[micol]

В январе 2017 года выйдет новая версия браузера Google — Chrome 56. Он будет предупреждать пользователя о том, что опасно вводить пароли или данные кредитных карт на сайтах, использующих HTTP протокол.

 

Сначала появится пометка «Not secure» («Не защищён») в адресной строке браузера:

 

В следующих релизах станет больше предупреждений. В итоге все сайты, работающие через HTTP, будут помечены как опасные

 

https://blog.chromium.org/2016/12/chrome-56-beta-not-secure-warning-web.html

[Ivan_83]

А потом начнут отключать неугодные сайты добавлением сертификата в блеклист.

Чувствую скоро придётся ФФ начать патчить чтобы он пущал куда угодно.

[Sergey Gilfanov]

А потом начнут отключать неугодные сайты добавлением сертификата в блеклист.

А сейчас, что ли, нельзя? Которые просто http - заглядываем в трафик и блочим. Которые https - блеклист сертификата.

Отдельную страничку, а не весь сайт, в https все так же заблокировать нельзя.

Так что ничего не изменится.

Или чей блеклист имеется в виду?

[Ivan_83]

Или чей блеклист имеется в виду?

Сертификат будут в чёрный список пихать.

Такой РКН в масштабах шарика.

[Sergey Gilfanov]

Сертификат будут в чёрный список пихать.

Такой РКН в масштабах шарика.

Все равно не понял. И сейчас пихают, просто не сертификатами, а прямо названиями сайтов. Safe Browsing/Phishing Protection называется.

[taf_321]

Все равно не понял.

Нет, тут именно механизмомо SSL - отзывом конкретного сертификата, и все добпропорядочные устройства - от браузеров до кофеварок, уже не могут войти на конкретный сайт. Без плагинов, дополнений и СМС. Все в рамках стандартной экосистемы и стандартном инструментарии. Эпичная боротьба РКН покажется детским утренником. Уже сейчас заставить современный браузер пройти по просроченному-отозванному серту это тот еще квест, но разработчики ведь могут еще наулучшать, правда? А там очередь дойдет до предания сертов-самосвятов анафеме, встречайте дивный мир.

[Sergey Gilfanov]

Без плагинов, дополнений и СМС. Все в рамках стандартной экосистемы и стандартном инструментарии.

От кого угроза блокирования исходит? От разных государственных и подобных органов? C тем же успехом они могут просто имя разделегировать. Куда уж стандартнее.

Да и трудоемкость выглядит одинаковой - то ли убедительно попросить домен с делегирования снять, то ли столь же убедительно попросить CA сделать отзыв.

[taf_321]

От разных государственных и подобных органов?

От кого угодно, кто имеет возможность удостоверять-отзывать сертификаты, обязательные для активно достравиваемой экосистемы. И не обязательно это госорганы. Они, кстати, могут попасть под раздачу наравне с остальными смертными.

[jffulcrum]

Затем введут третий критерий: сертификат есть, но не EV. И четвертый (уже вводили, но потом откатили): сертификат есть, но недоступен список отозванных. Слабые алгоритмы забанить, чтобы везде только эллиптическая криптография (тоже уже вводили, MD5 помечали как недоверенные и т.п.). Аналог доклада Макларена сотворить по УЦ неугодных стран, чтобы все перестали доверять. Большой простор для добрых дел - Экскоммуникатос не предел.

[Sergey Gilfanov]

Затем введут третий критерий: сертификат есть, но не EV. И четвертый (уже вводили, но потом откатили): сертификат есть, но недоступен список отозванных. Слабые алгоритмы забанить, чтобы везде только эллиптическая криптография (тоже уже вводили, MD5 помечали как недоверенные и т.п.). Аналог доклада Макларена сотворить по УЦ неугодных стран, чтобы все перестали доверять. Большой простор для добрых дел - Экскоммуникатос не предел.

Когда эти добрые дела начнут заметно надоедать, то немедленно появятся сборки хромиума/файрфокса, где все это отодрано. Если не раньше разработчикам объяснят, что глупость сделали. Так что не вижу повода для паники и даже особого ворчания. Будет как с "уже вводили, но потом откатили" в цитате.

[ROSS_Black]

НА Mac Sierra уже хром во всю блокирует китайские ssl сертификаты.

[Sergey Gilfanov]

НА Mac Sierra уже хром во всю блокирует китайские ssl сертификаты.

Так повод был. Там одно CA в свое время уж очень халявно к своим обязанностям отнеслось и подписало что-то левое и потенциально сильно злодейское. Поэтому нефиг. Туда ему и дорога.

[Ivan_83]

Когда эти добрые дела начнут заметно надоедать, то немедленно появятся сборки хромиума/файрфокса, где все это отодрано. Если не раньше разработчикам объяснят, что глупость сделали. Так что не вижу повода для паники и даже особого ворчания.

Там ещё те ***ы сидят.

Вон наш гост в nss уже года 4 не включают, хотя патч есть.

Они как всегда будут верещать о заботе о юзерах и защите их от дикторов и всяких гадов, поэтому ничего отключать не станут.

Если какие сборки и будут то не оффсайтах, что автоматически сужает аудиторию "заблокированных" сайтов до мизера.

[Sergey Gilfanov]

Там ещё те ***ы сидят.

Вон наш гост в nss уже года 4 не включают, хотя патч есть.

Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять - то с нашей стороны (не разработчики патчей, а те, кому гост нужен) те еще халтурщики и, в общем, не очень-то и хотели, чтобы этот гост в официальных сборках появился или хотя бы общедоступным был.

 

Так что разработчики основного дистрибутива вполне правы - зачем включить (и потом поддерживать) некую фигню, которая настолько никому не нужна.

 

Если какие сборки и будут то не оффсайтах, что автоматически сужает аудиторию "заблокированных" сайтов до мизера.

Перевод - из аудитории исключаются 'случайные' посетители. Кому сайт надо - найдет сборку и поставит. Не вижу проблемы.

[jffulcrum]

зачем включить (и потом поддерживать) некую фигню, которая настолько никому не нужна.

Согласен. Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок, тот же Сбербанк опирается на свое middle-ware в банк-клиенте - публичная поддержка ГОСТ в браузерах так и останется теоретической.

[Ivan_83]

Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять

Так в багтрекере мозилы лежит, в том то и дело.

 

Перевод - из аудитории исключаются 'случайные' посетители. Кому сайт надо - найдет сборку и поставит. Не вижу проблемы.

Так не все могут и не у всех даже знакомые которые могут есть. Это тебе хорошо, ты такой всемогучий.

 

 

Согласен. Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок, тот же Сбербанк опирается на свое middle-ware в банк-клиенте - публичная поддержка ГОСТ в браузерах так и останется теоретической.

Ну там типа взаимная аутентификация и поддержка клиентского сертификата с токеном и пр.

В принципе можно попробовать nss и фф допатчить, как я понимаю там основная работа сделана, нужно только патч вылизать и может немного допилить. Как минимум после этого он начнёт серверные сертификаты и крипту гостовскую понимать. И последние алгоритмы заодно добавить, кузнечика того же.

Я могу, но мотивации/времени у меня нет.

 

Для хакеров есть вариант без кодинга: настроить nginx в качестве прокси. Nginx собрать с libressl - она понимает все госты.

*попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию

[jffulcrum]

попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию

Я видел такое на Хабре, оно все сильно не для средних умов. Моих познаний в иксах не хватило, я погиб где-то на стадии патчинга исходников библиотек.

[Sergey Gilfanov]

Судя по тому, что наша сторона до сих пор не озаботилось положить в общедоступном и общеизвестном месте сборку с этими патчами и регулярно ее обновлять

Так в багтрекере мозилы лежит, в том то и дело.

В баг трекере может лежать что угодно.

Вот смотрит разработчик на этот патч и думает, применять или нет. Вроде государственный стандарт, обязательный к использованию. Т.е. им уже активно пользоваться должны, правда? И населению браузер с этим патчем выдавать где-нибудь.

Пытается найти соответствующую сборку, чтобы потом по статистике посмотреть, у скольки именно человек жизнь облегчиться. И не находит. Ну и отправляет в результате фич-реквест куда-нибудь подальше, как никому, кроме единственного создателя реквеста ненужный.

[Sergey Gilfanov]

попробовать что ли для лулзов и батхерта производителей нашей крипты накидать конфиг+инструкцию

Где-то недавно семинар на ютубе видел какой-то конференции то ли от RIPE, то ли от Минсвязи, то ли от Пиратской Партии.

Там как раз один из разработчиков, имеющий отношение к встраивании этой криптухи, выступал. Резюме - у нас все плохо. Даже для того, чтобы просто зашифровать и подписать файл по госту ничего бесплатного (да и не очень бесплатного) и user-friendly попросту нет. В общем, как я и сказал - оно никому не надо.

[vodz]

Пока тот же сайт Госуслуг требует КриптоПро и кастомный закрытый плагин вместо открытых сборок

Опять за рыбу деньги. Встраивание ГОСТ в браузер как везде - получится только TLS, этого мало. Надо ещё подпись заполненых форм и подклеенных файлов.

[Sergey Gilfanov]

Надо ещё подпись заполненых форм и подклеенных файлов.

Есть ли пописанность форм браузером в каком-нибудь варианте, независимо от ГОСТ/не ГОСТ? Вроде бы это вообще не дело браузера - такие штуки подписывать.

[vodz]

Есть ли пописанность форм браузером в каком-нибудь варианте, независимо от ГОСТ/не ГОСТ? Вроде бы это вообще не дело браузера - такие штуки подписывать.

Мы уже с вами беседовали на эту тему. Вот именно - нету. Больше похоже на заговор и диверсию. А результат мы и наблюдаем, либо электронное взаимодействие полная профанация, либо говноплагины за деньги.

[Sergey Gilfanov]

Больше похоже на заговор и диверсию. ...либо электронное взаимодействие полная профанация, либо говноплагины за деньги.

Это если требовать железобетонных аналогов "печать-и-подпись". А если рассматривать все это шифрование как средство существенного снижения рисков - то вполне нормально.

 

А плагины - тоже давить. Серьезный юридический документ должен быть пописан на отдельном устройстве, которое никогда к сети не подключается, скопирован через air gap и уже потом можно браузером отправить.

[vodz]

А плагины - тоже давить. Серьезный юридический документ должен быть пописан на отдельном устройстве, которое никогда к сети не подключается, скопирован через air gap и уже потом можно браузером отправить.

Это оверперфекционизм. Ибо стоить будет дороже говноплагина. :)

[Sergey Gilfanov]

Это оверперфекционизм. Ибо стоить будет дороже говноплагина. :)

Ну так зависит от стоимости того документа. А если он не настолько дорогой, чтобы заморачиваться - то и без подписи формы/документа в браузере переживет. Т.е. вообще без квалифицированной подписи и без статуса юридического документа.