Критическая уязвимость сразу во всех распространённых браузерах

Единственный не левый сертификат - это тот, который ты сделал сам для себя. Всё остальное одинаково левое. Почему тут кому-то только минцифра не нравится, совершенно непонятно.

тут надо вставить ссылку на видеоцитату из даунхауза. Меньшего ты не заслуживаешь.

Ты вообще понимаешь, зачем эту байду с корневыми сертификатами придумали? Каким образом твой сертификат тут как-то релевантен, ты собрался удостоверять чужие что ли?

Ну и ответ на вопрос про минцифру многократно давали: потому что люди уверены, что российский центр сертификации не будет исполнять свои обязанности добросовестно. Вот так бывает, когда страна подменяет анализы мочи на олимпиаде, травит шпиона, которого до этого сама же и обменяла, подаёт смешные запросы на розыск в Интерпол, в какой-то момент всем становится ясно, что для таких людей выпустить фальшивые сертификаты для MITM атак не будет чем-то неприемлемым.

Я вообще не понимаю, чего вы разнылись. Если считаете что честному человеку нечего скрывать, ну так пользуйтесь незащищённым http. https создан для обеспечения end-to-end шифрования, варианта end-to-camrad_major-to-end стандарт не предусматривает.

Здесь сбор по сайтам рунета, использующим счётчики Liveinternet и Yandex.Радар. У Вас есть предположение, что пользователи Firefox по какой-то причине избегают такие сайты?

Ты процитировал следующий текст: «Есть такое понятие, как голосование ногами. Так вот, за яндекс браузер ногами не голосуют. Это показатель, насколько уважают нашего товарища майора даже те кто боится ихнего. Так что саечку ты себе в штаны выписал, клоун.»

Ну а если ещё немного контекста подцепить, то там вообще явно говорится о положении в мире.

Вопрос: при чём тут твой сраный лайвинтернет и яндекс радар?

Отсюда и анекдот про опрос на сайте.

потому что люди уверены, что российский центр сертификации не будет исполнять свои обязанности добросовестно

При том, что ни одного случая, чтобы сертификатом МинЦифры была осуществлена атака подменой сертификата, не было. Но «уверены». И уверены, что LetsEncrypt, от которого сертификат на сайт может получить хоть хостер хоть любой провайдер интернета между сервером LetsEncrypt и сайтом, намного надёжнее, чем сертификат МинЦифры, который нельзя получить без паспорта и подтверждения юридического владения сайтом.

когда страна подменяет анализы мочи на олимпиаде, травит шпиона, которого до этого сама же и обменяла

В это верят только те же «уверенные» люди. Которым вместо расследования достаточно highly likely в СМИ или из уст политика.

фальшивые сертификаты для MITM атак не будет чем-то неприемлемым.

Ну да, highly likely.

Вопрос: при чём тут твой сраный лайвинтернет и яндекс радар?

При том, что пользователи рунета как раз голосуют ногами за яндекс браузер. Что наглядно показывает статистика.

Ты вообще понимаешь, зачем эту байду с корневыми сертификатами придумали?

Да, понимаю. Но не понимаю, с какой стати я должен кому-то там доверять.

Ну и ответ на вопрос про минцифру многократно давали: потому что люди уверены, что российский центр сертификации не будет исполнять свои обязанности добросовестно.

А я уверен, что Network Solution не будет исполнять свои обязанности добросовестно. А Let's Encrypt вовсе никому ничего не должен.

Верь дальше в чужие сертификаты и прочие облака.

Но не понимаю, с какой стати я должен кому-то там доверять.

Потому что единственная альтернатива: ходить к каждому владельцу сайта, чтобы получить из рук в руки достоверно подлинный сертификат. Кстати, с клиент-банками часто так и делают: сертификат тебе выдает сотрудник банка по паспорту и под видеокамеру и после этого банк именно этому сертификату при подключении верит. 1С тоже в клиентскую часть сертификаты к своим серверам вшивает.

А в остальном: можно верить CA, можно верить написанному на сайте. До тех пор, пока от этого не зависит безопасность чего-то жизненно важного, это всё неважно.

А почему нельзя просто сразу писать нормальный код

Потому что люди несовершенны.

Прекращаем говорить за всех, ок?

и проверять все внешнеприходящие данные

Так только трусы поступают и параноики, место коим в больничке, в халате с длинными рукавчиками…

Бумаги вроде как все собрали, но почему-то никто всерьёз не воспринимает. А знаешь почему? Потому что даже такой упорыш как ты не решился написать «да нет, никогда российский СА не выдаст поддельный сертификат для mitm-прослушки».

Хотели нацизма — получили нацизма. Люди, готовые порваться на британский флаг просто потому, что рядом кто-то не осуждает российскую криптографию, или российского майора — они всегда такие.

Хотелось бы добавить, что никогда российский CA не выдаст поддельный сертификат для mitm-прослушки. И я даже написал, почему. Но ты всё проигнорировал, также как и неудобный вопросы про echelon, про Меркель, про изнасилования в Корее и так далее.

За регулярное употребление оскорблений ты отправляешься в игнор, изучать причины, по которым российский НУЦ никогда не выдаст поддельный сертификат для mitm прослушки. А также медитировать на тему, почему американский CA выдавал такие пачками.

Хотелось бы добавить, что никогда российский CA не выдаст поддельный сертификат для mitm-прослушки. И я даже написал, почему.

Нет, не написал.

Критическая уязвимость сразу во всех распространённых браузерах (комментарий)

Ты написал что невозможно скрыть. Ты не написал почему :)

Тут есть два момента:

1. Скрыть не получится только массовое применение таких сертификатов
2. То, что скрыть не получится это конечно сдерживающий фактор, но 100% гарантии не дает

Я просто напомню, что у нас уже есть такая штука как ЭЦП. И историй с их перевыпуском полно.

А, ну это такое свойство сертификатов, если уж он выдан, то там подпись сходится, что однозначно говорит о том, что его выдал определённый центр сертификации.

А, ну это такое свойство сертификатов, если уж он выдан, то там подпись сходится, что однозначно говорит о том, что его выдал определённый центр сертификации.

Ии?.. Как это нас защищает от того, что условный Ахмед пошел к условному Валентину и купил у него сертификат, чтобы слушать твой трафик?

1. Даже одного случайного раза будет достаточно.

Кстати, на эту тему браузерам стоило бы напрячься, той же мозилле. Если пользователь ходил на сайт X, подписанный сертификатом, выданным одним CA, а потом получил валидный сертификат, но подписанный другим CA - сохранять новый сертификат и давать какое-нибудь мелкое уведомление. Сделать такую функцию опциональной для параноиков, по умолчанию выключенной.

2. Конечно.

Даже одного случайного раза будет достаточно.

Кек.

• Историй дубликатов ЭЦП полно, ими перестали пользоваться? Нет.
• Историй слива паспортов и биометрики не перечесть. Ими перестали пользоваться? Нет.

Кстати, на эту тему браузерам стоило бы напрячься, той же мозилле. Если пользователь ходил на сайт X, подписанный сертификатом, выданным одним CA, а потом получил валидный сертификат, но подписанный другим CA - сохранять новый сертификат и давать какое-нибудь мелкое уведомление. Сделать такую функцию опциональной для параноиков, по умолчанию выключенной.

Как видишь прямо сейчас никакой защиты нет, по крайней мере в типовых браузерах. Т.е. вся надежда на то, что какой-нибудь параноик заметит подмену и раструбит об этом.

При том, что ни одного случая, чтобы сертификатом МинЦифры была осуществлена атака подменой сертификата, не было.

Может быть потому что их выдано всего пять тысячь и пята часть это сбер?

$ wc -l tls_list.csv
4883 tls_list.csv
$ grep -c sber tls_list.csv
897

С ЭЦП и паспортами выбора нет. Впрочем, с тех пор требования к выдаче ЭЦП ужесточили до предела.

С сертификатом в браузере выбор есть. Если будет прецедент, легко поставить второй браузер без этого корневого сертификата, чтобы ходить везде, где прослушивание нежелательно.

Может быть потому что их выдано всего пять тысячь и пята часть это сбер?

А какая разница, сколько их выдано? Для подмены сертификата достаточно того, что сертификат стоит у клиента. Вон антивирусы вообще официально сертификатов не выдают, а при включенной «интернет-безопасности» сертификаты на шлюзе подменяют.

При том, что пользователи рунета как раз голосуют ногами за яндекс браузер. Что наглядно показывает статистика.

Нет. Даже пользователи рунета голосуют ногами за хром. И это в условиях, когда некоторые местные сайты из-за санкций нигде кроме яндекс браузера не открываются.

Да, понимаю. Но не понимаю, с какой стати я должен кому-то там доверять.

Вот действительно сказочный.

Ты никому не должен доверять, это твоё дело. Просто мозила тебе рекомендует набор тех, кто по их мнению, заслуживает доверия. Минцифры они тебе не рекомендуют. По понятным причинам

Хром просто раньше появился. В динамике доля Яндекса растёт. Вот: http://alexvaleev.ru/browserstat/2021/7/.

Хотели нацизма — получили нацизма. Люди, готовые порваться на британский флаг просто потому, что рядом кто-то не осуждает российскую криптографию, или российского майора — они всегда такие.

Тебя порвало. Какой-то нацизм уже тут кто-то получил, причём заслужено.

Хотелось бы добавить, что никогда российский CA не выдаст поддельный сертификат для mitm-прослушки.

Мамой клянёшься?

И я даже написал, почему.

А я вот не видел. Зато видел много утверждений вида «везде такие же плохие». И тут я должен тебе напомнить, что нельзя сидеть на двух стульях разом. Если ты до этого доказывал что все вокруг шпионят, и наши и не наши, то нельзя вот так сразу переобуться и заявить, что некрасиво не доверять товарищу майору.

А вообще, меня поражают такие как ты клоуны. На твоих глазах заблокировали огромное количество сайтов, блокировали телегу, проводят учения по блокировке и замедлению, официальные лица постоянно повторяют, что с удовольствием бы заблокировали и ютупчик, да только тяжко это, мамки привыкли в нём мультики для детей включать. И тут появляешься ты и заявляешь, твёрдо и чётко, что нини, никогда не будет поставлен mitm прокси до ютуба с поддельным сертификатом, чтоб фильтровать доступный контент.

С сертификатом в браузере выбор есть. Если будет прецедент, легко поставить второй браузер без этого корневого сертификата, чтобы ходить везде, где прослушивание нежелательно.

Лол.

А какая разница, сколько их выдано?

Чем больше их выдано, тем выше шанс, что кто-то заинтересуется данными одного из сайтов?

С ЭЦП и паспортами выбора нет. Впрочем, с тех пор требования к выдаче ЭЦП ужесточили до предела.

Требования к получающим или выдающим?

К выдающим, УЦ очень мало теперь осталось. Впрочем местами и получающих ограничили: например, ЭЦП теперь выдают неэкспортируемую, чтобы копии не делали.

GTK их понимает, Qt их понимает, Emacs понимает, Tesseract понимает, Godot понимает, PHP понимает, Python с Pillow понимает, {Image|Graphics}Magick понимают, imlib2 понимает, opencv понимает, SDL1 и SDL2 понимают, libtiff понимает, ffmpeg понимает, links понимает, прочие браузеры понимают, просмотрщики, которые обновлялись последние год-два и зависят от перечисленного понимают. Чего тебе ещё нужно?

в данном случае «кактуальны для сборки» только последние роллинги-версии, кот. не собирутся ни за что на чуть-чуть «пристарелых» версиях оси (не роллингах)

На старом Дебиане всё собрали. Выше обсуждали.

А сроки за «лайки» — очевидно, нет.

В США ФБР уже за лайк расстреляло человека в собственной квартире.

А я терпеть не могу людей типа «это другое».

Он очень переживает, что ему всё никак не дают гражданство Чехии.

Надеюсь этот факап в конец убьёт этот идиотский формат, который не решил никаких проблем, а только добавил их.

Не убьёт. Никого пока не поломали, и уже вряд ли поломают. Куда более серьёзный Heartbleed ни к чему такому не привёл.

Зато на неподъёмных разрешениях фотографии в WebP существенно меньше, чем в JPEG и быстрее читаются с диска.

Во всех двух?

И всём, что на их движках. TOR, Edge, Yandex, Opera…

Где-то видел упоминание, что гугл в процессе разработки chromium очень любит использовать самые распоследние фичи C++, в том числе те, которых нет в стабильных версиях gcc и clang.

Gentoo. Позавчера собрал Chromium 116.0.5845.187 12-м GCC. Единственная проблема — там ~59 тысяч файлов, и на неновом 8-ядерном процессоре на это уходит порядка 10 часов. (Поэтому обновляю его раз в полгода или при серьёзных ошибках.)

Ниже 12-го — собирать откажется. Но уже доступны 13-й и 14-й GCC.

GIMP сохраненный webp не открывает

2.10.34 открывает.

А зачем вообще этот webp нужен, когда есть png

В режиме без потерь сжимает значительно лучше. За счёт большей нагрузки на процессор. Поддерживает анимацию везде, а не в ограниченном числе браузеров.

Ух молодец какой! Перечислил библиотеки, язычки, консольные утилиты и консольные же браузеры. Я даже не знаю как при таких вводных можно объяснить что именно меня смущает. Не уверен даже что объяснить возможно в принципе.

Все гуёвые программы, которые их используют, тоже поддерживают WebP. Подавляющее большинство — автоматически.

links может быть графическим, если не знал.

А какая разница, сколько их выдано? Для подмены сертификата достаточно того, что сертификат стоит у клиента.

Никому нельзя верить. Я для себя сделал так: у меня есть отдельный профиль в Firefox для российских официальных сайтов, там конечно установлен сертификат Минцифры, ну и плюс меньше шансов случайно зайти на фальшивый сайт, потому что нужные файлы (Сбер, Госуслуги и т.д.) на панели закладок, на другие сайты оттуда я даже не захожу (меньше риск в случае некоторых уязвимостей в браузере или на сайте). Для других сайтов - другой профиль. На разных профилях разные темы оформления, чтобы не перепутать.

Ну ладно. Сначала извинюсь, т.к. слишком грубо написал сообщение своё предыдущее. Тем не менее, стандартная смотрилка изображений в Убунте не могёт открыть webp, в моей старой Слаквари (14.2) - тоже не могёт, в Альте только что проверил - не получилось. Файловый менеджер не знает чем открывать такие файлы. Конечно я, как человек с высшим техническим образованием, могу открыть окуляром, гимпом или тем же браузером, но это ТАКОЕ. Сейчас по ФС поискал. Только 2 файла webp у меня на диске есть. Формат в народном хозяйстве непопулярен и поддержка оставляет желать лучшего. Чё там в веб-разработке происходит дело третье. Они вообще каждые джва месяца всё с нуля переписывают на жабаскрипте.

стандартная смотрилка изображений в Убунте не могёт открыть webp

Eye of Gnome? Кривулина, падающая на ровном месте. Но всё равно странно.

Когда-то давно пример из туториала по GTK показывал все поддерживаемые GTK форматы без всяких действий с моей стороны. Возможно, в Ubuntu GTK собирают без поддержки WebP?

Файловый менеджер не знает чем открывать такие файлы.

Он пользуется общесистемной базой mime-типов или локальной? Предположу, что если локальная старше WebP, может быть такая проблема.

Только 2 файла webp у меня на диске есть. Формат в народном хозяйстве непопулярен

Одно время хостинг картинок на Яндексе отдавал пережатые в WebP картинки по хотлинкам. Размер бывал раза в 3 меньше (для фотографий — чаще 60-70% от оригинала). А за оригиналом надо было идти на сайт. Как сейчас — не знаю.

Ещё на некоторых пиратских сайтах выкладывают комиксы в WebP. Он вейвлетный, как DjVu, удобнее для сканов, чем JPEG (меньше артефактов при резких переходах, меньше размер) и PNG (меньше размер), не отягощён патентами в отличие от JPEG2000.

Все современные браузеры его поддерживают. Вне зависимости от системной WebP.

в данном случае «кактуальны для сборки» только последние роллинги-версии, кот. не собирутся ни за что на чуть-чуть «пристарелых» версиях оси (не роллингах)

На престарелых версиях оси ты будешь меть престарелое гнездо дыр. и смысл менять одно решето на другое решето? Собственно для некрофилов и делают бинарные сборки броузеров в которых полюбасу влинкована либа с меньшим количеством дыр и установив последнюю версию браузера не используюшего говно мамонта из твоего престарелого дистра ты как раз избавишься от проблемы.

Причём Яндекс отдавал webp, но расширение файла оставалось jpg, некоторой части софта сносило крышу.

Если альт десятый, то да, там смотрелки открывать не будут, слишком старое всё. У меня в Сизифе все открывает. А бунта какой версии?

Description: Ubuntu 22.04.1 LTS

Но помогать мне не надо. Я просто привёл ряд примеров (:

стандартная смотрилка изображений в Убунте не могёт открыть webp

Установите webp-pixbuf-loader, и всё заработает.

Установите webp-pixbuf-loader, и всё заработает.

То есть поддержку webp собрали отдельным модулем и отключают по умолчанию? Логично. Но глупо.