January 2026

S M T W T F S
    1 23
45 678910
11121314151617
18192021222324
25262728293031

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

(no subject)

alex_dragon: (Default)
[personal profile] alex_dragon
Saturday, September 2nd, 2017 12:05 pm
Вот я так и не понял в чём благость https и почему с таким обсыканием штанов от восторга нас об этом уведомили. Типа проц нагрузить побольше? Или в модных трендах быть, что б «как у людей»? Честно говоря, я не понимаю как эта штука работает и на куя она нужна. Какие такие секреты передаются при посещении подавляющего большинства интернет-помоек? И как жили двадцать лет без этого? Ну ладно почта там или банки. Но когда всякие котики типа через «безопасное соединение» — это зачем? Даже когда посещение анонимное. Кому они нужны, ваши котики и отчёты «как я бухал этим летом»? При том что вы не просто не делаете из этого секрета, а наоборот стремитесь поведать всему миру. А аккаунт у вас уведут скорее потому что на компе вирусопомойка, а не кто-то злобный где-то в Уганде снифферит ваш трафик. При том что сертификаты у большинства помоек липовые, а и натуральные вызывают вопросы — кто их там выдаёт, кому, зачем и кто. Большой брат и так всё знает. А если реально всё плохо и за длинный язык можно невиртуальных люлей отхватить — вас и с вашим шифрованием за жопу возьмут, потому что привычкой не трындеть в трамваях, при соседях и левых прохожих граждане так и не обзавелись.

Пока что всего толку я вижу, что как в недрах ЖЖ что-то обновляют — всё начинает глючить безбожно.
Flat | Top-Level Comments Only

[identity profile] sky-thunder.livejournal.com
Saturday, September 2nd, 2017 09:11 am (UTC)
Это Гугл воду мутит. Они собираются с октября при переходе на http-сайты пугать людей их небезопасностью.

[identity profile] dremon-nl.livejournal.com
Saturday, September 2nd, 2017 09:20 am (UTC)
Без шифрования пароли на уютные бложики и не только легко снимаются например в местах с бесплатным вайфаем. Да и в любой локалке.

!

de_nada: (Default)
[personal profile] de_nada
Saturday, September 2nd, 2017 09:24 am (UTC)

Во-во.
А далее по графам ползём по другим аккаунтам этого чела -и палим этим же паролем и их тоже (бо практика показывает, что разные пароли на разные ресурсы большинством почитаются за излишество).
В пределе маячит акк в служебной локалке и неиллюзорная интрузия туды. :))))

С уважением.

Re: !

alex_dragon: (Default)
[personal profile] alex_dragon
Saturday, September 2nd, 2017 09:55 am (UTC)
Так забавная ситуация получается: такой подход предполагает, что я всегда везде хожу залогиненым. И куда не плюнь — через одного предлагают аутентификацию, типа зарегистрируйтесь или зайдите через своё аккаунт на фейсбуке или что-то такое. Это в конечном итоге содействует сохранению моей приватности или деанонимизации, когда получается я по всем этим помойкам хожу с транспорантом «я — это я»? А ведь нормальная модель пользования предполагает, что большинство сайтов я посещаю анонимно — почитать чё там пишут, картинки посмотреть, короче — пассивно получить информацию, без всякой там интеракции. И в 99% случаев это именно так. И только если мне нужен доступ к приватным функциям — типа комментарий оставить или зайти в админку — мне надо аутентифицироваться. Ещё десять-пятнацать лет назад так и было и никто чё-то панику не поднимал. А теперь расчёт на то что я не просто читатель, а обязательно чё-то спиздануть должен.

alex_dragon: (Default)
[personal profile] alex_dragon
Saturday, September 2nd, 2017 09:38 am (UTC)
Насколько я понимаю, шифрование самой аутентификации возможно и без шифрования всего трафика. Или как?
Edited 2017-09-02 09:39 am (UTC)

[identity profile] dremon-nl.livejournal.com
Saturday, September 2nd, 2017 10:42 am (UTC)

В большинстве случаев (99.9%) это просто http-форма, т.е. данные передаются в открытом виде от пользователя к серверу.

alex_dragon: (Default)
[personal profile] alex_dragon
Saturday, September 2nd, 2017 10:46 am (UTC)
Но никто же не мешает использовать для этого специальные протоколы аутентификации?

[identity profile] dremon-nl.livejournal.com
Saturday, September 2nd, 2017 05:31 pm (UTC)
Ну есть такие (Kerberos например), но там есть свои ограничения. Плюс они не защищают данные, а только авторизируют пользователя. Аргумент типа "большинству скрывать нечего, сплошная порнуха и котики" я считаю неправильным. Это на руку как раз большим братьям. Так что нормальнвя инициатива. Не вижу никаких технических проблем организовать https, сам этим занимался и занимаюсь. Тем более сейчас есть letsencrypt с бесплатными сертификатами и автообновлением.

У PKI (Public Key Infrastructure) есть свои недостатки, например централизованная система доверия сертификатов, которая конечно не даёт 100% гарантий, но при правильной организации защищает достаточно эффективно, по крайней мере тех, кто к этому вопросу подходит серьёзно. Левые китайско/турецкие сертификаты можно к примеру из браузера удалить.

alex_dragon: (Default)
[personal profile] alex_dragon
Saturday, September 2nd, 2017 05:58 pm (UTC)
Защищать надо то, что нуждается в защите. Котиков защищать не надо.

[identity profile] mnemenov.livejournal.com
Saturday, September 2nd, 2017 09:39 am (UTC)
Когда псу нечего делать он лижет свои семенники.

alex_dragon: (Default)
[personal profile] alex_dragon
Saturday, September 2nd, 2017 10:03 am (UTC)
Я так подозреваю эти псы без гешефта даже сами себе яйца не лижут.
Flat | Top-Level Comments Only