Comments | totus: [Alarm] Наебалово или паранойя?

totus

[Alarm] Наебалово или паранойя?

Feb 23, 2011 02:58

Наткнулся на лепрочке на внутреннюю "рекламку" сервиса едиск.орг.уа (специально без ссылочки, дабы не быть реферальчиком).
Дай, думаю, зайду - гляну, что там такого.
Захожу, а оно мне в первую очередь тычет окошко "про сертификат":

( Read more... )

cynical, daily, lj, теория заговора, blogging, кухонная аналитика, масоны

Comments 9

rettpop February 23 2011, 06:59:02 UTC

Гарна нотатка. Иногда не обращаешь внимания на такие тонокости, ибо харит. А проверить всё же стОит...

totus February 23 2011, 07:04:32 UTC

Причем времени это стоит совсем немного, я больше потратил на то, чтобы сделать скриншоты, куда-то их залить и взять оттуда (с пикасы) ссылки на большие версии картинок.

alex_executer February 23 2011, 08:16:59 UTC

что-то про сертификат ты не того.
Сертификат нужжен что бы ты мог проверить - тот ли сайт с тобой общается.
Чуваки зажали $30 в год на сертификат, бывает. Никаких супер-привелегий этот сайт не получит.

totus February 23 2011, 08:19:38 UTC

Я ошибаюсь, предполагая, что доверяя данному сертификату ты добавишь его в "trusted sites", у которого уровень безопасности по умолчанию ниже, чем у любого другого сайта из внешних интернетов?

deir February 23 2011, 20:28:54 UTC

ты ошибаешься. alex_executer прав. никакого особого доступа к настройкам твоего браузера сайт с self-signed cert не получит, если только твой лично браузер(IE) не настроен особым образом (и то, я не знаю как там уже в современных IE).

Кстати, тебе с маком можно забить вообще на подобные мелочи ;)
self-signed cert ничем не хуже чем подписанный СА, шифрование одно и то же.
Смысл сертификата, повторю за alex_executer, знать тот ли сайт с тобой общается или нет. + веришь ты именно этому сайту или только СА

Comodo, кстати, в этом плане была долгое время обсосная контора, для которой приходилось прописывать сертификаты особые еще и в конфигах апача.
Равняться стоило на Verisign, Thawte, NetSol.

;)

totus February 24 2011, 00:25:38 UTC

Саш, мне-то с маком и некоторым пониманием того, что стоит делать, а что - нет, вообще на многое забить можно.
Я ж тут распинаюсь в исключительно абстрактной плоскости.
В самом ИЕ (а у бухгалтера-обывателя все еще стоит ИЕ) есть группа Трастед Сайтс, в которую добавляется хост/домен/субдомен при добавлении его сертификата в кач-ве трастед. По умолчанию, настройки безопасности для этой группы другие (помягче политика выполнения жаваскрипта, всяких актив-иксов и прочей лабуды).

По поводу, кстати, Комодо - Алекс приводил пример какой-то другой конторы, которая сейчас выбирается из подобных штанов, но кое-где требует специальной "прописки" для своих сертификатов.

Я, по-моему, безоговорочно верю только ВериСигн, Аппле, Гугле и, уж простите, ХП :)

m0ntanoid April 2 2011, 20:13:55 UTC

Привет.
Я владелец данного проекта. Сертификат уже подписан. Бесплатно.
Нет, ресурс специально разработан для того, чтобы даже при желании администрация нельзя было получить доступ к данным пользователя. Вы, конечно же, не можете поверить мне на слово. А я, в свою очередь, сразу вот так сходу не могу вам это доказать. Если есть люди понимающие в тех. части, то могу ответить на вопросы если вы зададите их на support@edisk.org.ua.
Хотя, опять таки, и там вам можно наврать.
Я не вижу причин верить мне. Вы правы.

totus April 4 2011, 19:14:02 UTC

Я не парюсь, мне просто, на самом деле ночью делать было нехуй и увидел, что ты на лепре закинул ссыль...
Ну и пошло-поехало. Не обессудь.

m0ntanoid April 2 2011, 20:36:43 UTC

>Захожу, а оно мне в первую очередь тычет окошко "про сертификат ( ... )