Здравствуй, ебаное Айти! Доброго времени суток, ебаные читатели, редакция и все прочие патриоты! Данная статья посвящается сугубо IT (наконец-то, ёбаный в рот!). Речь пойдет о такой замечательной пизде хуйне, как HTTPS.
Итак, что вы вообще знаете об HTTPS? Нам всем втирают, что это безопасность. Это защита от прослушки трафика, это гарантия того, что вас не выебет в жопу какой-нибудь Вася Хуякерович. Что тут говорить, на фоне всеобщего бреда по поводу перевода ресурсов на HTTPS даже появились такие сервисы, как Let’s Encrypt. Какая красота, лЯпота блять, даже платить не надо, всё бишплатно без регистрации без смс. Что конкретно представляет из себя HTTPS? Это ёбаное расширение протокола HTTP для поддержки шифрования в целях повышения твоей безопасности. Но на чем основана эта безопасность и защита? Защита HTTPS полностью основана на Рутах (ROOT CA), то есть вы доверяете свою нигерскую жопу неким третьим лицам. Эммм, какая это еще нахуй безопасность? А если произойдет взлом сервера рута и будет произведена MITM атака, то в этом случае вся эта ваша безопасность пойдет по пизде, вспомните печальку с DigiNotar. Да даже без всяких там взломов рутов ваша так называемая безопасность всё равно идёт по пизде! На стороне любого провайдера работает механизм Splice, который без всяких подмен сертификатов позволяет видеть, какие ресурсы вы посетили, чего бывает во многих случаях достаточно, чтобы взять кого-то за стоячий хуй. К тому же, есть такая хуйня, как Connection Probing. И оно на хую вертело ваш HTTPS.
В настоящее время стали как никогда популярны VPN сервисы. Везде так и лезет реклама с мольбами купить ёбаный VPN. Друзьяшки вы мои, неужели вы думаете, что ваш VPN нельзя заблокировать? VPN блокируется на раз-два, как и ваши ёбаные SOCKS. Есть такая хуйня, как DPI, который работает на транспортном уровне, и ему до пизды вообще на ваш VPN и SOCKS. Есть сигнатуры этих протоколов, и сигнатуры никуда не деть, и в случае чего оно будет блокироваться. Все эти ваши HTTPS, SOCKS, VPN — это иллюзия безопасности, нихуя это не панацея.
Не так давно довелось мне увидеть комменты к этому посту, где один пиздострадатель утверждает, что HTTPS = end-to-end. Шта, блеать? В каком он месте, ебанаврот, end-to-end? HTTPS с доверенными CA — ну никак ни разу не end-to-end, блять. А вот как раз истинный end-to-end обеспечивает безопасность, к примеру SSH.
Самой охуенной штукой можно считать обфускацию трафика. Когда происходит обфускация, то никакой DPI не поймет нахуй, че там у тебя происходит, че ты там используешь, смотришь ли голых тян на юпорне. Хороший пример — работа Tor в Китае. Вам могли сыпать в глазишки пылинки, что в Китае Tor не работает, а вот и нихуя, работает он там как миленький с помощью obfs4. Сигнатуры на него нет и не будет, так что оно вполне успешно работает даже в китайнете. Есть непубличные obfs4 мосты, которые не анонсируются нигде, да и к тому же, раз уж в сети так много тем насчет того, чтобы «прикупить за бугром простенький vps и поднять там vpn», гораздо умнее, если уж так хочется, поднять на таком сервачке obfs4 бридж, приватный бридж. свой блять, и никому его не палить, профит же. Какие блять, в жопу нахуй, VPN, который палится без проблем на любом DPI??? Так что, россияне, я бы рекомендовал вам уже сейчас вдуматься в то, что в скором времени по пизде пойдет весь российский Интернет, и настанет эпоха Чебурнета. Нужно заранее быть готовым, нужно на досуге получать обновленные списки бриджей Tor, и сохранять, чтобы на случай, когда ты утром встал и захотел подрочить на любимых порномоделей на любимом сайтике, а на экране не вылез вместо неё товарищ Майор. И никогда не доверяйте голому HTTPS свою безопасность, ведь это не больше, чем волосишки на вашем лобке.
Всем защекоинов и попутного ветра в сраку.
229 Комментариев
первая нахуй
кто ты такая тупая мразь, куда делась разрабка с жырной сракой???
она на госзаказе, газ генерирует
Ну вот и иди нахуй 😀
Я, конечно, извиняюсь, но идите вы нахер, друзья: мат вперемешку с терминами — что, блядь? Все цело статья про IT?
Автор вообще знает ебанное определение слово «статья», данное в толковом словаре, мать его за ногу, Ожегова? А я скопипащу : СТАТЬЯ, -и, род. мн. -тей, ж. 1. Научное или публицистическое сочинениенебольшого размера. Газетная, журнальная с. Критическая с.
Итак, вышеописанный набор слов без пруфов не научный, и даже не публицистический, он просто бредовый.
Вот автор пишет, что https говно. А что именно : то ли какой-то пункт его в RFC напрягает, то ли реализация где-то в apache или в ngnix — самому, что ль, догадываться? Третьи лица — ну, так, ебана в рот, потому и придумали сертификационные центры, блядь, чтобы никто левый не снифферил. Короче. Тема не раскрыта.
«VPN — это иллюзия безопасности.» Текста, поясняющегг мысль нет. А разгадка одна — автор почитал в Википедию и возомнил, что vpn говно.
Естественно это иллюзия, если не поднимать свой vpn на дедике. Потому что хер его знает, кто админ и то, что он начестном слове и на одном крыле все держится, а он может уже дрочит на твою порнуху, потому что пропускает траффик твой через комп, или впихивает туда рекламу. Эффект стейзент на гитхабе смотри, дрочер. Иллюзия, блядь. Твоя компетентность тут — единственная иллюзия.
Я вот смотрю на книжку по SSL и на книжку Таненбаума о тихо охреневаю: по объему-то почти одинаково, но если у Таненбаума все написано в стиле галопом по Европам, полугодовой курс цифровых и микропроцессорных устройств на пол главы, то у Ристика байка об одном.
Но чтобы такие высеры откладывать на ебаном айти, книжки такие читать ни к чему.
Lets encrypt ему еще не нравится.
Блядь, да этому смузихлебу нихера про цены сертификатов не известно. Ну попробуй, сделай сайт без https, а потом расскажи Гуглу и Яндексу, что у тебя нормальный адекватный сайт. Я ожидал, что тут напишет про навязывание https там, где оно не надо, но нет — мозгов у автора статьи на это не хватило.
Короче, это позор. В редакторы на ебаном ИТ берут выебщиков-петухов, которые и могут только горланить отсебятину, хочу заметить, НИКОМУ НЕ НУЖНУЮ.
Жук, кинь его на зарплату или за щеку плиз.
P.s. : я понимаю , что первый блин всегда комом, но давай, автор, признайся честно, что ты и не планировал нормальную статью писать, начать нормальный дискасс. Ты просто хотел насрать мне в ленту новостную. Потому иди и изучай материал, пиши нормальную статью про https и без годноты не возвращайся.
пожарную бригаду, срочно! у человека возгорание ануса, анус полыхает!
месье, если вы так будете реагировать на каждого долбаеба в интернетах, вас скосопиздит сердечный приступ
А по-моему, нормально все разложил. Это как раз у автора статьи полыхает не к месту.
отнюдь, автор — просто долбоеб
Два чая этому господину!
3 смузи в сраку
Да ебать колотить.
Я рабол в одной компании которая барыжит этми ебаными сертификатами.
И я могу сказать что это просто блять мыльный пузырь.
Для безопасности хомяков, достаточно сделать само подписанный сертификат и по секьюрити это будет тоже самое что ты купить за тонну баксов.
+ как показывает практика проще хакнуть сам сервак и получить все данные чем ебаться с снифить трафик.
Самоподписаный сертификат можешь засунуть себе за щеку и провернуть против часовой.
То, что ты работал подносителем кофе в барыжке сертификатами — это будешь хрюшки рассказывать.
Я умолчу, что ты прав в узком смысле, когда речь идёт о корпоративной сети, я буду гнобить тебя за то, что у нас дискасс идёт в широком смысле, речь идет про b2c через интернет, и оказывается, что у всех браузеров и ос свои хранилища, и никто в очереди за твоим самодроченным сертификатом не стоит…
Лови защеку, ты защекан соси и помалкивай.
ану скажи сколько злоумышленник будет ебаться и снифить траф.
И какой блядь он профит может получить.
Не проще ему бля просто найти уязвимость на сайта или в системе?
по поводу сертификатов ты опять не прав. с точки зрения защите разницы в них нет
если ты его сам подпишешь или купить сертификат за 6 баксов или за 2000
алгоритмы защиты одинаковые.
Единственное отличие что за 2к проверят, что компания действительно существует.
Ну и что из этого?
Еще для упоротых ублюдков, степень защиты и алгоритмы шифрования у всех одинаковые.
>> с точки зрения защите разницы в них нет
По-внимательнее, об этом никто не спорит.
>>Единственное отличие что за 2к проверят, что компания действительно существует.
Об этом и речь в широком смысле. Ещё раз, тут никто не говорит о том, что будто есть разница, за 2к баксов тебе сделают сертификат используя openssl, или ты сам.
Для корпоративной сети — понятное дело, что разрабы сами берут ответственность на себя — в договоре это должно быть отражено.
Но когда речь идет о задействовании Интернет и большого круга лиц, а не только сотрудников компании, которых можно проинструктировать и наказывать за нарушение ТБ.
Сертификационный центр решает проблему достоверности сертификата, ни больше, ни меньше. И то, как качественно обеспечивается достоверность того, что этот сертификат есть только у тебя, что только ты управлять тем, у кого будет закрытый ключ, и будет ли он вообще.
В такие моменты невольно всплывает Казахстан в качестве примера. Баши отдал команду, создали свой удостоверяющий центр (хрена делов-то, табличку на дверь повесить) и головная боль госсниффров решена — сэкономлены миллиарды вечнозеленых вместо альтернативного развития сорма, и за это себе даже премию выписать не жалко.
Единственное, что удостоверяет этот центр по факту — то, что https отменено. И не надо никаких взломов, кряков, каких-то чертей за границей учить писать usb открывашки заточенные под uefi, не нужно покупать 0day вульны, всё что нужно — это запастись лубрикантами, чтобы в самый разгар веселья не останавливаться на достигнутом. У кого ключи этот уц вообще не гарантирует — вполне вероятно, что внучатый двоюродный брат сестры племянника сына маминой подруги, муж которой шишка в центральном управлении МВД, имеет всё для того, чтобы просто сидеть у любого публичного wifi и стричь бабло прямо не отходя от кассы.
вот здесь как раз и подходит, Скакуняка, твоя цитата:
>> И я могу сказать что это просто блять мыльный пузырь.
Призываю сюда страпонессу PhD Настеньку с её высоким образованием в каких то безопасностях Тиндера…
Она вам сейчас прочитает лекцию… а потом офер настрочит.
Пиздуй туда, где не дают отсебятину хуярить на пэршу шпальту каждому блядь встречному эникею, каждому жидоангуляру, выебщику, влюблённому дрочуну, стукачу, маргиналу, иллитте, просто хорошим людям. Пиздуй в тепло лампового продакт плейсмента. Там жалуйся. Ишь чего удумал! Ты действительно тут хотел узнать новое про сайтики с замочком? — несчастный ты человек. тут приходят за IT, за ебаным Интер Тейментом.
лови за щеку!
Взял афтора на стоячий хуй. Не, я не гей, гей — это кого ябут. Статья — гавно, афтар — малолетний далбоеб-гумус. Сосите хуй.
Ребята, мы не пидарасы, просто иногда теряем контроль за своей жопой !
т.е. если я комуто отсыпаю за щеку по https какаята сучка может все перехватить? какого хуя?
Зато представь, так ты за щеку отсыпаешь одному, а выходит одному и еще третьим лицам! Много ходов очка
Надо Бозуке сообщить, что когда будет доставлять годный контент Тане по https, чтобы убедился что нету 3х лиц посередине
Мой контент лучше и гораздо дешевле !!!11
Настя с Тиндера может тебя за твой SSL вяленький схватить
Мистер сайбер недолбойоб наверно не знает, кому принадлежат TOR сервера. Слыхал как Silkroad вычислили? PKI на то и паблик, что на рутах завязана. Да и на провайдер сайдах ничего нет — тебе Сноуден все подробно рассказал как траф снимают. Самый надежный способ работы в Интернете, если таковой вообще можно найти, является private VPN, даже дабл если угодно.
Очередной хохложопыш возомнил себя умником, прочитав по накурке securitylab.
Любой, кто админит какую-нибудь циску с nbar или прокси на продакшене скажет то же самое, тупень. А расскажи-ка нам, как Силку вычислили? Ты хоть сначала сам прочитай подробности в дыркнете, прежде чем тупую хуйню нести. TOR сервера кому принадлежат? Ты хоть знаешь, как работает Tor? Иди защекоинов поешь, пойди мысли поумнее в голову придут
Ты какой-нить новоиспеченный CCNAщик, проработавший у кыйивському офиси Воли лет 8, готов поспорить. Твой nbar, уебок ты малограмотный, работает в «process switching» на офисных ISRах. Но поскольку ты понадусэшник, как и большинство хохло спыциалыстив, то метать пред тобой бисер будет твой хохло говноменеджер, когда ты, набравшись смелости, будешь умолять о повышении зп на пару сотен гривен.
Слыш, проблядун с ангулярным дуплом? Я в курсе всего, что происходит в данный момент у провайдеров, что там стоит и как работает. У тебя молоко не обсохло еще на губах, которые защекоины ловят ежеминутно. Понаписал какую-то хуйню не по делу, а сказать-то и нечего. Я легким движением своего хуя могу захуякать все випиэны твои проблядунские на уровне ПРОТОКОЛА. Все твои СОКСЫ, и соски и письки, и прочее говно. А вот неизвестный трафик, он же obfuscated traffic, никто блочить не будет никогда, потому что отвалится к хуям много чего. Поэтому obfs — единственное, что будет всегда работать. Иди матчасть изучи, сынок
> obfuscated traffic, никто блочить не будет никогда, потому что отвалится к хуям много чего.
угу, ты с быстрым там поаккуратней, а то страна лишится еще одного крыпто-побратыма
Поспела твоя матчасть: https://www.youtube.com/watch?v=3HX01Ca10TU
Ребята пора расслабиться и посмотреть что там в рюкзачке админа 😉
Обфускал свой белковый трафег тибе в ротан. Достал, терь можешь заблокировать порт.
не успел ты достать, бегаешь девочкой теперь
Поддерживаю. Просто уебаны долбятся в ангулярное дупло, думать им некогда
> никогда не доверяйте голому HTTPS свою безопасность, ведь это не больше, чем волосишки на вашем лобке
блять, чтоб придти к такой формулировке недостаточно только бухать и колоться, надо еще и с рождения быть ебнутым дегенератом
алсо, слышь, Сразу Битый, что ты нах там шифруешь? мамка со сниффером попалила за просмотром гейской порнухи?
Жаркоин, перелогинься
перелогинился за щеку твоей мамке
Пока ты там его мамку ебал, я выебал твоих сестёр в жопу 😉
ты хотел написать, что выебал козу в жопу, но потом отвлекся, утырок дислексичный
Скачал 100 петабайт порно. К апокалипсису готов.
куда сохронил, peace da ball?
Мария, ну вам то и не знать, конечно за щеку, ему еще хрюши ебам обещали экзобайт золотого дождя насыпать, чтобы с жажды не помер в апокалипсис!
так для него есть работа в невеселом будущем. Мыкола Мнемоник, 100 петабайт защекой
Маруся, в твой рот и больше поместиться!
По https качал?
Я тоже так думаю… думал… буду думать. Откуда ты такой умный вылез блядь.
если по HTTPs нельзя кидать на последнюю зарплату, то протокол — гавно!
А на ангуляре будет работать?
я пробовал — он узок, как глазок махно.
Будет. Более того, защекоины будут лететь во все стороны
> Connection Probing
А почему обычные юзвери до сих пор не подняли файлопомойки на своих компах?
> HTTPS с доверенными CA — ну никак ни разу не end-to-end, блять. А вот как раз истинный end-to-end обеспечивает безопасность, к примеру SSH.
Ничё что SSH работает на тех же стандартах что и HTTPS?
SSH — полноценный e2e, тащемта, аффтар прав.
Ну и на HTTPS при правильном выборе рута можно это организовать.
Стандарт-то один!
вопрос весьма спорной терминологии
если мы говорим о шифровании то HTTPS это как раз e2e encryption и там также есть forward secrecy
автор конечно местами перегибает (либо поверхностно владеет) даже по моим меркам
но вот тут вы накинулись зря на него..
а зачем тогда root-ca? грубо говоря — для того чтобы удостоверить, что ключ e2e шифрования был создан именно запрашиваемым ресурсом, а не челом по середине.
а в SSH вы запоминаете хеш ключа в первый логин, но его изначально никто не удостоверяет
конечно лучше чем HTTPS будет HTTPS + Certificate Pinning
но всякие уебанские гуглы генерят сертификаты на google.com чаще чем я хожу в уборную
а еще автор не понимает что подделать сертификат можно попробывать через BGP или DNS
вот кто отвечает за com? VeriSign? А штаб квартира где? Пендосия и АНБ ))
с другой стороны публичность такого механизма создает определенный риск для больших компаний
и даже такие монстры как Symantec когда начинали выебываться получали пиздюлей
но в целом да — без сообщества один в поле не воин…
Товарищь майор отъебитесь пожалуйста…
Бля почему Настя мне не пишет сюда? Я выебу её
Парня своего выеби, петушня айтишная
нет, ты не Настя. Настя, как и Лёха, никогда не пишут… Ты — прыщавый задрот, я твоё очко сделаю вагиной и выебу.
Какого хуя в последнее время столько статей про свинособакию?
Потомучто HTTPS — кацапское говно, чтобы нагружать сеть ненужными данными. Всегда сижу по HTTP и ни разу ещё проблем не бьыло.
Я бы даже сказал, «нагружать сеть ВРЕДНЫМИ данными». Даже если «замок» зеленый, один хуй страница не проверяется на поддельность.
> Даже если «замок» зеленый, один хуй страница не проверяется на поддельность.
Пользуйтесь правильными браузерами, которые проверяют на поддельность, методом отсылки страницы на свой приватный сервер.
Ну-ка давай, просвяти-ка всех про правильные браузеры! 😀
Я вещества только по http продаю, наркокококонтроль сканит то https, какому психу прийдет в голову распространять по http?
Иди нахуй. Только кацап такое мог сказать
Какова хуя тут делает этот кацапетский высер?
ЗЫ: Специально для кацапетов — чистый HTTP без шифрования, с регистрацией и SMS, дорого!
Специально для тебя — каждый второй защекоин по цене трёх
Пошёл нахуй кацап
Не, спасибо, я после тебя брезгую
Два кацапа жрут говно
Это когда бутылки закончились
Расскажите кто подробнее и понятнее про VPN. Я использую его, чтобы меня за торренты в США не нагнули, а тут в статье говорят, что это легко обходится и пользователь таки нагибается.
Короче, поясните про блокирование и иллюзию безопасности, а то я волнуюсь.
VPN палится. SOCKS палится. HTTPS палится. Обфусцируй трафик.
Вот я и спрашиваю — каким образом палится? Статья не раскрывает этот момент.
Всё просто, vpn это virtual private network, т.е виртуальная приватная сеть, а тебе надо rpn real private network, rpn работает только на руби+ангуляр, ну там на крайняк можно реакт с пыхой
После руби и ангуляра не факт, что способно вообще что-то помочь.
Все таки кое-что может
Все расские тренируются сидеть на бутылке с детсвта, чтобы когда они позже налажили — анальная кара им не была так страшна
Так что качай порно и готов жопу!
сам факт ВПНа палится, а шо там внутри передается нихуя не палится. Твое порно в безопаснисти защекан!
ты переел защекоинов, Боря… Во многих случаях можно узнать, что там передается. А если охуительное шифрование — зарубить VPN, чтобы хомячек ходил в интернеты без него. Это дело времени и желания жаркоинов
Жертва бана гугла? Чучело вайтишное.
Я манагер-гуманитарий, пришел к вам, важнам господам, со вролне конкретным вопросом. Что трудного просто взять и ответить?
нахуй ты нужен, отвечать тебе?
Иди спроси у своих гребцов ахуенных
Thanks for letting us know! See you soon mate!
Zachet!
Federal Blue Investors, вы ошиблись сайтом, тут рубистов мало
Используй Ангуляр и Друпал
На хабр, жывотное!
Максимально коротко: что-то передаешь по VPN не палится, палится сам факт использования VPN. Это как тихо бздануть в переполненной маршрутке, кто бзаднул хз, но что бзаднул понятно всем.
*что-то — то что
Спасибо помидор 🍅
А то только защекоины горазды раздавать в комментариях
Учитывая, что дохера кто использует VPN с уебанским шифрованием, тащемта не настолько сложно и узнать то, что там передается
УДОЛИИИИИ!!!!1111
Вообщем то вы не против ходить на какой-нибудь интернет банк по http, я понял.
>А если произойдет взлом сервера рута и будет произведена MITM атака.
Если у бабушки будет хуй, то она станет дедушкой, но пускай сначала пришьёт и посцыт стоя.
А вообще уровень статьи крайне делетантский — начал за https, а закончил блокировкой vpn. Про техническую составляющую этого высера можно даже не начинать критику, тут автор не в состоянии сконцентрироваться на одной теме и его штормит по всей гавани, чем он и хочет удивить.
Ахтунг, хаброблядь в треде! Иди на хабр выебывайся, опёздол
А ты что, ожидал куски логов циски\прокси\хуёкси и хаутушки про то, как по воздуху генерировать защекоины?
не, тут как раз все ожидаемо, какой-то уёбок распедаливает за то, в чем, по-видимому, нихуя не разбирается
это ебаное, все ок
в России это нормально, пример с Путина берут
А ты в чем разбираешься — то? Докажи, что HTTPS — безопасный протокол. Докажи, что VPN защитит от MITM и реверс-проксей:) Хуй ты докажешь, для таких ангулярных дуплоёбов в статье и написано, что VPN палится и блокируется. Палится всё, кроме обфусцированного трафика. Поадминь продакшн прокси какой-нибудь или nbar, увидишь много интересного. А провайдеры видят куда более интересные вещи 😉
Дядя, ты блять кому пишешь-то? Тут большинство аудитории — тупые овцы
Есть надежда, что здесь есть адекватно думающие люди, а не просто кучка деградантов ебаных
в умелых руках дяди степы даже ложка — смертельно опасное оружие, как и любой предмет в руках долбоеба.
мне вот интересно, блять, вы, кибербезопасты хуевы, в одноглазники и вконтактик лазите всякий раз через впн, тор, соседский вайфай и китайский прокси? шоб ни дай боже ПРАВИТЕЛЬСТВО не запалило? впн блять палится. и что?
уже лет 5 как старина Сноуден рассказал кто и где что слушает. и меня это начнет беспокоить если я решу устроить революцию или продать секретик государственный.
до тех пор пока кулхацкер степочка сидя в макдаке на деньги, выданные ему мамкой, может с уверенностью сказать, что я пользуюсь впн и потом проглотить защекоин, я буду в порядке.
сильно хочется СИКРЕТНОСТЕ? раздавай блять всем OTP и вещай на коротких волнах, если впиливаешь, о чем я. самое главное — не забудь сука пэд сожрать после трансляции, а то санитары все РАСШИФРУЮТ.
btw, Степаша, ты в курсе, кто вам оплачивает обфс4 и тор?
https://www.theguardian.com/technology/2014/jul/29/us-government-funding-tor-18m-onion-router
мне кажется, что кто-то тут обфусссцирует против ветра
Давно такой фигни не читал. Сиди через SSH и читай матчасть!
Ты просто дегенерирующий ангулярный макак
Думаешь, Ангуляр это легко?
У дидов не было HTTPS и выжили как-то.
на отражение в зеркале гонял?
Это что обострение у школьников?
Пост ниочем. Хочешь «секурный» https — делай свой собственній PKI, делай двухстороннюю аутентификацию и потом раздавай коллегам по палате персональные ключи. В чем проблема то. Мало того из того же ssh можно сделать PKI с root ключами. GHj DPI вообще наркоманский бред. Если организация нормальная, все что не разбирает DPI и все что не оффлоадится на корпоративных сертификатах дропается, а если контора не нормальная — нахер ей DPI.
По поводу Tor отдельная история. Все в у азиатов в норме работает, а потом как сьезд партии — хлоп и tor не пашет и так и через обфускацию. неделя с окончания сьезда прошла — все снова работает.
Короч смешалось в кучу все. шифарание от мамкинЫх кулхацкеров, анонимизация в сети, DPI.
вывод один — пост херня очередного CCNA, афтар то ли птушник, то ли школота, то ли Админ от Бога.
\\все что не разбирает DPI и все что не оффлоадится на корпоративных сертификатах дропается
Слова матроса диванных войск. В этом случае отвалится всё, что можно. Ебанулся что-ли? Это всё равно, что кабель отрезать. Интернет состоит не только из http(s),vpn и так далее.
Комент Константина — единственный грамотный текст на этой странице. Тебе же пишут про корпоративную сеть, а не глобальную. HTTPS прекрасно минимизирует те риски для минимизации которых создавался, но не является панацеей от всех бед «сайбер сесурити». От себя добавлю, что TLS с использованием алгоритма Диффи-Хеллмана для получения сессионного ключа симметричного шифрования в принципе не возможно перехватить пассивным MITM даже если известен приватный ключ сервера. А активным MITM-ом можно и SSH просматривать при определенном благоприятном для атакующего стечении обстоятельств. Удваиваю то, что те, кому нужна безопасность должны иметь свою собственную PKI. Хотел было накидать сюда годных ссылок как можно завернуть openvpn в туннель obfs4, да вспомнил заповеди жукорыбы о том, что тайные знания масонской ложи нужно оберегать и одумался.
не давайте святыни псам и не бросайте жемчуга вашего перед свиньями, чтобы они не попрали его ногами своими и, обратившись, не растерзали вас ©
>>активным MITM-ом можно и SSH просматривать
Ты сам понял, что написал?
Пассивный MITM — когда злоумышленник трафик только смотрит. Активный — когда он может его модифицировать. Предположим, что ты подключаешься к серверу SSH в первый раз и не знаешь точно его хеша. Как ты проверишь факт, что между тобой и сервером нет, например, такой приблуды: https://github.com/jtesta/ssh-mitm ? Конечно ты можешь написать мне про дедушку, бабушку и детородный орган, но я же специально выше писал «при определенном благоприятном для атакующего стечении обстоятельств».
Когда я, к примеру, хочу подключиться первый раз к серверу по SSH, я для начала прошу визуальное представление SSH ключа, чтобы точно знать, что я подключаюсь именно туда, куда надо. В чем здесь сложность?
Сложность лишь в том чтобы первоначально получить это визуальное представление, но всё это решаемо.
плюсую. комптиенции ноль, порет какую-то ебалу, пыхыпешник ебучий.
Не подумайте, что меня забанили в гугле, но все-же, с означенной темой я знаком на уровне автора (википедию читал). Лично для чебя, проясните, пожалуйста в общих словах следующий момент:
> делай двухстороннюю аутентификацию и потом раздавай коллегам по палате персональные ключи
как хотя-бы примерно оно настраивается в nginx и куда девать означенные персональные ключи означенным персонам?
Я тебе по-секрету скажу, что автор в этой теме очень даже дальше Википедии ушёл 😉
>>двухстороннюю аутентификацию
Мда… Это тоже лобковые волосы, тащемта.
>>все что не оффлоадится на корпоративных сертификатах дропается
Дропается, говоришь? А ты сам пробовал дропнуть неизвестный трафик? Попробуй, пукан рванет раньше, чем скажешь «Ыыый»
>>потом как сьезд партии — хлоп и tor не пашет
Пруфы в студию. А их не будет, потому что это пиздеж
>>Хочешь «секурный» https — делай свой собственній PKI
Этого НЕДОСТАТОЧНО в корне!
>>> Пруфы в студию. А их не будет, потому что это пиздеж
>>> Этого НЕДОСТАТОЧНО в корне!
Через строку в одном сообщении? Серьезно?
Welcome to ebanoe.it 🙂
Welcome to my cock 🙂
а вот нехуй шастать по непотребным сайтам — и прятать будет нечего
Автор 14-летний ЭксперД по кибербезопасности.
А ты, видимо, младенец с грязной жопой, коли не вкурил тему.
Слышал про реверсивный прокси? Тот самый, который видит весь проходящий https трафик и перешифровывает, далее отдаёт пользователю? Скорее нет,не слышал, куда тебе.
ну нихуя себе, жертва реверс-прокси
сука как йети или лох-несское чудовище
А корневой сертификат которым это прокси поддельные сертификаты для других сайтов заверяет тебе мамка в доверенные установила чтобы сыночка был под присмотром даже когда в комнате один остаётся? Или ты из тех, кто забивает на непонятного мужика с дубинкой которого тебе firefox заботливо отображает ради такого случая и сразу добавляешь исключение чтобы какая то лажа не отвлекала от просмотра видео любимого жанра?
А ты проверь media.viber.com Openssl’ом 😉 И увидишь типичное поведение реверс-прокси. Но прокатит только, если ты в РФ.
Да так-то не только в вайбере дело. Даю подсказку: Клаудфларе 😉 Я уже давно наблюдаю, как эти пидоры чета мутят непонятное, в Рашке же их серверы есть, вполне себе подконтрольные нашим властям
Нашел чем хвастаться, сверхдержава :-). В Казахстане вроде еще круче сделали: https://web.archive.org/web/20151202213445/http://telecom.kz/news/view/18729
Там где-то выше один благородный дон хорошо описал всю суть TLS: «чем ебаться со снифером проще к серверу доступ получить». То, для чего задумывался TLS, а именно, чтобы Васе-скрипткидису было проще пытаться к твоему компьютеру физически или через троян пробраться, чем трафик подслушивать, TLS cо стандартным набором корневых сертификатов решает на 100%. Никто вам изначально защиту от государства и крупных корпораций не обещал. С другой стороны если у тебя своё PKI в идеале на аппаратных решениях и ты собственноручно по каналу с приемлемым для тебя уровнем безопасности донес до всех твоих устройств свою цепочку доверия, то стоимость перехвата/подмены трафика между сервером с сертификатом, заверенным твоим собственным корневым или промежуточным CA и устройством, на которое установлен ТОЛЬКО твой доверенный корневой сертификат, возрастает до астрономических сумм. И то, это при условии, что всё правильно настроено. И всё. Больше ты вообще ничего на этом стеке технологий не добьешься в принципе. TLS вообще не предназначен для борьбы с блокировками и предотвращением детектирования факта, что между сервером и клиентом был зашифрованный сеанс передачи данных по протоколу TLS. А вы с ОП-ом обижаетесь, на то, что шлюха, которой вы оплатили абонемент на принятие ровно одного защекоина, отказывается в квартире убрать, за продуктами в магазин сходить и обед приготовить. Как дети малые, ей богу.
>>> Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.
Заебись
Да не используется там этот сертификат нигде, хотя он существует. Не хватило кишочки внедрить везде эту поебень.
Григорович ездил продавать казаков в 17 лет,кевин митник взломал свой первый сервер лет в 16,а тому челу который спиздил hl2 с серверов валв и выложил в сеть было 13-14лет,я в 15 был сеньер а в 18 тимид.Так что не надо мерить всех своими мерками отсталыми,займись лучше самообразованием , сходи на курсы
а в 19 получил задний привод?
ИШЬ БЛЯДЬ ПРИСОСАЛИСЬ К ИНТЕРНЕТАМ, А НУ СУКИ БЫСТРО В РУКИ ВЗЯЛИ ЛОПАТЫ И В КОЛХОЗ НАХУЙ КАРТОШКУ КОПАТЬ.
Саша, лучше защекоины поешь
Будет вам в КОЛХОЗЕ и социальная сеть со свиньями и порнохаб с козами.
Все лучше чем твои шутки
ПОСОНЫ! Смотрел вон видосик https://www.youtube.com/watch?v=QXjzP-zndrE Каково мнение ебаного?
Не в тему топика, естественно
Есть видео, где её трахают?
увы%(
На хамяке смотри, заебал
На смотре[.ru] смотри, хамяк!
Есть видео где рубисты учат его руби?
Кто взял этого уебана в TESLA?
…endorsed by Prashant Srivastav (Senior Software Engineer, full stack .net developer)
если вы понимаете, о чем я
Бля, меня одного уже заебало, что весь ютуб засран блогам о жизни быдлокодеров в США, влогами ихних неработающих, тупорылых жен и прочим бесполезным трэшем, где они рассказывают все одно и тоже. Обезьяны с камерой, блин.
Ютуб подбирает контент пользователя по его статистическим предпочтениям.
Графоманство от какого-то обдолбанного девопса (системный администратор уже не модно), пруфы так себе, лучше бы принтеры чинил
Типичная теория заговора хранителей рутовых CA против неуловимого Джо. Не устанавливай левых издателей и спи спокойно.
openssl s_client -connect media.viber.com:443
………………….
Verification: OK
—
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Видишь последнюю строку, уебан из ангулярной вселенной? Это значит, что там реверс прокси стоит, который перешифровывает трафик, и при этом никто не ругается на сертификат. Подумай, как это делается. Левых издателей, блять…
Лол. Найди что-то еще старее. Реверс-прокси он принес. Уноси.
Уебан что-ли? Чего старее? Вайбер — как пример, что реверс прокси на хую вертел ваши ХТТПС. А при должной настройке хуй кто заметит его присутствие без анализа. Иди защекоины жуй
Настройка ). Если ты, прокси-настройщик, рассчитываешь на таких же деградантов старых пердунов как и ты сам, которые бурлят от уязвимости закрытой почти 10 лет назад, то кто тебе доктор. Ежели твой выброс о том, что доказательства отсутствия уязвимости в системах (протоколах как пример) в общем случае нет, то не нужно это подавать так пафосно, как что-то сверхъестественное.
Всё с тобой ясно. Иди дальше дрочи на HTTPS 😉 З.Ы.: HTTPS небезопасен с момента его основания, и останется таким навсегда
https://pastecode.xyz/view/raw/ff9a302b
А чего тут тебе не нравится? Человек тебе показал, что перед серваков вайбера стоит ебаная прокся, которая хуй пойми, чем занимается. А ты че, думал что на вайбер просто так господин уЖаров не залупается?
Стоит нарушая рекомендации rfc. Дальше тебя ни один норм клиент (криптолиба что в рантайме) не поведет, точно так же как и с левым CA — предупредили, а дальше сам, на свой страх и риск. Можно без tls тупо по http ходить если мозгов нет и что? Проблема явно не технического характера и не с https.
$ curl -S https://raw.githubusercontent.com/openssl/openssl/master/CHANGES 2>/dev/null | grep -P -B4 -A5 «CVE\-2009\-3555»
Changes between 0.9.8k and 0.9.8l [5 Nov 2009]
*) Disable renegotiation completely — this fixes a severe security
problem (CVE-2009-3555) at the cost of breaking all
renegotiation. Renegotiation can be re-enabled by setting
SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION in s3->flags at
run-time. This is really not recommended unless you know what
you’re doing.
[Ben Laurie]
$ openssl s_client -connect ssb.epcc.edu:443
CONNECTED(00000003)
140048446288320:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:../ssl/record/rec_layer_s3.c:1399:SSL alert number 40
…
Secure Renegotiation IS NOT supported
$ openssl version && curl -S https://ssb.epcc.edu
OpenSSL 1.1.0g 2 Nov 2017
curl: (35) error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure
$ docker run -it —rm openssl:0.9.8k /bin/bash -c «openssl version && curl -kS https://ssb.epcc.edu»
OpenSSL 0.9.8k 25 Mar 2009
Так ты сам сертификат чекни, а заодно у себя за щекой, мамкин кулхацкер.
* Server certificate:
* subject: C=LU; ST=Luxembourg; L=Luxembourg; O=Viber Media Sarl; OU=IT; CN=*.viber.com
* start date: May 31 00:00:00 2018 GMT
* expire date: Jun 26 12:00:00 2019 GMT
* subjectAltName: host «media.viber.com» matched cert’s «*.viber.com»
* issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=Thawte RSA CA 2018
└─$ curl -v https://media.viber.com:443
* Rebuilt URL to: https://media.viber.com:443/
* Trying 52.222.150.18…
* TCP_NODELAY set
* Connected to media.viber.com (52.222.150.18) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* successfully set certificate verify locations:
* CAfile: /etc/ssl/certs/ca-certificates.crt
CApath: /etc/ssl/certs
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Client hello (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server accepted to use h2
* Server certificate:
* subject: C=LU; ST=Luxembourg; L=Luxembourg; O=Viber Media Sarl; OU=IT; CN=*.viber.com
* start date: May 31 00:00:00 2018 GMT
* expire date: Jun 26 12:00:00 2019 GMT
* subjectAltName: host «media.viber.com» matched cert’s «*.viber.com»
* issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=Thawte RSA CA 2018
* SSL certificate verify ok.
* Using HTTP2, server supports multi-use
* Connection state changed (HTTP/2 confirmed)
* Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
* Using Stream ID: 1 (easy handle 0x55b01ee028e0)
> GET / HTTP/2
> Host: media.viber.com
> User-Agent: curl/7.58.0
> Accept: */*
>
* Connection state changed (MAX_CONCURRENT_STREAMS updated)!
< HTTP/2 503
< content-type: text/html
< content-length: 507
< server: CloudFront
< date: Tue, 07 Aug 2018 06:07:35 GMT
< expires: Tue, 07 Aug 2018 06:07:35 GMT
< x-cache: Error from cloudfront
< via: 1.1 1f95d1a95c6f2df8073daccac07b7570.cloudfront.net (CloudFront)
< x-amz-cf-id: kJZ2h70JNjb—6WYRUTLWpAvNbc-kW5Cqi5sJPTPJKJzp18q308Hyg==
Ну и чё ты этим хотел сказать? Ты заголовок Via видишь? Заголовок Via указывается для указывания промежуточных протоколов и адрессатов, если данные идут не напрямую, а через прокси, в т.ч. реверсный. Мамкин админ
Наверное то, что соединение было установлено с сервером именно cloudfront-а, который компания Viber сама наняла (а иначе откуда бы у cloudfront-а был бы ключ от wildcard-а Viber-а?) чтобы он принимал и балансировал запросы на сервера Viber, а не с компом соседского мальчика Васьки, который освоил связку ettercap и sslsplit.
Да да да да. А вот как раз серверы cloudfront есть в РФ, и следовательно те, кому нужно, получат доступ к пересылаемым данным. Вот только не говорите, что этот прокси не хранит в открытом виде данные). Проблема как раз в том, что на легальных условиях используется дешифровка трафика и его последующее хранение.
Заголовок via действительно указывается для указания промежуточного (прокси) сервера, однако это вовсе не означает, что трафик может быть перехвачен кем-либо, кроме сервера, обладающего приватным ключом и сертификатом домена. Проксировать SSL трафик, не имея приватного ключа и сертификата невозможно. На легальных условиях получить доступ к данным не возможно. Так что иди нахуй, жукопидор вжопуебанный. Учи матчасть, днище.
Если есть промежуточный прокси, то он, ебать его в сраку, перешифровывает трафик, понимаешь? И ты, ебать тебя в сраку, сам признал, что Via указывается для указания промежуточного прокси. А этот промежуточник — форвардинговый прокси! Ты че не смекаешь? Это наверно потому что я тебе за щеку накидал, не подавись голубочек
Прокси не мог бы перешифровывать трафик, не обладая валидным ключом и сертификатом домена. А если облалает — значит делает это с ведома владельца дрмена. В этом нет ничего криминального, как и в том, чтобы ссать на твою тупую туго соображающую башку.
Если ты еще ничего не понял, то ты хуй, а мать твоя шлюха. Лови ужЕнкоин
Слилась дура.
Да ты блять матчасть поучи, любой форвардинг\реверс прокси перешифровывает трафик, в том и дело. Потому что этот прокси создан самим владельцем сервиса, и туда запиханы ключи, сертификаты и защекоины. Но так как в случае вайбера\вацапа сервачки имеются в РФ, то как ты блять думаешь, кто имеет доступ к тем данным на этих самих прокси? И данные эти в полностью открытом виде видны на стороне прокси.
Ну так это РФ (за законы) и Cloudfront c Viber-ом (за то, что прогнулись перед РФ вместо того, чтобы попросту перестать принимать соединения с российских IP) — вот то вот самое. А ты тут накатал целую статью о том, что TLS и VPN — плохие протоколы. Аргументируешь тем, что они не помогут жителю полицейского государства хоть как-то попытаться пока ещё можно хоть на пол шишечки реализовать свои права, как человека (специально для тебя нашел новость на авторитетном ресурсе: https://lenta.ru/news/2011/06/07/basicright/ + смотри конституцию государства, резидентом которого являешься). При этом ни один из этих протоколов не предназначен для противодействия интернет-цензуре. Ну и кто ты после этого?
А ты про OBFS в статье не увидел? Эт жеж единственное средство на текущий момент. А протоколы реально говенные и нихуя не обеспечивают безопасности в том виде, в котором щас используются. Лови защекоин, кстате
Ты не смекаешь в том, как работает SSL и для чего нужны сертификаты.
Объясняю на пальцах:
1) ты как владелец домена получаешь сертификат, подтвердив владение доменом
2) создаёшь клаудфронт дистриб и суешь туда сертификат
3) коннектишь клаудфронт со своим бэкендом
Никакой Вася не сможет представиться media.viber.com, если у него нет сертификата или валидного CA для твоего клиента.
Правильно, тут и представляться не надо. А ты думаешь, чё на телеграм напали, а на вибер нет? Потому что у вибера в клаудфронте (чьи машинки есть в РФ) имеется форвардинговый прокси, где хранятся в открытом виде все данные.
Да и хуй с ним с вайбером.
Это говорит только о том, что настройки твоего клиента не соответствуют тем требования к информационной безопасности, которые ты к нему выдвигаешь. А кто за настройку клиента отвечает? Давай разберемся: сам протокол плохой или настройки по-умолчанию, которые кто-то не удосужился сменить? Кстати, интереса ради, повтори на эмуляторе самого свежего андроида. Оно, к примеру, не валидным считает даже соединение с использованием сертификата из своего доверенного хранилища при условии, что срок действия этого корневого сертификата больше чем у андроидовской явы настройках для этой проверки зашито.
Это означает только то, что данный сервер желает получить имя заправшиваемого домена в SNI, и не более. На одного айпи хостится несколько доменов и несколько SSL сертификатов. Дешифровать трафик SSL не имея приватного ключа и сертификата домена невозможно. Послан нахуй, Степан, учи матчасть обезьяна.
Ща спою (ц). Афтор песдуй на хабр со своей АНАЛитикой и блядь паранойей.
автор типа умный сильно? ну го к нам на зарплатку, поработаешь и мы тебя кинем, чтоб подостыл.
Cogniance HR, перелогиньтесь
Че за гавно.
а мне понравилось
Сука, не пали контору! Пусть и дальше думают, шо хттпс и впн — секьюрно шо пиздец. А то перекочуют все в даркнеты, а у нас пуканы бомбанут от невозможности вычислить по айпи.
даже не читал, какая-то блевотина задротская в стиле уебищьного Хабра
PS меня тут на тостере забанили, Привожу переписку:
Служба поддержки «Тостер»
——Исходное сообщение——
От: *********
Sent: 07.08.2018 10:09:23
> ********** (https://toster.ru/user/**********) обратился в службу поддержки
> со следующим сообщением: Могу я узнать,
> почему был удален мой ответ из темы
> https://toster.ru/q/552486 ?
Вторник, 7 августа 2018, 10:24 +03:00 от «Тостер»: служба поддержки :
Здравствуйте!
Ответ был удален поскольку вы опять принялись за старое (флуд, мат, оскорбления). Мы знали, что вы создали новый аккаунт для обхода санкций, но не ограничивали ваш доступ к ресурсу, поскольку надеялись, что вы уже усвоили, что на наших ресурсах, такое поведение запрещено. Однако, вы вновь начали допускать те же нарушения, за которые были заблокированы ваши предыдущие аккаунты и нам пришлось вновь ограничить ваш доступ к Сервису.
Вторник, 7 августа 2018, 10:40 +03:00
Я не удивлен вашими действиями.
Ваш сайт — говно. Не в техническом плане, а в идеологическом, Он не терпит инакомыслия. Совсем. Ваше поведение очень похоже на поведение среднестатистического айтишника не удовлетворенного жизью — проявить свою силу и волю в…. интернете! Заблокировать. Почувствовать себя сильными, хоть на время, хоть чуть-чуть. Ведь в жизни все по другому, верно? Это называется «синдром вахтера». Это когда человек в жизни никто и ничто и реализует себя в мире виртуальном.
Если честно, меня последний раз банили в интернете лет 10 назад. И да — я тоже имею свои веб-сайты, личные, которые я делал лет 10 назад. И представте — я там тоже никого не блокирую, хотя мне зачастую не нравится, что иногда кто-то выражает точку зрения отличную от моей.
И всё же я хочу объяснений — за что именно меня забанили? За оскорбления? Я кого-то оскорбли? Разве только что Хабрахабр — я назвал его «помойкой», потому что статья, которая обозначена в топике https://toster.ru/q/552486 — не профессиональна и вредна. Первый пункт статьи — это мусор и типичные заблуждения.
Но поскольку вы не имеете ни мозгов понять это, ни совести, ни чести — вы и отправили меня в бан. Потому, что кто-то назвал ваш убогий Хабр помойкой. А он действительно помойка, очень жаль, что вы этого не видите.
Значете что самое главное? Мне похуй на ваш ресурс. Я там чисто развлекался.
А вы как были мудаками, так ими и останетесь.
> даже не читал, какая-то блевотина задротская в стиле уебищьного Хабра
Ты слишком хорошего мнения об этом высере
> Значете что самое главное? Мне похуй на ваш ресурс. Я там чисто развлекался.
Поверь, администрации сайта точно так же похуй на тебя. Впрочем, не только администрации.
А причина бана вовсе не в инакомыслии, а в уровне твоей аргументации своих мыслей (написано же: флуд, мат, оскорбления)
Автор, ты тупо ебанат, который нихуя не шарит в нетворкинге, прошел курс на юдеме за 40 гривен и пиздишь хуйню про МІTM, а сам по тексту судя, в душе не ебешь, как это работает и что это такое. так что иди нахуй, пенетрейшн тестер. даун. удалите нахуй эту поебень дегенартивного джуниора.
Автор меня пиздец от тебя бомбануло. Именно ты тупо лашак такой ебаный. Скажи, радной, а ты знаешь, что даже при мэн ин зэ мидл атаке, весь твой трафик, будет закриптован и как раз тот самый ключ для декода есть только у трастед рута, лашара ебаная, или на курсах за 40 гривен это не рассказывали?
Даже если ты сделаешь DNS-Spoofing с трастед сервером, ты все равно нихуя не сможешь сделать с SSL-вськими ключами. Так что ИДИ ТЫ НАХУЙ. Хотел блеснуть умом, а упал ебалом в грязь и спалился, что ты лох цветочный блядь.
А при чем тут вообще VPN я в душе не ебу, хотя хуй знает, что творится в мозгах даунов хтмлнькых, которым в руки попали верхушки айсберга нетворкинга. все. пшел нахуй.
>>даже при мэн ин зэ мидл атаке, весь твой трафик, будет закриптован
Ты олень или как? Тот же Squid, осуществив SSL Bump с помощью iCAP и eCAP легко и просто МОДИФИЦИРУЕТ трафик, и более того, может весь передаваемый контент сбрасывать куда надо. А Весь отмампенный трафик попадает в кеш В ОТКРЫТОМ виде, ебанат ты хуев. Бомбануло тебя от того, что ты слишком часто за щеку берешь. Любой реверс-прокси способен хранить ВЕСЬ проходимый через него трафик в открытом виде, что и будет сделано для всего, что можно, в ближайшее время (закон Яровой, тащемта). Так что иди мочи попей и попкорна в жопу себе запихни 🙂
>>> SSL Bump с помощью iCAP и eCAP
Из этого следует что у тебя есть IM серт выпущенный доверенным CA (или вообще доверенный всеми дистрибутивами корневой серт) с возможностью подписи endpoint сертов.
Ты же понимаешь, что без пруфов более хорошо относиться к тебе не будут?
Могу привести пример нашей корпы в которой стоит некий blue coat, понятное дело поскольку всем пришлось принять рутовый серт, у blue coat есть подписанный IM. Может blue coat о чем-то не знает? Все-таки у них 2 года разницы со дня основания. Или с подменой серта всегда так? Понятное дело, что на это можно не отвечать. Ждем пруфов.
Кстати, снизу страницы появился еще один подменщик сертификатов. К чему бы это?
В качестве доказательства сгодтися подписанный серт для CN http://www.facebook.com, который пройдет верификацию на стандартном дистре. Можешь сразу его и в Фейсбук отправить со своим резюме.
Больше не придется сидеть на ебаном. Не благодари.
>>К чему бы это?
А я откуда знаю?
>>Пруфы
Пруфы чего? Давай я дам тебе пруф. Здесь обсуждали Viber, на тебе про Viber.
curl -v https://media.viber.com:443 Что даёт? Смотрим:
via: 1.1 090eea4e92e1941ecd945eb93b8b45bb.cloudfront.net (CloudFront) — это раз.
subjectAltName: host «media.viber.com» matched cert’s «*.viber.com» — это два, более даже смысла нет.
Что строки означают? Первая означает, что там стоит прокси. Via меняется форвардинговыми прокси — это требование RFC.
Вторая означает, что это WildCard сертификат, которым можно подписать любой домен в пределах *.viber.com. Им можно подписать внутренний форвардинговый прокси, например. Прокси видит в открытом виде весь проходящий HTTPS, и перешифровывает. И здесь даже не надо добавлять доверенный сертификат в хранилище, потому что он уже выдан доверенным Рутом. SSL Bump сертификат прячется за вайлдкардом, кросс-подпись никто не отменял, так-то. Subordinate подписывает *.viber.com WildCard, и он же подписывает какой-нибудь hui.viber.com (сам прокси), который ресолвится во внутреннее имя форвардингового прокси с SSL Bump. И снаружи ничего не заметит никто, единственное что выдает вышеперечисленное дерьмо — это заголовок Via. Ты видишь, что система ругается на media.viber.com? Я нет, и никто не видит, и не увидит, но наличие прокси никто не отменяет, это видно явно. Cloudfront есть в России, и по закону серверы для жителей РФ располагаются в России, в курсе? А теперь подумай, коли прокси с бампом видит в открытом виде трафик media.viber.com, является ли это безопасным?
Достаточно подробно разъяснил?
До кучи:
curl -v https://web.whatsapp.com:443
….
CN=*.whatsapp.net
….
via: HTTP/1.1 169.55.74.40:443 (fwdproxy2/70c0490af00c4f1aae86246cec32f4af 69.171.225.27)
Красота, здесь даже решили не заморачиваться и прям так и назвали — fwdproxy. И снова мы видим WildCard, и форвард прокси с перешифровыванием. Достаточно?
Не, ток конструктивный пруф. Условия описаны тут:
https://ebanoe.it/2018/08/06/https-pubic-hair/#comment-213647.
Либо докажешь, либо двойка.
А собственно, при чём здеся твой фейзбух, и всякие реверсные\форвартинговые\защекойновые прокси? Ты включи свою единственную извилину, и подумай. Раз у вайбера и ватсапа есть такие прокси, то и трафик оттуда вполне так себе собирается, учитывая что по закону серверы для расиян стоят в рашке, и учитывая всякие законы яровых… Не доходит до тебя? Пруфы тебе выше уже скинули, тебе может еще коллекцию порнухи скинуть с защекоинами в конвертике?
Нахуя на фейсбух использовать реверс прокси? Оно итак переписьки с потрохами даст, если надо. Фкантахте то же самое. Нахуя ты в пример ставишь это гамно?
Бесполезно доказывать местным обезьянам 😉 Не удручайся.
Семён, плиз, уже слишком смешно.
Ну ты и тупой, хуй. У тебя вместо мозгов там залупа, чтоле? Ты хотя бы сам понял, что написал? Ты только что жидко обосрался, голубок ты мой
щас бы юайщики тут расказывали про реверс-прокси.
> Скажи, радной, а ты знаешь, что даже при мэн ин зэ мидл атаке, весь твой трафик, будет закриптован и как раз тот самый ключ для декода есть только у трастед рута, лашара ебаная, или на курсах за 40 гривен это не рассказывали?
1) Закриптовывают трупы в склепы, а трафик шифруют.
2) Ключи для шифрования эфимерные (сеансовые, если так угодно), и никакой рут СА не получает и не хранит их все.
Дальше лень было разбирать твою ересь, иди учи матчасть,
>>при мэн ин зэ мидл атаке, весь твой трафик, будет закриптован
Может ты и такие как ты хотя-бы педивикию откроете и прочитаете, что такое HTTPS, TLS, и MITM? Какой трафик? Что там у тебя закриптовано? Я ICAP или ECAP модулем, которые работают в разрыве SSL Bump легким движением руки модифицирую трафик или солью всё передаваемое в открытом виде в определенный каталог. Диванный аналитик хуев.
>>нихуя не сможешь сделать с SSL-вськими ключами
А мне ничего и делать не надо, друг. Всё сделает SSL Bump и i(e)CAP.
>>А при чем тут вообще VPN я в душе не ебу
Ну иди еби что-то другое, коли думалка испортилась. При том, что (о чем сказано в статье) в текущей ситуации очень сильно разогрелась реклама VPN сервисов, которые якобы обеспечивают приватность и безоговорочный доступ туда, куда надо, несмотря на (глюки)блокировки провайдеров по зову РКН. Перевести всех на VPN очень удобно, так как по первому слову власти VPN блокируется на уровне протокола. Да и в более, чем половине процентов случаев VPN не обеспечивает приватности, никак. Почему?
а) используются слабые алгоритмы шифрования, из-за чего трафик может быть прочитан.
б) VPN сервисы, даже несмотря на красивую рекламу, очень даже хранят историю посещений.
>>попали верхушки айсберга нетворкинга
Ты будешь разочарован, но айсберг мне виден полностью.
Ты, судя по тексту своему, тупая залупа, которой место возле параши (ухохохохохо)
а як же ssl pinging?
Cert pinning предохраняет от mitm, да. Но где он есть? Очень проблематично админить ресурсы с пиннингом, поэтому от него уже отказываются, Гугл например. Это не то всё. Проблема не только в пиннинг или его отсутствии
PINGing? Что-то новенькое. Случаем, не на Ангуляре написано?
Pinning — спорная штука, хоть и не дает сделать бамп. Однако, уже сказано, что обслуживать его сложно.
Алсо, этого не хватит для безопасности. Нету проверки контента на подлинность, а она нужна. MITM — это лишь один из способов залезть в туннель и модифицировать его содежимое
Что за хуйню я прочел? Чувак тут рассуждает о гипотетических проблемах с HTTPS (считай, TLS), толком не разобравшись в теме, а потом скатывает все к каким-то блокировкам сайтов в говностранах.
А чего тьі ожидал на йобаном?
Какие блокировки сайтов, ты о чем? Речь идет про то, что скоро трафик всего и вся будет как на ладони у товарищей Майоров. Тебе оно надо? Аффтару нет, мне тоже
Так скоро будет или уже? Вы уж определитесь, господа параноики…
А вообще, читать очередное нытье в духе «мы все умрем» — чрезвычайно скучно. Где технические подробности? Впрочем, от столь «компетентного» автора их ждать не приходится…
Ты действительно хочешь технические подробности? Ок. Следующая статья будет с полными техническими подробностями и доказательствами.
«компетентного автора» — куда уж мне до сеньора путон девелопера.
охуеть, месье соизволит к следующему разу технически подготовиться
А хуле ему готовиться? Тут сплошные обезьяны, которые ноют от статей чуть сложнее уровня Танечки или Маринки. Лучше не надо а то пуканы бомбанут у местных ангулярщиков
> Это ёбаное расширение протокола HTTP
ты еблан
> А если произойдет взлом сервера рута
ты еблан и не читал про certificate pinning
> На стороне любого провайдера работает механизм Splice, который без всяких подмен сертификатов позволяет видеть, какие ресурсы вы посетили
и снова ты еблан, видимо путаешь со SNI
> Есть такая хуйня, как DPI, который работает на транспортном уровне, и ему до пизды вообще на ваш VPN и SOCKS. Есть сигнатуры этих протоколов, и сигнатуры никуда не деть, и в случае чего оно будет блокироваться.
ты еблан, никто не запрещает затуннелировать это дело в любом другом протоколе
> Шта, блеать? В каком он месте, ебанаврот, end-to-end?
ты еблан и не читал про perfect forward secrecy
> Сигнатуры на него нет и не будет
какой же ты все-таки еблан
Уася, у тебя горит пукан из-за переизбытков спермы во рту
а кого ебут проблемы козломордых ? еще и кетай приплел.. все в прогнившем ватном духе — типа мы вместе с братьями кетайцами будем и дальше и вместе и выше. да иди нахуй дальше жрать свое гавно в своем ебучем мордоре
Тебя ебут твои проблемы, так и иди лесом.
Какой в пизду splice, каким хуем тут connection probing? HTTP инкапсулируется в TLS и если в распоряжении кулхацкера нет нейтронной звёзды окружённой сферой Дайсона размером с жопу твоей мамы, то нихера он не сможет получить твой закрытый ключ.
То что сертификаты подписываются рутами это стандартная практика и если ты не ебаный параноик ищущий чипы АНБ у себя в жопе, то тебя это волновать не должно.
Какой в пизду DPI блять в контексте VPN? VPN это низкоуровневая инкапсуляция на протоколах высокого уровня и ебаный шлюз не видит разницы между проном с понями и заседанием верховной рады, если только это не сраный TLS туннель с подменой сертификата.
Так что мои ебаные параноики, надевайте шапочки из фольги и обматывайте комнату проволокой, а я вам лично заварю двери и отрежу весь доступ наружу, чтоб жидорептилоиды никогда не узнали, после какого видео вы закрываете вкладку порнхаба.
==Какой в пизду splice
Ты ужинкоинов обожралсё, или как?? Тот же Squid с помощью Peek and Splice без подмены сертификатов спалит, куда ты, юный дрочер, лазиешь. А выше тут вообще сказали про форвардинговые прокси…
Прочитай, что такое Connection Probing (он есть, к примеру, в Ufbdguard) и поймешь, что даже тут ты обгадился.
==Какой в пизду DPI блять в контексте VPN?
Такой, блять, тупоголовое жЭвотное.
==если в распоряжении кулхацкера нет нейтронной звёзды
А в статье речь не о хакерах, а о госструктурах, дебил
>>> Squid с помощью Peek and Splice без подмены
https://wiki.squid-cache.org/Features/DynamicSslCert
Что придумаешь насчет этого?
А че ты пихаешь раздел, относящийся к SSL Bump? При Peek and Splice не надо ничего генерить, SNI только проверяется без вмешательства в туннель, мамкин инженер хуев
Очевидно к тому, что насрать на твой sni, который можно вырубить в libssl и не передавать, дальше ты упрешься в экспоненциальную стену. Построишь рядом да пойдешь нахуй, вместе со своими гос. структурами.
Ты сам понял, чо сказал, балбес? «низкоуровневая инкапсуляция на протоколах высокого уровня» = макромир в микромире, ты прикалываешься? Иди учебники читай, тупоголовое отродие матроса диванных войск
Нахуя задротская статья уровня Хабра на ебаном айти? Это говно унылейшее.
Ну так песдуй в другое место, хуль ты забыл на «айтишном» сайте, ойтишник хуев?
Господа, если вы проносите технологию, то проносите, блять, правильно.
HTTPS не придумывался для анонимности и защиты от обнаружения при помощи DPI. В прочем, это сразу минус, блять, треть всей статьи :))
Да. Домен он сливает, но никак не URL. Это правда.
Да. Есть зависимость на третьих лиц. Но есть и Certificate Transparency, который постепенно введут.
HTTPS не end 2 end? HTTPS end 2 end до сервера. С поправкой на доверенные руты, что правда. Но есть DNS CAA, HPKP, и упомянутый уже Certificate Transparency. А так правильно настроенный — Forward Secrecy, и т.д.
Итого — статья HTTPS не пронесла.
А вот про РЕАЛЬНО страшные атаки за последние годы все как-то упомянуть забыли. Кому не лень — гуглите DROWN, SSL Stripping, Heartbleed, Cloudbleed, и несколько CVEх в OpenSSL. И посмотрите статистику по количеству реально правильно настроенных серверов от qualys ssl labs. И вот от этого уже реально становится страшно, и руки начнут тянуться к VPN.
>>механизм Splice
Это что-то связаное с ДНК? 🤔🤔🤔🤔
Лол. Даже не думал что в этой клетке с орангутангами будет знающий за сплайсинг человек.
Анон, заебал. Лично мне похуй что гугл знает что я люблю больше дрочить на брюнеток чем на блондинок. Это раз. Второе — терморектальный криптоанализ — это то что к тебе применят первым делом. И нахуй тебе всякие рса дса и бловфиши всякие и вантайм падами когда тебе тупо сунут пальцы в дверь. В третьих — по настоящему важные ваши не вконтакте в переписке обсуждают. И даже не по телефону обкашливают. О них даже говорят разве иносказательно, а если человек тупой то нехуй с таким садится срать в одном поле. И еще — байзевей пакетик тисипишный можно и подтюнать слегка.
эксперты по вопросикам подъехали