HTTPS://gentoo.ru
rayg00n 21 марта, 2016 - 11:44
Парни! А когда будет обновлен православный сертификат для форума?
Может уже пора?
»
- Для комментирования войдите или зарегистрируйтесь
Огнелис начал жаловаться на
Огнелис начал жаловаться на незащищённое соединение. Сертификат устарел? Или MITM?
явно устарел! :)
Поскольку у него
то явно устарел! :)
Эх, проспал.
Готово.
А почему сразу не
А почему сразу не перенаправляет на https из дефолтного http?
Иллюзия безопасности не нужна
Сейчас сайт работает по принципу "Дело помощи утопающим — дело рук самих утопающих" (С) :)
Возможно я не совсем ясно выразился в первой редакции: имелось ввиду, что у тебя сейчас есть выбор, а данные здесь не настолько критичные, чтобы форсировать шифрование.
Лично я предпочитаю простой HTTP, если нет нужды в скрытии данных и/или реальном ограничении доступа, ибо не люблю SSL-технологию, поскольку она создает иллюзию безопасности, но не обеспечивает ее на самом деле.
/
Хрестоматийная дилемма «удобство vs безопасность».
«Не обеспечивает безопасность» не сама технология SSL, а её оптимизация под прозрачность/простоту/видимость удобства использования пользователем, которому по-хорошему и компьютер ненужен.
:wq
--
Live free or die
Вот именно, что сама технология SSL!
Вот именно, что сама! Не будем даже говорить сейчас об относительно коротких ключах, слабом шифровании и ключах в кэше, если сессия не завершилась/обломилась. Достаточно того, что ты по технологии должен доверять сайтам, сертификаты которых выданы так называемыми доверительными сертификационными центрами. Но о том, что им можно доверять, сказал "какой-то дядя", а ты в принципе не можешь никак проверить! Поэтому MITM-атаки реализуются очень просто. В этом и есть принципиальное отличие от более защищенных технологий, например, SSH-технологии, где обмен ключей производится напрямую.
Разумеется в паутине проще и быстрее работать по SSL-технологии, но я бы предпочел с банками, например, работать то SSH-технологии, тем более, что в таком случае передать ключ доверительным путем не составляет проблемы, ибо ты все равно с ними встречаешься для заключения договора.
И таки-да, в случае SSH-технологии, например, анонимность невозможна в принципе, но в случае конфиденциальных данных ее и не должно быть! :)
/
Не согласен.
Приглашаю обосновать утверждение на примере правильного сертификата сервера:
X509v3 extensions: X509v3 Basic Constraints: critical CA:FALSE X509v3 Extended Key Usage: critical TLS Web Server Authentication Netscape Cert Type: SSL ServerВо-первых: длина ключа — не панацея.
Во-вторых: встречал прекраснейшие заявления о том, что в web-де не нужны длинные ключи.
Вопрос в культуре разработки. И общей модели.
Та самая адаптация технологии под кдобство и прозрачность для пользователя.
Воспроизводимый сценарий MITM-атаки для правильного сертификата (и модели) в студию!
Угу.
Особенно хорошо проработан сценарий компрометации ключа.
Когда он у тебя разнесён по [хорошо если только] десяткам узлов.
Авотфиг!
Ты удивишься, но банкстеры простым смертным правильных сценариев не предлагают.
Вероятно из принципа.
:wq
--
Live free or die
.
Может по тому, что стоит начать с обоснования целесообразности инвариантного https?
И да, ещё не октябрь [семнадцатого]. ☺
:wq
--
Live free or die
Ещё поиск на сайте сбрасывает
Ещё поиск на сайте сбрасывает https на http
После отправки сообщения в
После отправки сообщения в этой теме - сбрасывает https на http
Аналогично с поиском на сайте
Ну чего вы докопались до
Ну чего вы докопались до цертов - https://www.ssllabs.com/ssltest/analyze.html?d=gentoo.ru&s=5.45.234.53&latest
Если уже и пинки не помогают, и всех команде *****,то проект нужно просто закрыть и не ***** друг другу моск.
evadim попрошу осторожнее с обсценной лексикой.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Так ты того, закрыл и ушел. В
Так ты того, закрыл и ушел. В чем сейчас-то проблема?
/
Всё же написано…
Во-первых, не выключен
SSLv3.Во-вторых — ревизуй список используемых шифров. См. https://blog.cloudflare.com/yet-another-padding-oracle-in-openssl-cbc-ciphersuites/
:wq
--
Live free or die
Anarchist написал(а): Всё же
А мой ответ совсем не про это, это то понятно вполне.
Поскольку параллельно
Поскольку параллельно существует открытый (HTTP) доступ, то требования к безопасности сертификатов абсолютно перпендикулярны! :)
Хотя, конечно, из уважения к профессии и уровню своего мастерства как бы надо соответствовать невзирая на...
>из уважения к профессии в
>из уважения к профессии
в 2017-м году вводить пароли на страничке с plain http - это себя не уважать.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Перечитай мой пост
Перечитай мой пост внимательнее и постарайся понять... твой комментарий как бы не в тему.
Подсказка: желающие могут выбрать
https!Я как юзер сайта,номножко
Я как юзер сайта,номножко понимающий в настройке https,могу высказать свое мнение о качестве настройки на данном сайте?
Если да - то я высказал.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Понятно, спасибо за замечания
Понятно, спасибо за замечания и пожелания. Немного резковатый тон меня слегка запутал.