Comments | sporaw: Неплохая вводная статья про то, от чего защищает и от чего не защищает https

sporaw

Неплохая вводная статья про то, от чего защищает и от чего не защищает https

Feb 28, 2018 16:01

Understanding the Limitations of HTTPS
https://textslashplain.com/2018/02/14/understanding-the-limitations-of-https/
Многим людям может быть полезна, для тех, кто хочет чуточку глубже понимать некоторые тонкости.

security

Leave a comment

Back to all threads

_slw February 28 2018, 13:50:30 UTC

ну возможно тут виновато мое плохое знание английского, но когда я читаю "all websites should be using it for all traffic." я уже восклицаю "чё? да вы совсем охуели?" (и думаю про разработку всяких устройств которым https на этапе отладки вообще вредить будет). может все же следует начать с модели угроз? и явно проговорить что вне этой модели мы ничего не утверждаем про нужность или нет https?

потом я читаю "Some sites try to help users notice illegitimate sites by deploying Extended Validation (EV) certificates and relying upon users to notice if the site they’re visiting has not undergone that higher-level of vetting." и мне хочется все же узнать как-как они помогают? юзверь что, должен наизусть помнить как кто должен отображаться? это чё, реально помощь, да?
и да, это разумется к вопросу о "Most certificates these days are issued after what’s called “Domain Validation”, a process by which the requestor proves that they are in control of the domain name listed in the certificate.", он совершено замыливает вопрос о том, что все варианты сертификатов ну никак не страхуют от ошибочных урлов, причем владельцы сайтов в лице всяких маркетологов этому только способствуют (я хочу зайти на сайт paypal, раньше был только paypal.com и paypal.ru был явно фейковым, а теперь paypal.ru легитимный, а какойнибудь latestnewsfrompaypal.com? а что должно в сертификате быть написанно? а откуда я это знаю? а почему туда всякое говно пишут?)

ну и всякое такое.

ps: я еще из-за этих ебанных энтузиастов хуй получишь гостевой вайфай, потому что портал по https на устаревших протоколах, протоколы в современых браузерах зарезаны, а обновления не поставлены или вообще нет. вот похуй же совершенно что если гостевой парольпопиздят, но вот обойти невозможно.

или стоит железка в выделенной сети, железке дцать лет, все ебали ей интерфес апдейтить, так ведь получается что хуй ты ей через некоторое время поуправляешь бо "all websites should be using it for all traffic."
только вот невозможность чем-то поуправлять -- это вообще говоря тоже угроза. даже если вызвана она безопасником хрома.

sporaw February 28 2018, 13:54:54 UTC

Нет, она вызвана устаревшим г-ном :)))

_slw February 28 2018, 13:58:19 UTC

о да, отличная позиция. устаревшее потому что так сказали в гугле, а говно -- потому что так сказали хипстеры?
и вперед, всем менять железо за мегабаксы потому что в хроме новая мода?

sporaw February 28 2018, 14:12:45 UTC

Вас спасет lynx.

_slw February 28 2018, 14:26:02 UTC

ну вот не выдет потыкаться в старое iLO lynxом.
и сервер нормальный, для своих задач -- подходит.
но вот гуглы сказали -- устаревший.

Back to all threads