В Казахстане обязали устанавливать государственный сертификат для MITM

Учитывая, что в Казахстане налоги смешные, это заявление выглядит особенно забавно.

Я, лично, плачу 3% налогов. И это как бы всё. ну НДС на мелочёвку, которую тут покупаю, ставка НДС в Казахстане тоже небольшая: от 0 до 12%.

Хакеру от государственного сертификата не больше пользы, чем от сертификата LetsEncrypt, например.

Ты в самом деле не знаешь разницу между установкой root CA в браузер и сертификата Let's encrypt на сайт?

В браузерах есть синхронизация.

ozz_is_here_again

Я, лично, плачу 3% налогов

Я 2500 тенге)

Ты понимаешь, что если государство через левый сертификат сливает данные, то оно их хранит?

Все корневые УЦ хранят свои сертификаты.

А хранит оно их плохо, потому что не они не могут в безопасность.

Покажи хоть один пример, когда утёк государственный сертификат (можно также ИФНС, ПФР, госзакупок или ФСС). А коммерческих утечек уже достаточно много было: https://en.wikipedia.org/wiki/Category:Former_certificate_authorities

Государства, которые не могут в безопасность, долго не существуют.

Ты в самом деле не знаешь разницу между установкой root CA в браузер и сертификата Let's encrypt на сайт?

root CA от Let's encrypt в браузер тебе уже поставил добрый разработчик браузера. Которому ты почему-то безгранично доверяешь в отличие от родного государства.

Все корневые УЦ хранят свои сертификаты.

И те, у кого часто течет, попадают в блеклист.

Покажи хоть один пример, когда утёк государственный сертификат (можно также ИФНС, ПФР, госзакупок или ФСС).

Сертификат чего? В рашке нет единого принудительного CA (пока). А вот с эцп уже обосрались: https://m.habr.com/ru/news/t/452292/?_ga=2.4216247.563809480.1563625747-34314...

И с МФЦ тоже обосрались: https://www.kommersant.ru/doc/3800268

root CA от Let's encrypt в браузер тебе уже поставил добрый разработчик браузера. Которому ты почему-то безгранично доверяешь в отличие от родного государства.

Let's Encrypt не течет базами данных полиции, у него нет плохо отлаженных процедур выдачи документов, которые могут испортить тебе жизнь, и у если он скурвится, то его через какое-то время заменят и выкинут.

И да, letsencrypt не собирает твои данные. А фсб собирает. И именно их, собранные и расшифрованные, рано или поздно и сольют.

О, да. Разработчику браузера я точно доверяю больше, чем родному государству. Хотя бы потому, что он не может мне вреда причинить. А родное государство может, легко.

Вы прикиньте, а еще они даже могут получить ордер на обыск твоей квартиры.

от государственного сертификата не больше пользы, чем от сертификата LetsEncrypt, например.

Oт LE существенная польза есть, можно подписывать свои персональные сервисы и странички красивым замочком, чтобы браузеры не придиралась, к тому же эти LE сертботом автоматически обновляются, все лучше чем платить офигевшим сертифицирующим центрам за воздух :)

Не государство причиняет ущерб, а ущербный человек алчный до власти, но управлять в пользу народа и не собиравшийся, особенно таких много сейчас за пределами России ошивается с рождения :)

Там кнопка «пуск» называется «пiск»?

Там не один человек, а много их. Целая система как обезьяна с гранатой.

Сертификат чего? В рашке нет единого принудительного CA (пока).

https://www.nalog.ru/rn77/about_fts/uc_fns/

http://fss.ru/uc/

Существуют очень давно. Польза от взлома есть и она больше чем от взлома сертификата для расшифровки HTTPS.

А вот с эцп уже обосрались

Это как раз коммерческий УЦ обосрался, выдав левую подпись.

И с МФЦ тоже обосрались

Э? Человек сам выложил копии своих документов на общественный компьютер, а виноват владелец компьютера? Если я на ЛОР выложу скан своего паспорта, виноваты будут модераторы и владелец сайта?

О, да. Разработчику браузера я точно доверяю больше, чем родному государству. Хотя бы потому, что он не может мне вреда причинить. А родное государство может, легко.

Парадокс однако. Государство легко может причинить вред, но не причиняет. Разработчик существенный вред причинить не может, но активно пытается (производит сбор всей доступной ему информации и активно её использует). Но доверяешь больше разработчику. Где логика?

Не государство причиняет ущерб, а ущербный человек алчный до власти

Он не говорит, что государство причиняет ущерб, он говорит «может причинить». А может причинить действительно государство: у него для этого есть полиция, налоговая инспекция и служба судебных приставов, а также другие силовые методы воздействия. Так что, если захочет, то легко причинит.

А вот «ущербный человек» легко может нарваться на контролирующую службу со стороны того же государства. Государство, как правило, очень ревностно относится к попыткам узурпации власти.

Let's Encrypt не течет базами данных полиции, у него нет плохо отлаженных процедур выдачи документов, которые могут испортить тебе жизнь

Полиция течёт только теми данными, какими надо. Вот попробуй получить зарплатную ведомость или базу оперативных действий.

С процедурами выдачи документов тоже не всё так плохо, если рассматривать с точки зрения государства, а не гражданина.

И да, letsencrypt не собирает твои данные. А фсб собирает. И именно их, собранные и расшифрованные, рано или поздно и сольют.

Пока наоборот, Google собирает, Microsoft собирает, Apple собирает, а фсб только собирается начать и только то, что в Интернете, а не все твои перемещения и сказанные вслух слова.

Вы прикиньте, а еще они даже могут получить ордер на обыск твоей квартиры.

Поэтому есть (должны быть) *независимые* ветви власти, чтобы сами себе ордера не выписывали.

Существуют очень давно. Польза от взлома есть и она больше чем от взлома сертификата для расшифровки HTTPS.

Какая? Какая польза от мониторинга работы юзеры во всех сервисах, работающих на территории страны, я понимаю. Какая польза от взлома сайта пенсионного фонда, если деньги идут через банки?

Это как раз коммерческий УЦ обосрался, выдав левую подпись.

Ээээ... Ты не понял всей схемы, да? Государство имеет право давать тебе ЭЦП, который действует так же, как твоя подпись, паспорт и заверение юриста. Но только оно решило сделать это не своими руками (те же МФЦ), а отдать на аутсорс, причем предъявляя требования к конторам не строже, чем к водителю убера. Понял?

И те, у кого часто течет, попадают в блеклист.

Угу. У Symantec'а часто текло с 2015, выявлено в марте 2017, а в блеклист он попал в Firefox 64 почти в 2019. Доверяйте, что уж...

У меня какое странное ощущение что больше всего орут те кому реально есть что скрывать...

Сообщи мне пожалуйста данные своих платежных карт и пароли учетных записей в соц.сетях.

Напоминаю, что в казаше, как и в раше, моогут и сажают за неправильный репост или лайк. Сегодня перехватили твои пароли от фейсбука, а завтра ты поехал на зону, за репост, который ты не делал.

Полиция течёт только теми данными, какими надо. Вот попробуй получить зарплатную ведомость или базу оперативных действий.

Прости, КАКИМИ данными нужно течь полиции? Мне правда интересно.

С процедурами выдачи документов тоже не всё так плохо, если рассматривать с точки зрения государства, а не гражданина.

Напоминаю, что вот прямо сейчас, с помощью ЭЦП, без твоего присутствия и вообще уведомления можно открыть фирму (на твое имя) и продать квартиру. Ещё можно провести суд без твоего участия (потому что уведомление отсылается по почте, где его могут «потерять», но это все равно будет защитано). И ещё много разных веселых историй.

Пока наоборот, Google собирает, Microsoft собирает, Apple собирает, а фсб только собирается начать и только то, что в Интернете, а не все твои перемещения и сказанные вслух слова.

Мне кажется, когда гугл только начинал собирать, разговоры велись похожие.

Угу. У Symantec'а часто текло с 2015, выявлено в марте 2017, а в блеклист он попал в Firefox 64 почти в 2019. Доверяйте, что уж...

Первые базы данных копов у меня были ещё в 90-х. Не вижу, чтобы ситуация сильно улучшилась, а копов так и не забанили.

Какая польза от мониторинга работы юзеры во всех сервисах, работающих на территории страны, я понимаю.

Только если ты владеешь ещё и всеми сетями передачи данных.

Какая польза от взлома сайта пенсионного фонда, если деньги идут через банки?

При чём тут сайт? Мы про корневой УЦ говорим. Чтобы получить сертификат для MITM нужен сертификат корневого УЦ. Если же есть сертификат корневого УЦ, то можно очень многое делать от имени ПФР (так как можешь выпустить себе сертификат на имя любого руководителя отделения ПФР). Вплоть до требований в банки, обязательных к выполнению.

Первые базы данных копов у меня были ещё в 90-х. Не вижу, чтобы ситуация сильно улучшилась, а копов так и не забанили.

Те базы данных копы сами распространяют. Также как Микрософт сам распространял «пиратские» ключи к винде.

Только если ты владеешь ещё и всеми сетями передачи данных.

Эээ... ты не слышал, что провайдеров трафик обязали отправлять? И что все пограничные узлы связи теперь должны уметь отключаться от внешней сети? И что чувакам поставят железо для этих целей? А неплохая у тебя криокамера, лол.

При чём тут сайт? Мы про корневой УЦ говорим. Чтобы получить сертификат для MITM нужен сертификат корневого УЦ. Если же есть сертификат корневого УЦ, то можно очень многое делать от имени ПФР (так как можешь выпустить себе сертификат на имя любого руководителя отделения ПФР).

И дальше-то что? Я почему-то думаю, что реально важные вопросы там решаются не через цифровую подпись, а официальные документы, секретаршу, совещания и приказы, заверенные тремя лицами.

Вплоть до требований в банки, обязательных к выполнению.

Я подозреваю, что в случае подозрительной транзакции они позвонят и спросят «Олег Запердуевич, а это точно вы прислали»? Энивей, как только вскроется ошибка, любые подобные транзакции быстро откатываются.

Те базы данных копы сами распространяют. Также как Микрософт сам распространял «пиратские» ключи к винде.

А, ну это сильно меняет дело. Они не текут, они их сами льют. Мне, как владельцу этих данных, стало значительно легче. Ты помнишь, что диалог начинался с твоего вскукарека «кококо, как это вы власти-то не доверяете»?

Эээ... ты не слышал, что провайдеров трафик обязали отправлять?

Хакеру? Вверх по ветки поднимись, мы рассматриваем потенциального хакера, который взломает госсервер и украдёт корневой сертификат для своих тёмных дел.

реально важные вопросы там решаются не через цифровую подпись, а официальные документы, секретаршу, совещания и приказы, заверенные тремя лицами.

Внутри - да. Снаружи (все требования в банк, письма юридическим лицам) - через цифровую подпись.

Я подозреваю, что в случае подозрительной транзакции

Легко можно заблокировать любого конкурента. Чуть сложнее вывести деньги (платёжка должна быть не подозрительная).

Ты понимаешь, что если государство через левый сертификат сливает данные, то оно их хранит?

Недавно сотни аккаунтов граждан РК были слиты. Теперь вот в целях «профилактики» создается новое некое агентство по защите персональных данных.

А, ну это сильно меняет дело. Они не текут, они их сами льют. Мне, как владельцу этих данных, стало значительно легче.

Это не твои данные. Это данные государства.

Кроме того, даже если бы базы были недоступны, спросить «по знакомству» можно было всегда. И поэтому практически все начальники СБ в организациях были из бывших ментов.

По нормальной схеме уже признали бы, что эти данные общедоступны и запретили бы уже законодательно дебильную политику «любой, кто предъявил копию паспорта считается лицом, указанным в паспорте». Но лягушку надо варить постепенно.

Недавно сотни аккаунтов граждан РК были слиты.

На 18 миллионов населения? Может специально, чтобы был повод создать «новое некое агентство»?

Хакеру? Вверх по ветки поднимись, мы рассматриваем потенциального хакера, который взломает госсервер и украдёт корневой сертификат для своих тёмных дел.

Понятия не имею, зачем ты это рассматриваешь. Я рассматриваю утечку собранных через суверенный CA данных.

Внутри - да. Снаружи (все требования в банк, письма юридическим лицам) - через цифровую подпись.

Легко можно заблокировать любого конкурента. Чуть сложнее вывести деньги (платёжка должна быть не подозрительная).

На редкость шаткий план. Проще дать ментам денег, чтобы чувака посадили, потому что в конце этого плана на киче окажешься именно ты.

на бывшей украине интернет просто обрубают без всяких сертификатов. блокируют все запросы к vk.com и всё.

В казахстане тоже молчат блочат все подряд, не заморачиваясь объяснениями и списками/реестрами. Годами был заблочен жж, прямо сейчас заблочены coub,soundcloud и deviantart. Вот нахрена?
Ютуб стабильно и совершенно случайно умирает через день по вечерам в момент трансляций «опозиции в изгнании».
Соцсети и месенджеры моментально умирают при начале малейших бурлений и протестов.

И все это с покерфейсом «мы ничего не блокировали, это у вас у самих что-то не работает.Э

причём тут ордер?

Лол. Ты понимаешь, что если государство через левый сертификат сливает данные, то оно их хранит? А хранит оно их плохо, потому что не они не могут в безопасность. А значит, все это течет.

В случае с Казахстаном это в двойне забавно, потому что не далее как 2 недели назад обосрались на этом фронте
«База с полной информацией об 11 млн человек (это всё совершеннолетнее население страны), находилась в общем доступе. Любой желающий мог свободно получить доступ к системе или полностью загрузить её к себе локально», – говорится в сообщении центра

https://informburo.kz/novosti/carka-dannye-11-mln-kazahstancev-nahodilis-v-ot...

Вы прикиньте, а еще они даже могут получить ордер на обыск твоей квартиры.

Ты понимаешь разницу между «судебное постановление» и «ээээ слышь уася и дай мне его симку»?

Причем тут твой туннель, болезный?

Речь шла о https. Ты спорол херню — я тебе по поводу этой херни пояснил.

Я 2500 тенге)

А я работаю в крупном банке за белую зп и плачу дохрена.
И буквально каждый год добавляется новое говно.
В том числе 10% в пенсионный фонд. Со следующего года еще 5% накинут, «за счет работодателя» Деньги которые я через 30 лет 100% не увижу, в лучшем случае они обесценятся в какашку, в худшем их просто украдут при очередном объединении/разделении пенсионных фондов.
Так же 1.5% обязательно медицинское страхование, а со следующего года еще 1% «за счет работодателя». При том что получить реально нормальную медицинскую помощь за это нельзя. Например операцию по квоте тебе хер сделают если ты не занесешь хирургу денюжку. Это к вопросу о корупции, которая не «мешает».

И это только то что я непосредственно вижу в отчете по моей зарплате. Того что мне не видно, но работодатель «за меня» платит чтобы я у него работал там еще в 2 раза больше.

Не смешите курей этими «низкими налогами». То что от вас все попрятали и назвали по разному, не значит что вы это не платите.

Значит тебе коррупция мешает. Сочувствую.

Возможно. А возможно это обычная некомпетентность админов того сайта, где эти данные хранились. И теперь просто не хотят очередного нагоняя от руководства.

вот что написал тот чел.

оператор МТС, по запросу из МВД выдал сотрудникам правоохранительных органов дубликат сим-карты одного из своих клиентов.

На тот запрос тоже был ордер если что.

Да, это та самая «утечка». А вообще egov.kz был дырявый некоторое время, щас хз как с этим. У меня там мои персональные данные и ЭЦП были.

А вообще egov.kz был дырявый некоторое время, щас хз как с этим. У меня там мои персональные данные и ЭЦП были.

Там же цирк. Год назад зная иин можно было например узнать адрес человека. Заполняешь исковое заявление и адрес автоматически подставляется :D. А иин зная имя и фамилию можно с сайта нологовой вытащить.

Напоминаю, что в казаше, как и в раше, моогут и сажают за неправильный репост или лайк. Сегодня перехватили твои пароли от фейсбука, а завтра ты поехал на зону, за репост, который ты не делал.

Вы сами себе противоречите. Если они перехватили значит и репост не твой... какой то детский сад развели. Нужны свидетели репоста, а так это просто репост от твоего аккаунта а ты его отправлял или кто другой этот вопрос открытый.

Интересно, чья это вина, разработчиков или админов того сайта...

Похоже безопаснее по-старинке пользоваться бумажными данными, чем этим «электронным правительством»

Не, вполне таки сажают, например за критику властей.

Значит собрана определенная база доказательств, но то что пишут в новостях это констатация факта но все может выглядеть совершенно по другому.

они выпускают сертификат на govno

Кирк Джонсон оденься и перестань фантазировать!

Интересно, чья это вина, разработчиков или админов того сайта...

Я, кстати, немного делал egov. Ставят тебе задачу и делаешь. Говоришь, что мол тут через эндпоинт могут утекать данные, менеджерам в общем-то пофиг, если стоит задача сделать сервис, значит надо делать. Во главу ставится удобство пользователя. Если там полазить по разным услугам с девелопер тулзами внимательно, там, наверняка, можно много таких эндпоинтов найти, где по данным вытаскиваются интересная инфа. Например зная БИН можно вытащить по бизнесу кучу инфы, учредителей и тд. Я не уверен, правда, что это закрытая инфа, как и то, что по ИИН можно вытащить ФИО и наоборот.

Похоже безопаснее по-старинке пользоваться бумажными данными, чем этим «электронным правительством»

Нет никаких бумажных данных. Вся информация в электронных базах. От того, что ты не будешь ими пользоваться, информация, в том числе о тебе, оттуда не исчезнет.