В соответствии (https://www.troyhunt.com/https-adoption-has-reached-the-tipp.../) со статистикой (https://ipv.sx/telemetry/general-v2.html?channels=release&me...) сервиса Firefox Telemetry (https://telemetry.mozilla.org/) 31 января число обращений к сайтам по HTTPS впервые превысило число обращений по HTTP при рассмотрении усреднённых двухнедельных показателей. Год назад доля HTTPS составляла 40%. В пиковых значениях, при выборке в 24 часа, единичные превышения 50% были зафиксированы в октябре прошлого года. Статистика основана на показателях работы пользователей Firefox, согласившихся передавать обезличенные сводные данные в рамках программы Firefox Telemetry.
Интересно, что несмотря на то, что за год доля запросов по HTTPS увеличилась с 40 до 50%, число сайтов с поддержкой HTTPS за последний год удвоилось. Отмечается, что если изначально прирост обращений по HTTPS формировали крупнейшие ресурсы, такие как Google и Facebook, то последнее время отмечается переход на HTTPS мелких сайтов, в основном благодаря появлению возможности бесплатно получить сертификат через сервис Let’s Encrypt. К использованию HTTPS также подталкивают недавно реализованные в Firefox (https://www.opennet.ru/opennews/art.shtml?num=45909) и Chrome (https://www.opennet.ru/opennews/art.shtml?num=45924) предупреждения о проблемах с безопасностью, выводимые при обращении по HTTP к страницам с формами ввода паролей.
URL: https://www.troyhunt.com/https-adoption-has-reached-the-tipp.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=45970
Товарищ майор кусает губы.
Ничего он не кусает.
Есть распоряжение, в соответствии с которым владельцы сайтов (список там прилагается) обязаны предоставить майору доступ. И список там большой и своеобразный - все места активного общения учтены. Можешь погуглить
Зарубежные ресурсы плевать хотели на распоряжения тов. майора. А если вы храните личные данные или переписку на всяких "Вконтактиках" и "Одноклассниках", то вы сам себе "буратино".
Пральна. Только Дропбокс! Гандолиза не отдаст ни пяди!
Разница между ФБР и ФСБ в том, что ФБР далеко и им плевать на меня и вас.
Об этом я и написал выше ;)
Где? ;)
По крайней мере вас в этом убедили, что говорит об их мозгах, и вашей вере в чудеса.Им правильнее и проще следить за всеми, в т.ч. и за теми, на кого просто плевать сегодня. Но записи поднять никогда не поздно, так же, как и скоррелировать инфу про какую-то активность по данным о разных (да-да, ничем заранее не примечалельным) юзерам.
> плевать на меня и васкуриное мышление. про Интерпол слышал, не? а он промежду прочим с 20-х годов нормально так действует и не отсвечивает в СМИ
Зачем же они финансируют всякие "неправительственные" "благотворительные" организации на территории России?P.S. Мероприятия организуемые этими организациями может посещать любой человек совершенно бесплатно.
И мероприятия довольно хорошие, но вот после них складывается впечатление что "у них" "все хорошо и правильно", а "у нас" - "неправильно".
Это не впечатление, это, увы, факт. Не всё, но очень многое.
>Это не впечатление, это, увы, факт.Так же как и факт, что все ТАМ живут хорошо и у каждого по два раба.
> ФБР далеко и им плевать на меня и васКогда за информацию о конкретном человеке/организации предлагают деньги, часто бывает, что не плевать.
> что ФБР далеко и им плевать на меня и вас.На конкретного человека плевать всем. На какую-то статистику, которые собирают зарубежные спецорганы - нет.
Откуда у тебя информация что зарубежный ресурсам плевать? Компании это не правозащитные организации, почему они будут тебя защищать? А еще "ко ко ко росия-амеика-борьба с тераризмом"
Думается там тупо деньгу будут считать. Если проблема встанет ребром и увидят, что для пользователей это важно и они сами пробивают дырки и/или их мало и погоды они не делают и соблюдать требования, не обязательные в их юрисдикции, дороже, то думаю они забьют.
Возьми и посмотри сколько зарабатывают корпорации на пользователях, условно Google на рекламе. Цензуру в российской версии поисковика они сделали, остальное у них и так записывается, а для ЦРУ наверное и стучкалка "куда надо" для странных пользователей уже есть, только вывод поменять.
> Возьми и посмотри сколько зарабатывают корпорации на пользователях, условно Google
> на рекламе.мало, очень мало - в сравнении с тем, сколько зарабатывают на нероссийских пользователях.
Гугль просто ничему не учится (что вы хотите от индусского менеджмента?). Они уже легли в свое время под китайцев (это рынок сильно пожирнее) - не помогло.> Цензуру в российской версии поисковика они сделали, остальное у них и
> так записывается, а для ЦРУ наверное и стучкалка "куда надо" для
> странных пользователей уже есть, только вывод поменять.для _своих_ - нету. За это, как ни странно, все еще можно, сюрприз, сесть. Как минимум в Кали, NY, WA.
Для чужих (находящихся вне юрисдикции суда государства Калифорния) - да, есть, и в общем не скрывается.
> Думается там тупо деньгу будут считать.не будут (будут, но не так, как ты думаешь)
Подсказка: зачем им беречь прайваси какого-то васи из роисси, если вася сам ее не бережет - во всяком случае, так от его имени заявляет избранное им правительство?
Это ты про линкед чоли? Наплевал и был забанен. Остальных то не банят, делай выводы, если сможешь.
У них есть свои заубежные майоры.
Там точно такой же товарищ майор.
>Товарищ майор кусает губы.Кому?
Почти всё что сами о себе выкладывают граждане, они хранят на серверах господина Усманова(VK, Одноклассники, Mail.ru,ICQ), а уж то этот господин всё сделает, чтобы господин Путин к нему лично был лоялен. Поэтому хоть до vk.com, ok.ru и mail.ru трафик и шифруется по https, но господин майор сидит там на сервере и читает всё что вы пишете ему :)
> Почти всё что сами о себе выкладывают граждане, они хранят на серверах
> господина Усманова(VK, Одноклассники, Mail.ru,ICQ), а уж то этот господин всё сделает,
> чтобы господин Путин к нему лично был лоялен. Поэтому хоть до
> vk.com, ok.ru и mail.ru трафик и шифруется по https, но господин
> майор сидит там на сервере и читает всё что вы пишете
> ему :)Да это не секрет. Даже как-то по телеку показывали программу, которая собирает метаинформацию из соцсетей по кейвордам. Ну и конкретные подозрительные сообщения, наверное, когда явно оно. Так что можно подтраливать товарищей майоров.
The Security Impact of HTTPS Interception - https://news.ycombinator.com/item?id=13589664
Ну если переводить все сайты на https где нужно и где не нужно,то конечно будет расти.
Вот он — адекватный коммент.
Я бы реже им пользовался, если бы не навязывание. Нафига мне https в википедии? В поисковиках он мне тоже не нужен. На ютубе и в соцсетях, где я появляюсь анонимно, тоже нет.Навязывание https просто множит энтропию. Тем более что всё равно эти сайты сливают инфу кому нужно.
> Вот он — адекватный коммент.
> Я бы реже им пользовался, если бы не навязывание. Нафига мне https
> в википедии? В поисковиках он мне тоже не нужен. На ютубе
> и в соцсетях, где я появляюсь анонимно, тоже нет.
> Навязывание https просто множит энтропию. Тем более что всё равно эти сайты
> сливают инфу кому нужно.если ты будешь читать про историю СССР даже на Википедии, тебя возьмут на заметку как экстремиста!
> если ты будешь читать про историю СССР даже на Википедии, тебя возьмут
> на заметку как экстремиста!Каспаров, залогиньтесь.
> Нафига мне https в википедии?Чтобы по пути не могли подменить информацию. Пусть подменяют на самой вики, с этим хоть пытаться бороться можно.
Те кого волнует использование HTTPS обычно отключают телеметрию. Разве нет?
Именно. И статистика говорит, что даже среди тех, кому плевать на шмурити-секьюрити, процент посещаемости HTTPS перевалил за 50%.
> Именно. И статистика говорит, что даже среди тех, кому плевать на шмурити-секьюрити,
> процент посещаемости HTTPS перевалил за 50%.куда вы денетесь, с подводной лодки-то?
У вас даже тип протокола в адресной строке не показывается, только какие-то синенькие и зелененькие фигулины, непойми что значащие.
> Те кого волнует использование HTTPS обычно отключают телеметрию. Разве нет?у себя - отключают (или скорее не пользуются шпионолисой). Другим отключить не могут.
А заставить других пользоваться https, просто заменив http-сайт авторедиректом и прибив туда еще и принудительное использование при каждом новом обращении - запросто.Правда, я не очень уверен, что это в принципе хорошо.
И да, новость озаглавлена неверно, правильная - "мы ЗНАЕМ, каким протоколом вы пользуетесь. И не только это".
Интересно каким браузером пользуетесь Вы?
> Интересно каким браузером пользуетесь Вы?разными, в том числе и патченным palemoon < 27. Да, два remote code exec как минимум, и еще сколько-то скрытых (это так легко не попатчишь), и дальше будет хуже. Ну, я много лет жил на firefox 3.6.28 (со всеми промежуточными остановками, ибо из дистрибутивов ее повыпилили еще во времена .26), мне не привыкать.
Да, неработа некоторых модулей - огорчает (но не всех кроме noscript, как это случилось в 27), но у меня есть и другие средства борьбы с трекингом и горе-хакерами, помимо встроенных в браузер. Включая блокировку примерно 300 доменов (ничуть не преувеличиваю), собирающих информацию обо мне.
Ну и выбором, что именно держать на своих серверах. А то поставил себе новый модный (не-cloud based, что характерно) видео-плейер - а он взял и слил всю инфу о твоих пользователях гуглю, ms'у и своему владельцу до кучи (а те еще хз с кем поделились) - а заэмбедил бы обычный ютуб - слил бы только гуглю (который не поделится, жядный).Я, видите ли, некоторое время проработал...скажем так, в окрестностях мэйлру. И очень хорошо представляю себе как возможности по сбору чужих данных, так и их реальное использование и применение на сегодняшний день.
А что за плеер то? Народу надо знать. А так если Вы прям в курсе таких вещей, почему не подскажете какие домены вы там блокируете и может еще какие нюансы? Не все ведь способны постигать такие знания методом тыка, кому то и гайды не помешают. :)
> А что за плеер то? Народу надо знать.э... а что, есть какой-то, который еще не сливает? 8-O
> А так если Вы прям в курсе таких вещей, почему не подскажете какие домены вы там
> блокируете и может еще какие нюансы? Не все ведь способны постигать такие знания
> методом тыка, кому то и гайды не помешают.если вы не можете посмотреть хотя бы лог сетевых обращений в devtools любимого браузера - боюсь, мой список вам не поможет. К тому же вы очень быстро заблокируете что-нибудь лишнее, типа антифродов (я совершенно не исключаю что пяток их в моем списке - они совершенно неотличимы от продавцов трекинга, если вообще не слились с ними давно), а разобраться потом, почему у вас транзакция по оплате не проходит, не осилите.
Опять же, блокировать надо правильно, чтоб браузер не завис на мертвом коннекте.Возможно, вас лично спасет банальный плагин с ghostery.com (только не забудьте сперва посмотреть, чем вообще занимается эта контора, чтообы потом не удивляться), где за вас уже все разжевали и в рот положили. Ну, возможно, себе в рот, тут я никаких гарантий не дам.
Чем отличаеться "передача данных как есть по HTTPS" от "передачи предварительно зашифрованных данных по HTTP"?
Тем, что в одном случае, мы полагаемся на Transport Layer Security Protocol, возлагая на его плечи проблему обеспечения confidentiality, integrity, authenticity, а во втором на свои.В деталях, есть масса вопросов, которые при использовании предварительного шифрования данных и передачи их по HTTP, требуется решить. Простой и очевидный вопрос, как осуществлять создание, обмен или аннулирование ключей для симметричных алгоритмов шифрования, безопасно, масштабируемо, без возможности их перехвата по не контролируемым каналам связи?
Да и не масштабируемое это решение, в общем случае, гораздо более практичным является передача всех полномочий по обеспечению трёх базовых элементов обеспечения безопасности данных специально для этого созданному протоколу.
Что вы хотите сказать этим? Что integrity или authenticity не обеспечивается в рамках TLS туннеля? TLS поддерживает двух стороннюю аутентификацию пиров с использованием инфраструктуры X.509. Для обеспечения целостности используется Keyed Hash Message Authentication Code - SHA-2 отпечаток, рассчитываемый для каждого пакета. В случае необходимости может быть осуществлено и non-repudiation с использованием цифровых подписей.TLS является сетевым протоколом, который защищает данные пока они передаются по сети от источника к назначению, он не может и не должен защищать их от возможной утечки на источнике или получателе.
Для обеспечения хранения, учёта и уничтожения классифицированных данных, требуется применение дополнительных механизмов обеспечения их защиты. Но, причём тут это всё к их передаче через сеть, не понятно, без использования TLS, злоумышленник может подслушать пакеты, изменить их, добавить дополнительные пакеты в поток и тд., TLS позволяет избавиться от этих проблемы.
>передавать обезличенные сводные данные в рамках программы Firefox TelemetryКуда пропали кнопки отключения телеметрии в Linux-версии Фокса? Которые в пункте Data Choices в настройках? Багу уже год или больше и никто не чешется. В виндовой версии всё на месте.
Рекомендую скопировать виндовый prefs.js для линукс-версии и немного подправить настройки через гуй.
> Рекомендую скопировать виндовый prefs.js для линукс-версии и немного подправить настройки
> через гуй.Школьнеги понабежали, никогда слежение за пользователем не отключалось через гуй, только ручками или готовый prefs.js.
Отключение сбора статистики работы браузера, отсылки собранных данных в Мозиллу,отключение отсылки всех посещаемых урлов и скачиваемых файлов на проверку по базам "опасных ресурсов"
http://warfx.ru/firefox/config/
Ты там не Арче случаем пользуешься?
Баг общелинуксовый. Набери в поисковике "firefox data choices empty linux".
>>передавать обезличенные сводные данные в рамках программы Firefox Telemetry
> Куда пропали кнопки отключения телеметрии в Linux-версии Фокса? Которые в пункте Data
> Choices в настройках? Багу уже год или больше и никто не
> чешется. В виндовой версии всё на месте.В виндовой мало что видно в настройках, но многое есть в about:config!
Так что вы часть отключаете телеметрических отсылов за рубеж!
> бесплатно получить сертификат через сервис Let’s Encrypt.https://letsencrypt.org/about
Free: Anyone who owns a domain name can use Let’s Encrypt to obtain a trusted certificate at zero cost.Правильно ли я понимаю, что Let’s Encrypt, в отличии от WoSign, можно легально использовать в коммерческих проектах?
Да, но сертификат выдаётся на 3 месяца. Нужно один раз настроить cron чтобы каждые два месяца автоматом обновлял сертификаты из делал reload web (ftp,mail,etc.) сервера. Использую simp_le [1] и самопальный bash скрипт который его вызывает из крона. Если вдруг проблема - получу email от скрипта и у меня будет месяц в запасе чтобы вручную исправить ситуацию. Проблем еще не было.
С кроном вы так зря. На тфициальной странице рекомепдуют запускать скрипт проверки на устаревший сертификат два раза в день.
> Да...Спасибо. :-)
> https://github.com/kuba/simp_leПитонятина. :-(
Я недавно форкнул и переписал под себя дегидратор.
> Проблем еще не было.Я вот заметил неделю назад проблему на стороне LE, скорее всего связанную с загрузкой их серверов, когда вместо валидации выдаёт 400-ую ошибку, причём не 403 или 404, а именно 400-ую, а после 2-ого раза всё нормально. И так было с каждым из 5-ти доменов.
Так что полагаться на то, что LE всегда по первому запросу сертификата вам его подпишет, даже при нормальных правах к хосту и доступности хоста, не стоит, и нужно самому предусмотреть повторный запрос, мгновенный или отложенный, в случае неудачи получения.Вот ещё один момент, LE всегда ожидает файл валидации в субдиректории ".well-known/acme-challenge/", которую приходится каждый раз создавать а потом удалять в корне хоста?
Можно ли просто указать LE искать файл валидации в корне хоста?
Да, правильно.
> Да, правильно.Благодарю! :-)
> Правильно ли я понимаю, что Let’s Encrypt, в отличии от WoSign, можно
> легально использовать в коммерческих проектах?задолго до этой помойки - можно было использовать startssl. Там нет никаких ограничений использования (только ограничения на wildcards, но можно - просто несколько доменов перечисленных вручную, обычно этого вполне достаточно)
Но стараниями одновременно активных, изобретательных и очень тyпорылых китайских братьев (плюс, очевидно, сертификатной мафии) - start нынче там же, где и wosign, новые сертификаты не будут ничем лучше самоподписанных.
А иметь в структуре своего сервиса дыру в виде чудо-скриптов, автомагически раз в два месяца подменяющих сертификат - можете, да.
> задолго до этой помойки ...Помойка это как раз WoSign/StartSSL.
> А иметь в структуре своего сервиса дыру в виде чудо-скриптов, автомагически раз
> в два месяца подменяющих сертификат - можете, да.А что мешает самому скрипт на баше написать вместо нативного питоновского?
> А что мешает самому скрипт на баше написать вместо нативного питоновского?то что дыра никуда от этого не исчезнет, сюрприз, да. Дыра заключается в манипуляции скриптом с получением из внешнего источника файлами и ключами, которые те, кого действительно заботит собственная и чужая безопасность - вводят вручную и желательно с trusted-системы. Контролируя ручками и глазками и процесс, и результат.
чего стоят оценки настолько незамутненных персонажей где помойка, а где нет - думающие решат сами.
> Дыра заключается в манипуляции скриптом с получением из внешнего источника файлами и ключами...А как по вашему подписанный сертификат должен приходить из внутреннего источника?
При получении сертификата от любого CA, вы его всё равно получаете из внешнего источника, разница лишь в том, что в Let's Encrypt для этого не нужно производить лишних ручных действий и процесс можно автоматизировать.
> ...кого действительно заботит собственная и чужая безопасность - вводят вручную и желательно с trusted-системы.Вы можете точно также вручную запустить скрипт с определёнными параметрами, который создаст запрос на сертификат из параметров, передаст запрос на сертификат, проверит наличие у вас контроля над всеми доменами в сертификате запроса и загрузит вам ваш подписанный сертификат и всё это 1-ой командой за 15 секунд.
>> А как по вашему подписанный сертификат должен приходить из внутреннего источника?сам выдумай от имени оппонента глупость, сам ее опровергни, молодец.
> разница лишь в том, что в Let's Encrypt для этого не нужно производить лишних ручных
> действий и процесс можно автоматизировать.разница в том, что это _не_лишние_ действия, и этот процесс не "можно", а _придется_ автоматизировать, да еще и обвешать миллионом подпорок и проверок, на случай если что-то пошло не так.
При этом всю эту автоматику могут, внезапно, запустить без твоего участия, каким-то образом ненадолго перехватив управление сайтом (не доменом даже!), и получив возможность спокойно читать твой траффик (или даже не запуская ее получить).> Вы можете точно также вручную запустить скрипт с определёнными параметрами
и так - каждый месяц, на каждый домен. Спасибо, ненужно.
собственно, то что они используют короткие сроки валидности, говорит в том числе и о их собственной степени доверия своей чудо-автоматике.
(год - это тоже неприлично короткий срок, разумеется - тебе как бы намекают "хочешь уменьшить гемор - заплати за EV". Но для многих _такой_ гемор был вполне приемлемым, а плата у startcom была весьма невысока, в отличие от их конкурентов)
Startssl со StartCom не путаешь? Это второй был куплен wosign'ом и они блочатся в лисе и хроме за нарушения.
> Startssl со StartCom не путаешь?первое - трейдмарк, второе - компания, которая им владела.
> Это второй был куплен wosign'ом и они
там мутная история, скорее всего не куплен, но получил пачку китайских денег, что пол-беды, и китайский менеджмент в нагрузку, а это беда-беда.
> блочатся в лисе и хроме за нарушения.
высосанные из пальца. А на деле - за наглость конкурировать с теми у кого все схвачено.
И да, как там поживают комода, godaddy (и кого там еще ловили за руку не на теоретически
возможной выдаче сертификата на единичный домен уровнем выше, а на вполне себе подтвержденной выдаче своих CA или intermed-CA "хорошим ребятам, ой, только и исключительно для нужд корпоративной безопасности" - чуть ли не верисайн) и Честный Ахмед?Блокируются пока только нововыданные ev, правда, что будет дальше - непонятно. Пол-года у китайского менеджера еще есть, научиться понимать английский в достаточной степени для торговли с шантажистами.
> Но стараниями одновременно активных, изобретательных и очень тyпорылых китайских братьев
> (плюс, очевидно, сертификатной мафии) - start нынче там же, где и
> wosign, новые сертификаты не будут ничем лучше самоподписанных.о, поправка по результатам коммента внизу - вообще работать не будут, в отличие от самоподписанных.
кому теперь нужон этот фаерфокс, с его 10%
Видимо, тому самому 1% пользователей + еще 9% сочувствующих.
5% умников + 5% считающими себя такими.
Куда пропали кнопки отключения телеметрии в Linux-версии Фокса?
Пользуйтесь альтернативной шустрой версией FF- Pale Moon, где нет ничего лишнего!
> Куда пропали кнопки отключения телеметрии в Linux-версии Фокса?вам не нужно отключать телеметрию, мы лучше вас знаем что вам нужно.
> Пользуйтесь альтернативной шустрой версией FF- Pale Moon, где нет ничего лишнего!угу, лишней поддержки расширений - тоже нет. В том числе и privacy-enforcing.
И нет, носкрипт таковым не является и не особо от чего защищает.
> лишней поддержки расширений - тоже нет. В том числе и privacy-enforcingНи гугель, ни мозилла не знают про такое.
Encrypted Web (форк HTTPS Everywhere) работает прекрасно.
> носкрипт таковым не является и не особо от чего защищаетГуй носкрипта - это примерно 10% от его возможностей.
>> лишней поддержки расширений - тоже нет. В том числе и privacy-enforcing
> Ни гугель, ни мозилла не знают про такое.ну куда им, тупoрылым, действительно.
> Encrypted Web (форк HTTPS Everywhere) работает прекрасно.
если тебе всерьез (а не ради лени набирать префикс) оно нужно - ты безнадежен.
>> носкрипт таковым не является и не особо от чего защищает
> Гуй носкрипта - это примерно 10% от его возможностей.носкрипт не является средством защиты твоей privacy, что с 10, что со 100% его возможностей.
Он вообще не для этого придуман.
> Куда пропали кнопки отключения телеметрии в Linux-версии Фокса?
> Пользуйтесь альтернативной шустрой версией FF- Pale Moon, где нет ничего лишнего!В репах Дебиана водится? Нет? В пень.
>> Куда пропали кнопки отключения телеметрии в Linux-версии Фокса?
>> Пользуйтесь альтернативной шустрой версией FF- Pale Moon, где нет ничего лишнего!
> В репах Дебиана водится? Нет? В пень.дeбиловоды должны страдать.
Не умеешь ни скачать готовое, ни сам собрать, руки заточены только под ^%@ и apt-get ? Значит, тебе не нужно отключать телеметрию, дебиану лучше знать, что тебе нужно (и да, они ничем не лучше файрфоксников).
Лучше столмановским абоминейшеном.
Отключение сбора статистики работы браузера, отсылки собранных данных в Мозиллу,отключение отсылки всех посещаемых урлов и скачиваемых файлов на проверку по базам "опасных ресурсов"
готовый prefs.js. http://warfx.ru/firefox/config/
Какая-то бредо-аналитика. Причём здесь Firefox или Chrome и пользователи? Всё зависит от сайтов, по какому протоколу они отдают контент.
я вот и смотрю, че это оно начало - "An error occurred during a connection to ufoserver.org. Peer’s Certificate has been revoked. Error code: SEC_ERROR_REVOKED_CERTIFICATE"... в последнее время вываливаться. во всех браузерах ок, а вот в фирефоксе не ок, как это победить?!
Это потому что мозилла в одиночку залочила StartCom. Много сайтов было на нем. http://www.opennet.ru/opennews/art.shtml?num=45368
Не только Мозилла, новые версии Хрома тоже блочат.
спасиббо огромное