LINUX.ORG.RU
ФорумTalks

Кто-то живет к криокамере?

 ,


0

2

Мониторю спул сендмейла на предмет «проблемные серверы»
Смотрю, что не доставить письмо через mx1.fss.ru на @sed.sfr.gov.ru из-за tls
Проверяем, что же там за зверь? 

 $ openssl s_client -starttls smtp -crlf -connect mx1.fss.ru:25
CONNECTED(00000003)
depth=0 C = US, ST = California, L = San Bruno, O = "IronPort Systems, Inc.", CN = IronPort Appliance Demo Certificate
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 C = US, ST = California, L = San Bruno, O = "IronPort Systems, Inc.", CN = IronPort Appliance Demo Certificate
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 C = US, ST = California, L = San Bruno, O = "IronPort Systems, Inc.", CN = IronPort Appliance Demo Certificate
verify error:num=10:certificate has expired
notAfter=May  1 22:57:58 2016 GMT
verify return:1
depth=0 C = US, ST = California, L = San Bruno, O = "IronPort Systems, Inc.", CN = IronPort Appliance Demo Certificate
notAfter=May  1 22:57:58 2016 GMT
verify return:1

---
No client certificate CA names sent
Peer signing digest: MD5-SHA1
Peer signature type: RSA
Server Temp Key: DH, 1024 bits
---
SSL handshake has read 1755 bytes and written 545 bytes
Verification error: certificate has expired
---
New, SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
No ALPN negotiated
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA

Откуда такие берутся?

★★★★★

Последнее исправление: vel (всего исправлений: 1)
А почему так трудно реализовать балансировку интернет-соединения программно для домашнего роутера?
На github забанили?
1 2
Ответ на: комментарий от Dimez

На уровне smtp сервера starttls регулируется достаточно просто.
Вопрос только кому это понадобилось...

vel ★★★★★
() автор топика
Ответ на: комментарий от firkax

Государству самого себя митмить незачем.

Государство всё же не Людовик XIV. В том смысле, что не является одним человеком. Оно управляется и бывает представлено достаточно большим количеством людей и структур, у каждого и каждой из кторых могут помимо общегосударственных быть ещё какие-то интересы. Нет, я не думаю, что тут мы имеем такой случай, конечно. Но в целом, я вполне могу допустить, что «государству самого себя» вполне может быть смысл митмить, либо оно может считать, что таковой смысл есть.

CrX ★★★★★
()
Ответ на: комментарий от anc

Я сейчас попробовал и у меня тоже в выхлопе didnt find starttls. Версия 3.4.1. С мх2 то же самое.

imul ★★★★★
()
Последнее исправление: imul (всего исправлений: 1)
Ответ на: комментарий от Mischutka

Так, откуда нам знать, может, они с хакерами борятся. Т.е. может, случаи использования дыр - были, но как об этом узнать?

tiinn ★★★★★
()
Ответ на: комментарий от tiinn

Ну и пусть борются. Или вы хотите помочь в данной борьбе?

Mischutka ★★★★★
()

Здравствуй, *** Айти! Доброго времени суток, *** читатели, редакция и все прочие патриоты! Данная статья посвящается сугубо IT (наконец-то, *** в рот!). Речь пойдет о такой замечательной ***, как HTTPS.

Итак, что вы вообще знаете об HTTPS? Нам всем втирают, что это безопасность. Это защита от прослушки трафика, это гарантия того, что вас не *** в жопу какой-нибудь Вася Хуякерович. Что тут говорить, на фоне всеобщего бреда по поводу перевода ресурсов на HTTPS даже появились такие сервисы, как Let’s Encrypt. Какая красота, лЯпота ***, даже платить не надо, всё бишплатно без регистрации без смс. Что конкретно представляет из себя HTTPS? Это *** расширение протокола HTTP для поддержки шифрования в целях повышения твоей безопасности. Но на чем основана эта безопасность и защита? Защита HTTPS полностью основана на Рутах (ROOT CA), то есть вы доверяете свою нигерскую жопу неким третьим лицам. Эммм, какая это еще *** безопасность? А если произойдет взлом сервера рута и будет произведена MITM атака, то в этом случае вся эта ваша безопасность пойдет по ***, вспомните печальку с DigiNotar. Да даже без всяких там взломов рутов ваша так называемая безопасность всё равно идёт по ***! На стороне любого провайдера работает механизм Splice, который без всяких подмен сертификатов позволяет видеть, какие ресурсы вы посетили, чего бывает во многих случаях достаточно, чтобы взять кого-то за стоячий ***. К тому же, есть такая ***, как Connection Probing. И оно на *** вертело ваш HTTPS.

В настоящее время стали как никогда популярны VPN сервисы. Везде так и лезет реклама с мольбами купить *** VPN. Друзьяшки вы мои, неужели вы думаете, что ваш VPN нельзя заблокировать? VPN блокируется на раз-два, как и ваши *** SOCKS. Есть такая ***, как DPI, который работает на транспортном уровне, и ему до *** вообще на ваш VPN и SOCKS. Есть сигнатуры этих протоколов, и сигнатуры никуда не деть, и в случае чего оно будет блокироваться. Все эти ваши HTTPS, SOCKS, VPN — это иллюзия безопасности, *** это не панацея.

Не так давно довелось мне увидеть комменты к этому посту, где один *** утверждает, что HTTPS = end-to-end. Шта, блеать? В каком он месте, ***, end-to-end? HTTPS с доверенными CA — ну никак ни разу не end-to-end, ***. А вот как раз истинный end-to-end обеспечивает безопасность, к примеру SSH.

Самой *** штукой можно считать обфускацию трафика. Когда происходит обфускация, то никакой DPI не поймет ***, че там у тебя происходит, че ты там используешь, смотришь ли голых тян на юпорне. Хороший пример — работа Tor в Китае. Вам могли сыпать в глазишки пылинки, что в Китае Tor не работает, а вот и ***, работает он там как миленький с помощью obfs4. Сигнатуры на него нет и не будет, так что оно вполне успешно работает даже в китайнете. Есть непубличные obfs4 мосты, которые не анонсируются нигде, да и к тому же, раз уж в сети так много тем насчет того, чтобы «прикупить за бугром простенький vps и поднять там vpn», гораздо умнее, если уж так хочется, поднять на таком сервачке obfs4 бридж, приватный бридж. свой ***, и никому его не палить, профит же. Какие ***, в жопу ***, VPN, который палится без проблем на любом DPI??? Так что, россияне, я бы рекомендовал вам уже сейчас вдуматься в то, что в скором времени по *** пойдет весь российский Интернет, и настанет эпоха Чебурнета. Нужно заранее быть готовым, нужно на досуге получать обновленные списки бриджей Tor, и сохранять, чтобы на случай, когда ты утром встал и захотел *** на любимых порномоделей на любимом сайтике, а на экране не вылез вместо неё товарищ Майор. И никогда не доверяйте голому HTTPS свою безопасность, ведь это не больше, чем волосишки на вашем лобке.

https://telegra.ph/HTTPS--lobkovye-volosy-08-06

wenxuan
()
Последнее исправление: wenxuan (всего исправлений: 1)
Ответ на: комментарий от Mischutka

95% - с явными дырами.

Были случаи использования данных дыр?

Почему случаи? Оно давно в проде :)

anc ★★★★★
()
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)
1 2
А почему так трудно реализовать балансировку интернет-соединения программно для домашнего роутера?
Talks
На github забанили?