micol Опубликовано 21 декабря, 2016 · Жалоба В январе 2017 года выйдет новая версия браузера Google — Chrome 56. Он будет предупреждать пользователя о том, что опасно вводить пароли или данные кредитных карт на сайтах, использующих HTTP протокол. Сначала появится пометка «Not secure» («Не защищён») в адресной строке браузера: В следующих релизах станет больше предупреждений. В итоге все сайты, работающие через HTTP, будут помечены как опасные https://blog.chromium.org/2016/12/chrome-56-beta-not-secure-warning-web.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 декабря, 2016 · Жалоба А потом начнут отключать неугодные сайты добавлением сертификата в блеклист. Чувствую скоро придётся ФФ начать патчить чтобы он пущал куда угодно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 21 декабря, 2016 · Жалоба А потом начнут отключать неугодные сайты добавлением сертификата в блеклист. А сейчас, что ли, нельзя? Которые просто http - заглядываем в трафик и блочим. Которые https - блеклист сертификата. Отдельную страничку, а не весь сайт, в https все так же заблокировать нельзя. Так что ничего не изменится. Или чей блеклист имеется в виду? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 21 декабря, 2016 · Жалоба Или чей блеклист имеется в виду? Сертификат будут в чёрный список пихать. Такой РКН в масштабах шарика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 21 декабря, 2016 · Жалоба Сертификат будут в чёрный список пихать. Такой РКН в масштабах шарика. Все равно не понял. И сейчас пихают, просто не сертификатами, а прямо названиями сайтов. Safe Browsing/Phishing Protection называется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 21 декабря, 2016 · Жалоба Все равно не понял. Нет, тут именно механизмомо SSL - отзывом конкретного сертификата, и все добпропорядочные устройства - от браузеров до кофеварок, уже не могут войти на конкретный сайт. Без плагинов, дополнений и СМС. Все в рамках стандартной экосистемы и стандартном инструментарии. Эпичная боротьба РКН покажется детским утренником. Уже сейчас заставить современный браузер пройти по просроченному-отозванному серту это тот еще квест, но разработчики ведь могут еще наулучшать, правда? А там очередь дойдет до предания сертов-самосвятов анафеме, встречайте дивный мир. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 21 декабря, 2016 · Жалоба Без плагинов, дополнений и СМС. Все в рамках стандартной экосистемы и стандартном инструментарии. От кого угроза блокирования исходит? От разных государственных и подобных органов? C тем же успехом они могут просто имя разделегировать. Куда уж стандартнее. Да и трудоемкость выглядит одинаковой - то ли убедительно попросить домен с делегирования снять, то ли столь же убедительно попросить CA сделать отзыв. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 22 декабря, 2016 · Жалоба От разных государственных и подобных органов? От кого угодно, кто имеет возможность удостоверять-отзывать сертификаты, обязательные для активно достравиваемой экосистемы. И не обязательно это госорганы. Они, кстати, могут попасть под раздачу наравне с остальными смертными. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 22 декабря, 2016 · Жалоба Затем введут третий критерий: сертификат есть, но не EV. И четвертый (уже вводили, но потом откатили): сертификат есть, но недоступен список отозванных. Слабые алгоритмы забанить, чтобы везде только эллиптическая криптография (тоже уже вводили, MD5 помечали как недоверенные и т.п.). Аналог доклада Макларена сотворить по УЦ неугодных стран, чтобы все перестали доверять. Большой простор для добрых дел - Экскоммуникатос не предел. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 декабря, 2016 · Жалоба Затем введут третий критерий: сертификат есть, но не EV. И четвертый (уже вводили, но потом откатили): сертификат есть, но недоступен список отозванных. Слабые алгоритмы забанить, чтобы везде только эллиптическая криптография (тоже уже вводили, MD5 помечали как недоверенные и т.п.). Аналог доклада Макларена сотворить по УЦ неугодных стран, чтобы все перестали доверять. Большой простор для добрых дел - Экскоммуникатос не предел. Когда эти добрые дела начнут заметно надоедать, то немедленно появятся сборки хромиума/файрфокса, где все это отодрано. Если не раньше разработчикам объяснят, что глупость сделали. Так что не вижу повода для паники и даже особого ворчания. Будет как с "уже вводили, но потом откатили" в цитате. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ROSS_Black Опубликовано 22 декабря, 2016 · Жалоба НА Mac Sierra уже хром во всю блокирует китайские ssl сертификаты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 декабря, 2016 · Жалоба НА Mac Sierra уже хром во всю блокирует китайские ssl сертификаты. Так повод был. Там одно CA в свое время уж очень халявно к своим обязанностям отнеслось и подписало что-то левое и потенциально сильно злодейское. Поэтому нефиг. Туда ему и дорога. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 декабря, 2016 · Жалоба Когда эти добрые дела начнут заметно надоедать, то немедленно появятся сборки хромиума/файрфокса, где все это отодрано. Если не раньше разработчикам объяснят, что глупость сделали. Так что не вижу повода для паники и даже особого ворчания. Там ещё те ***ы сидят. Вон наш гост в nss уже года 4 не включают, хотя патч есть. Они как всегда будут верещать о заботе о юзерах и защите их от дикторов и всяких гадов, поэтому ничего отключать не станут. Если какие сборки и будут то не оффсайтах, что автоматически сужает аудиторию "заблокированных" сайтов до мизера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 декабря, 2016 · Жалоба Там ещё те ***ы сидят. Вон наш гост в nss уже года 4 не включают, хотя патч есть. Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять - то с нашей стороны (не разработчики патчей, а те, кому гост нужен) те еще халтурщики и, в общем, не очень-то и хотели, чтобы этот гост в официальных сборках появился или хотя бы общедоступным был. Так что разработчики основного дистрибутива вполне правы - зачем включить (и потом поддерживать) некую фигню, которая настолько никому не нужна. Если какие сборки и будут то не оффсайтах, что автоматически сужает аудиторию "заблокированных" сайтов до мизера. Перевод - из аудитории исключаются 'случайные' посетители. Кому сайт надо - найдет сборку и поставит. Не вижу проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 22 декабря, 2016 · Жалоба зачем включить (и потом поддерживать) некую фигню, которая настолько никому не нужна. Согласен. Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок, тот же Сбербанк опирается на свое middle-ware в банк-клиенте - публичная поддержка ГОСТ в браузерах так и останется теоретической. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 декабря, 2016 · Жалоба Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять Так в багтрекере мозилы лежит, в том то и дело. Перевод - из аудитории исключаются 'случайные' посетители. Кому сайт надо - найдет сборку и поставит. Не вижу проблемы. Так не все могут и не у всех даже знакомые которые могут есть. Это тебе хорошо, ты такой всемогучий. Согласен. Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок, тот же Сбербанк опирается на свое middle-ware в банк-клиенте - публичная поддержка ГОСТ в браузерах так и останется теоретической. Ну там типа взаимная аутентификация и поддержка клиентского сертификата с токеном и пр. В принципе можно попробовать nss и фф допатчить, как я понимаю там основная работа сделана, нужно только патч вылизать и может немного допилить. Как минимум после этого он начнёт серверные сертификаты и крипту гостовскую понимать. И последние алгоритмы заодно добавить, кузнечика того же. Я могу, но мотивации/времени у меня нет. Для хакеров есть вариант без кодинга: настроить nginx в качестве прокси. Nginx собрать с libressl - она понимает все госты. *попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 22 декабря, 2016 · Жалоба попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию Я видел такое на Хабре, оно все сильно не для средних умов. Моих познаний в иксах не хватило, я погиб где-то на стадии патчинга исходников библиотек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 декабря, 2016 · Жалоба Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять Так в багтрекере мозилы лежит, в том то и дело. В баг трекере может лежать что угодно. Вот смотрит разработчик на этот патч и думает, применять или нет. Вроде государственный стандарт, обязательный к использованию. Т.е. им уже активно пользоваться должны, правда? И населению браузер с этим патчем выдавать где-нибудь. Пытается найти соответствующую сборку, чтобы потом по статистике посмотреть, у скольки именно человек жизнь облегчиться. И не находит. Ну и отправляет в результате фич-реквест куда-нибудь подальше, как никому, кроме единственного создателя реквеста ненужный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 декабря, 2016 · Жалоба попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию Где-то недавно семинар на ютубе видел какой-то конференции то ли от RIPE, то ли от Минсвязи, то ли от Пиратской Партии. Там как раз один из разработчиков, имеющий отношение к встраивании этой криптухи, выступал. Резюме - у нас все плохо. Даже для того, чтобы просто зашифровать и подписать файл по госту ничего бесплатного (да и не очень бесплатного) и user-friendly попросту нет. В общем, как я и сказал - оно никому не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 22 декабря, 2016 · Жалоба Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок Опять за рыбу деньги. Встраивание ГОСТ в браузер как везде - получится только TLS, этого мало. Надо ещё подпись заполненых форм и подклеенных файлов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 декабря, 2016 · Жалоба Надо ещё подпись заполненых форм и подклеенных файлов. Есть ли пописанность форм браузером в каком-нибудь варианте, независимо от ГОСТ/не ГОСТ? Вроде бы это вообще не дело браузера - такие штуки подписывать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 22 декабря, 2016 · Жалоба Есть ли пописанность форм браузером в каком-нибудь варианте, независимо от ГОСТ/не ГОСТ? Вроде бы это вообще не дело браузера - такие штуки подписывать. Мы уже с вами беседовали на эту тему. Вот именно - нету. Больше похоже на заговор и диверсию. А результат мы и наблюдаем, либо электронное взаимодействие полная профанация, либо говноплагины за деньги. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 декабря, 2016 · Жалоба Больше похоже на заговор и диверсию. ...либо электронное взаимодействие полная профанация, либо говноплагины за деньги. Это если требовать железобетонных аналогов "печать-и-подпись". А если рассматривать все это шифрование как средство существенного снижения рисков - то вполне нормально. А плагины - тоже давить. Серьезный юридический документ должен быть пописан на отдельном устройстве, которое никогда к сети не подключается, скопирован через air gap и уже потом можно браузером отправить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vodz Опубликовано 22 декабря, 2016 · Жалоба А плагины - тоже давить. Серьезный юридический документ должен быть пописан на отдельном устройстве, которое никогда к сети не подключается, скопирован через air gap и уже потом можно браузером отправить. Это оверперфекционизм. Ибо стоить будет дороже говноплагина. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergey Gilfanov Опубликовано 22 декабря, 2016 · Жалоба Это оверперфекционизм. Ибо стоить будет дороже говноплагина. :) Ну так зависит от стоимости того документа. А если он не настолько дорогой, чтобы заморачиваться - то и без подписи формы/документа в браузере переживет. Т.е. вообще без квалифицированной подписи и без статуса юридического документа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...