.2013 15:13  Компанию Nokia уличили в дешифровке HTTPS-трафика с мобильных телефонов


Один из индийских экспертов по безопасности заинтересовался фактом перенаправления трафика на транзитный сервер при попытке обращения к сайтам со штатного браузера (Nokia Browser 2.2.0.0.31) мобильного телефона Asha (Series 40) от компании Nokia. В итоге было выявлено, что компания осуществляет транзитную дешифровку HTTPS-трафика на своём прокси сервере. 

Метод основан на подмене IP-адреса DNS-сервером Nokia, из-за чего запрос клиента перенаправлялся на прокси-сервер компании, от имени которого с SSL-сертификатом Nokia возвращается ответ, в котором транслируется содержимое HTTPS-сеанса, установленного между прокси и запрошенным клиентом сайтом. Никаких предупреждений о нарушении безопасности у клиента не выводилось, так как на телефон предустановлен SSL-сертификат, доверяющий данным с домена cloud1.browser.ovi.com, который фигурирует в сеансах между клиентом и прокси. 

Компания Nokia заверила, что указанная техника используется исключительно для ускорения доступа к сайтам, никакие данные не оседают и не анализируются на серверах компании. Кроме того, в выпущенном сегодня обновлении мобильного браузера Nokia акселерация HTTPS-трафика прекращена и прокси Nokia теперь не вклинивается в подобный трафик, пропуская его в неизменном виде.

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

Кто-то тут недавно смеялся над моей фобией относительно дешифровки https.

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

Это не дешифрование чужого потока в чистом виде: клиент доверчиво (потому что нокия внедрила ему свой сертификат как доверенный) шлёт Нокии трафик зашифрованный _её же ключом_, она его своим ключом рашифровывает (от этого, как известно, трафик очень ускоряется!) и перенаправляет его серверу перезашифровав своим ключом.

В принципе это можно пресечь введением проверки сертификатов на сервере, чего не делает никто. Ну и отследить нетрудно: достаточно иметь собственный HTTPS-сервер и сдампить там свой сертификат куда-нибудь чтобы проверить его соответствие со своим бровсерным сертификатом (распонсом посылать ненадёжно, кто знает - может этот man in the middle увидев заголовки своего сертификата подменит их на клиентские, вндь он может делать с ответом сервера всё, что ему захочется).

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

>Один из индийских экспертов по безопасности заинтересовался фактом перенаправления трафика на транзитный сервер при попытке обращения к сайтам со штатного браузера (Nokia Browser 2.2.0.0.31) мобильного телефона Asha (Series 40) от компании Nokia.
Это что-то вроде официального mitm, как в опере мини/опере турбо? Типа для сжатия трафика в их бинарном виде на прокси-сервере.

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

А нахер нужно для сжатия расшифровывать трафик!?

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

>А нахер нужно для сжатия расшифровывать трафик!?
Опера турбо и мини работают по своему бинарному хитрому протоколу, который как-то очень оптимально жмёт. Но ему, вроде как, нужно именно работать с html-ем, а не просто жать поток gzip-ом.

Знаю, что в турбе прокси для https отключен (мне так пишет), а в мини пробовать лень. Ну а нокловцы могли усовершенствовать идею, и сделать прокси для https. Всё только для удобства пользователя:)

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

Я вообще считал, что непосредственно перед зашифорванием данные должны всё равно подвергаться сжатию в обязательном порядке для устранения избыточности. Хотя хер их знает как оно обстоит в https. А после зашифрования данные уже сильно не пожмёшь.

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

>Я вообще считал, что непосредственно перед зашифорванием данные должны всё равно подвергаться сжатию в обязательном порядке для устранения избыточности. Хотя хер их знает как оно обстоит в https. А после зашифрования данные уже сильно не пожмёшь.
Да, но там жмётся html. А у той же оперы свой, проприетарный OBML (Opera Binary Markup Language). Соответственно, им надо преобразовать.

Вот из педивикии:

Unlike straightforward web browsers, Opera Mini fetches all content through a proxy server and reformats web pages into a format more suitable for small screens.[33] A page is compressed, then delivered to the phone in a markup language called OBML (Opera Binary Markup Language), which Opera Mini can interpret.[34] The data compression makes transfer time about two to three times faster,[18] and the pre-processing improves the display of web pages not designed for small screens.[35]

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

Хм, вот не жалко операстам ресурсов. Никогда не включал эти их ускоряторы.

Re:Опять скандал с фальшивыми сертификатами - теперь Нокия спалилась на MitM-атаке на своих же юзеров

>Хм, вот не жалко операстам ресурсов.
Естественно, что им не жалко. Они на этом деньги, как я понял, зарабатывают. Распространяя бесплатно оперу мини и поддерживая сотню серверов-проксей, они так пиарятся перед производителями устройств, убеждая тех в нужности своего продукта. А потом к ним приходит какая-нибудь нокла и платит денежку за то, чтобы поиметь у себя их технологии для своих устройств.

Ведь Opera Software ASA, в общем-то, не имеет иных источников дохода - их браузеры бесплатны, а очень низкая доля на рынке десктопных браузеров не даёт ни притока спонсорских денег, ни выплат от поисковиков.