В Казахстане обязали устанавливать государственный сертификат для MITM

это конечно же не оправдание, просто демонстрация того, что 1) казахстану до европейских демократических страх ещё тысячу километров г-ном плыть 2) все эти сертификаты абсолютно нерелевантны обсуждаемой проблеме.

думаю это всё закончится ничем. люди поставят сертификат, мозилка и хром как работали, так и продолжат работать. может ещё какую-то свистелку прикрутят чтобы полегчало, а может и нет, хотя со свистелкой наверное будет полегче это всё переживать.

ты думаешь им не насрать на это? Это ты тут весь такой модный, стримишь, google stady или как там оно, обсуждаешь. Ты видел вождей казахстана? Им насрать на твой пинг, на стримы и онлайн потоки.

А сайты будет открываться хоть с пингом 100 мс.

Китайский коммунизм заразителен.

Нет ты недоумевал как это можно от твоего имени чего-то сделать, я тебе объяснил как. Ну и кроме онлайн-банков есть и просто почта например или мессенджеры.

Скинь мне в личку свой пароль от ЛОРа и фотографию банковской карточки с двух сторон, пожалуйста.

Южная Сибирь. Слышал о такой?

Вот я и спрашиваю: куда?

Южную границу региона проводят по государственной границе России с Казахстаном, Монголией и Китае

Нет ты недоумевал как это можно от твоего имени чего-то сделать, я тебе объяснил как.

Что Вы мне объяснили ? Я не спорю что могут смотреть пусть глядят, но сделать ничего не могут !

Кто может мне объяснить физику подмены сертификата?

Можно на примере аналогии с запечатанными письмами. Человек-посередине распечатывает конверт, достает оттуда письмо и кладет его в свой конверт и запечатывает своей печатью. Может не класть. Может класть, но вырезав что-то ножницами или вовсе написав от себя за кого-то.

За паролем от ЛОРа к Максиму ( это я образно, типа сбросить его и сгенерить заново) За банковской картой, в банк.

Еще вопросы есть ?

Хорошо.

Я получаю письмо и говорю - печать то не та. И что ?

Я не спорю что могут смотреть пусть глядят, но сделать ничего не могут !

Могут. man mitm. В случае сабжевого mitm ты даже не можешь знать с кем ты соединился на самом деле!

Кроме того и «просто смотреть» достаточно,чтобы перехватить пароли от твоей почты например и писать от тебя.

Ну и умиляет, конечно «нечегоскрывательство» с пусть смотрят...

Что то я не понял, а как они это собираются реализовать? Есть не только https, но и другие протоколы. Ну допустим поставят все на браузеры сертификаты, или даже ещё как в системе пропишут. А как быть с тоннелем через впс, даже если и туда что-то засертификатить,то второй слой туннель в туннеле через виртуалку это обходит. Или на всех слоях шить бекдоры? Какая то клоунада получается, особенно когда прочесть что это защита от хакеров. Админы банков казахстана наверное рады такой заботе.

В случае такого mitm как в сабже, можно всю сессию целиком вести от твоего имени. Например, зашел ты в онлайн-банкинг, обвешавшись кучей авторизаций, потом тебя отрубили от него и продолжили работать в нем вместо тебя.

А есть хоть один онлайн-банкинг, который полагается на https? Либо дают клиентский сертификат (точнее технически ты его делаешь сам и отправляешь открытый ключ в банк) и ты им подписываешь свои действия, либо пароль на токене/карточке, либо на худой конец подтверждение по СМС.

Реально «опасность» только для HTTPS там, где он совсем не нужен (на публичных сайтах).

Кроме того и «просто смотреть» достаточно,чтобы перехватить пароли от твоей почты например и писать от тебя.

А код смс откуда ?

Я получаю письмо и говорю - печать то не та. И что ?

Ну вот браузеры сейчас и ругаются, что печать не та. Firefox и вообще пускать не станет, а Chrome потребует пару кнопок нажать для исключения.

С сабжевым сертификатом ругаться не будут.

За паролем от ЛОРа к Максиму ( это я образно, типа сбросить его и сгенерить заново) За банковской картой, в банк.

Еще вопросы есть ?

Зачем мне (тов. майору) к кому-либо обращаться, если я могу сам эту информацию получить из твоего трафика? Судя по тому, что тебе «нечего скрывать», тебя это устраивает.

Я получаю письмо и говорю - печать то не та.

В данном случае ты добавил эту печать в свой браузер и она для тебя «та».

Ты каждый раз как письмо написать sms подтверждаешь? Кроме того с таким перехватом ничто не мешает сделать так, что ты в веб-интерфейсе будешь набирать один текст, а реально отошлется другой.

С сабжевым сертификатом ругаться не будут.

Так все построено только на том что пользователь не заметит что ему сертификат подменили ? Тьфу, делов то. Запилили бы плагин (кому это нужно, я лично сам могу посмотреть сертификат если мне это важно) проверки сертификата и все.

А что такое пининг? Не гуглится ничего.

набирать один текст, а реально отошлется другой.

В смысле ? Я вообще не буду подтверждать липовые смс.

Какая то клоунада получается, особенно когда прочесть что это защита от хакеров.

Это сказали, что защита от хакеров. Неужто надо объяснять зачем на самом деле такая «защита»? Могу предположить, что для начала это будет (есть) только для сайтов с https и то не для всех. Для всех, наверное, мощностей вычислительных не хватит.

Если кто не в курсе то весь трафик через провайдера и так смотрится. Или вы думаете от балды сделали ограничение на длину ключа ?

Если кто не в курсе то весь трафик через провайдера и так смотрится.

Лол. Нет.

Ну блин, ну вот ты пишешь это сообщение на ЛОР, вводишь буковки в поле «Сообщение» и жмешь кнопку «Поместить». Но на ЛОР реально отсылается не то, что ты написал, а то что отослал кто-то посередине. Это если предположить, что админы лора упоролись и стали требовать sms-подтверждения на каждый пост, иначе все еще проще.

Это что-то вроде фильтрации HTTPS в AdGuard получается?

Ну да, лор не требует смс подтверждение для каждого поста.

Сейчас спец. сайты давно уже понаписали всякого жс-кода который на стороне клиента шифрует сообщение и потом уже пересылает это ...

Сейчас спец. сайты давно уже понаписали всякого жс-кода который на стороне клиента шифрует сообщение и потом уже пересылает это ...

По какому каналу ты получаешь этот код? pokerface.jpg

Я еще раз повторю, ты уже начал обсуждать защиту от таких вещей.

Да, в особо серьезных случаях, обычный https и раньше не использовался, хотя например, онлайн-банкинг для обычных пользователей с ним работает. sms-подтверждения - это просто дополнительный слой защиты, но это не значит, что в отсуствие первого, самого важного слоя, надо полагаться на него. И между прочим, далеко не все операции подтверждаются sms.

А есть хоть один онлайн-банкинг, который полагается на https? Либо дают клиентский сертификат (точнее технически ты его делаешь сам и отправляешь открытый ключ в банк) и ты им подписываешь свои действия, либо пароль на токене/карточке, либо на худой конец подтверждение по СМС.

Это где такой трешак? Почти все нормальные (по качеству услуг) банки в РФ логинят по логину-паролю-2fa. Поскольку сотовые операторы уже в кармане у ФСБ, то 2fa немножечко бесполезен, если он через телефон.

Код или ключ ? Ключ по смс, опять же зависит от уровня защищенности, могут ключ и на флешке передать.

Это как ?

Ну как, под покровом ночи товарищ майор залогинивается в контактик и пишет от твоего имени «президент плохой», а утром идет и расстреливает тебя два раза и ссылает в Сибирь. Типичный сценарий, которого так боятся борцы с режимом. Что мешает товарищу майору пропустить первый пункт и сразу воспользоваться служебным положением - непонятно. Как будто обществу не насрать.

Ну как, под покровом ночи товарищ майор залогинивается в контактик и пишет от твоего имени «президент плохой», а утром идет и расстреливает тебя два раза и ссылает в Сибирь. Типичный сценарий, которого так боятся борцы с режимом. Что мешает товарищу майору пропустить первый пункт и сразу воспользоваться служебным положением - непонятно. Как будто обществу не насрать.

По той же причине, зачем подкидывают наркотики, а не просто в обезьянник сажают — им все ещё нужен состав преступления. Алсо, учитывая, как классно у нас протекают ЭЦП (по которым, если что, и квартиру продать можно), то собранные КГФСБ данные (включая логины и пароли) тоже могут утечь. А нам, конечно же, мало мест, откуда текут логины/пароли, надо ещё добавить, да ещё и централизованное.

непонятно

Это нормально для тебя.

В каких лампочках?

Накаливания! ты че, не знаешь что-ли ? Кровавая гебня через вибрацию нити, по проводам может прослушать любую квартиру! Поэтому я жгу свечи!

Поэтому я жгу свечи

В них можно мышьяк добавить и ты помрешь. Жги батхертом.

Зависит от места проживания. В моём городе их мало.

Ты поди и про невидимых дронов ничего не слышал ??? :O

По поводу смс - не особо надейся, может быть сговор операторов или сотрудников, а Ростелеком (основной монополист интернет) и ТЕле2 сейчас вообще одна контора.

У нас невидимые соколы, которыми управляют полускрытые нурсултан-джигиты на левитирующих конях.

Ну я понимаю, и также понимаю что есть определенные риски оплаты квартиры онлайн а не ножками в банк ;)

Хотя у меня билайн и мтс но это не суть.

В новости же паника про конец света. За такое по шее надо.

Ну конечно, конечно. А когда практика будет признана успешной, и её распространят на всю страну (и на соседнюю тоже), ты кого будешь по шее призывать?

Опыт Ниемёллера, я гляжу, никого не учит.

У меня какое странное ощущение что больше всего орут те кому реально есть что скрывать...

Ключи от своей квартиры и бумажку с указанием адреса на городскую площадь уже выложил?

Не тупи. Они хотят проксировать сайты, чтобы их серверы прикидывались юзерскими компами, ибо это проще всего.

Это называется стеганография. Сдобрить трафик нужными паттернами и рубить передачу кусками. Скорость еще сильнее упадёт, задержки возрастут.

А что такое пининг?

https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning

Не гуглится ничего.

Да ладно! А так?
https://www.google.ru/search?q=key pinning
Можно отсюда ещё стартовать:
https://ru.wikipedia.org/wiki/HSTS
Там есть и про sertificate pinning.

Это где такой трешак?

Агропромкредит — карточка с паролями.

Для юр.лиц вроде у всех токен с подписью (у сбера, газпромбанка, агропромкредита точно).

логинят по логину-паролю-2fa

Я же говорю «на худой конец».

Ты уровни OSI не путай.

Это ты тут весь такой модный, стримишь
стримишь

Я? Cтримлю? Ого, пруфцов бы.

твой пинг

Речь шла про «pinning». :)