[straus]

Строго говоря это привязка не к лицу, а к конкретному аппарату.

С учетом того, что не все китайцы одинаково полезны соответствуют требованиям и стандартам,

на многих телефонах IMEI переписывается достаточно просто.

Скажу больше: когда у нас на Украине хотели ввести базу IMEI, чтобы отсечь серый ввоз, китайцы решили проблему быстро и эффективно - начали поставлять нам модели, в которых IMEI можно ввести любой с клавиатуры.

[fspi]

Кстати, в законе есть лозейка: vpn и другие средства могут использовать сотрудники компаний, с которыми был заключен трудовой договор.

Как воспользоваться этой лозейкай?

 

Устроиться куда-нибудь уборщицей на 1/4 ставки.

И что это даст?

 

Трудовой договор и доступ к vpn.

 

Отличная бигдата. Называется "Отеб###!"

 

Действительно,отличная бигдата,чой-то не сразу сообразил.

[ne-vlezay80]

Кстати, в законе есть лозейка: vpn и другие средства могут использовать сотрудники компаний, с которыми был заключен трудовой договор.

Как воспользоваться этой лозейкай?

 

Устроиться куда-нибудь уборщицей на 1/4 ставки.

И что это даст?

 

Трудовой договор и доступ к vpn.

 

Отличная бигдата. Называется "Отеб###!"

 

Действительно,отличная бигдата,чой-то не сразу сообразил.

И, куда потом сообщать, что ты на работу поступил?

[grfmaniak]

И, куда потом сообщать, что ты на работу поступил?

 

В местное управление ФСБ, куда ж еще.

[ne-vlezay80]

И, куда потом сообщать, что ты на работу поступил?

 

В местное управление ФСБ, куда ж еще.

А, что мне стоит в google забить фразу "трудовой договор скачать бесплатно", и предоставить в фсб фейковый трудовой договор?

[fspi]

И, куда потом сообщать, что ты на работу поступил?

 

В местное управление ФСБ, куда ж еще.

А, что мне стоит в google забить фразу "трудовой договор скачать бесплатно", и предоставить в фсб фейковый трудовой договор?

 

Тогда,думаю,точно ни vpn'ов ни интернетов не видать годков эдак на ...

[ne-vlezay80]

И, куда потом сообщать, что ты на работу поступил?

 

В местное управление ФСБ, куда ж еще.

А, что мне стоит в google забить фразу "трудовой договор скачать бесплатно", и предоставить в фсб фейковый трудовой договор?

 

Тогда,думаю,точно ни vpn'ов ни интернетов не видать годков эдак на ...

А почему?

[fspi]

И, куда потом сообщать, что ты на работу поступил?

 

В местное управление ФСБ, куда ж еще.

А, что мне стоит в google забить фразу "трудовой договор скачать бесплатно", и предоставить в фсб фейковый трудовой договор?

 

Тогда,думаю,точно ни vpn'ов ни интернетов не видать годков эдак на ...

А почему?

 

Патамушта гладиолус >:(

[SergoINFOLAN]

цель то блокирнуть 90%, а 5% гиков пусть хоть через тор ходят, ну реально насрать на них, пусть хоть трафик воруют хоть запрещенные сайты читают, хоть кино бесплатно смотрят, хоть зайцами на ОТ катаются...

[Macil]

Черная бигдата привязывает к IMEI аппарата, рисует граф связей с другими абонентами, данные с банковских карт пополняющих счет...

Например у билайна бигдата по IMEI Б/У аппарата автоматически в личном кабинете заполняет (заполняла?) паспортные данные предыдущего владельца аппарата.

Как страшно жить! Ппц. Знаем мы эти «бигдаты». Если прогрузку CDR'ок в CSV называть «бигдатой», то ладно. То ж сотовый оператор, у них и не такие выкрутасы возможны. Всё как обычно: менеджеришко родило, говнокодеры слепили. 100% ISO9000 сертифайд бызныс-процессы. С таким подходом почему-то суть Роскомнадзора и законодательства по ПДН представляются в совершенно ином свете...

 

Это ещё раз подтверждает мои слова о тотальной слежке. Только какой смысл метаться-то? Метаться нужно было давно. Щас каждый первый TLS-терминатор абсолютно официально сливает криптографический контекст. IETF одобряет. EFF вылизывает жопу интернет-компаниям и пиарит тотальную тлсизацию. В TLS 1.3 официально будет фича «интернет по паспорту». Всякие говноинициативы типа Давай-Шифруй обкатывают вопросы массовой выдачи сертификатов. Красота! Всё для нашего блага.

[Ivan_83]

В TLS 1.3 официально будет фича «интернет по паспорту».

х509 уже давно есть.

[Macil]

х509 уже давно есть.

x.509 есть *очень* давно. Я не про это. В текущей версии TLS аутентификация по клиентским сертификатам не очень удачно реализована... Для мелких масштабов — более-менее, а вот для масштабов интернет-компании — не очень.

[Sergey Gilfanov]

В текущей версии TLS аутентификация по клиентским сертификатам не очень удачно реализована...

В смысле, кажется, она реализована как раз слишком хорошо для этих целей. После того, как предложили выбрать клиентский сертификат и им воспользовался - разлогинится нельзя, не закрыв все окна браузера.

В текущей версии TLS аутентификация по клиентским сертификатам не очень удачно реализована... Для мелких масштабов — более-менее, а вот для масштабов интернет-компании — не очень.

А какая проблема с масштабами - непонятно.

Если сертификат не сам выписываешь, а 'по паспорту' - то просто ставишь корневые сертификаты тех, кто этот паспорт выписывает, а дальше просто в id сертификата смотришь, что ssl слой отдает, чтобы знать кто есть кто.

[Macil]

А какая проблема с масштабами - непонятно.

Аутентификация по клиентскому сертификату добавляет ещё один RTT и происходит *до* завершения хэндшейка (т.е. в открытом виде, до выработки сеансового ключа).

 

Такой подход: а) вносит неприемлемые задержки; б) негативно сказывается на прайвеси и общественном мнении.

 

В TLS 1.3. решение об аутентификации по клиентским сертификатам может приниматься *после* хэндшейка. Это существенно упрощает внедрение в масштабах интернет-компании.

[SergoINFOLAN]

Как страшно жить! Ппц. Знаем мы эти «бигдаты». Если прогрузку CDR'ок в CSV называть «бигдатой», то ладно. То ж сотовый оператор, у них и не такие выкрутасы возможны. Всё как обычно: менеджеришко родило, говнокодеры слепили. 100% ISO9000 сертифайд бызныс-процессы.

а что такого ?

[Alex/AT]

В TLS 1.3. решение об аутентификации по клиентским сертификатам может приниматься *после* хэндшейка. Это существенно упрощает внедрение в масштабах интернет-компании.

После хендшейка никто уже не видит идущее внутри, и никто, кроме конечного ресурса, вмешаться в процесс принятия какого-либо решения / авторизовать клиента по сертификату не может.

Возможно именно поэтому и перенесли внутрь. Хендшейк можно модифицировать будучи MITM, всё, что после хендшейка в обычных условиях (случаи с утечкой приватного ключа / поддельными сертами не рассматриваем) - уже нет.

 

После того, как предложили выбрать клиентский сертификат и им воспользовался - разлогинится нельзя, не закрыв все окна браузера.

Тут следует учесть, что это работает только в пределах одного домена. Для любого другого домена снова будет запрос на клиентский сертификат.

 

---

 

Т.е. единственный способ, как можно всё это реализовать - самый старый и очевидный, это полное проксирование с подменой сертификатов и заодно авторизацией по клиентскому серту. Всем клиентам придётся поставить свой сертификат, под которым выпускаются подменяющие сертификаты для каждого ресурса, выпускать эти сертификаты на каждый домен и кешировать их. Ну либо заставить всех клиентов игнорировать предупреждения сертификата - что распространённые браузеры уже перестают позволять. Короче, это убьёт всю идею PKI/TLS, потому что полная MITM-атака, с возможностью перехвата любого трафика. Особенно при таком раскладе достанется банкам, в части персональных данных и номеров/паролей карт, они утекут в третьи руки моментально. Т.е. вероятность подобного финта ушами с авторизацией всех и вся околонулевая.

[stas_k]

Это ещё раз подтверждает мои слова о тотальной слежке.

Покажи мне человека с которым ты споришь.

 

Щас каждый первый TLS-терминатор абсолютно официально сливает криптографический контекст.

Всякие говноинициативы типа Давай-Шифруй обкатывают вопросы массовой выдачи сертификатов. Красота! Всё для нашего блага.

 

Тебе осталось только понять что слово "криптографический" и его смысловые производные здесь не уместны. Цель сертификатов - однозначная аутентификация персоны. НЕ БОЛЕЕ ТОГО.

[Sergey Gilfanov]

Тебе осталось только понять что слово "криптографический" и его смысловые производные здесь не уместны. Цель сертификатов - однозначная аутентификация персоны. НЕ БОЛЕЕ ТОГО.

Можно не персоны, а учетки. В принципе на каждый сервис можно по сертификату генерировать, подписывая его CA самого сервиса. Так что степень злодейства зависит от способа использования технологии.

[ne-vlezay80]

В Крыму могут разрешить анонимайзеры

 

https://newdaynews.ru/crimea/607643.html

 

Так что, едем на отдых в Крым, или покупаем там VPS.

[SergoINFOLAN]

В Крыму могут разрешить анонимайзеры

 

https://newdaynews.ru/crimea/607643.html

 

Так что, едем на отдых в Крым, или покупаем там VPS.

это серьёзно ?

[ne-vlezay80]

В Крыму могут разрешить анонимайзеры

 

https://newdaynews.ru/crimea/607643.html

 

Так что, едем на отдых в Крым, или покупаем там VPS.

это серьёзно ?

похоже что да.

[SergoINFOLAN]

В Крыму могут разрешить анонимайзеры

 

https://newdaynews.ru/crimea/607643.html

 

Так что, едем на отдых в Крым, или покупаем там VPS.

это серьёзно ?

похоже что да.

цифровые наркотики и синий кит будут доступны на территории Крыма ? И даже ISIC telegramm?

[Черномазов]

цифровые наркотики и синий кит будут доступны на территории Крыма ? И даже ISIC telegramm?

Имелся в виду ISIS?

 

Если анонимайзеры используются для обхода чужих запретов, запрещать их некошерно.

[SergoINFOLAN]

Блин нельзя упоминать это на территории РФ (кроме Крфма)

[Черномазов]

В Крыму тоже нельзя упоминать. Можно только читать.