Нужен-ли https на форумах?

АНБ нервно курит в сторонке...

Что-же это за "Чудо оборудование", которое может ломать шифр с открытым ключом, вы хоть работу защищенного протокола представляете-нет ? Если нет, то почитайте, то что вы написали, ну бу-га-га, уж извините за прямоту...

Нет не шифруется, можете посмотреть сниффером, да хранится в зашифрованном виде в базе !

 

Четко и лаконично — поведано разъяснение!

А вот применять HTTP или HTTPS — решение принять или отклонить останется за владельцами форумов.
Все же администратор лицо нанятое и имеет право предложить , но не навязывать !

 

Не ломать, а вскрывать. Бу-га-га это наверно сюда, а если интересуют конкретные железки, то тут вопрос бюджета.

Не шифруется - это когда например Basic Authorization, пароль открытым текстом в снифере чудесно виден. Тут бежит хеш от пароля.

Уже не остается. Сейчас всех гонят в https, по факту в принудиловку.

 

Ну и что-вы привели, это проверка на локальном компе (Сервере), идёт подмена сертификата самоподписным, уже не получится как вы выразились вскрыть таким образом ничего и тем-более расшифровать, вот подробнее можете прочитать:http://support.kaspersky.ru/8082

SSL как-раз и предотвращает, атаку "Человек по середине", для этого он и нужен...

Про железки, тут как я понял SSH-соединение идёт непосредственно с железкой, а не с сервером, т.е. мы подаём команды железке, а она уже передаёт их серверу и где тут вскрытие протокола ?

Запрос идёт Post-запросом-же и причём-тут модуль апаче, а если у меня вообще не апачь, то что ?

Никакой принудиловки нет, много сайтов и по обычному протоколу до сех-пор и будет так мне кажется долго, но я просто высказал своё мнение, решать разумеется админам и владельцам сайтов !

 

100% , nfig nenugen ssl v drugih sluchyaeh

 

Что софтово, что хардварно, между клиентом и сервером ставится объект на L7, который вскрывает, открывает, расшифровывает (нужное подчеркнуть) трафик на лету и зашифровывает его клиенту со своим сертификатом, которому в свою очередь доверяет браузер клиента. Все зелененьким, сайты открываются, но посредник может:
а) читать трафик
б) модифицировать трафик.
Технически вопросов нет, на узле терминации поставить такие железки (опять в конечном счете за счет абонентов) и дело в шляпе. Есть вопросы юридического характера, но вы же знаете этих юристов (с).

Вообще-то приводил как пример передачи открытого пароля в http-заголовках. Ну так вот, этот форум не передает пароли в открытом виде. Собсно он и пароли не передает как таковые, если на то пошло, улетает хеш.

Да я только за, руками и ногами, но вот такие инициативы начинают напрягать. То что они предлагают, деприкейтед нашему любимому http, по факту - одно сплошное разводилово. Сколько там дырищ в SSL3.0? А ему ведь лет 15 если не больше. Лучше бы развивали IPv6 с его IPSec, а SSL оставили там, где он действительно нужен.

 

Smalesh,
1) Ни один провайдер не пойдет на вскрытие https и подмену сертификата на свой, бред не пишите. На то сертификаты и нужны чтобы удостоверять подлинность.
2) в Ксенфоро при авторизации пароль передается открытым текстом.

 

К сожалению вы не понимаете как работает SSL, последний раз постараюсь объяснить и больше вступать в дискуссию не буду:

Браузер при передачи шифрует сообщения алгоритмом с отрытым ключём, что это-такое:

Для передачи кодированного сообщения используется ключевая пара, т.е. используют в паре два ключа отрытый и секретный. Открытый ключ пересылается своему партнеру. Другой, секретный ключ никогда и никому не оглашают, он - секретный. Ключевая пара симметрична - данные, которые кодируются открытым ключом можно декодировать только секретным ключом. И наоборот.

Такую симметрию давольно тяжело расшифровать, т.к. открытый ключ мы можем "Поймать", но вот секретный знать не будем и расшифровать посылку уже не получится...

Теперь давайте предположем, что кто-то решит сделать "Атаку по середине", т.е представится подставным сервером, как например тот пример с Касперским...

Для этого и нужны подписные сертификаты, типо там Comodo SSL, они-то и нужны для контроля аудентичности сервера и защиты от атак типа "Человек по середине" и подмены сертификата, как это работает:

Сервер, с которым на основании протокола SSL связывается клиент, всегда обязан для своей идентификации представлять т.н. сертификат, т.е. файл, содержащий его открытый ключ и другие параметры, характеризующие сервер. Сертификат всегда подписан электронной подписью третьего-доверенного лица. Используя эту электронную подпись клиент всегда контролирует, с кем они имеет дело. Если сертификат не подписан или подписан неизвестным лицом, то об этом сообщается клиенту.

 

и не надо вступать в полемику. Те кто используют сертификат — понимают ответственность. Тот кто не использует — решение использовать оставляет за собой. Если их целью не является привлечения новых клиентов, и работа со текущими могут не применять.

Такая синхронная система действует и на платежных серверах. Например Stripe и др., в таком случае клиент оплачивает покупку на сервере транзакций. После чего и переходит на продающий сайт, который не защищен подобной защитой. Является простым хранилищем БД пользователей. А чтобы не угнали аккаунты - владелец как минимум должен обеспечить какой-нибудь http+SSL.

Даже ПО устанавливая на сервер не просто так — рекомендуют для ftp-клиента передавать по SSH - секретный ключ связи.

 

Стоп. Я хочу пояснить несколько моментов.
1. SSL можно вскрыть, технически это выполнимо, работоспособность сайтов не нарушится.
2. Если провайдер захочет это сделать, он это сделает. Помочь "захотеть" могут свои меркантильные интересы или люди в погонах
3. В корпоративной среде отдел ИБ будет делать все, что сочтет нужным. Если ему нужно читать электронную почту - он ее будет читать
4. Судя по настроениям в кулуарах, годика через три-четыре много чего поменяется.

Рву волосы и признаю свою неправоту. Действительно, пароль открытым текстом(!). Но это даже не дыра, это огромная дырища. Тут https обязателен.
--- добавлено : May 16, 2015 8:00 AM ---

Да, безусловно я ничего не понимаю и с потолка сопровождаю продакшн с ssl, да еще далеко не в самом безопасном исполнении в угоду поддержки устаревших клиентов. Как-то так.

 

Необходимо различать самоподписной сертификат от сертификата, который подписан третьей стороной ЭЦП, например такие как Comodo Postive и т.д. Если взломаете его, то получите по мойму 1000000 баксов, именно такая гарантия защиты этого сертификата...

К тому-же сертификат нужен не для шифрования, а для отражения атаки "Человек по середине", т.е. для аудентификации сервера, именно поэтому самоподписной сертификат и не позволит защитится от компроментации сервера, нужна именно цифровая подпись третьей стороны !

Может и не правильно говорить так незная человека, не в моих это правилах... Готов даже извинится за это !

Но что касается SSL, судя по вашим постам вы не до конца понимаете принцип и устройство действия, на данный момент я не знаю не оборудования, не программных средств, которые могли-бы расшифровывать, как вы выразились на "Лету" грамотно настроенный сервер и тем-более подписанный ЭЦП сертификат третьей сторонной, т.е. сертифицированным центром сертификации...

Между прочим SSL стоит не дёшево и они дают денежную гарантию, т.е. если сертификат будет взломан, центр сертификации обязан будет выплатить, сумму которая гарантирует защиту сертификата, у каждого сертификата она разная, как-то так...

 

Много букв не будет, простите, будет время распишу детальнее, в двух словах - подтяните матчасть, как и зачем это сделано и как реализовано в серверах и клиентах. SSL априори не является свободным от MITM-атак. Сертификаты априори не являются свободным от компрометации. Распечатать и на стенку.

 

Миллионер детектед (ну по крайней я бы уже был если мог компрометировать сертификаты)

А так вообще-то

 

А где я писал о невозможности?
Я какбы сам сисадмин и на шлюзе для работы безопасников реализовывал перехват https естественно с подстановкой сертификата на корпоративный.
Прочтите внимательней сообщение - я писал что ни один провайдер на это никогда не пойдет, ибо такой перехват нивелирует сам смысл проверки подлинности. Не-дураков всетаки довольно очень много, чтобы обратить внимание на недостоверность и поднять очень некислый шум.
А вот если вы в состоянии скомпрометировать чужой сертификат да так что клиент не заметит факта вмешательства в трафик - поклоню перед вами голову. Правда это очень врядли случится.

 

Скажите пожалуйста, вот есть мнение, что SLL-сертификат замедляет работу сайта. А имеет ли значение, в какой компании его покупать?.. У нас в России, или американской. Будет ли разница?..
Я в любом случае буду с этим заморачиваться, но хочется максимально оградиться от возможных негативных последствий.