Почему некоторые против HTTPS Everywhere?

Тотальная прослушка технически элементарна.

Что Вы называете прослушкой? Запись и хранение Ваших разговоров? Или все-таки, их реальное прослушивание человеком?

Сотни способов, от давно утёкших баз до поиска номера в свободных источниках.

Эти способы срабатывают крайне редко. Обычно в тех случаях, когда человек целенаправленно публикует свои контактные данные (как я, например). Ну и повторю, что при желании у Вас есть множество способов остаться инкогнито как при голосовом, так и при текстовом общении.

Что Вы называете прослушкой? Запись и хранение Ваших разговоров? Или все-таки, их реальное прослушивание человеком?

А в чём разница? Если их записали и хранят, то могут и прочитать, когда вздумается и кому вздумается. А могут вообще данные утечь.

Вы не понимаете простой вещи - не может быть HTTPS пока есть эта «страховка»

Действительно не понимаю. Если Вы устанавливаете связь с сайтом по https, то как наличие поддержки протокола http поможет провайдеру перехватить Ваши данные или влезть в Ваш трафик?

а широкомасштабное практическое применение как прямых атак по перехвату и подмене трафика

Мой опыт говорит, что Вы несколько погорячились со словом «широкомасштабное». Я, конечно, сталкивался с подменой трафика, но считанные разы. И обычно при работе через публичные хотспоты или у мобильных операторов. Это явно не тянет на широкомасштабное...

так и атак на HTTPS

Как атаки на https связаны с достпностью http?

в том числе административными средствами

Что Вы имеете ввиду?

Например, есть публичная информационная страница, ее можно спокойно отдавать по http. Но другое дело, что сейчас все, кому не лень, включая провайдеров, тянут свои грязные руки к твоему трафику.

Значит нельзя спокойно отдавать. Впиливать баннеры поверх что уже есть, прямо в траффик - это ужасно.

Если их записали и хранят, то могут и прочитать, когда вздумается и кому вздумается.

Могут, конечно. Но посчитайте вероятность этого события.

Только зачем если можно еще шифрование, которое практически ничего не стоит

Там проверка контрольных сумм потом

Я, честно говоря, вообще не понимаю логику авторов этого закона. Какой интерес спец. службам слушать, как я с женой кошку обсуждаю? А если действительно надо конфиденциальные вещи обсудить, то кто помешает мне бросить тот же туннель и пустить трафик по нему?

Могут, конечно. Но посчитайте вероятность этого события.

Примерно 100%, так как эти данные, как минимум - можно толкнуть втихаря. И 146%, если мной кто-то заинтересуется по каким-либо левым причинам, включая желание получить очередную звёздочку или отчитаться перед начальством за выполнение плана.

Какой интерес спец. службам слушать, как я с женой кошку обсуждаю?

Аппаратура стоит денег. Деньги выделяются из бюджета. Продолжать? Можно штрафовать провайдеров, которые не могут выполнить невыполнимый закон. Можно отжать бизнес у мелких провайдеров. Можно посадить за обсуждение обнажённой несовершеннолетней кошки... ведь, верятно, под кошкой вы имели ввиду кого-то другого, и попробуйте докажите, что это не так.

Примерно 100%,

У Вас как в анекдоте про вероятность встречи с динозавром получается ;). Попробуйте оценить трудоемкость процесса вычленения Вашего конкретного разговора из круглосуточных записей десятков миллионов людей.

так как эти данные, как минимум - можно толкнуть втихаря.

Кому интересны Ваши разговоры? Я допускаю, что среди них могут быть и те, которые содержат коммерчески ценную информацию. Но вот как найти их среди обсуждений кошек, детей, машин и прочего информационного шума?

если мной кто-то заинтересуется по каким-либо левым причинам

Во-первых, такие причины должны быть. Во-вторых, они должны быть довольно весомыми, т. к. трудоемкость процесса очень велика (грубо говоря, если этот «кто-то» займется Вами, то мной он заняться уже не сможет - физически времени рабочего не хватит)...

Аппаратура стоит денег. Деньги выделяются из бюджета. Продолжать? Можно штрафовать провайдеров, которые не могут выполнить невыполнимый закон. Можно отжать бизнес у мелких провайдеров.

Ну, пилить бюджет и отжимать бизнес прекрасно умели и без этого закона :). Так что это слабый аргумент...

Ладно, мы куда-то в сторону от обсуждения протоколов ушли...

и попробуйте докажите, что это не так.

Презумпцию невиновности в уголовном праве никто не отменял ;).

Тот же гугль находит, вычленяет, и выдаёт релевантную рекламу.

Google работает с текстовой информацией. А здесь сырой массив аудиозаписей разного качества, громкости и т. д.

Google работает с текстовой информацией. А здесь сырой массив аудиозаписей разного качества, громкости и т. д.

Причём тут аудиозаписи? Речь ведь шла о том, чтобы выуживать данные из сетевого траффика, где большая часть информации - текст. Ну а если про аудио говорить, так вроде они нынче без проблем распознаются в текст компьютерами - были бы вычислительные мощности в достаточном количестве.

Это - ужасно, согласен. Но использование https - это лишь один способ решения вопроса, причем не самый эффективный в долгосрочной перспективе. Общество должно созреть в плане информационной гигиены и запретить подобную фигню законодательно.

P.S. У меня на сайте https.

причем не самый эффективный в долгосрочной перспективе

Вроде как самый эффективный, так как ним убивается еще много зайцев сразу, не только этот

Общество должно созреть в плане информационной гигиены

Впаду-ка в анабиоз. Позовите, когда общество созреет.

Смотри, сегодня ты навешиваешь https потому что провайдер вставляет рекламу, завтра используешь VPN потому что у тебя не работает пол интернета... Послезавтра имеешь белый список сайтов и для посещения любого из них подписываешь договор о предоставлении всех свои персональных данных в неограниченное пользование.

Я только за шифрование и туннелирование, но проблему нужно решать и в другой плоскости.

завтра используешь VPN потому что у тебя не работает пол интернета

Я делал это ещё вчера, потому что у меня не работает пол интернета уже давно. Спасибо тем, кто нас бережёт от ужасной информации... ну там, о вакансиях на доу, например, или... ну ты понел.

сегодня ты навешиваешь https потому что провайдер вставляет рекламу

Да. А что ты предлагаешь сделать? Пойти навалять провайдеру? Последний раз, из-за того, что у меня пропала сеть, я потерял бабло, а провайдер на мои возмущения послал меня лесом.

Послезавтра имеешь белый список сайтов и для посещения любого из них подписываешь договор о предоставлении всех свои персональных данных в неограниченное пользование.

Я и так уже задолбался тыкать на чекбокс о том, что не против того, чтобы сайт у меня в бравзер записал свои куки. Будущее уже тут. И оно - говно. Что делать?

Действительно не понимаю. Если Вы устанавливаете связь с сайтом по https, то как наличие поддержки протокола http поможет провайдеру перехватить Ваши данные или влезть в Ваш трафик?

Очень просто - блокируем 443 порт и браузер радостно работает по http. А HSTS, по-вашему, нельзя - это же нарушение прав и свобод.

Мой опыт говорит

Ваш опыт в вопросе общемирового перехода на HTTPS никого не интересует. Собственно, тут даже достаточно всего лишь теоретической возможности.

Что Вы имеете ввиду?

Имею в виду что пока есть возможность ходить на сайты по HTTP, можно запретить HTTPS в рамках любой организации или там страны, а HTTP фильтровать и мониторить.

Что Вы называете прослушкой? Запись и хранение Ваших разговоров? Или все-таки, их реальное прослушивание человеком?

Вы из какого века? Никакие люди разговоры давно не прослушивают, когда речь распознаётся, переводится в текст и анализируется по ключевым словам в реальном времени. А обсуждаем мы, если вы забыли, траффик, где даже распознавать ничего не нужно.

Эти способы срабатывают крайне редко

Чушь это собачья. Номер обычного взрослого человека, как правило, не меняется с самого своего появления, и за 20 лет засвечен уже в десятках баз. Ещё с тех пор когда они на горбушке продавались на CD. А теперь номер и со сменой оператора не менятся, и столько на него завязано что его не поменяют до гроба. А ещё напомню про не столь давнюю историю с приложением которое собирало как у кого записан каждый контакт и эта база радостно утекла. Это даже интереснее банальной идентификации личности.

Ну и повторю, что при желании у Вас есть множество способов остаться инкогнито как при голосовом, так и при текстовом общении.

При желании можно срать стоя на голове. Вопрос в том чтобы простая и надёжная возможность инкогнито гарантировано была под рукой в любой момент, без туннелей и торов с случае сети и поиска левых симок и серых телефонов в случае сотовой связи, а в идеале вообще по умолчанию, пока я не сочту нужным представиться.

Осознать проблему и искать пути ее решения. А если все будут только лишь убегать от проблемы при помощи технологий, то скоро в информационном поле гражданских прав и свобод будет меньше, чем у чернокожих в США 100 лет назад.

Я со своей стороны растолковываю подобные темы людям в моем окружении.

Осознать проблему и искать пути ее решения. А если все будут только лишь убегать от проблемы при помощи технологий

Пока одни осознают и ищут, другие делают возможность нарушения прав и свобод технически невозможной.

Правильно делают, это должно идти параллельно.

Что будешь делать, если завтра объявят криптографию для физических лиц вне закона?

Проблемы только на пронхабе по-моему испытывал... В остальном всё нормально... Вообще юзаю uMatrix дополнительно и считаю что на 95% сайтах кучи межсайтового скрипто-говна, которые нужно резать нафиг! Интернет уже не торт.

Продолжу игнорировать объявлятелей.

1984 читал?

1984 читал?

Много чего читал. Мне мой город уже начинает напоминать местами City 17. Тут рамки, тут загорожено, тут «а куда это вы пошли?».

Читал.

Почему против? Мне норм, я его просто не ставлю.

Поясните, пожалуйста, чем плох полный переход на HTTPS?

Это как если обезьяне дать в руки молоток — всё вокруг будет казаться гвоздями.

Ну есть на некоторых ресурсах проблемы. Ну так сами себе виноваты.

Назло бабуле отморожу уши?

От использования http надо избавляться. Принципиально не выключаю расширение, приучился брать инфу из кэша или на других сайтах, так что неhttps тупо потеряли клиента в моем лице.

Вангую что тамошним админам твоё мнение очень важно.

если с ним что-то случится
временное явление пока полный переход не случится
будет серый для HTTPS и красный для HTTP

А потом наступит коммунизм.

Так вот, HTTPS нужно всегда и везде

В админку рядом стоящего роутера ты тоже через HTTPS ходить будешь?

российские провайдеры учатся у «лучших»
Oh, it's just Vodafone

Украинские пользователи посмеялись.

все сайты которые мне интересны в состоянии работать с SSL, которые не в состоянии, не достойны моего времени.

Ты оцениваешь интересность сайта по состоянию работать с SSL? Работник гугла или что?

Мало того, когда провайдер заменяет сертификат запрошеный с https сайта на свой, и браузер на весь экран выводит предупреждение, что сертификат подменили в процессе передачи (на русском языке, крупными буквами) юзер находит кнопку «всё равно открыть, я понимаю риск» и грузит сайт с провайдерским сетрификатом.

Такие и сайты с валидными сертификатами через амиго смотрят. Если пользователь дурак — то никакие Let's Encrypt и HTTPS Everywhere его не спасут.

А если другие дороже, переплачивать? Нет, это не проще.

Вся суть диванных параноиков: хотим кушать говно, но так чтобы вместо нас говна накушался кто-то другой и слепил нам из него конфетку.

Да и ради чего? Ради вашего желания раскрывать всем ваш трафик на чтение и запись?

Ради того чтобы не кушать говно, например.

Кстати, по поводу уведомлений - даже крупные организации, бывает, наступают на эти грабли.

Из-за шатдауна правительства США не продлены более 80 сертификатов TLS

Это не проблема (с точки зрения безопасности).

Безопасности кого и от чего (с точки зрения бложика васяна про котиков)?

Собственно, вопрос в заголовке. Не раз натыкался на сообщения о том, что это - зло. Поясните, пожалуйста, чем плох полный переход на HTTPS?

По тому что есть такой офигенный бизнес, по продаже SSL сертификатов.

Я могу лишь порадоваться за вас тому, что все ресурсы, которые вы посещаете, перешли на HTTPS

Все ресурсы которые не сделали этого потеряли посетителя.

Это просто ужасно, невосполнимая потеря для всего интернета. Крупные корпорации в срочном порядке собирают совещания, где ищут наиболее быстрые пути для решения этой проблемы. Тим Бернерс-Ли готовится выступить с заявлением.

я не использую порно через http, так как альтернатив с https полно

А ещё через https сиськи кажутся на два размера больше.

Какой вред от работы сайта по лдвум протоколам одновременно?

Работа сайта под двум протоколам отдаляет наступление светлого будущего и всеобщего коммунизма же.

Пока все хорошо - пользуемся https. Если возникла проблема с сертификатами - получаем информацию по http, пока проблему не решат...
IMHO, это наиболее адекватный на сегодняшний день подход...

Можно ещё смотреть сайт с просроченным сертификатом через https, но у мамкиных безопасников это пипец как несекурно. Зато когда типа секурный браузер сливает всю историю посещений вместе с действиями на страницах левой конторе — это норма.

а где я это запрещаю?

Но ведь тогда у сайта не будет A+++ на ssllabs.com, бида-бида.

адекватный подход - это настроить https нормально

Адекватный подход — это не использовать микроскоп для забивания гвоздей.

Так что исходный посыл может быть записан как «Я позволяю незнакомым людям удалённо запускать разные программы на моём компьютере. Что может пойти не так?».

И как тут поможет HTTPS Everywhere? Для этого NoScript есть.

Я думаю, ради всеобщего блага, каждый второй, если не первый, админ согласится забесплатно настроить HTTPS на сервере, на котором крутится ресурс, приносящий людям пользу.

Во славу Партии! Ура!

Я призываю. Не к запрету, но к поголовному переходу.

Не забудь прижать руку к груди, а потом лёгким движением выпрямить её вместе с пальцами, вскинув чуть выше уровня плеч.

Вы не понимаете простой вещи - не может быть HTTPS пока есть эта «страховка».

В этом предложении точку можно было ставить уже после HTTPS.

Пока существует HTTP есть не просто возможность, а широкомасштабное практическое применение как прямых атак по перехвату и подмене трафика, так и атак на HTTPS, в том числе административными средствами

А принудить использовать единый государственный сертификат административными средствами никак нельзя, да?

Я делал это ещё вчера, потому что у меня не работает пол интернета уже давно. Спасибо тем, кто нас бережёт от ужасной информации... ну там, о вакансиях на доу, например, или... ну ты понел.

Как будто проблемы банановых недореспублик кого-то волнуют. Гугль вон и тот до сих пор штраф этому вашему роскомнадзору не выплатил.