forum.opennet.ru

"Mozilla, Cloudflare, Fastly и Apple работают над применением..."

Форум Разговоры, обсуждение новостей
Версия для распечатки	Пред. тема \| След. тема

Исходное сообщение

[ Отслеживать ]

Подсказка: Доступны два режима работы форума: "Раскрыть нити" и "Свернуть нити".

. "Mozilla, Cloudflare, Fastly и Apple работают над применением..."	+/–
Сообщение от Тузя (ok), 17-Июл-18, 16:55
Не то чтобы я хотел опровергнуть что-то из вами сказанного, просто напомнить, что в SSL/TLS есть очень www-ориентированные штуки, которые за пределами вебсервера не очень-то и работают в массе своей. Из них сходу вспоминаются 2: - само SNI, которое поддерживается даже не в каждом вебклиенте, браузеры и большие библиотеки - это да, но в TLS может оказаться не только вебня и вот там всё грустно. - Wildcard, опять же, применение которого тоже ограничено в протоколах. - Их сочетание. Я понимаю, что для посылки веб-запроса по идее надо бы иметь SNI, в общем случае. Но многие не парятся, а убирать поддержку расширения, которое гарантировано работает только в браузерах и больших популярных библиотеках из "другого софта" очень просто, ведь его и не завезли. ESNI туда тоже не завезут, сложно. Да, на фоне ESNI само SNI выглядит просто, но народ решает оба вопроса (SNI/Wildcard) посредством обязывания покупать сертификат содержащий SAN.
Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

Mozilla, Cloudflare, Fastly и Apple работают над применением..., opennews, 16-Июл-18, 22:14 [смотреть все]

мурзила, огрызок и прочие гиганты индус-трии ниасилили замахнуться переделать у, пох, 16-Июл-18, 22:14 (1) //
- Жаров, перелогиньтесь Мы-то знаем, что шифрование SNI - как серпом по яйцам дл, AnonPlus, 16-Июл-18, 22:23 (4) //
  - серпом по яйцам им было бы выкидывание этого урода в помойку заодно с trusted , пох, 16-Июл-18, 22:33 (6) //
    - Согласен полностью Коллега, а что нам собственно стоит взять какой-нибудь хроми, Аноним, 16-Июл-18, 23:03 (8)
      - МОдер, удали эту ересь выше , Sw00p aka Jerom, 16-Июл-18, 23:30 (23)
        
        почему ересь Туннели через обратный ssh известны со времен царя гороха Другое , Аноним, 17-Июл-18, 14:38 (86)
    - Конечно невозможно Пофигу, как легко написать - важно, как легко внедрить А на, Crazy Alex, 17-Июл-18, 00:14 (26)
      - Последние лет 10 так в вебе и делают Поэтому и имеем гигантскую пирамиду из к, Аноним, 17-Июл-18, 00:20 (28)
        
        Естественно так и делают Потому что по-другому не взлетит вообще, Crazy Alex, 17-Июл-18, 01:17 (32)
      - Внедрить легко, если не вместо, а рядом HTTPS много лет был не вместо HTTP и то, Аноним, 17-Июл-18, 00:33 (30)
        
        Вот потому и пролез в конце концов, что много лет рядом был и наросла критическ, Crazy Alex, 17-Июл-18, 01:23 (33)
        
        Помимо серверной стороны предстоит решить вопрос с контекстами выполнения JS, по, Аноним, 17-Июл-18, 01:52 (35)
        
        Избыточен твой контроль целостности и аутентификация, когда и так есть https Бу, Аноним, 17-Июл-18, 02:40 (37)
        
        HTTPS свою задачу не выполняет, пока используются CDN, терминирующие TLS Cloudf, Аноним, 17-Июл-18, 04:37 (40)
        
        И какое ты решение предлагаешь По типу SSH Как себе представляешь Откуда ты в, Аноним, 17-Июл-18, 07:17 (46)
        
        Согласование фаз между зашифрованным DNS и HTTP HTTPS DNS и BGP должны быть вклю, Аноним, 17-Июл-18, 09:24 (56)
        откуда ты берешь ключи ssh Лично бегаешь по всем хостам, или все же предполагае, нах, 17-Июл-18, 11:04 (69)
        из блокчейна emercoin это умеет, Aknor, 21-Июл-18, 09:23 (176)
        
        уже есть https en wikipedia org wiki Subresource_Integrity, Нанобот, 17-Июл-18, 09:27 (58)
        
        то есть гугл, один штука да, отказ от возврата в результатах поиска неправильн, нах, 17-Июл-18, 10:31 (63)
        
        он не платит ничего платят только лохи он угрожает дать по башке, отобрать ден, Товарищ Подполковник, 20-Июл-18, 11:37 (169)
        
        HTTPS был рядом потому, что использовать SSL было дорого йа бы сказал супер-пуп, Анотоним, 17-Июл-18, 08:37 (52)
        
        AES-NI FPGA pcie-card, Аноним, 17-Июл-18, 09:26 (57)
        
        ты сам то понял что сказал , Анотоним, 17-Июл-18, 21:16 (121)
        
        мой сертификат startssl ныне покойного стоил мне 0 extended validation thawt, нах, 17-Июл-18, 10:43 (66)
        
        зачем уютному персональному бложику или лавочке по продаже second-hand кондомов , Анотоним, 17-Июл-18, 21:52 (123)
        
        в стране, где сажают за лайк, вы серьезно спрашиваете у тебя какие-то другие ден, нах, 18-Июл-18, 11:17 (130)
        
        и как SSL на это повлияет следователь не увидит лайка ему будет показываться к, Анотоним, 18-Июл-18, 20:13 (149)
        
        увидит, но не сможет просто так выяснить кто его поставил,когда нет возможности , нах, 19-Июл-18, 11:34 (162)
    - Проблема в том, что без trusted authorities невозможно защищенно связаться с н, Аноним, 17-Июл-18, 11:59 (74)
      - возможно невозможно убедиться что он тот, за кого себя выдает - но чаще всего э, нах, 17-Июл-18, 13:24 (77)
        
        В случае банка, биржи и любого другого финансового учреждения важно как раз имен, Аноним, 17-Июл-18, 14:57 (88)
- а делают они это вот этими самыми руками https mobile twitter com levelsio sta, пох, 16-Июл-18, 22:24 (5)
- Ой какой же ты дуpак, ну дуpаааак Забаньте уже всех этих пoxов , наxoв , и , Николай Панкратов, 17-Июл-18, 11:37 (73)
Наконец-то Тогда и DNS и SNI будут шифрованны, шикарно , Аноним, 16-Июл-18, 22:20 (3) //
- dnscrypt, не , Аноним, 19-Июл-18, 12:15 (164)
мазила до сих пор резолвер TTR Trusted Recursive Resolver , предоставляющего во, Аноним, 16-Июл-18, 22:40 (7) //
- Зато клаудфлара смогла , dimqua, 16-Июл-18, 23:10 (12)
- В 61 уже нормально работает DoH В 60 крашил браузер Сейчас мне не хватает толь, Аноним, 16-Июл-18, 23:55 (25) //
  - Как удалось завести У меня и в 61 0 не работал - , dimqua, 17-Июл-18, 15:13 (90) //
    - Просто 3 префа https gist github com bagder 5e29101079e9ac78920ba2fc718aceecne, Аноним, 18-Июл-18, 22:55 (152)
      - А с гугловским сервером работает У меня теперь тоже заработало, но только с moz, dimqua, 19-Июл-18, 02:34 (157)
боже это слишком сложно один маленький управляемый сбой -- и всё это откаты, Xasd, 16-Июл-18, 23:04 (9) //
- Это не 171 всего-навсего просто 187 , лол И по твоей логике ничего не надо д, Аноним, 16-Июл-18, 23:18 (16) //
  - Да, в теории многое можно, но на практике не всегда все это реализуется , dimqua, 16-Июл-18, 23:22 (19)
  - не смогут убрать потому что кроме www-браузера если и обычные библиотеки делающе, Xasd, 16-Июл-18, 23:27 (20) //
    - И почему верится с трудом Вот был 2004 год, и всё кроме браузера, да и даже сам, Аноним, 16-Июл-18, 23:40 (24)
    - Уж из браузеров убрать - запросто, хоть и поэтапно, Crazy Alex, 17-Июл-18, 00:20 (29)
    - целых две, не считая форков Ну так одну вон уже эммм антимат отрефактор, нах, 17-Июл-18, 10:54 (68)
    - Не то чтобы я хотел опровергнуть что-то из вами сказанного, просто напомнить, чт , Тузя, 17-Июл-18, 16:55 (103)
- Разве это так уж просто сделать , dimqua, 16-Июл-18, 23:19 (17) //
  - ну как Телеграм - , Xasd, 16-Июл-18, 23:29 (22)
  - Вообще-то да Это обычный HTTPS трафик, провайдер его видит шифрованым, ну если , Аноним, 17-Июл-18, 06:03 (42) //
    - Так ведь перебанить _все известные_ DOH сервера невозможно, а блокировать весь h, dimqua, 17-Июл-18, 15:19 (93)
      - Станут Госбезопасность шерифа волнует, а проблемы индейцев - нет , Аноним, 17-Июл-18, 21:40 (122)
- Как раз нормально Как отладят внедрят - браузеры для начала станут всё, что так, Crazy Alex, 17-Июл-18, 00:19 (27)
- мурзила - уже может, полутора оставшимся пользователям уже все равно , нах, 17-Июл-18, 10:46 (67)
- блокировать DNS-over-HTTPS DNS-over-TLS ну как минимум популярные серверы , Аноним, 17-Июл-18, 19:25 (111)
Вопрос, мягко говоря, перезрел , xm, 16-Июл-18, 23:13 (14) //
- Рыба уже давно уже сгнила с головы, они ток задумались Тут бы проблемы DNSSec и , Аноним, 17-Июл-18, 00:36 (31) //
  - 100500Сегодня DNSSEC DANE DNS-over-TLS должно стать первоочередной задачей , xm, 17-Июл-18, 01:41 (34) //
    - Как выше писали, DoT не имеет такого уж большого смысла, если имя хоста передаёт, dimqua, 17-Июл-18, 15:24 (94)
      - Во-первых, не вижу где А, во-вторых, и это главное, не вижу связи На кой, собс, xm, 17-Июл-18, 16:54 (102)
        
        Не вместе с DoT, а при обращении к сайту по HTTPS, будет передаваться SNI , dimqua, 17-Июл-18, 19:58 (118)
        
        В DNS-over-TLS внезапно никакого HTTPS нет , xm, 17-Июл-18, 22:39 (126)
        
        Внезапно при установлении TLS соединения со SNI, твой DNS-over-TLS теряет смысл,, Аноним, 22-Июл-18, 10:12 (179)
Да бизнес это никогда не внедрит Вы же видели - Mozilla и Amazon закрыли domain , Аноним, 17-Июл-18, 01:58 (36) //
- Чушь Бизнесу нет причин это бойкотировать И есть причины это внедрять Ибо ина, Аноним, 17-Июл-18, 02:52 (38)
- Да, могут и так поехать Что сказать-то хотел Могут ещё проще государственный , Аноним, 17-Июл-18, 02:55 (39) //
  - амазона и гугля, как видите, волнует самый богатый человек мира потому и самый , нах, 17-Июл-18, 15:08 (89) //
    - Это весьма непростая медийная история Если выкидывать, то есть репутационные ри, DPDKguy, 17-Июл-18, 19:29 (114)
      - оно там специфичное - пока не затрагивает сами Штаты, особо ни на что не влияет , нах, 18-Июл-18, 11:22 (131)
Нужно Нужно Нужно , нона, 17-Июл-18, 05:15 (41)
Получается, прокси - как анонимайзеры, так и корпоративные - при таком раскладе , Аноним, 17-Июл-18, 06:53 (43) //
- Похоже на то Я во всяком случае не очень понимаю, как в таком случае прокси буд, Аноним, 17-Июл-18, 14:56 (87) //
  - Как это как определять А айпишник в пакете для чего указан Вот пусть прокся и , Аноним, 18-Июл-18, 23:04 (154) //
    - Затем, что прокси еще и для фильтрации трафика используются Лол В такой ситуаци, Аноним, 19-Июл-18, 10:39 (161)
Чего там шифровать С каких сайтов тянешь ad блоки по текущему гнезду да уж вел, Аноним, 17-Июл-18, 07:02 (44) //
- И какой же в этом плюс без шифрования SNI Вот скрыл ты днс шифрованием, а всё р, Аноним, 17-Июл-18, 07:14 (45) //
  - дружок, я про то что реализация веба на сегодня исключительно косячна, эти нараб, Аноним, 17-Июл-18, 07:35 (47) //
    - Хотят лечить вебом флаг Какой флаг И зачем его лечить Это какой-то молодёжный, Аноним, 17-Июл-18, 07:58 (50)
      - этому сленгу лет за писят уж Это вообще моя планета , Аноним, 17-Июл-18, 08:18 (51)
        
        Запятые нужно ставить , Ю.Т., 17-Июл-18, 09:30 (60)
        
        эти наработки из прошлого века Сегодня пользоваться уже почти невозможно с , Аноним, 17-Июл-18, 09:55 (62)
QUIC шифрует SNI еще надежнее, единственное что там из заголовка можно получить , Аноним, 17-Июл-18, 07:35 (48) //
- У лидеров рынка NIH-синдром же , Аноним, 17-Июл-18, 07:56 (49)
- Сначала не умели Т е идя на сайт по ip X X X X клиент ожидал там сертификат по, КО, 17-Июл-18, 08:57 (53) //
  - и это была чудовищная глупость Настолько вопиющая, что начинаешь сомневаться, ч, нах, 17-Июл-18, 11:18 (71) //
    - Почему нахрен Ну на Украину, ну и что сразу так - , А. Алког, 19-Июл-18, 01:59 (156)
  - На шаред хостинге овер 1000 хостов на одном IP Так каждому клиенту портянку в X, Аноним, 21-Июл-18, 00:36 (175)
- ну и поведай -- как же в QUIC происходит обмен ключами для SNI точнее говоря --, Xasd5, 17-Июл-18, 09:03 (54)
да ну нафиг лишняя сложность, плюс дополнительная точка отказа, Нанобот, 17-Июл-18, 09:20 (55) //
- DNS устарел, HTTP устарел, BGP без BGPsec устарел Нас нужны новые интернет , Аноним, 17-Июл-18, 09:30 (59) //
  - https duckduckgo com q pied piper new internethttps duckduckgo com q pied , Andrey Mitrofanov, 17-Июл-18, 09:46 (61) //
    - похоже на какое-то бла-бла, Maxim, 17-Июл-18, 10:35 (64)
    - whois говорит, что duckduckgo хостится в ирландии, а все мы знаем, что по ирланд, Аноним, 17-Июл-18, 13:33 (79)
      - Айяйяй, Как же мне спрятать мои поисковые запросы, которые я выложил на опенет , Andrey Mitrofanov, 17-Июл-18, 14:07 (83)
      - ФБР не работает за границей USA Ты бредишь , Аноним, 17-Июл-18, 22:28 (125)
        
        Работает, в тех случаях, когда преступление, разрабатываемое ФБР, предполагает д, IRASoldier, 18-Июл-18, 18:51 (144)
        Навскидку по теме - https ria ru society 20051012 41752859 html, IRASoldier, 18-Июл-18, 18:53 (145)
        Также ФБР может проводить оперативно-розыскные мероприятия за рубежом и в отноше, IRASoldier, 18-Июл-18, 18:57 (146)
- Какая точка, какого отказа Без DNS всё равно у вас HTTPS ни , Аноним, 17-Июл-18, 19:28 (112)
народ не понимает, что это делают не для их безопасности, а для финансовой безоп, Аноним, 17-Июл-18, 10:43 (65) //
- Никто тебе не мешает поднять собственный прокси и блочить всё что угодно на уров, Аноним, 17-Июл-18, 11:14 (70)
- Финансовая безопасность Лол , Аноним, 17-Июл-18, 11:35 (72)
- уж не буду говорить про то что ни кто тебе не мешает наложить на исходный код бр, X4asd, 17-Июл-18, 18:28 (107)
- А не похер бы, если всем это в плюс , Аноним, 17-Июл-18, 19:28 (113)
Хорошая штука, если действительно вбедрится и будет стабильно работать Но Боже,, Cradle, 17-Июл-18, 12:02 (75) //
- где там sni и зачем он нужен умному дому ключи от всего у кого-то поумнее чем , Аноним, 17-Июл-18, 13:28 (78) //
  - серьёзные IoT сейчас работают с облаком через SSL TLS, SNI необходим чтобы трафи, Cradle, 17-Июл-18, 13:41 (81) //
    - в том смысле что заточенное под IoT облако обеспечивает N сервисов виртуальных , Cradle, 17-Июл-18, 13:51 (82)
    - вы что-то пургу несете Какой именно промышленный балансер работает на основании, Аноним, 17-Июл-18, 15:15 (91)
      - может здесь лучше объяснят https aws amazon com de blogs aws new-application-, Cradle, 17-Июл-18, 15:34 (95)
        
        нет, здесь не лучше - у них sni используется по прямому назначению, чтобы напиха, Аноним, 17-Июл-18, 16:22 (100)
        
        именно по тому же назначению организующая свое облако компания или арендующая , Cradle, 17-Июл-18, 17:02 (104)
DNS-over-HTTPS или DNS-over-TLS - АНБ радо Оно и будет держать под колпаком те, Ivan_83, 17-Июл-18, 13:40 (80) //
- Потихоньку растёт число DoH DoT серверов от энтузиастов из разных стран , dimqua, 17-Июл-18, 15:35 (96) //
  - А ты прямо вот так доверяешь всем незнакомцам на улице ключи от хаты , Ivan_83, 17-Июл-18, 15:41 (98)
- А что, вы таки уже внедрили свою альтернативу DNS, как водится, с блекджеком и ш, xm, 17-Июл-18, 17:16 (105) //
  - Мне не требуется скрывать факт обмена информацией с сайтами А если потребуется я, Ivan_83, 17-Июл-18, 17:58 (106) //
    - Ещё один честный человек которому нечего скрывать , xm, 17-Июл-18, 18:33 (108)
      - Не так Все эти навороты излишни и бессмысленны У меня свой unbound но я не включ, Ivan_83, 17-Июл-18, 18:56 (109)
        
        вспомните об этом пожалуйста когда станете покупать какие-нибудь радио-включаемы, Cradle, 17-Июл-18, 20:42 (120)
        
        я об этом каждый раз вспоминаю, когда выясняется, что еще один поставщик модулей, нах, 18-Июл-18, 11:35 (132)
        Я такой хлам никогда не куплю, разве что на запчасти У меня даже смарт телеку ин, Ivan_83, 18-Июл-18, 13:13 (139)
        
        не зарекайся, не зарекайся телек-то еще может работать без интернета А эти хоме, нах, 18-Июл-18, 17:52 (143)
        
        это всётаки как-то больше у маркетологов и продуктманагеров мозги так заточены, , Cradle, 18-Июл-18, 18:59 (147)
    - правильно, чтобы мы сразу увидели, что к тебе надо заглянуть на огонек Весь смыс, товарищ майор, 18-Июл-18, 12:42 (135)
И как они представляют себе работу виртуальных хостингов в таких условиях , Аноним, 17-Июл-18, 14:10 (84) //
- Элементарно Вывешивается фронтинг, далее балансер как анализировал SNI, так и п, Аноним, 21-Июл-18, 00:34 (174)
Без SNI тоже можно понять что там хостят, отсутствие SNI не панацея ISP будет а, Legushatnic, 17-Июл-18, 14:38 (85) //
- понять можно, пришить к делу нельзя , товарищ майор, 17-Июл-18, 15:16 (92)
- Сколько сайтов висит на одном IP от cloudflare - , dimqua, 17-Июл-18, 15:37 (97) //
  - MITM от FSB не проблема , Аноним, 17-Июл-18, 18:59 (110) //
    - Истеричный государственный бомбеж Телеграма говорит как раз об обратном Если бы , Аноним, 18-Июл-18, 22:42 (150)
- нуну А дальше alt-svc quic www example com 443 , DPDKguy, 17-Июл-18, 19:34 (116)
Вот единственное, что реально во всём этом пугает - всё нарастающая сложность Н, Аноним, 17-Июл-18, 15:53 (99) //
- 1 Невозможно доверять технологии слишком сложной для понимания , Аноним, 17-Июл-18, 22:02 (124) //
  - доверять причём во всех смыслах Даже если делали без закладок, в сложной куда в, Аноним, 17-Июл-18, 22:44 (127)
  - В чём сложность В необходимости прочитать один public key с DNS , Аноним, 19-Июл-18, 09:01 (159)
- о чем вы, я вас умоляю Никому обратная совместимость не нужна в современном мир, нах, 18-Июл-18, 11:40 (133) //
  - Ага, а почему тогда почему нельзя спроектировать протокол с нуля, без реликтов и, Аноним, 18-Июл-18, 13:01 (137) //
    - можно, там выше в теме есть пример Просто мозила не хочет, а вам не дадут спрое, нах, 18-Июл-18, 17:48 (142)
А который из серверных ключей, если имя сервера клиент ещё не указал , Аноним, 17-Июл-18, 16:41 (101) //
- Имеется в виду пара к esni public , Аноним, 17-Июл-18, 19:33 (115)
Но вот для всяких автаркий типа известных блокировщиков телеграма это будет ре, Аноним, 17-Июл-18, 19:35 (117)
Для отбитых идиотов поясняю 1 Кто хотел что-то скрывать - давно скрывает и дела, Аноним, 18-Июл-18, 12:04 (134) //
- бестолку Тут и условно-вменяемые радуются, пляшут и поют - и очень навряд л, нах, 18-Июл-18, 12:47 (136) //
  - И этот оже работает И тоже на прекрасных людей Цветы цветут, какие сомнения-, Andrey Mitrofanov, 18-Июл-18, 13:11 (138) //
    - этот может быть искренне верующим, такое случается В отличие от того, который с, нах, 18-Июл-18, 17:45 (141)
- Пусть блочит по IP Подмена адресов в заблоченных доменах очень быстро отучи, Аноним, 18-Июл-18, 22:55 (151) //
  - Ну и общий эффект от таких блокировок будет уже приличным Не вижу особой беды, Аноним, 18-Июл-18, 22:58 (153)
  - Не отучила Они уже составили белый список из 3-ёх IP, президент ру, 127 0 0 1 , Andrey Mitrofanov, 19-Июл-18, 09:28 (160) //
    - Так это вообще отлично , Аноним, 21-Июл-18, 00:33 (173)
  - Да ничему не научит Есть решение суда, есть запись в реестре РКН согласно это, Аноним, 20-Июл-18, 10:32 (165) //
    - Ну и отлично Нет, так нет, значит будете стрелять себе в ногу до упора , Аноним, 21-Июл-18, 00:30 (171)
    - Половые проблемы конкретной гондурасии - не повод всем остальным зацикливаться н, Аноним, 21-Июл-18, 00:31 (172)
- Ты чё в спячке был последние 4 месяца Почти 20 миллионов айпишников было в блок, Аноним, 18-Июл-18, 23:16 (155) //
  - дружище, ну а тебе-то зачем зарплату платят Тебе надо детально разжевать, что ну, нах, 19-Июл-18, 11:39 (163)
  - Ты мне-то не рассказывай - Я это своими глазами видел - А-ха Откуда вы,, Аноним, 20-Июл-18, 10:43 (166) //
    - Забыл туда ещё добавить domain-mask 2810, которые тоже в перспективе станут ip i, Аноним, 20-Июл-18, 10:44 (167)
    - Охеренно получится Может хоть до кого-то дойдёт, что масштабные блокировки - зл, Аноним, 21-Июл-18, 00:29 (170)
    - Что же получится 60-100-300 тысяч айпишников добавятся в блокировку Ух, как ст, Аноним, 21-Июл-18, 18:20 (178)
  - -D Парадокс в том, что мелкие себе просто DPI позволить не могут - Крупные к, Аноним, 20-Июл-18, 10:46 (168) //
    - Это не так DPI приходится покупать всем И как говорится в видео выше, мелкие п, Аноним, 21-Июл-18, 17:54 (177)

Форумы | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру