Chrome 56 Beta: “Not Secure” warning

micol · December 21, 2016

В январе 2017 года выйдет новая версия браузера Google — Chrome 56. Он будет предупреждать пользователя о том, что опасно вводить пароли или данные кредитных карт на сайтах, использующих HTTP протокол.

Сначала появится пометка «Not secure» («Не защищён») в адресной строке браузера:

В следующих релизах станет больше предупреждений. В итоге все сайты, работающие через HTTP, будут помечены как опасные

https://blog.chromium.org/2016/12/chrome-56-beta-not-secure-warning-web.html

Ivan_83 · December 21, 2016

А потом начнут отключать неугодные сайты добавлением сертификата в блеклист.

Чувствую скоро придётся ФФ начать патчить чтобы он пущал куда угодно.

Sergey Gilfanov · December 21, 2016

А потом начнут отключать неугодные сайты добавлением сертификата в блеклист.

А сейчас, что ли, нельзя? Которые просто http - заглядываем в трафик и блочим. Которые https - блеклист сертификата.

Отдельную страничку, а не весь сайт, в https все так же заблокировать нельзя.

Так что ничего не изменится.

Или чей блеклист имеется в виду?

Ivan_83 · December 21, 2016

Или чей блеклист имеется в виду?

Сертификат будут в чёрный список пихать.

Такой РКН в масштабах шарика.

Sergey Gilfanov · December 21, 2016

Сертификат будут в чёрный список пихать.

Такой РКН в масштабах шарика.

Все равно не понял. И сейчас пихают, просто не сертификатами, а прямо названиями сайтов. Safe Browsing/Phishing Protection называется.

taf_321 · December 21, 2016

Все равно не понял.

Нет, тут именно механизмомо SSL - отзывом конкретного сертификата, и все добпропорядочные устройства - от браузеров до кофеварок, уже не могут войти на конкретный сайт. Без плагинов, дополнений и СМС. Все в рамках стандартной экосистемы и стандартном инструментарии. Эпичная боротьба РКН покажется детским утренником. Уже сейчас заставить современный браузер пройти по просроченному-отозванному серту это тот еще квест, но разработчики ведь могут еще наулучшать, правда? А там очередь дойдет до предания сертов-самосвятов анафеме, встречайте дивный мир.

Sergey Gilfanov · December 21, 2016

Без плагинов, дополнений и СМС. Все в рамках стандартной экосистемы и стандартном инструментарии.

От кого угроза блокирования исходит? От разных государственных и подобных органов? C тем же успехом они могут просто имя разделегировать. Куда уж стандартнее.

Да и трудоемкость выглядит одинаковой - то ли убедительно попросить домен с делегирования снять, то ли столь же убедительно попросить CA сделать отзыв.

taf_321 · December 22, 2016

От разных государственных и подобных органов?

От кого угодно, кто имеет возможность удостоверять-отзывать сертификаты, обязательные для активно достравиваемой экосистемы. И не обязательно это госорганы. Они, кстати, могут попасть под раздачу наравне с остальными смертными.

jffulcrum · December 22, 2016

Затем введут третий критерий: сертификат есть, но не EV. И четвертый (уже вводили, но потом откатили): сертификат есть, но недоступен список отозванных. Слабые алгоритмы забанить, чтобы везде только эллиптическая криптография (тоже уже вводили, MD5 помечали как недоверенные и т.п.). Аналог доклада Макларена сотворить по УЦ неугодных стран, чтобы все перестали доверять. Большой простор для добрых дел - Экскоммуникатос не предел.

Sergey Gilfanov · December 22, 2016

Затем введут третий критерий: сертификат есть, но не EV. И четвертый (уже вводили, но потом откатили): сертификат есть, но недоступен список отозванных. Слабые алгоритмы забанить, чтобы везде только эллиптическая криптография (тоже уже вводили, MD5 помечали как недоверенные и т.п.). Аналог доклада Макларена сотворить по УЦ неугодных стран, чтобы все перестали доверять. Большой простор для добрых дел - Экскоммуникатос не предел.

Когда эти добрые дела начнут заметно надоедать, то немедленно появятся сборки хромиума/файрфокса, где все это отодрано. Если не раньше разработчикам объяснят, что глупость сделали. Так что не вижу повода для паники и даже особого ворчания. Будет как с "уже вводили, но потом откатили" в цитате.

ROSS_Black · December 22, 2016

НА Mac Sierra уже хром во всю блокирует китайские ssl сертификаты.

Sergey Gilfanov · December 22, 2016

НА Mac Sierra уже хром во всю блокирует китайские ssl сертификаты.

Так повод был. Там одно CA в свое время уж очень халявно к своим обязанностям отнеслось и подписало что-то левое и потенциально сильно злодейское. Поэтому нефиг. Туда ему и дорога.

Ivan_83 · December 22, 2016

Когда эти добрые дела начнут заметно надоедать, то немедленно появятся сборки хромиума/файрфокса, где все это отодрано. Если не раньше разработчикам объяснят, что глупость сделали. Так что не вижу повода для паники и даже особого ворчания.

Там ещё те ***ы сидят.

Вон наш гост в nss уже года 4 не включают, хотя патч есть.

Они как всегда будут верещать о заботе о юзерах и защите их от дикторов и всяких гадов, поэтому ничего отключать не станут.

Если какие сборки и будут то не оффсайтах, что автоматически сужает аудиторию "заблокированных" сайтов до мизера.

Sergey Gilfanov · December 22, 2016

Там ещё те ***ы сидят.

Вон наш гост в nss уже года 4 не включают, хотя патч есть.

Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять - то с нашей стороны (не разработчики патчей, а те, кому гост нужен) те еще халтурщики и, в общем, не очень-то и хотели, чтобы этот гост в официальных сборках появился или хотя бы общедоступным был.

Так что разработчики основного дистрибутива вполне правы - зачем включить (и потом поддерживать) некую фигню, которая настолько никому не нужна.

Если какие сборки и будут то не оффсайтах, что автоматически сужает аудиторию "заблокированных" сайтов до мизера.

Перевод - из аудитории исключаются 'случайные' посетители. Кому сайт надо - найдет сборку и поставит. Не вижу проблемы.

jffulcrum · December 22, 2016

зачем включить (и потом поддерживать) некую фигню, которая настолько никому не нужна.

Согласен. Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок, тот же Сбербанк опирается на свое middle-ware в банк-клиенте - публичная поддержка ГОСТ в браузерах так и останется теоретической.

Ivan_83 · December 22, 2016

Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять

Так в багтрекере мозилы лежит, в том то и дело.

Перевод - из аудитории исключаются 'случайные' посетители. Кому сайт надо - найдет сборку и поставит. Не вижу проблемы.

Так не все могут и не у всех даже знакомые которые могут есть. Это тебе хорошо, ты такой всемогучий.

Согласен. Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок, тот же Сбербанк опирается на свое middle-ware в банк-клиенте - публичная поддержка ГОСТ в браузерах так и останется теоретической.

Ну там типа взаимная аутентификация и поддержка клиентского сертификата с токеном и пр.

В принципе можно попробовать nss и фф допатчить, как я понимаю там основная работа сделана, нужно только патч вылизать и может немного допилить. Как минимум после этого он начнёт серверные сертификаты и крипту гостовскую понимать. И последние алгоритмы заодно добавить, кузнечика того же.

Я могу, но мотивации/времени у меня нет.

Для хакеров есть вариант без кодинга: настроить nginx в качестве прокси. Nginx собрать с libressl - она понимает все госты.

*попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию

jffulcrum · December 22, 2016

попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию

Я видел такое на Хабре, оно все сильно не для средних умов. Моих познаний в иксах не хватило, я погиб где-то на стадии патчинга исходников библиотек.

Sergey Gilfanov · December 22, 2016

Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять

Так в багтрекере мозилы лежит, в том то и дело.

В баг трекере может лежать что угодно.

Вот смотрит разработчик на этот патч и думает, применять или нет. Вроде государственный стандарт, обязательный к использованию. Т.е. им уже активно пользоваться должны, правда? И населению браузер с этим патчем выдавать где-нибудь.

Пытается найти соответствующую сборку, чтобы потом по статистике посмотреть, у скольки именно человек жизнь облегчиться. И не находит. Ну и отправляет в результате фич-реквест куда-нибудь подальше, как никому, кроме единственного создателя реквеста ненужный.

Sergey Gilfanov · December 22, 2016

попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию

Где-то недавно семинар на ютубе видел какой-то конференции то ли от RIPE, то ли от Минсвязи, то ли от Пиратской Партии.

Там как раз один из разработчиков, имеющий отношение к встраивании этой криптухи, выступал. Резюме - у нас все плохо. Даже для того, чтобы просто зашифровать и подписать файл по госту ничего бесплатного (да и не очень бесплатного) и user-friendly попросту нет. В общем, как я и сказал - оно никому не надо.

vodz · December 22, 2016

Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок

Опять за рыбу деньги. Встраивание ГОСТ в браузер как везде - получится только TLS, этого мало. Надо ещё подпись заполненых форм и подклеенных файлов.

Sergey Gilfanov · December 22, 2016

Надо ещё подпись заполненых форм и подклеенных файлов.

Есть ли пописанность форм браузером в каком-нибудь варианте, независимо от ГОСТ/не ГОСТ? Вроде бы это вообще не дело браузера - такие штуки подписывать.

vodz · December 22, 2016

Есть ли пописанность форм браузером в каком-нибудь варианте, независимо от ГОСТ/не ГОСТ? Вроде бы это вообще не дело браузера - такие штуки подписывать.

Мы уже с вами беседовали на эту тему. Вот именно - нету. Больше похоже на заговор и диверсию. А результат мы и наблюдаем, либо электронное взаимодействие полная профанация, либо говноплагины за деньги.

Sergey Gilfanov · December 22, 2016

Больше похоже на заговор и диверсию. ...либо электронное взаимодействие полная профанация, либо говноплагины за деньги.

Это если требовать железобетонных аналогов "печать-и-подпись". А если рассматривать все это шифрование как средство существенного снижения рисков - то вполне нормально.

А плагины - тоже давить. Серьезный юридический документ должен быть пописан на отдельном устройстве, которое никогда к сети не подключается, скопирован через air gap и уже потом можно браузером отправить.

vodz · December 22, 2016

А плагины - тоже давить. Серьезный юридический документ должен быть пописан на отдельном устройстве, которое никогда к сети не подключается, скопирован через air gap и уже потом можно браузером отправить.

Это оверперфекционизм. Ибо стоить будет дороже говноплагина. :)

Sergey Gilfanov · December 22, 2016

Это оверперфекционизм. Ибо стоить будет дороже говноплагина. :)

Ну так зависит от стоимости того документа. А если он не настолько дорогой, чтобы заморачиваться - то и без подписи формы/документа в браузере переживет. Т.е. вообще без квалифицированной подписи и без статуса юридического документа.

Sign In

Chrome 56 Beta: “Not Secure” warning

Recommended Posts

micol

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Ivan_83

Sergey Gilfanov

Ivan_83

Sergey Gilfanov

taf_321

Sergey Gilfanov

taf_321

jffulcrum

Sergey Gilfanov

ROSS_Black

Sergey Gilfanov

Ivan_83

Sergey Gilfanov

jffulcrum

Ivan_83

jffulcrum

Sergey Gilfanov

Sergey Gilfanov

vodz

Sergey Gilfanov

vodz

Sergey Gilfanov

vodz

Sergey Gilfanov

Join the conversation