LINUX.ORG.RU

keys.gnupg.net редиректит на левые сайты?

 


0

2

Привет всем,

Кто-нибудь в курсе, что с keys.gnupg.net?

Меня редиректит с него на какую-то дичь: https версия ведёт на сервис аналитики (?) analytics.sumptuouscapital.com (сертификат не валиден), http - на некий sks.spodhuis.org.

А вот нечего всякими пользоваться. У меня изначально нонейм и его никто не трогает, а чувак очень прилежно следит за ним.

anonymous ()

Кто-нибудь в курсе, что с keys.gnupg.net?

Я нет. Но он действительно лежит:

$ gpg --keyserver hkp://keys.gnupg.net --search-keys 'wk@gnupg.org'
gpg: error searching keyserver: Server indicated a failure
gpg: keyserver search failed: Server indicated a failure

Меня редиректит с него на какую-то дичь

Это называется round robin, так и должно быть.

https версия

Зачем вы вообще пытаетесь подключаться туда по HTTPS? Где заявлено, что оно должно работать? Че сразу не по rsync’у?

И да, лично я пользуюсь hkps://hkps.pool.sks-keyservers.net.

Zmicier ★★★★★ ()
Последнее исправление: Zmicier (всего исправлений: 1)
Ответ на: комментарий от Zmicier

так и должно быть

Нет, так быть не должно. На этом месте был, и должен быть, поисковый интерфейс pgp ключей. Я ожидаю, что любой сайт из пула будет отдавать мне единообразное содержимое или хотя бы единообразную заглушку, а не так, что сегодня по этому адресу вижу апачевскую it works, завтра виагру без смс, послезавтра сервер аналитики, а ещё через день приватный keyserver левого чувака.

Cheater ()
Ответ на: комментарий от Cheater

Так https работает, просто серт не тот. Вполне вероятно кто-то любознательный появился и использует созвучный домен. Я на вскидку не могу понять кто они и чем занимаются — производители парфюма? Но вряд ли они как организация держат кейсервер, а вот чувак писавший им этот кошмар вместо сайта вполне возможно или серт украли что ещё более вероятно.

anonymous ()
Ответ на: комментарий от Cheater

У меня для тебя новости, с американского айпишника сайт работает по http и по https показывает что-то очень стрёмное вот это, для китайского айпишника по http itworks и https keyserver.spodhuis.org. Похоже на то что кто-то криво настроил пул.

anonymous ()
Ответ на: комментарий от Cheater

так и должно быть


Нет, так быть не должно. На этом месте был ... поисковый интерфейс pgp ключей

Охотно верю.

и должен быть.

Источник?

Я ожидаю, что любой сайт из пула будет отдавать мне единообразное
содержимое

Он и отдает. По HKP(S). Ибо это пул HKP. А вовсе не HTTP.

или хотя бы единообразную заглушку

Что за деструктивные призывы? HTML морда по HTTP бывает иногда удобной, почто вы хотите ее запретить?

Zmicier ★★★★★ ()
Ответ на: комментарий от Zmicier

Он и отдает. По HKP(S). Ибо это пул HKP. А вовсе не HTTP

Владельцам домена/сайта стоит больше задумываться о единообразии того, что отдаёт их ресурс и по другим протоколам, как минимум таким популярным, как HTTP(s). Если пользователь заходит по HTTP и HTTPS, он как минимум должен видеть что-то релевантное PGP: HTML форму поиска ключей (то, что собственно было до сегодняшнего/вчерашнего дня), статическую HTML страницу-приветствие (нет, «it works» не подойдёт). Но не левые сайты.

Что за деструктивные призывы? HTML морда по HTTP бывает иногда удобной, почто вы хотите ее запретить?

Где вы увидели призыв её запретить? Я сказал "хотя бы заглушку". Форма поиска как раз была удобной и всё нормально работало до вчерашнего дня. Сейчас появляется то форма, то что-то постороннее. Пусть лучше тогда будет заглушка.

Источник?

Источник - здравый смысл. Сто лет на http://keys.gnupg.net (у которого куча пользователей) поисковый фронтенд к pgp, кстати по https вроде бы то же самое было, а сейчас нерелевантные сайты. Я должен приводить пруфлинк, подтверждающий, что эта ситуация ненормальна? Если администраторы считают это нормальным, их право, но у меня возникает большое желание прекратить пользоваться ресурсом, админы которого так наплевательски относятся к безопасности.

Cheater ()
Последнее исправление: Cheater (всего исправлений: 1)
Ответ на: комментарий от Cheater

Что за деструктивные призывы? HTML морда по HTTP бывает иногда
удобной, почто вы хотите ее запретить?


Где вы увидели призыв её запретить?

Чуть выше. И вот чуть ниже вы его повторили, разве нет?

Я сказал «хотя бы заглушку». Форма поиска как раз была удобной и всё
нормально работало до вчерашнего дня. Сейчас появляется то форма,
то что-то постороннее. Пусть лучше тогда будет заглушка.

Ведь «единообразное содержимое», которое заглушка — это не браузерная форма. А браузерная форма бывает иногда полезной.

Источник?


Источник - здравый смысл.

Нет в источнике. :-)

http://keys.gnupg.net (у которого куча пользователей)

Источник? Кто эти странные люди, которых куча и которые ищут ключи через нестандартные формочки в обозревателе?

Я должен приводить пруфлинк, подтверждающий, что эта ситуация
ненормальна?

Здесь — нет, конечно.

Если администраторы считают это нормальным

Не знаю.

их право, но у меня возникает большое желание прекратить
пользоваться ресурсом

Так не держите же желание в себе — осуществите его!

админы которого так наплевательски относятся к безопасности.

Ой-ой! Что за манера пошла приплетать какую-то «безопасность» куда ни попади? Чьей еще безопасности?

Zmicier ★★★★★ ()
Ответ на: комментарий от Zmicier

А браузерная форма бывает иногда полезной.

Вы уж определитесь, то у вас она «иногда полезная», то ей «пользуются странные люди». Этот способ поиска ключа - действительно не канонический, но иногда бывает полезным быстро посмотреть подписи ккакого-то ключа, в тч протухшие (чтобы заставить консольный gpg выдать похожий результат, надо ему скормить не такую уж короткую строку параметров с --list-options).

А браузерная форма (гсподи ну и термин), которая работает через раз, - бесполезна. В такой постановке вопроса я да, за её закрытие.

Ой-ой! Что за манера пошла приплетать какую-то «безопасность» куда ни попади?

HTML форма http://keys.gnupg.net принимает ключи для загрузки на сервер ключей. Произошедшее вчера показало, что никто не гарантирует, что вместо этой формы пул не отдаст, например, спуфинговый сайт с похожей формой (который потом разошлёт ключ, который посчитает нужным, на другие сервера ключей, в случае если неудачливый юзер не задумается о дублировании рассылки). Продолжать?

Cheater ()
Последнее исправление: Cheater (всего исправлений: 1)
Ответ на: комментарий от Cheater

А браузерная форма бывает иногда полезной.


Вы уж определитесь, то у вас она «иногда полезная», то ей «пользуются
странные люди».

Она иногда полезная, а постоянно пользоваться кучами ею могут скорее странные люди. Что у вас здесь не стыкуется?

Этот способ поиска ключа - действительно не канонический, но иногда
бывает полезным быстро посмотреть подписи ккакого-то ключа, в тч
протухшие (чтобы заставить консольный gpg выдать похожий результат,
надо ему скормить не такую уж короткую строку параметров с
--list-options).

Вот сейчас, боюсь, не вкурил. Что вам надо посмотреть, что надо крутить --list-options?

быстро посмотреть подписи какого-то ключа, в т. ч. протухшие

--list-sigs же их показывает по-умолчанию — помеченными иксом, не?

А браузерная форма (гсподи ну и термин)

Это не термин, это описательное.

которая работает через раз, - бесполезна.

Ну если вы будете через раз ходить на *разные* сервера, то она и будет разной. В том числе иногда никакой.

Вы еще в $EDITOR сделайте зависимым от $RANDOM’а, а потом пожалуйтесь, что он у вас время от времени только бибикает и все портит. :-)

Ой-ой! Что за манера пошла приплетать какую-то «безопасность» куда
ни попади?


HTML форма http://keys.gnupg.net принимает ключи для загрузки на сервер
ключей.

Господи... Нет на keys.gnupg.net никакой формы. Это не более чем RRDNS.

Произошедшее вчера показало, что никто не гарантирует, что вместо
этой формы

Да какой «этой»? Нет никакого стандарта на браузерные формочки. Стандарт — это протокол HKP.

пул не отдаст, например, спуфинговый сайт с похожей формой (который
потом разошлёт ключ, который посчитает нужным, на другие сервера
ключей, в случае если неудачливый юзер не задумается о дублировании
рассылки). Продолжать?

Да, конечно, продолжать.

Если что, то чтобы загрузить подложный ключ никакие «спуфинги» нафиг не нужны — просто берем и загружаем. ;-)

Zmicier ★★★★★ ()
Ответ на: комментарий от Zmicier

Объясни почему редирект работает для https и не работает для http? С американским айпи всё работает. Других претензий у меня нет, хотя... Редирект для https и будет показывать невалидный серт и это очень криво.

anonymous ()
Ответ на: комментарий от Zmicier

Вот сейчас, боюсь, не вкурил. Что вам надо посмотреть, что надо крутить --list-options

Например, подписи отозванных uid-ов.

Ну если вы будете через раз ходить на *разные* сервера, то она и будет разной. В том числе иногда никакой.

Я каждый раз захожу на один и тот же адрес, http://keys.gnupg.net. При этом страница с формой поиска pgp мне или не выдаётся (а выдаётся левая html страница наподобие тех что в стартовом сообщении), или выдаётся но бросает «timeout error» при попытке что-то найти, или выдаётся и работает. То, что мне выдаются «разные сервера» - проблема тех, кто отвечает за DNS. Что, как я уже сказал, поднимает вопрос об их компетентности.

Нет на keys.gnupg.net никакой формы

Что значит нет? Я её вижу в браузере, в строке адреса стоит keys.gnupg.net. Остальное не мои проблемы как пользователя ресурса.

Нет никакого стандарта на браузерные формочки.

И что дальше? При чём здесь наличие стандарта? Надо дружно пользоваться только тем, что стандартизовано, и отказаться от ввода данных в <form>, потому что видите ли стандарта нет?

никакие «спуфинги» нафиг не нужны — просто берем и загружаем

Ну можно захотеть перехватить исходящий ключ и создать свой с fingerprint collision. Мне если честно не очень интересно, как конкретно скамеры попытаются использовать невалидный сайт на доверенном доменному имени. Сам факт того, что ресурс не контролирует свой собственный балансировщик нагрузки, - минус администрации.

Cheater ()
Последнее исправление: Cheater (всего исправлений: 1)
Ответ на: комментарий от anonymous

Объясни почему редирект работает для https и не работает для http?

Что значит «не работает»? Работает. И не может не работать. Оно на уровне DNS, то есть адресов, происходит. Порт потом.

Редирект для https и будет показывать невалидный серт и это очень
криво.

Ну так не ходите туда.

Zmicier ★★★★★ ()
Ответ на: комментарий от Zmicier

Что значит «работает» если не работает? Ну так-то если it works считать работой... У тех сайтов есть аналогичная версия без https и она должна показываться например.

anonymous ()
Ответ на: комментарий от anonymous

Объясни почему редирект работает для https и не работает для http?


Что значит «не работает»? Работает.


Что значит «работает»

Не знаю, это ваше слово.

если не работает?

Хорошо, не работает. Но разницы меж HTTP и HTTPS нет и быть не может: «редирект» на уровне DNS, то есть адресов, происходит. Порт потом.

Zmicier ★★★★★ ()
Ответ на: комментарий от Zmicier

Не знаю, объясню ещё раз. Заходишь туда с американского айпи тебя кидает сюда, но редирект по http корректно показывает тебе тот сайт (уже нет, теперь там редирект на https://b4ckbone.de/ но видимо тоже немцы//уже опять да), а китай c с европой допустим показывает it works по http и редиректит с https.

Вот например эта их аналитика ругается:

Warning: You are now accessing Matomo from https://keys.gnupg.net/, but Matomo has been configured to run at this address: https://analytics.sumptuouscapital.com/. 

Click here to access Matomo safely and remove this warning. You may also want to contact your Matomo administrator and notify them about this issue (). 

How do I fix this problem and how do I login again?
The Matomo Super User can manually edit the file piwik/config/config.ini.php and add the following lines:

[General]
trusted_hosts[] = "keys.gnupg.net"
After making the change, you will be able to login again.
You may also disable this security feature (not recommended). To do so edit config/config.ini.php and add:

[General]
enable_trusted_host_check=0

Просуммировав, там зачастую есть реальные сайты на http редирект на которые не работает за редким исключением? Или просто не работает?

anonymous ()