данные своей карточки - не мошеннический?
тут зависит от сети, в которой Вы находитесь
да мне пофиг на сеть. Как вы убедитесь независимо от сети?
без сети не будет никакого доступа ни "мошеннического", ни "настоящего"
Мошеннический сайт с SSL может быть
может быть. Но сертификат будет не доверенный
Доверенный. Только доменное имя на одну букву может отличаться.
то есть вот из-за этой причины нет никакого смысла в SSL?
Нет. Я просто к тому, что SSL не является 100% защитой, т.к. без проверки сертификата (кем он реально выдан) нельзя быть на 100% уверенным, что трафик не перехватят.
не-а, оно так не работает)
Не смешивайте перехват трафика и отправку трафика не на тот домен из-за человеческого фактора
ничто не является 100% защитой. Это не повод вообще не делать защиту
это ассиметричное шифрование, трафик расшифровать может только тот, у кого есть приватный ключ, а приватный ключ остается только на сервере
Я-то как раз не смешиваю. И прекрасно понимаю эти два кейса.
О сколько Вам открытий чудных готовит этот мир )))
ну серьезно, можно клиента обмануть и подставить сервер злоумышленника, но вот прямо митм - думаю сложно а если клиент изначально заимпортит себе все самоподписанные серты в стор, то митм точно не пройдет
https уже лет 5-6 слушается на ура
Доказательства самим нам приводить?
слушается при наличии ключей, а не потому что математика не работает
опять же, если кто-то на государственном уровне заставляет это делать - это не делает SSL плохим
Прелесть какая
вы приводите все недостатки SSL и какую мысль вы пытаетесь донести?
Как пример по ссылке. Есть еще немало случаев в судебной практике РФ, где доказательства были предоставлены спецслужбами в отношении субъектов, которые общение вели через мессенджеры с SSL/TLS защитой. Была еще информация от Эдварда Сноудена, что АНБ обладает базой ключей всех значимых ресурсов интернета. https://dev.by/news/spetssluzhby-protiv-tls-ssl-perehvachennyy-trafik-zakrytye-klyuchi-kriptozakladki
ну здрасте, там просто у спецслужб есть ключи шифрования, которые им любезно предоставили сами мессенджеры
ну ты же приводишь в пример скомпрометированные ключи
Еще раз. Я не говорю, что SSL плохой. Я говорю о том, что слепо доверять защите SSL не нужно.
У спецслужб есть мастер сертификат УЦ, breaking news, никто не ожидал
а чему верить?) если изымут сервер и получат доступ к ключу - смогут расшифровать трафик, тут все просто, других систем защиты нет же
какое отношение к защите SSL имеет тот факт, что мессенджеры тупо отдают свои ключи шифрования спецслужбам?
опять же при физическом доступе не будет работать)
Не надо ничего изымать ) Все и так видно, если понадобится.
жду математический пруф, а не АНБ имеет доступ, имеет доступ, т.к. обязует предоставлять ключи, а не то что SSL не работает
ну это опять же железный аргумент. Спецслужбы все видят, если понадобится. Все протоколы решето
Все уже давно доступно широкому кругу пользователей. https://safebdv.blogspot.com/2020/04/ssl-ngfw.html
это какой-то писец, вы блин серьезно?
Вы понимаете что это работает только когда на клиентах предустановлены ключи от NGFW? Или бросаете ссылки не читая?
Это работает даже в масштабах государства. Пример я уже приводил. https://t.me/zatelecom/18307
даже в масштабах государства это работает только если пользователь поставит себе в броузер государственный сертификат.
тут соглашусь тру
Есть много разных способов заставить пользователя поставить такой сертификат.
ха пальцы ломать будете?
Зачем?!? Например, можно обязать производителей устройств поставлять ОС с предустановленным ПО и сертификатами.
слушайте ну это знаете из разряда фантастики заставить майкрософт ставить серты какието левые в свою ось
Так заставят не самих майков, а местных производителей/поставщиков техники. А что касается фантастики, то в каком-нибудь 18 или 19 веке мало кто думал, что машины могут быть на электрической тяге.
Есть проблема Apple и производит и поставляет;)
Никакой проблемы нет. Запрет на поставку, либо поставляете то, что надо регулятору.
как сложно. все куда проще. https://www.youtube.com/watch?v=XTfx5RxteuI&t=3584s
Это тоже имеет место быть. А все в итоге сводится к сбору бабла со всех за фантики.
чтобы CA не выдавали левые сертификаты существует Certificate Transparency
это не помешало крупным СА обосраться
Обсуждают сегодня