HTTPS — лобковые волосы

Здравствуй, ебаное Айти! Доброго времени суток, ебаные читатели, редакция и все прочие патриоты! Данная статья посвящается сугубо IT (наконец-то, ёбаный в рот!). Речь пойдет о такой замечательной пизде хуйне, как HTTPS.

Итак, что вы вообще знаете об HTTPS? Нам всем втирают, что это безопасность. Это защита от прослушки трафика, это гарантия того, что вас не выебет в жопу какой-нибудь Вася Хуякерович. Что тут говорить, на фоне всеобщего бреда по поводу перевода ресурсов на HTTPS даже появились такие сервисы, как Let’s Encrypt. Какая красота, лЯпота блять, даже платить не надо, всё бишплатно без регистрации без смс. Что конкретно представляет из себя HTTPS? Это ёбаное расширение протокола HTTP для поддержки шифрования в целях повышения твоей безопасности. Но на чем основана эта безопасность и защита? Защита HTTPS полностью основана на Рутах (ROOT CA), то есть вы доверяете свою нигерскую жопу неким третьим лицам. Эммм, какая это еще нахуй безопасность? А если произойдет взлом сервера рута и будет произведена MITM атака, то в этом случае вся эта ваша безопасность пойдет по пизде, вспомните печальку с DigiNotar. Да даже без всяких там взломов рутов ваша так называемая безопасность всё равно идёт по пизде! На стороне любого провайдера работает механизм Splice, который без всяких подмен сертификатов позволяет видеть, какие ресурсы вы посетили, чего бывает во многих случаях достаточно, чтобы взять кого-то за стоячий хуй. К тому же, есть такая хуйня, как Connection Probing. И оно на хую вертело ваш HTTPS.

В настоящее время стали как никогда популярны VPN сервисы. Везде так и лезет реклама с мольбами купить ёбаный VPN. Друзьяшки вы мои, неужели вы думаете, что ваш VPN нельзя заблокировать? VPN блокируется на раз-два, как и ваши ёбаные SOCKS. Есть такая хуйня, как DPI, который работает на транспортном уровне, и ему до пизды вообще на ваш VPN и SOCKS. Есть сигнатуры этих протоколов, и сигнатуры никуда не деть, и в случае чего оно будет блокироваться. Все эти ваши HTTPS, SOCKS, VPN — это иллюзия безопасности, нихуя это не панацея.
Не так давно довелось мне увидеть комменты к этому посту, где один пиздострадатель утверждает, что HTTPS = end-to-end. Шта, блеать? В каком он месте, ебанаврот, end-to-end? HTTPS с доверенными CA — ну никак ни разу не end-to-end, блять. А вот как раз истинный end-to-end обеспечивает безопасность, к примеру SSH.

Самой охуенной штукой можно считать обфускацию трафика. Когда происходит обфускация, то никакой DPI не поймет нахуй, че там у тебя происходит, че ты там используешь, смотришь ли голых тян на юпорне. Хороший пример — работа Tor в Китае. Вам могли сыпать в глазишки пылинки, что в Китае Tor не работает, а вот и нихуя, работает он там как миленький с помощью obfs4. Сигнатуры на него нет и не будет, так что оно вполне успешно работает даже в китайнете. Есть непубличные obfs4 мосты, которые не анонсируются нигде, да и к тому же, раз уж в сети так много тем насчет того, чтобы «прикупить за бугром простенький vps и поднять там vpn», гораздо умнее, если уж так хочется, поднять на таком сервачке obfs4 бридж, приватный бридж. свой блять, и никому его не палить, профит же. Какие блять, в жопу нахуй, VPN, который палится без проблем на любом DPI???  Так что, россияне, я бы рекомендовал вам уже сейчас вдуматься в то, что в скором времени по пизде пойдет весь российский Интернет, и настанет эпоха Чебурнета. Нужно заранее быть готовым, нужно на досуге получать обновленные списки бриджей Tor, и сохранять, чтобы на случай, когда ты утром встал и захотел подрочить на любимых порномоделей на любимом сайтике, а на экране не вылез вместо неё товарищ Майор. И никогда не доверяйте голому HTTPS свою безопасность, ведь это не больше, чем волосишки на вашем лобке.

Всем защекоинов и попутного ветра в сраку.

229 Комментариев

  1. Мария Ракова:

    первая нахуй

    11

    11
    • Обладатель сочного струка:

      кто ты такая тупая мразь, куда делась разрабка с жырной сракой???

      42

      1
      • Мария Ракова:

        она на госзаказе, газ генерирует

        46

        0
    • Жора:

      Ну вот и иди нахуй 😀

      7

      1
      • Нанюхавшийся жизни алгольщик:

        Я, конечно, извиняюсь, но идите вы нахер, друзья: мат вперемешку с терминами — что, блядь? Все цело статья про IT?
        Автор вообще знает ебанное определение слово «статья», данное в толковом словаре, мать его за ногу, Ожегова? А я скопипащу : СТАТЬЯ, -и, род. мн. -тей, ж. 1. Научное или публицистическое сочинениенебольшого размера. Газетная, журнальная с. Критическая с.

        Итак, вышеописанный набор слов без пруфов не научный, и даже не публицистический, он просто бредовый.

        Вот автор пишет, что https говно. А что именно : то ли какой-то пункт его в RFC напрягает, то ли реализация где-то в apache или в ngnix — самому, что ль, догадываться? Третьи лица — ну, так, ебана в рот, потому и придумали сертификационные центры, блядь, чтобы никто левый не снифферил. Короче. Тема не раскрыта.

        «VPN — это иллюзия безопасности.» Текста, поясняющегг мысль нет. А разгадка одна — автор почитал в Википедию и возомнил, что vpn говно.
        Естественно это иллюзия, если не поднимать свой vpn на дедике. Потому что хер его знает, кто админ и то, что он начестном слове и на одном крыле все держится, а он может уже дрочит на твою порнуху, потому что пропускает траффик твой через комп, или впихивает туда рекламу. Эффект стейзент на гитхабе смотри, дрочер. Иллюзия, блядь. Твоя компетентность тут — единственная иллюзия.

        Я вот смотрю на книжку по SSL и на книжку Таненбаума о тихо охреневаю: по объему-то почти одинаково, но если у Таненбаума все написано в стиле галопом по Европам, полугодовой курс цифровых и микропроцессорных устройств на пол главы, то у Ристика байка об одном.
        Но чтобы такие высеры откладывать на ебаном айти, книжки такие читать ни к чему.
        Lets encrypt ему еще не нравится.

        Блядь, да этому смузихлебу нихера про цены сертификатов не известно. Ну попробуй, сделай сайт без https, а потом расскажи Гуглу и Яндексу, что у тебя нормальный адекватный сайт. Я ожидал, что тут напишет про навязывание https там, где оно не надо, но нет — мозгов у автора статьи на это не хватило.

        Короче, это позор. В редакторы на ебаном ИТ берут выебщиков-петухов, которые и могут только горланить отсебятину, хочу заметить, НИКОМУ НЕ НУЖНУЮ.

        Жук, кинь его на зарплату или за щеку плиз.

        P.s. : я понимаю , что первый блин всегда комом, но давай, автор, признайся честно, что ты и не планировал нормальную статью писать, начать нормальный дискасс. Ты просто хотел насрать мне в ленту новостную. Потому иди и изучай материал, пиши нормальную статью про https и без годноты не возвращайся.

        215

        4
        • Tea Time:

          пожарную бригаду, срочно! у человека возгорание ануса, анус полыхает!

          месье, если вы так будете реагировать на каждого долбаеба в интернетах, вас скосопиздит сердечный приступ

          22

          75
          • Усатый Бобер:

            А по-моему, нормально все разложил. Это как раз у автора статьи полыхает не к месту.

            30

            1
        • Typical Grebec:

          Два чая этому господину!

          45

          0
        • Скакуняку на гилляку:

          Да ебать колотить.
          Я рабол в одной компании которая барыжит этми ебаными сертификатами.
          И я могу сказать что это просто блять мыльный пузырь.
          Для безопасности хомяков, достаточно сделать само подписанный сертификат и по секьюрити это будет тоже самое что ты купить за тонну баксов.
          + как показывает практика проще хакнуть сам сервак и получить все данные чем ебаться с снифить трафик.

          8

          9
          • Нанюхавшийся жизни алгольщик:

            Самоподписаный сертификат можешь засунуть себе за щеку и провернуть против часовой.
            То, что ты работал подносителем кофе в барыжке сертификатами — это будешь хрюшки рассказывать.
            Я умолчу, что ты прав в узком смысле, когда речь идёт о корпоративной сети, я буду гнобить тебя за то, что у нас дискасс идёт в широком смысле, речь идет про b2c через интернет, и оказывается, что у всех браузеров и ос свои хранилища, и никто в очереди за твоим самодроченным сертификатом не стоит…

            28

            0
            • Скакуняку на гилляку:

              Лови защеку, ты защекан соси и помалкивай.
              ану скажи сколько злоумышленник будет ебаться и снифить траф.
              И какой блядь он профит может получить.
              Не проще ему бля просто найти уязвимость на сайта или в системе?
              по поводу сертификатов ты опять не прав. с точки зрения защите разницы в них нет
              если ты его сам подпишешь или купить сертификат за 6 баксов или за 2000
              алгоритмы защиты одинаковые.
              Единственное отличие что за 2к проверят, что компания действительно существует.
              Ну и что из этого?
              Еще для упоротых ублюдков, степень защиты и алгоритмы шифрования у всех одинаковые.

              0

              11
              • Нанюхавшийся жизни алгольщик:

                >> с точки зрения защите разницы в них нет
                По-внимательнее, об этом никто не спорит.

                >>Единственное отличие что за 2к проверят, что компания действительно существует.

                Об этом и речь в широком смысле. Ещё раз, тут никто не говорит о том, что будто есть разница, за 2к баксов тебе сделают сертификат используя openssl, или ты сам.

                Для корпоративной сети — понятное дело, что разрабы сами берут ответственность на себя — в договоре это должно быть отражено.

                Но когда речь идет о задействовании Интернет и большого круга лиц, а не только сотрудников компании, которых можно проинструктировать и наказывать за нарушение ТБ.

                Сертификационный центр решает проблему достоверности сертификата, ни больше, ни меньше. И то, как качественно обеспечивается достоверность того, что этот сертификат есть только у тебя, что только ты управлять тем, у кого будет закрытый ключ, и будет ли он вообще.
                В такие моменты невольно всплывает Казахстан в качестве примера. Баши отдал команду, создали свой удостоверяющий центр (хрена делов-то, табличку на дверь повесить) и головная боль госсниффров решена — сэкономлены миллиарды вечнозеленых вместо альтернативного развития сорма, и за это себе даже премию выписать не жалко.
                Единственное, что удостоверяет этот центр по факту — то, что https отменено. И не надо никаких взломов, кряков, каких-то чертей за границей учить писать usb открывашки заточенные под uefi, не нужно покупать 0day вульны, всё что нужно — это запастись лубрикантами, чтобы в самый разгар веселья не останавливаться на достигнутом. У кого ключи этот уц вообще не гарантирует — вполне вероятно, что внучатый двоюродный брат сестры племянника сына маминой подруги, муж которой шишка в центральном управлении МВД, имеет всё для того, чтобы просто сидеть у любого публичного wifi и стричь бабло прямо не отходя от кассы.

                вот здесь как раз и подходит, Скакуняка, твоя цитата:
                >> И я могу сказать что это просто блять мыльный пузырь.

                4

                2
        • Бариста с АромаМусияка:

          Призываю сюда страпонессу PhD Настеньку с её высоким образованием в каких то безопасностях Тиндера…
          Она вам сейчас прочитает лекцию… а потом офер настрочит.

          3

          1
        • Эникей:

          Пиздуй туда, где не дают отсебятину хуярить на пэршу шпальту каждому блядь встречному эникею, каждому жидоангуляру, выебщику, влюблённому дрочуну, стукачу, маргиналу, иллитте, просто хорошим людям. Пиздуй в тепло лампового продакт плейсмента. Там жалуйся. Ишь чего удумал! Ты действительно тут хотел узнать новое про сайтики с замочком? — несчастный ты человек. тут приходят за IT, за ебаным Интер Тейментом.

          3

          3
    • защекан:

      лови за щеку!

      1

      0
    • Тамтам:

      Взял афтора на стоячий хуй. Не, я не гей, гей — это кого ябут. Статья — гавно, афтар — малолетний далбоеб-гумус. Сосите хуй.

      7

      11
      • Дружная команда рубистов из Днепра:

        Ребята, мы не пидарасы, просто иногда теряем контроль за своей жопой !

        20

        0
  2. Витя с химмаша:

    т.е. если я комуто отсыпаю за щеку по https какаята сучка может все перехватить? какого хуя?

    80

    1
    • Мимокрок:

      Зато представь, так ты за щеку отсыпаешь одному, а выходит одному и еще третьим лицам! Много ходов очка

      101

      0
      • Витя с химмаша:

        Надо Бозуке сообщить, что когда будет доставлять годный контент Тане по https, чтобы убедился что нету 3х лиц посередине

        37

        0
        • Вика Мусияка:

          Мой контент лучше и гораздо дешевле !!!11

          0

          0
    • Бариста с АромаМусияка:

      Настя с Тиндера может тебя за твой SSL вяленький схватить

      2

      0
  3. Понадусович:

    Мистер сайбер недолбойоб наверно не знает, кому принадлежат TOR сервера. Слыхал как Silkroad вычислили? PKI на то и паблик, что на рутах завязана. Да и на провайдер сайдах ничего нет — тебе Сноуден все подробно рассказал как траф снимают. Самый надежный способ работы в Интернете, если таковой вообще можно найти, является private VPN, даже дабл если угодно.

    Очередной хохложопыш возомнил себя умником, прочитав по накурке securitylab.

    10

    42
    • Жора:

      Любой, кто админит какую-нибудь циску с nbar или прокси на продакшене скажет то же самое, тупень. А расскажи-ка нам, как Силку вычислили? Ты хоть сначала сам прочитай подробности в дыркнете, прежде чем тупую хуйню нести. TOR сервера кому принадлежат? Ты хоть знаешь, как работает Tor? Иди защекоинов поешь, пойди мысли поумнее в голову придут

      41

      0
      • Поблядым:

        Ты какой-нить новоиспеченный CCNAщик, проработавший у кыйивському офиси Воли лет 8, готов поспорить. Твой nbar, уебок ты малограмотный, работает в «process switching» на офисных ISRах. Но поскольку ты понадусэшник, как и большинство хохло спыциалыстив, то метать пред тобой бисер будет твой хохло говноменеджер, когда ты, набравшись смелости, будешь умолять о повышении зп на пару сотен гривен.

        2

        50
        • Жора:

          Слыш, проблядун с ангулярным дуплом? Я в курсе всего, что происходит в данный момент у провайдеров, что там стоит и как работает. У тебя молоко не обсохло еще на губах, которые защекоины ловят ежеминутно. Понаписал какую-то хуйню не по делу, а сказать-то и нечего. Я легким движением своего хуя могу захуякать все випиэны твои проблядунские на уровне ПРОТОКОЛА. Все твои СОКСЫ, и соски и письки, и прочее говно. А вот неизвестный трафик, он же obfuscated traffic, никто блочить не будет никогда, потому что отвалится к хуям много чего. Поэтому obfs — единственное, что будет всегда работать. Иди матчасть изучи, сынок

          25

          0
          • Йэвро-Колядым:

            > obfuscated traffic, никто блочить не будет никогда, потому что отвалится к хуям много чего.
            угу, ты с быстрым там поаккуратней, а то страна лишится еще одного крыпто-побратыма

            Поспела твоя матчасть: https://www.youtube.com/watch?v=3HX01Ca10TU

            1

            12
            • Витя с химмаша:

              Ребята пора расслабиться и посмотреть что там в рюкзачке админа 😉

              0

              0
          • Тамтам:

            Обфускал свой белковый трафег тибе в ротан. Достал, терь можешь заблокировать порт.

            3

            7
            • Мария Ракова:

              не успел ты достать, бегаешь девочкой теперь

              4

              0
      • Дядя Степа:

        Поддерживаю. Просто уебаны долбятся в ангулярное дупло, думать им некогда

        2

        0
  4. Tea Time:

    > никогда не доверяйте голому HTTPS свою безопасность, ведь это не больше, чем волосишки на вашем лобке

    блять, чтоб придти к такой формулировке недостаточно только бухать и колоться, надо еще и с рождения быть ебнутым дегенератом

    83

    6
    • Tea Time:

      алсо, слышь, Сразу Битый, что ты нах там шифруешь? мамка со сниффером попалила за просмотром гейской порнухи?

      46

      1
      • Жора:

        Жаркоин, перелогинься

        3

        1
        • Tea Time:

          перелогинился за щеку твоей мамке

          2

          0
          • Дядя Степа:

            Пока ты там его мамку ебал, я выебал твоих сестёр в жопу 😉

            4

            0
            • Tea Time:

              ты хотел написать, что выебал козу в жопу, но потом отвлекся, утырок дислексичный

              0

              0
  5. Мнение ебанной редакции:

    Скачал 100 петабайт порно. К апокалипсису готов.

    32

    0
    • Мария Ракова:

      куда сохронил, peace da ball?

      9

      2
      • Витя с химмаша:

        Мария, ну вам то и не знать, конечно за щеку, ему еще хрюши ебам обещали экзобайт золотого дождя насыпать, чтобы с жажды не помер в апокалипсис!

        5

        0
        • Мария Ракова:

          так для него есть работа в невеселом будущем. Мыкола Мнемоник, 100 петабайт защекой

          2

          1
      • Грузинка:

        Маруся, в твой рот и больше поместиться!

        1

        0
    • Тамтам:

      По https качал?

      5

      1
  6. itPutin:

    Я тоже так думаю… думал… буду думать. Откуда ты такой умный вылез блядь.

    11

    2
  7. Cogniance Ex:

    если по HTTPs нельзя кидать на последнюю зарплату, то протокол — гавно!

    79

    0
  8. SENIOR ANGULAR TEAMLEAD:

    А на ангуляре будет работать?

    17

    0
    • худой конец:

      я пробовал — он узок, как глазок махно.

      4

      0
    • Вова с Якутии:

      Будет. Более того, защекоины будут лететь во все стороны

      2

      1
  9. Биллибой:

    > Connection Probing

    А почему обычные юзвери до сих пор не подняли файлопомойки на своих компах?

    > HTTPS с доверенными CA — ну никак ни разу не end-to-end, блять. А вот как раз истинный end-to-end обеспечивает безопасность, к примеру SSH.

    Ничё что SSH работает на тех же стандартах что и HTTPS?

    3

    11
    • Борис Моисеев:

      SSH — полноценный e2e, тащемта, аффтар прав.

      15

      1
      • Биллибой:

        Ну и на HTTPS при правильном выборе рута можно это организовать.

        Стандарт-то один!

        1

        6
      • TL:

        вопрос весьма спорной терминологии
        если мы говорим о шифровании то HTTPS это как раз e2e encryption и там также есть forward secrecy
        автор конечно местами перегибает (либо поверхностно владеет) даже по моим меркам
        но вот тут вы накинулись зря на него..
        а зачем тогда root-ca? грубо говоря — для того чтобы удостоверить, что ключ e2e шифрования был создан именно запрашиваемым ресурсом, а не челом по середине.
        а в SSH вы запоминаете хеш ключа в первый логин, но его изначально никто не удостоверяет
        конечно лучше чем HTTPS будет HTTPS + Certificate Pinning
        но всякие уебанские гуглы генерят сертификаты на google.com чаще чем я хожу в уборную
        а еще автор не понимает что подделать сертификат можно попробывать через BGP или DNS
        вот кто отвечает за com? VeriSign? А штаб квартира где? Пендосия и АНБ ))
        с другой стороны публичность такого механизма создает определенный риск для больших компаний
        и даже такие монстры как Symantec когда начинали выебываться получали пиздюлей
        но в целом да — без сообщества один в поле не воин…

        5

        2
  10. Горбатый_Коллектор:

    Товарищь майор отъебитесь пожалуйста…

    2

    6
  11. худой конец:

    Бля почему Настя мне не пишет сюда? Я выебу её

    3

    1
    • Настя:

      Парня своего выеби, петушня айтишная

      5

      0
      • худой конец:

        нет, ты не Настя. Настя, как и Лёха, никогда не пишут… Ты — прыщавый задрот, я твоё очко сделаю вагиной и выебу.

        0

        0
  12. Элвис:

    Какого хуя в последнее время столько статей про свинособакию?

    30

    2
    • Зигмунд Фройд:

      Потомучто HTTPS — кацапское говно, чтобы нагружать сеть ненужными данными. Всегда сижу по HTTP и ни разу ещё проблем не бьыло.

      3

      18
      • Вова с Якутии:

        Я бы даже сказал, «нагружать сеть ВРЕДНЫМИ данными». Даже если «замок» зеленый, один хуй страница не проверяется на поддельность.

        3

        1
        • Биллибой:

          > Даже если «замок» зеленый, один хуй страница не проверяется на поддельность.

          Пользуйтесь правильными браузерами, которые проверяют на поддельность, методом отсылки страницы на свой приватный сервер.

          0

          1
          • Дядя Степа:

            Ну-ка давай, просвяти-ка всех про правильные браузеры! 😀

            3

            0
      • Витя с химмаша:

        Я вещества только по http продаю, наркокококонтроль сканит то https, какому психу прийдет в голову распространять по http?

        16

        1
      • Зигмунд Фройд:

        Иди нахуй. Только кацап такое мог сказать

        6

        2
  13. Ебаный читатель:

    Какова хуя тут делает этот кацапетский высер?
    ЗЫ: Специально для кацапетов — чистый HTTP без шифрования, с регистрацией и SMS, дорого!

    10

    7
    • Жора:

      Специально для тебя — каждый второй защекоин по цене трёх

      5

      1
  14. Scum Master:

    Расскажите кто подробнее и понятнее про VPN. Я использую его, чтобы меня за торренты в США не нагнули, а тут в статье говорят, что это легко обходится и пользователь таки нагибается.
    Короче, поясните про блокирование и иллюзию безопасности, а то я волнуюсь.

    2

    2
    • Вова с Якутии:

      VPN палится. SOCKS палится. HTTPS палится. Обфусцируй трафик.

      3

      2
      • Scum Master:

        Вот я и спрашиваю — каким образом палится? Статья не раскрывает этот момент.

        1

        1
        • Витя с химмаша:

          Всё просто, vpn это virtual private network, т.е виртуальная приватная сеть, а тебе надо rpn real private network, rpn работает только на руби+ангуляр, ну там на крайняк можно реакт с пыхой

          8

          3
          • Чугунный Скороход:

            После руби и ангуляра не факт, что способно вообще что-то помочь.

            3

            0
            • Грузинка:

              Все таки кое-что может
              Все расские тренируются сидеть на бутылке с детсвта, чтобы когда они позже налажили — анальная кара им не была так страшна
              Так что качай порно и готов жопу!

              5

              1
        • защекан:

          сам факт ВПНа палится, а шо там внутри передается нихуя не палится. Твое порно в безопаснисти защекан!

          0

          2
          • Дядя Степа:

            ты переел защекоинов, Боря… Во многих случаях можно узнать, что там передается. А если охуительное шифрование — зарубить VPN, чтобы хомячек ходил в интернеты без него. Это дело времени и желания жаркоинов

            4

            0
    • /dev/null:

      Жертва бана гугла? Чучело вайтишное.

      3

      3
      • Scum Master:

        Я манагер-гуманитарий, пришел к вам, важнам господам, со вролне конкретным вопросом. Что трудного просто взять и ответить?

        1

        1
        • Грузинка:

          нахуй ты нужен, отвечать тебе?
          Иди спроси у своих гребцов ахуенных

          0

          1
    • FBI:

      Thanks for letting us know! See you soon mate!

      18

      0
    • SENIOR ANGULAR TEAMLEAD:

      Используй Ангуляр и Друпал

      3

      0
    • Зигмунд Фройд:

      На хабр, жывотное!

      2

      1
    • Senior Pomidor:

      Максимально коротко: что-то передаешь по VPN не палится, палится сам факт использования VPN. Это как тихо бздануть в переполненной маршрутке, кто бзаднул хз, но что бзаднул понятно всем.

      13

      2
      • Senior Pomidor:

        *что-то — то что

        1

        1
      • Нью Вайтишник:

        Спасибо помидор 🍅
        А то только защекоины горазды раздавать в комментариях

        2

        1
      • Дядя Степа:

        Учитывая, что дохера кто использует VPN с уебанским шифрованием, тащемта не настолько сложно и узнать то, что там передается

        5

        0
  15. HTTP без S:

    УДОЛИИИИИ!!!!1111

    14

    0
  16. Nobody:

    Вообщем то вы не против ходить на какой-нибудь интернет банк по http, я понял.
    >А если произойдет взлом сервера рута и будет произведена MITM атака.
    Если у бабушки будет хуй, то она станет дедушкой, но пускай сначала пришьёт и посцыт стоя.
    А вообще уровень статьи крайне делетантский — начал за https, а закончил блокировкой vpn. Про техническую составляющую этого высера можно даже не начинать критику, тут автор не в состоянии сконцентрироваться на одной теме и его штормит по всей гавани, чем он и хочет удивить.

    22

    2
    • Разочаровавшийся в редакции весляр:

      Ахтунг, хаброблядь в треде! Иди на хабр выебывайся, опёздол

      4

      2
    • Защекоин:

      А ты что, ожидал куски логов циски\прокси\хуёкси и хаутушки про то, как по воздуху генерировать защекоины?

      3

      0
      • Tea Time:

        не, тут как раз все ожидаемо, какой-то уёбок распедаливает за то, в чем, по-видимому, нихуя не разбирается
        это ебаное, все ок

        12

        1
        • Грузинка:

          в России это нормально, пример с Путина берут

          7

          1
        • Дядя Степа:

          А ты в чем разбираешься — то? Докажи, что HTTPS — безопасный протокол. Докажи, что VPN защитит от MITM и реверс-проксей:) Хуй ты докажешь, для таких ангулярных дуплоёбов в статье и написано, что VPN палится и блокируется. Палится всё, кроме обфусцированного трафика. Поадминь продакшн прокси какой-нибудь или nbar, увидишь много интересного. А провайдеры видят куда более интересные вещи 😉

          4

          0
          • Колхозник с Кремля:

            Дядя, ты блять кому пишешь-то? Тут большинство аудитории — тупые овцы

            0

            0
            • Дядя Степа:

              Есть надежда, что здесь есть адекватно думающие люди, а не просто кучка деградантов ебаных

              1

              0
          • Tea Time:

            в умелых руках дяди степы даже ложка — смертельно опасное оружие, как и любой предмет в руках долбоеба.

            мне вот интересно, блять, вы, кибербезопасты хуевы, в одноглазники и вконтактик лазите всякий раз через впн, тор, соседский вайфай и китайский прокси? шоб ни дай боже ПРАВИТЕЛЬСТВО не запалило? впн блять палится. и что?

            уже лет 5 как старина Сноуден рассказал кто и где что слушает. и меня это начнет беспокоить если я решу устроить революцию или продать секретик государственный.

            до тех пор пока кулхацкер степочка сидя в макдаке на деньги, выданные ему мамкой, может с уверенностью сказать, что я пользуюсь впн и потом проглотить защекоин, я буду в порядке.

            сильно хочется СИКРЕТНОСТЕ? раздавай блять всем OTP и вещай на коротких волнах, если впиливаешь, о чем я. самое главное — не забудь сука пэд сожрать после трансляции, а то санитары все РАСШИФРУЮТ.

            0

            0
          • Tea Time:

            btw, Степаша, ты в курсе, кто вам оплачивает обфс4 и тор?

            https://www.theguardian.com/technology/2014/jul/29/us-government-funding-tor-18m-onion-router

            мне кажется, что кто-то тут обфусссцирует против ветра

            0

            0
  17. Носки гребца:

    Давно такой фигни не читал. Сиди через SSH и читай матчасть!

    3

    3
    • Защекоин:

      Ты просто дегенерирующий ангулярный макак

      4

      0
      • SENIOR ANGULAR TEAMLEAD:

        Думаешь, Ангуляр это легко?

        2

        0
  18. Дид:

    У дидов не было HTTPS и выжили как-то.

    29

    0
  19. Константин:

    Это что обострение у школьников?
    Пост ниочем. Хочешь «секурный» https — делай свой собственній PKI, делай двухстороннюю аутентификацию и потом раздавай коллегам по палате персональные ключи. В чем проблема то. Мало того из того же ssh можно сделать PKI с root ключами. GHj DPI вообще наркоманский бред. Если организация нормальная, все что не разбирает DPI и все что не оффлоадится на корпоративных сертификатах дропается, а если контора не нормальная — нахер ей DPI.

    По поводу Tor отдельная история. Все в у азиатов в норме работает, а потом как сьезд партии — хлоп и tor не пашет и так и через обфускацию. неделя с окончания сьезда прошла — все снова работает.
    Короч смешалось в кучу все. шифарание от мамкинЫх кулхацкеров, анонимизация в сети, DPI.

    вывод один — пост херня очередного CCNA, афтар то ли птушник, то ли школота, то ли Админ от Бога.

    27

    0
    • Бен Ганн:

      \\все что не разбирает DPI и все что не оффлоадится на корпоративных сертификатах дропается
      Слова матроса диванных войск. В этом случае отвалится всё, что можно. Ебанулся что-ли? Это всё равно, что кабель отрезать. Интернет состоит не только из http(s),vpn и так далее.

      4

      1
      • Anonymous:

        Комент Константина — единственный грамотный текст на этой странице. Тебе же пишут про корпоративную сеть, а не глобальную. HTTPS прекрасно минимизирует те риски для минимизации которых создавался, но не является панацеей от всех бед «сайбер сесурити». От себя добавлю, что TLS с использованием алгоритма Диффи-Хеллмана для получения сессионного ключа симметричного шифрования в принципе не возможно перехватить пассивным MITM даже если известен приватный ключ сервера. А активным MITM-ом можно и SSH просматривать при определенном благоприятном для атакующего стечении обстоятельств. Удваиваю то, что те, кому нужна безопасность должны иметь свою собственную PKI. Хотел было накидать сюда годных ссылок как можно завернуть openvpn в туннель obfs4, да вспомнил заповеди жукорыбы о том, что тайные знания масонской ложи нужно оберегать и одумался.

        19

        1
        • Tea Time:

          не давайте святыни псам и не бросайте жемчуга вашего перед свиньями, чтобы они не попрали его ногами своими и, обратившись, не растерзали вас ©

          5

          0
        • Дядя Степа:

          >>активным MITM-ом можно и SSH просматривать
          Ты сам понял, что написал?

          3

          1
          • Anonymous:

            Пассивный MITM — когда злоумышленник трафик только смотрит. Активный — когда он может его модифицировать. Предположим, что ты подключаешься к серверу SSH в первый раз и не знаешь точно его хеша. Как ты проверишь факт, что между тобой и сервером нет, например, такой приблуды: https://github.com/jtesta/ssh-mitm ? Конечно ты можешь написать мне про дедушку, бабушку и детородный орган, но я же специально выше писал «при определенном благоприятном для атакующего стечении обстоятельств».

            0

            0
            • Когда я, к примеру, хочу подключиться первый раз к серверу по SSH, я для начала прошу визуальное представление SSH ключа, чтобы точно знать, что я подключаюсь именно туда, куда надо. В чем здесь сложность?

              1

              0
              • Колхозник с Кремля:

                Сложность лишь в том чтобы первоначально получить это визуальное представление, но всё это решаемо.

                2

                0
    • хоп:

      плюсую. комптиенции ноль, порет какую-то ебалу, пыхыпешник ебучий.

      3

      5
    • Нечеловек:

      Не подумайте, что меня забанили в гугле, но все-же, с означенной темой я знаком на уровне автора (википедию читал). Лично для чебя, проясните, пожалуйста в общих словах следующий момент:
      > делай двухстороннюю аутентификацию и потом раздавай коллегам по палате персональные ключи

      как хотя-бы примерно оно настраивается в nginx и куда девать означенные персональные ключи означенным персонам?

      0

      2
      • Дядя Степа:

        Я тебе по-секрету скажу, что автор в этой теме очень даже дальше Википедии ушёл 😉

        2

        3
    • >>двухстороннюю аутентификацию
      Мда… Это тоже лобковые волосы, тащемта.

      >>все что не оффлоадится на корпоративных сертификатах дропается
      Дропается, говоришь? А ты сам пробовал дропнуть неизвестный трафик? Попробуй, пукан рванет раньше, чем скажешь «Ыыый»

      >>потом как сьезд партии — хлоп и tor не пашет
      Пруфы в студию. А их не будет, потому что это пиздеж

      >>Хочешь «секурный» https — делай свой собственній PKI
      Этого НЕДОСТАТОЧНО в корне!

      1

      2
      • ∃!:

        >>> Пруфы в студию. А их не будет, потому что это пиздеж

        >>> Этого НЕДОСТАТОЧНО в корне!

        Через строку в одном сообщении? Серьезно?

        2

        0
  20. ВИЙ:

    а вот нехуй шастать по непотребным сайтам — и прятать будет нечего

    2

    3
  21. /dev/null:

    Автор 14-летний ЭксперД по кибербезопасности.

    7

    4
    • Бен Ганн:

      А ты, видимо, младенец с грязной жопой, коли не вкурил тему.
      Слышал про реверсивный прокси? Тот самый, который видит весь проходящий https трафик и перешифровывает, далее отдаёт пользователю? Скорее нет,не слышал, куда тебе.

      3

      5
      • Tea Time:

        ну нихуя себе, жертва реверс-прокси
        сука как йети или лох-несское чудовище

        4

        2
      • Anonymous:

        А корневой сертификат которым это прокси поддельные сертификаты для других сайтов заверяет тебе мамка в доверенные установила чтобы сыночка был под присмотром даже когда в комнате один остаётся? Или ты из тех, кто забивает на непонятного мужика с дубинкой которого тебе firefox заботливо отображает ради такого случая и сразу добавляешь исключение чтобы какая то лажа не отвлекала от просмотра видео любимого жанра?

        1

        3
        • Дядя Степа:

          А ты проверь media.viber.com Openssl’ом 😉 И увидишь типичное поведение реверс-прокси. Но прокатит только, если ты в РФ.

          4

          1
          • Бен Ганн:

            Да так-то не только в вайбере дело. Даю подсказку: Клаудфларе 😉 Я уже давно наблюдаю, как эти пидоры чета мутят непонятное, в Рашке же их серверы есть, вполне себе подконтрольные нашим властям

            2

            0
          • Anonymous:

            Нашел чем хвастаться, сверхдержава :-). В Казахстане вроде еще круче сделали: https://web.archive.org/web/20151202213445/http://telecom.kz/news/view/18729
            Там где-то выше один благородный дон хорошо описал всю суть TLS: «чем ебаться со снифером проще к серверу доступ получить». То, для чего задумывался TLS, а именно, чтобы Васе-скрипткидису было проще пытаться к твоему компьютеру физически или через троян пробраться, чем трафик подслушивать, TLS cо стандартным набором корневых сертификатов решает на 100%. Никто вам изначально защиту от государства и крупных корпораций не обещал. С другой стороны если у тебя своё PKI в идеале на аппаратных решениях и ты собственноручно по каналу с приемлемым для тебя уровнем безопасности донес до всех твоих устройств свою цепочку доверия, то стоимость перехвата/подмены трафика между сервером с сертификатом, заверенным твоим собственным корневым или промежуточным CA и устройством, на которое установлен ТОЛЬКО твой доверенный корневой сертификат, возрастает до астрономических сумм. И то, это при условии, что всё правильно настроено. И всё. Больше ты вообще ничего на этом стеке технологий не добьешься в принципе. TLS вообще не предназначен для борьбы с блокировками и предотвращением детектирования факта, что между сервером и клиентом был зашифрованный сеанс передачи данных по протоколу TLS. А вы с ОП-ом обижаетесь, на то, что шлюха, которой вы оплатили абонемент на принятие ровно одного защекоина, отказывается в квартире убрать, за продуктами в магазин сходить и обед приготовить. Как дети малые, ей богу.

            3

            0
            • ∃!:

              >>> Национальный сертификат безопасности обеспечит защиту казахстанских пользователей при использовании протоколов шифрованного доступа к зарубежным ресурсам сети Интернет.

              Заебись

              0

              0
              • Дядя Степа:

                Да не используется там этот сертификат нигде, хотя он существует. Не хватило кишочки внедрить везде эту поебень.

                0

                0
    • hello-goodbye05:

      Григорович ездил продавать казаков в 17 лет,кевин митник взломал свой первый сервер лет в 16,а тому челу который спиздил hl2 с серверов валв и выложил в сеть было 13-14лет,я в 15 был сеньер а в 18 тимид.Так что не надо мерить всех своими мерками отсталыми,займись лучше самообразованием , сходи на курсы

      0

      5
  22. Major:

    ИШЬ БЛЯДЬ ПРИСОСАЛИСЬ К ИНТЕРНЕТАМ, А НУ СУКИ БЫСТРО В РУКИ ВЗЯЛИ ЛОПАТЫ И В КОЛХОЗ НАХУЙ КАРТОШКУ КОПАТЬ.

    5

    3
    • Бен Ганн:

      Саша, лучше защекоины поешь

      5

      0
      • Major:

        Будет вам в КОЛХОЗЕ и социальная сеть со свиньями и порнохаб с козами.

        4

        0
  23. SeniorAngular:

    ПОСОНЫ! Смотрел вон видосик https://www.youtube.com/watch?v=QXjzP-zndrE Каково мнение ебаного?

    0

    2
    • SeniorAngular:

      Не в тему топика, естественно

      2

      0
    • Защекоин:

      Есть видео, где её трахают?

      6

      0
    • Mask:

      Кто взял этого уебана в TESLA?

      2

      1
      • Tea Time:

        …endorsed by Prashant Srivastav (Senior Software Engineer, full stack .net developer)
        если вы понимаете, о чем я

        0

        0
    • /dev/null:

      Бля, меня одного уже заебало, что весь ютуб засран блогам о жизни быдлокодеров в США, влогами ихних неработающих, тупорылых жен и прочим бесполезным трэшем, где они рассказывают все одно и тоже. Обезьяны с камерой, блин.

      10

      2
      • DevOops:

        Ютуб подбирает контент пользователя по его статистическим предпочтениям.

        4

        0
  24. QwertyПидор:

    Графоманство от какого-то обдолбанного девопса (системный администратор уже не модно), пруфы так себе, лучше бы принтеры чинил

    11

    3
  25. ∃!:

    Типичная теория заговора хранителей рутовых CA против неуловимого Джо. Не устанавливай левых издателей и спи спокойно.

    1

    4
    • Дядя Степа:

      openssl s_client -connect media.viber.com:443
      ………………….
      Verification: OK

      New, (NONE), Cipher is (NONE)
      Secure Renegotiation IS NOT supported

      Видишь последнюю строку, уебан из ангулярной вселенной? Это значит, что там реверс прокси стоит, который перешифровывает трафик, и при этом никто не ругается на сертификат. Подумай, как это делается. Левых издателей, блять…

      5

      8
      • ∃!:

        Лол. Найди что-то еще старее. Реверс-прокси он принес. Уноси.

        3

        1
        • Дядя Степа:

          Уебан что-ли? Чего старее? Вайбер — как пример, что реверс прокси на хую вертел ваши ХТТПС. А при должной настройке хуй кто заметит его присутствие без анализа. Иди защекоины жуй

          1

          2
          • ∃!:

            Настройка ). Если ты, прокси-настройщик, рассчитываешь на таких же деградантов старых пердунов как и ты сам, которые бурлят от уязвимости закрытой почти 10 лет назад, то кто тебе доктор. Ежели твой выброс о том, что доказательства отсутствия уязвимости в системах (протоколах как пример) в общем случае нет, то не нужно это подавать так пафосно, как что-то сверхъестественное.

            0

            3
        • Бен Ганн:

          А чего тут тебе не нравится? Человек тебе показал, что перед серваков вайбера стоит ебаная прокся, которая хуй пойми, чем занимается. А ты че, думал что на вайбер просто так господин уЖаров не залупается?

          1

          2
          • ∃!:

            Стоит нарушая рекомендации rfc. Дальше тебя ни один норм клиент (криптолиба что в рантайме) не поведет, точно так же как и с левым CA — предупредили, а дальше сам, на свой страх и риск. Можно без tls тупо по http ходить если мозгов нет и что? Проблема явно не технического характера и не с https.

            1

            2
            • ∃!:

              $ curl -S https://raw.githubusercontent.com/openssl/openssl/master/CHANGES 2>/dev/null | grep -P -B4 -A5 «CVE\-2009\-3555»
              Changes between 0.9.8k and 0.9.8l [5 Nov 2009]

              *) Disable renegotiation completely — this fixes a severe security
              problem (CVE-2009-3555) at the cost of breaking all
              renegotiation. Renegotiation can be re-enabled by setting
              SSL3_FLAGS_ALLOW_UNSAFE_LEGACY_RENEGOTIATION in s3->flags at
              run-time. This is really not recommended unless you know what
              you’re doing.
              [Ben Laurie]

              $ openssl s_client -connect ssb.epcc.edu:443
              CONNECTED(00000003)
              140048446288320:error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure:../ssl/record/rec_layer_s3.c:1399:SSL alert number 40

              Secure Renegotiation IS NOT supported

              $ openssl version && curl -S https://ssb.epcc.edu
              OpenSSL 1.1.0g 2 Nov 2017
              curl: (35) error:14094410:SSL routines:ssl3_read_bytes:sslv3 alert handshake failure

              $ docker run -it —rm openssl:0.9.8k /bin/bash -c «openssl version && curl -kS https://ssb.epcc.edu»
              OpenSSL 0.9.8k 25 Mar 2009

              0

              2
      • Senior Pomidor:

        Так ты сам сертификат чекни, а заодно у себя за щекой, мамкин кулхацкер.
        * Server certificate:
        * subject: C=LU; ST=Luxembourg; L=Luxembourg; O=Viber Media Sarl; OU=IT; CN=*.viber.com
        * start date: May 31 00:00:00 2018 GMT
        * expire date: Jun 26 12:00:00 2019 GMT
        * subjectAltName: host «media.viber.com» matched cert’s «*.viber.com»
        * issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=Thawte RSA CA 2018

        └─$ curl -v https://media.viber.com:443
        * Rebuilt URL to: https://media.viber.com:443/
        * Trying 52.222.150.18…
        * TCP_NODELAY set
        * Connected to media.viber.com (52.222.150.18) port 443 (#0)
        * ALPN, offering h2
        * ALPN, offering http/1.1
        * successfully set certificate verify locations:
        * CAfile: /etc/ssl/certs/ca-certificates.crt
        CApath: /etc/ssl/certs
        * TLSv1.2 (OUT), TLS handshake, Client hello (1):
        * TLSv1.2 (IN), TLS handshake, Server hello (2):
        * TLSv1.2 (IN), TLS handshake, Certificate (11):
        * TLSv1.2 (IN), TLS handshake, Server key exchange (12):
        * TLSv1.2 (IN), TLS handshake, Server finished (14):
        * TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
        * TLSv1.2 (OUT), TLS change cipher, Client hello (1):
        * TLSv1.2 (OUT), TLS handshake, Finished (20):
        * TLSv1.2 (IN), TLS handshake, Finished (20):
        * SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
        * ALPN, server accepted to use h2
        * Server certificate:
        * subject: C=LU; ST=Luxembourg; L=Luxembourg; O=Viber Media Sarl; OU=IT; CN=*.viber.com
        * start date: May 31 00:00:00 2018 GMT
        * expire date: Jun 26 12:00:00 2019 GMT
        * subjectAltName: host «media.viber.com» matched cert’s «*.viber.com»
        * issuer: C=US; O=DigiCert Inc; OU=www.digicert.com; CN=Thawte RSA CA 2018
        * SSL certificate verify ok.
        * Using HTTP2, server supports multi-use
        * Connection state changed (HTTP/2 confirmed)
        * Copying HTTP/2 data in stream buffer to connection buffer after upgrade: len=0
        * Using Stream ID: 1 (easy handle 0x55b01ee028e0)
        > GET / HTTP/2
        > Host: media.viber.com
        > User-Agent: curl/7.58.0
        > Accept: */*
        >
        * Connection state changed (MAX_CONCURRENT_STREAMS updated)!
        < HTTP/2 503
        < content-type: text/html
        < content-length: 507
        < server: CloudFront
        < date: Tue, 07 Aug 2018 06:07:35 GMT
        < expires: Tue, 07 Aug 2018 06:07:35 GMT
        < x-cache: Error from cloudfront
        < via: 1.1 1f95d1a95c6f2df8073daccac07b7570.cloudfront.net (CloudFront)
        < x-amz-cf-id: kJZ2h70JNjb—6WYRUTLWpAvNbc-kW5Cqi5sJPTPJKJzp18q308Hyg==

        1

        2
        • Ну и чё ты этим хотел сказать? Ты заголовок Via видишь? Заголовок Via указывается для указывания промежуточных протоколов и адрессатов, если данные идут не напрямую, а через прокси, в т.ч. реверсный. Мамкин админ

          1

          3
          • Anonymous:

            Наверное то, что соединение было установлено с сервером именно cloudfront-а, который компания Viber сама наняла (а иначе откуда бы у cloudfront-а был бы ключ от wildcard-а Viber-а?) чтобы он принимал и балансировал запросы на сервера Viber, а не с компом соседского мальчика Васьки, который освоил связку ettercap и sslsplit.

            3

            1
            • Да да да да. А вот как раз серверы cloudfront есть в РФ, и следовательно те, кому нужно, получат доступ к пересылаемым данным. Вот только не говорите, что этот прокси не хранит в открытом виде данные). Проблема как раз в том, что на легальных условиях используется дешифровка трафика и его последующее хранение.

              1

              3
              • Разоблачил:

                Заголовок via действительно указывается для указания промежуточного (прокси) сервера, однако это вовсе не означает, что трафик может быть перехвачен кем-либо, кроме сервера, обладающего приватным ключом и сертификатом домена. Проксировать SSL трафик, не имея приватного ключа и сертификата невозможно. На легальных условиях получить доступ к данным не возможно. Так что иди нахуй, жукопидор вжопуебанный. Учи матчасть, днище.

                6

                0
                • Защекоин:

                  Если есть промежуточный прокси, то он, ебать его в сраку, перешифровывает трафик, понимаешь? И ты, ебать тебя в сраку, сам признал, что Via указывается для указания промежуточного прокси. А этот промежуточник — форвардинговый прокси! Ты че не смекаешь? Это наверно потому что я тебе за щеку накидал, не подавись голубочек

                  0

                  1
                  • Разоблачил:

                    Прокси не мог бы перешифровывать трафик, не обладая валидным ключом и сертификатом домена. А если облалает — значит делает это с ведома владельца дрмена. В этом нет ничего криминального, как и в том, чтобы ссать на твою тупую туго соображающую башку.

                    6

                    1
                    • Колхозник с Кремля:

                      Если ты еще ничего не понял, то ты хуй, а мать твоя шлюха. Лови ужЕнкоин

                      1

                      2
                    • Разоблачил:

                      Слилась дура.

                      2

                      1
                    • Дядя Степа:

                      Да ты блять матчасть поучи, любой форвардинг\реверс прокси перешифровывает трафик, в том и дело. Потому что этот прокси создан самим владельцем сервиса, и туда запиханы ключи, сертификаты и защекоины. Но так как в случае вайбера\вацапа сервачки имеются в РФ, то как ты блять думаешь, кто имеет доступ к тем данным на этих самих прокси? И данные эти в полностью открытом виде видны на стороне прокси.

                      0

                      0
              • Anonymous:

                Ну так это РФ (за законы) и Cloudfront c Viber-ом (за то, что прогнулись перед РФ вместо того, чтобы попросту перестать принимать соединения с российских IP) — вот то вот самое. А ты тут накатал целую статью о том, что TLS и VPN — плохие протоколы. Аргументируешь тем, что они не помогут жителю полицейского государства хоть как-то попытаться пока ещё можно хоть на пол шишечки реализовать свои права, как человека (специально для тебя нашел новость на авторитетном ресурсе: https://lenta.ru/news/2011/06/07/basicright/ + смотри конституцию государства, резидентом которого являешься). При этом ни один из этих протоколов не предназначен для противодействия интернет-цензуре. Ну и кто ты после этого?

                0

                0
                • Защекоин:

                  А ты про OBFS в статье не увидел? Эт жеж единственное средство на текущий момент. А протоколы реально говенные и нихуя не обеспечивают безопасности в том виде, в котором щас используются. Лови защекоин, кстате

                  4

                  0
          • Senior Pomidor:

            Ты не смекаешь в том, как работает SSL и для чего нужны сертификаты.
            Объясняю на пальцах:
            1) ты как владелец домена получаешь сертификат, подтвердив владение доменом
            2) создаёшь клаудфронт дистриб и суешь туда сертификат
            3) коннектишь клаудфронт со своим бэкендом

            Никакой Вася не сможет представиться media.viber.com, если у него нет сертификата или валидного CA для твоего клиента.

            5

            0
            • Дядя Степа:

              Правильно, тут и представляться не надо. А ты думаешь, чё на телеграм напали, а на вибер нет? Потому что у вибера в клаудфронте (чьи машинки есть в РФ) имеется форвардинговый прокси, где хранятся в открытом виде все данные.

              0

              0
      • Anonymous:

        Это говорит только о том, что настройки твоего клиента не соответствуют тем требования к информационной безопасности, которые ты к нему выдвигаешь. А кто за настройку клиента отвечает? Давай разберемся: сам протокол плохой или настройки по-умолчанию, которые кто-то не удосужился сменить? Кстати, интереса ради, повтори на эмуляторе самого свежего андроида. Оно, к примеру, не валидным считает даже соединение с использованием сертификата из своего доверенного хранилища при условии, что срок действия этого корневого сертификата больше чем у андроидовской явы настройках для этой проверки зашито.

        8

        0
      • Разоблачил:

        Это означает только то, что данный сервер желает получить имя заправшиваемого домена в SNI, и не более. На одного айпи хостится несколько доменов и несколько SSL сертификатов. Дешифровать трафик SSL не имея приватного ключа и сертификата домена невозможно. Послан нахуй, Степан, учи матчасть обезьяна.

        6

        0
  26. Иосиф Виссарионович Дзержынцки:

    Ща спою (ц). Афтор песдуй на хабр со своей АНАЛитикой и блядь паранойей.

    6

    2
  27. RGAND CEO GAYA ALIASHRAFLI:

    автор типа умный сильно? ну го к нам на зарплатку, поработаешь и мы тебя кинем, чтоб подостыл.

    4

    3
  28. Срал-мастер:

    Че за гавно.

    2

    4
  29. nonname:

    а мне понравилось

    3

    1
  30. Киберполицай:

    Сука, не пали контору! Пусть и дальше думают, шо хттпс и впн — секьюрно шо пиздец. А то перекочуют все в даркнеты, а у нас пуканы бомбанут от невозможности вычислить по айпи.

    2

    3
  31. ☭ ☭ ☭ Северное Сияние ☭ ☭ ☭:

    даже не читал, какая-то блевотина задротская в стиле уебищьного Хабра

    PS меня тут на тостере забанили, Привожу переписку:

    Служба поддержки «Тостер»

    ——Исходное сообщение——
    От: *********
    Sent: 07.08.2018 10:09:23

    > ********** (https://toster.ru/user/**********) обратился в службу поддержки
    > со следующим сообщением: Могу я узнать,
    > почему был удален мой ответ из темы
    > https://toster.ru/q/552486 ?

    Вторник, 7 августа 2018, 10:24 +03:00 от «Тостер»: служба поддержки :

    Здравствуйте!

    Ответ был удален поскольку вы опять принялись за старое (флуд, мат, оскорбления). Мы знали, что вы создали новый аккаунт для обхода санкций, но не ограничивали ваш доступ к ресурсу, поскольку надеялись, что вы уже усвоили, что на наших ресурсах, такое поведение запрещено. Однако, вы вновь начали допускать те же нарушения, за которые были заблокированы ваши предыдущие аккаунты и нам пришлось вновь ограничить ваш доступ к Сервису.

    Вторник, 7 августа 2018, 10:40 +03:00

    Я не удивлен вашими действиями.

    Ваш сайт — говно. Не в техническом плане, а в идеологическом, Он не терпит инакомыслия. Совсем. Ваше поведение очень похоже на поведение среднестатистического айтишника не удовлетворенного жизью — проявить свою силу и волю в…. интернете! Заблокировать. Почувствовать себя сильными, хоть на время, хоть чуть-чуть. Ведь в жизни все по другому, верно? Это называется «синдром вахтера». Это когда человек в жизни никто и ничто и реализует себя в мире виртуальном.

    Если честно, меня последний раз банили в интернете лет 10 назад. И да — я тоже имею свои веб-сайты, личные, которые я делал лет 10 назад. И представте — я там тоже никого не блокирую, хотя мне зачастую не нравится, что иногда кто-то выражает точку зрения отличную от моей.

    И всё же я хочу объяснений — за что именно меня забанили? За оскорбления? Я кого-то оскорбли? Разве только что Хабрахабр — я назвал его «помойкой», потому что статья, которая обозначена в топике https://toster.ru/q/552486 — не профессиональна и вредна. Первый пункт статьи — это мусор и типичные заблуждения.

    Но поскольку вы не имеете ни мозгов понять это, ни совести, ни чести — вы и отправили меня в бан. Потому, что кто-то назвал ваш убогий Хабр помойкой. А он действительно помойка, очень жаль, что вы этого не видите.

    Значете что самое главное? Мне похуй на ваш ресурс. Я там чисто развлекался.

    А вы как были мудаками, так ими и останетесь.

    3

    8
    • Senior Python developer 23cm:

      > даже не читал, какая-то блевотина задротская в стиле уебищьного Хабра

      Ты слишком хорошего мнения об этом высере

      > Значете что самое главное? Мне похуй на ваш ресурс. Я там чисто развлекался.

      Поверь, администрации сайта точно так же похуй на тебя. Впрочем, не только администрации.

      А причина бана вовсе не в инакомыслии, а в уровне твоей аргументации своих мыслей (написано же: флуд, мат, оскорбления)

      5

      3
  32. Mr. Boston Dynamics:

    Автор, ты тупо ебанат, который нихуя не шарит в нетворкинге, прошел курс на юдеме за 40 гривен и пиздишь хуйню про МІTM, а сам по тексту судя, в душе не ебешь, как это работает и что это такое. так что иди нахуй, пенетрейшн тестер. даун. удалите нахуй эту поебень дегенартивного джуниора.

    7

    2
    • Mr. Boston Dynamics:

      Автор меня пиздец от тебя бомбануло. Именно ты тупо лашак такой ебаный. Скажи, радной, а ты знаешь, что даже при мэн ин зэ мидл атаке, весь твой трафик, будет закриптован и как раз тот самый ключ для декода есть только у трастед рута, лашара ебаная, или на курсах за 40 гривен это не рассказывали?
      Даже если ты сделаешь DNS-Spoofing с трастед сервером, ты все равно нихуя не сможешь сделать с SSL-вськими ключами. Так что ИДИ ТЫ НАХУЙ. Хотел блеснуть умом, а упал ебалом в грязь и спалился, что ты лох цветочный блядь.
      А при чем тут вообще VPN я в душе не ебу, хотя хуй знает, что творится в мозгах даунов хтмлнькых, которым в руки попали верхушки айсберга нетворкинга. все. пшел нахуй.

      2

      4
      • Дядя Степа:

        >>даже при мэн ин зэ мидл атаке, весь твой трафик, будет закриптован
        Ты олень или как? Тот же Squid, осуществив SSL Bump с помощью iCAP и eCAP легко и просто МОДИФИЦИРУЕТ трафик, и более того, может весь передаваемый контент сбрасывать куда надо. А Весь отмампенный трафик попадает в кеш В ОТКРЫТОМ виде, ебанат ты хуев. Бомбануло тебя от того, что ты слишком часто за щеку берешь. Любой реверс-прокси способен хранить ВЕСЬ проходимый через него трафик в открытом виде, что и будет сделано для всего, что можно, в ближайшее время (закон Яровой, тащемта). Так что иди мочи попей и попкорна в жопу себе запихни 🙂

        3

        2
        • ∃!:

          >>> SSL Bump с помощью iCAP и eCAP
          Из этого следует что у тебя есть IM серт выпущенный доверенным CA (или вообще доверенный всеми дистрибутивами корневой серт) с возможностью подписи endpoint сертов.
          Ты же понимаешь, что без пруфов более хорошо относиться к тебе не будут?

          Могу привести пример нашей корпы в которой стоит некий blue coat, понятное дело поскольку всем пришлось принять рутовый серт, у blue coat есть подписанный IM. Может blue coat о чем-то не знает? Все-таки у них 2 года разницы со дня основания. Или с подменой серта всегда так? Понятное дело, что на это можно не отвечать. Ждем пруфов.

          Кстати, снизу страницы появился еще один подменщик сертификатов. К чему бы это?

          1

          2
          • ∃!:

            В качестве доказательства сгодтися подписанный серт для CN http://www.facebook.com, который пройдет верификацию на стандартном дистре. Можешь сразу его и в Фейсбук отправить со своим резюме.
            Больше не придется сидеть на ебаном. Не благодари.

            1

            2
          • >>К чему бы это?
            А я откуда знаю?

            >>Пруфы
            Пруфы чего? Давай я дам тебе пруф. Здесь обсуждали Viber, на тебе про Viber.
            curl -v https://media.viber.com:443 Что даёт? Смотрим:
            via: 1.1 090eea4e92e1941ecd945eb93b8b45bb.cloudfront.net (CloudFront) — это раз.
            subjectAltName: host «media.viber.com» matched cert’s «*.viber.com» — это два, более даже смысла нет.
            Что строки означают? Первая означает, что там стоит прокси. Via меняется форвардинговыми прокси — это требование RFC.
            Вторая означает, что это WildCard сертификат, которым можно подписать любой домен в пределах *.viber.com. Им можно подписать внутренний форвардинговый прокси, например. Прокси видит в открытом виде весь проходящий HTTPS, и перешифровывает. И здесь даже не надо добавлять доверенный сертификат в хранилище, потому что он уже выдан доверенным Рутом. SSL Bump сертификат прячется за вайлдкардом, кросс-подпись никто не отменял, так-то. Subordinate подписывает *.viber.com WildCard, и он же подписывает какой-нибудь hui.viber.com (сам прокси), который ресолвится во внутреннее имя форвардингового прокси с SSL Bump. И снаружи ничего не заметит никто, единственное что выдает вышеперечисленное дерьмо — это заголовок Via. Ты видишь, что система ругается на media.viber.com? Я нет, и никто не видит, и не увидит, но наличие прокси никто не отменяет, это видно явно. Cloudfront есть в России, и по закону серверы для жителей РФ располагаются в России, в курсе? А теперь подумай, коли прокси с бампом видит в открытом виде трафик media.viber.com, является ли это безопасным?
            Достаточно подробно разъяснил?

            3

            1
          • До кучи:
            curl -v https://web.whatsapp.com:443
            ….
            CN=*.whatsapp.net
            ….
            via: HTTP/1.1 169.55.74.40:443 (fwdproxy2/70c0490af00c4f1aae86246cec32f4af 69.171.225.27)

            Красота, здесь даже решили не заморачиваться и прям так и назвали — fwdproxy. И снова мы видим WildCard, и форвард прокси с перешифровыванием. Достаточно?

            3

            1
            • ∃!:

              Не, ток конструктивный пруф. Условия описаны тут:
              https://ebanoe.it/2018/08/06/https-pubic-hair/#comment-213647.
              Либо докажешь, либо двойка.

              0

              2
              • Дядя Степа:

                А собственно, при чём здеся твой фейзбух, и всякие реверсные\форвартинговые\защекойновые прокси? Ты включи свою единственную извилину, и подумай. Раз у вайбера и ватсапа есть такие прокси, то и трафик оттуда вполне так себе собирается, учитывая что по закону серверы для расиян стоят в рашке, и учитывая всякие законы яровых… Не доходит до тебя? Пруфы тебе выше уже скинули, тебе может еще коллекцию порнухи скинуть с защекоинами в конвертике?

                1

                0
              • Дядя Степа:

                Нахуя на фейсбух использовать реверс прокси? Оно итак переписьки с потрохами даст, если надо. Фкантахте то же самое. Нахуя ты в пример ставишь это гамно?

                1

                0
            • Защекоин:

              Бесполезно доказывать местным обезьянам 😉 Не удручайся.

              3

              0
      • Бен Ганн:

        Ну ты и тупой, хуй. У тебя вместо мозгов там залупа, чтоле? Ты хотя бы сам понял, что написал? Ты только что жидко обосрался, голубок ты мой

        2

        1
      • Mr. Boston Dynamics:

        щас бы юайщики тут расказывали про реверс-прокси.

        0

        0
      • Senior Python developer 23cm:

        > Скажи, радной, а ты знаешь, что даже при мэн ин зэ мидл атаке, весь твой трафик, будет закриптован и как раз тот самый ключ для декода есть только у трастед рута, лашара ебаная, или на курсах за 40 гривен это не рассказывали?

        1) Закриптовывают трупы в склепы, а трафик шифруют.
        2) Ключи для шифрования эфимерные (сеансовые, если так угодно), и никакой рут СА не получает и не хранит их все.
        Дальше лень было разбирать твою ересь, иди учи матчасть,

        0

        0
      • >>при мэн ин зэ мидл атаке, весь твой трафик, будет закриптован
        Может ты и такие как ты хотя-бы педивикию откроете и прочитаете, что такое HTTPS, TLS, и MITM? Какой трафик? Что там у тебя закриптовано? Я ICAP или ECAP модулем, которые работают в разрыве SSL Bump легким движением руки модифицирую трафик или солью всё передаваемое в открытом виде в определенный каталог. Диванный аналитик хуев.

        >>нихуя не сможешь сделать с SSL-вськими ключами
        А мне ничего и делать не надо, друг. Всё сделает SSL Bump и i(e)CAP.

        >>А при чем тут вообще VPN я в душе не ебу
        Ну иди еби что-то другое, коли думалка испортилась. При том, что (о чем сказано в статье) в текущей ситуации очень сильно разогрелась реклама VPN сервисов, которые якобы обеспечивают приватность и безоговорочный доступ туда, куда надо, несмотря на (глюки)блокировки провайдеров по зову РКН. Перевести всех на VPN очень удобно, так как по первому слову власти VPN блокируется на уровне протокола. Да и в более, чем половине процентов случаев VPN не обеспечивает приватности, никак. Почему?
        а) используются слабые алгоритмы шифрования, из-за чего трафик может быть прочитан.
        б) VPN сервисы, даже несмотря на красивую рекламу, очень даже хранят историю посещений.

        >>попали верхушки айсберга нетворкинга
        Ты будешь разочарован, но айсберг мне виден полностью.

        3

        2
    • Бен Ганн:

      Ты, судя по тексту своему, тупая залупа, которой место возле параши (ухохохохохо)

      2

      0
  33. Петя Порошенко:

    а як же ssl pinging?

    0

    1
    • Дядя Степа:

      Cert pinning предохраняет от mitm, да. Но где он есть? Очень проблематично админить ресурсы с пиннингом, поэтому от него уже отказываются, Гугл например. Это не то всё. Проблема не только в пиннинг или его отсутствии

      0

      0
    • PINGing? Что-то новенькое. Случаем, не на Ангуляре написано?
      Pinning — спорная штука, хоть и не дает сделать бамп. Однако, уже сказано, что обслуживать его сложно.
      Алсо, этого не хватит для безопасности. Нету проверки контента на подлинность, а она нужна. MITM — это лишь один из способов залезть в туннель и модифицировать его содежимое

      2

      1
  34. Senior Python developer 23cm:

    Что за хуйню я прочел? Чувак тут рассуждает о гипотетических проблемах с HTTPS (считай, TLS), толком не разобравшись в теме, а потом скатывает все к каким-то блокировкам сайтов в говностранах.

    5

    0
    • Junior Python developer 24cm:

      А чего тьі ожидал на йобаном?

      2

      1
    • Защекоин:

      Какие блокировки сайтов, ты о чем? Речь идет про то, что скоро трафик всего и вся будет как на ладони у товарищей Майоров. Тебе оно надо? Аффтару нет, мне тоже

      0

      2
      • Senior Python developer 23cm:

        Так скоро будет или уже? Вы уж определитесь, господа параноики…
        А вообще, читать очередное нытье в духе «мы все умрем» — чрезвычайно скучно. Где технические подробности? Впрочем, от столь «компетентного» автора их ждать не приходится…

        0

        0
        • Ты действительно хочешь технические подробности? Ок. Следующая статья будет с полными техническими подробностями и доказательствами.
          «компетентного автора» — куда уж мне до сеньора путон девелопера.

          1

          3
          • не еблан:

            охуеть, месье соизволит к следующему разу технически подготовиться

            0

            2
            • Дядя Степа:

              А хуле ему готовиться? Тут сплошные обезьяны, которые ноют от статей чуть сложнее уровня Танечки или Маринки. Лучше не надо а то пуканы бомбанут у местных ангулярщиков

              2

              0
  35. горю:

    > Это ёбаное расширение протокола HTTP

    ты еблан

    > А если произойдет взлом сервера рута

    ты еблан и не читал про certificate pinning

    > На стороне любого провайдера работает механизм Splice, который без всяких подмен сертификатов позволяет видеть, какие ресурсы вы посетили

    и снова ты еблан, видимо путаешь со SNI

    > Есть такая хуйня, как DPI, который работает на транспортном уровне, и ему до пизды вообще на ваш VPN и SOCKS. Есть сигнатуры этих протоколов, и сигнатуры никуда не деть, и в случае чего оно будет блокироваться.

    ты еблан, никто не запрещает затуннелировать это дело в любом другом протоколе

    > Шта, блеать? В каком он месте, ебанаврот, end-to-end?

    ты еблан и не читал про perfect forward secrecy

    > Сигнатуры на него нет и не будет

    какой же ты все-таки еблан

    3

    2
    • Дядя Степа:

      Уася, у тебя горит пукан из-за переизбытков спермы во рту

      2

      1
  36. Harbour:

    а кого ебут проблемы козломордых ? еще и кетай приплел.. все в прогнившем ватном духе — типа мы вместе с братьями кетайцами будем и дальше и вместе и выше. да иди нахуй дальше жрать свое гавно в своем ебучем мордоре

    5

    1
  37. yomomma:

    Какой в пизду splice, каким хуем тут connection probing? HTTP инкапсулируется в TLS и если в распоряжении кулхацкера нет нейтронной звёзды окружённой сферой Дайсона размером с жопу твоей мамы, то нихера он не сможет получить твой закрытый ключ.
    То что сертификаты подписываются рутами это стандартная практика и если ты не ебаный параноик ищущий чипы АНБ у себя в жопе, то тебя это волновать не должно.
    Какой в пизду DPI блять в контексте VPN? VPN это низкоуровневая инкапсуляция на протоколах высокого уровня и ебаный шлюз не видит разницы между проном с понями и заседанием верховной рады, если только это не сраный TLS туннель с подменой сертификата.
    Так что мои ебаные параноики, надевайте шапочки из фольги и обматывайте комнату проволокой, а я вам лично заварю двери и отрежу весь доступ наружу, чтоб жидорептилоиды никогда не узнали, после какого видео вы закрываете вкладку порнхаба.

    6

    1
    • Колхозник с Кремля:

      ==Какой в пизду splice
      Ты ужинкоинов обожралсё, или как?? Тот же Squid с помощью Peek and Splice без подмены сертификатов спалит, куда ты, юный дрочер, лазиешь. А выше тут вообще сказали про форвардинговые прокси…
      Прочитай, что такое Connection Probing (он есть, к примеру, в Ufbdguard) и поймешь, что даже тут ты обгадился.
      ==Какой в пизду DPI блять в контексте VPN?
      Такой, блять, тупоголовое жЭвотное.
      ==если в распоряжении кулхацкера нет нейтронной звёзды
      А в статье речь не о хакерах, а о госструктурах, дебил

      0

      0
      • ∃!:

        >>> Squid с помощью Peek and Splice без подмены
        https://wiki.squid-cache.org/Features/DynamicSslCert
        Что придумаешь насчет этого?

        0

        1
        • Дядя Степа:

          А че ты пихаешь раздел, относящийся к SSL Bump? При Peek and Splice не надо ничего генерить, SNI только проверяется без вмешательства в туннель, мамкин инженер хуев

          1

          0
          • ∃!:

            Очевидно к тому, что насрать на твой sni, который можно вырубить в libssl и не передавать, дальше ты упрешься в экспоненциальную стену. Построишь рядом да пойдешь нахуй, вместе со своими гос. структурами.

            0

            0
    • Дядя Стёпа:

      Ты сам понял, чо сказал, балбес? «низкоуровневая инкапсуляция на протоколах высокого уровня» = макромир в микромире, ты прикалываешься? Иди учебники читай, тупоголовое отродие матроса диванных войск

      1

      0
  38. Гость:

    Нахуя задротская статья уровня Хабра на ебаном айти? Это говно унылейшее.

    0

    2
    • Дядя Степа:

      Ну так песдуй в другое место, хуль ты забыл на «айтишном» сайте, ойтишник хуев?

      3

      0
  39. Некто:

    Господа, если вы проносите технологию, то проносите, блять, правильно.
    HTTPS не придумывался для анонимности и защиты от обнаружения при помощи DPI. В прочем, это сразу минус, блять, треть всей статьи :))
    Да. Домен он сливает, но никак не URL. Это правда.
    Да. Есть зависимость на третьих лиц. Но есть и Certificate Transparency, который постепенно введут.
    HTTPS не end 2 end? HTTPS end 2 end до сервера. С поправкой на доверенные руты, что правда. Но есть DNS CAA, HPKP, и упомянутый уже Certificate Transparency. А так правильно настроенный — Forward Secrecy, и т.д.

    Итого — статья HTTPS не пронесла.

    А вот про РЕАЛЬНО страшные атаки за последние годы все как-то упомянуть забыли. Кому не лень — гуглите DROWN, SSL Stripping, Heartbleed, Cloudbleed, и несколько CVEх в OpenSSL. И посмотрите статистику по количеству реально правильно настроенных серверов от qualys ssl labs. И вот от этого уже реально становится страшно, и руки начнут тянуться к VPN.

    4

    0
  40. Игорек:

    >>механизм Splice
    Это что-то связаное с ДНК? 🤔🤔🤔🤔

    0

    1
    • Чупакабра:

      Лол. Даже не думал что в этой клетке с орангутангами будет знающий за сплайсинг человек.

      0

      0
  41. Чупакабра:

    Анон, заебал. Лично мне похуй что гугл знает что я люблю больше дрочить на брюнеток чем на блондинок. Это раз. Второе — терморектальный криптоанализ — это то что к тебе применят первым делом. И нахуй тебе всякие рса дса и бловфиши всякие и вантайм падами когда тебе тупо сунут пальцы в дверь. В третьих — по настоящему важные ваши не вконтакте в переписке обсуждают. И даже не по телефону обкашливают. О них даже говорят разве иносказательно, а если человек тупой то нехуй с таким садится срать в одном поле. И еще — байзевей пакетик тисипишный можно и подтюнать слегка.

    0

    0
    • вопросик:

      эксперты по вопросикам подъехали

      0

      0