https://www.opennet.me/openforum/vsluhforumID3/120886.html В библиотеке GnuTLS, которая применяется по умолчанию во многих пакетах из состава Debian, включая пакетный менеджер APT и многие утилиты, выявлена уязвимость (CVE-2020-13777), позволяющая возобновить ранее остановленный сеанс TLS без знания сессионного ключа. С практической стороны уязвимость может применяться для осуществления MITM-атак...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=53120<br> https://www.opennet.me/openforum/vsluhforumID3/120886.html#32 Thu, 11 Jun 2020 18:40:09 GMT Всё так.<br>Не &#171;дыры&#187;, а &#171;технологические отверстия&#187; :)<br> https://www.opennet.me/openforum/vsluhforumID3/120886.html#31 Thu, 11 Jun 2020 18:03:41 GMT &gt;&gt; И энта самое, что там с современными интерактивными сайтами без JS?<br>&gt; Это какие?<br><br>Это вам лучше знать, раз уж задавали такие странные вопросы:<br>&gt;&gt;&gt;&gt; Как сделать логин-форму без скриптов и паролей плейнтекстом?<br><br>Я, несмотря на вкушание какту^W^W NoJS по умолчанию в основном браузере -- ничем не могу вам помочь. <br> https://www.opennet.me/openforum/vsluhforumID3/120886.html#30 Thu, 11 Jun 2020 17:21:20 GMT &gt; И энта самое, что там с современными интерактивными сайтами без JS?<br><br>Это какие?<br><br>&gt; Можно. Этот RFC поддерживался еще IE5(.x)<br><br>Ну ладно.<br> https://www.opennet.me/openforum/vsluhforumID3/120886.html#29 Thu, 11 Jun 2020 16:00:52 GMT &gt;&gt; Или аноним может процитировать мое "анти-https" высказывание?<br>&gt; Оно где-то здесь: "Свидетелей HTTPS-ца" <br><br>"Кто не с нами, тот против нас!"?<br><br>И энта самое, что там с современными интерактивными сайтами без JS?<br><br>&gt;&gt; И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с) <br>&gt; RFC это очень хорошо, но на практике то можно?<br><br>Можно. Этот RFC поддерживался еще IE5(.x)<br><br><br> https://www.opennet.me/openforum/vsluhforumID3/120886.html#28 Thu, 11 Jun 2020 15:33:53 GMT &gt; Или аноним может процитировать мое "анти-https" высказывание?<br><br>Оно где-то здесь: "Свидетелей HTTPS-ца"<br><br>&gt; И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с)<br><br>RFC это очень хорошо, но на практике то можно?<br><br>&gt; 1) не на каждый сайт, а лишь на каждый ID. <br><br>2) какая принципиальная разница-то?<br><br>Очень неудобно. Софта то для этого нет.<br> https://www.opennet.me/openforum/vsluhforumID3/120886.html#27 Thu, 11 Jun 2020 15:02:23 GMT &gt;&gt; И в вакууме. Сферическом.<br>&gt; В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, <br>&gt; работающем без JS &#128580; <br>&gt; Опеннет удивительный сайт. Здесь собираются анти-https и любители модных уеб-технологий (bloatware) в одном лице.<br><br>А еще любители читать, хм, не совсем глазами, между строк -- и додумывать все остальное. Или аноним может процитировать мое "анти-https" высказывание?<br><br>&gt;&gt; January 1997 <br>&gt;&gt; An Extension to HTTP : Digest Access Authentication <br>&gt;&gt; Obsolete <br>&gt; Ну такое.<br><br>Ну, можно сделать вид, что там нет ссылки на следующий RFC https://tools.ietf.org/html/rfc2617<br>1999 года (и оттуда - на версию 2014). <br>И что технология заглохла из-за злобного сговора веббраузероклепальщиков, а не потому что "вебдевы" предпочитали не заморачиваться - "и так сойдет!" (с)<br><br>&gt;&gt; Ну и зачастую логин c (любым) паролем -- на самом деле не нужен: <br>&gt; -----BEGIN PGP SIGNED MESSAGE----- <br>&gt; Теперь для каждого сайта надо новый ключ создавать и хранить?<br><br>1) не на каждый сайт, а лишь https://www.opennet.me/openforum/vsluhforumID3/120886.html#26 Thu, 11 Jun 2020 14:41:25 GMT &gt; И в вакууме. Сферическом.<br><br>В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, работающем без JS &#128580;<br><br>Опеннет удивительный сайт. Здесь собираются анти-https и любители модных уеб-технологий (bloatware) в одном лице.<br><br>&gt; January 1997<br>&gt; An Extension to HTTP : Digest Access Authentication<br>&gt; Obsolete<br><br>Ну такое.<br><br>&gt; Ну и зачастую логин c (любым) паролем -- на самом деле не нужен:<br><br>-----BEGIN PGP SIGNED MESSAGE-----<br><br>Теперь для каждого сайта надо новый ключ создавать и хранить?<br> https://www.opennet.me/openforum/vsluhforumID3/120886.html#25 Thu, 11 Jun 2020 10:14:16 GMT &gt;&gt; идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом " <br>&gt; Как сделать логин-форму без скриптов и паролей плейнтекстом?<br>&gt; без скриптов<br><br>И в вакууме. Сферическом.<br>В 2020м только рассказывать о восьмом чуде света -- современном, интерактивном сайте, работающем без JS &#128580;<br><br>Но так и быть:<br>https://tools.ietf.org/html/rfc2069<br>&gt; January 1997<br>&gt; An Extension to HTTP : Digest Access Authentication<br><br>Оно было еще в IE 5. Но проще ж было просто пересылать формочку (в то время даже без обертки https) и не заморачиваться &#128580;<br><br>Ну и зачастую логин c (любым) паролем -- на самом деле не нужен:<br>-----BEGIN PGP SIGNED MESSAGE-----<br>Hash: SHA256<br><br>Это _мое_ сообщение!<br>Отправленно плейнтекстом.<br>-----BEGIN PGP SIGNATURE-----<br><br>iHUEARYIAB0WIQSqzOsxglhneE9AoANPeamwXnt+nQUCXuIAPwAKCRBPeamwXnt+<br>nYEdAQC1A9l0HEIXvx9y3x6t6mtpshg/e7aGa4tEIZ/bdzdxRwD+JrNojtRlHM/7<br>H2DBCNQPhtVtZ6vgEo07MarPvVbHoQk=<br>=89pk<br>-----END PGP SIGNATURE-----<br> https://www.opennet.me/openforum/vsluhforumID3/120886.html#24 Thu, 11 Jun 2020 05:02:27 GMT &gt; идиотскую привычку "вебдевов" пересылать логины и пароли плейнтекстом "<br><br>Как сделать логин-форму без скриптов и паролей плейнтекстом?<br>