Исходное сообщение
"Стеганографический веб-сервис DarkJPEG" Отправлено Аноним, 20-Июл-13 07:44
> Ох уж эти титеретики. Ох уж эти пальцатые парни. В отличие от тебя я довольно хорошо изучил описание атаки от комодохацкера. Который помнится разнес одну из ауторитей по полной программе и выписал себе сертификаты на все что угодно, вплоть до гугла, скайпа и мозиллы. > Ты всерьез думаешь, что для этого дела будет покупаться сертификат за деньги? Я думаю что 1) Поскольку ауторитей куча, риск того что кого-то из них ломанут достаточно высокий. 2) На ряд ауторитей вполне можно нажать. 3) Минимум некоторые из ауторити пойманы на том что выписывали серты для прослушивающего оборудования в ынтырпрайзах и прочая. Так что в общем случае следует считать что толку с HTTPS ноль целых, хрен десятых. > что браузеры _клиентов_ не выводят предупреждений. Для своего использования никаких > покупных сертификатов не нужно, также как и микроскопа для их проверки. Вот только если кому-то левому выпишут сертификат на мой сервер - без изучения под лупой я нифига не замечу что это не моя ауторитя его подписала, а какой-то левый удостоверяющий центр по желанию своей левой пятки. И чтобы отловить различия - надо именно сертификат с микроскопом изучать. То-есть, теоретически я конечно могу вынести из браузера все сертификаты УЦ, чтобы они не смогли подписывать что попало. Практически при этом https сайтами пользоваться заманаешься потом... >> Тогда дупло в лесу пожалуй даже лучше :) > Дупло в лесу это очень хороший вариант, зря вы смеетесь, Ну так в случае такой паранои - там и вражеский агент на хвосте может наверное быть. > но не всегда удобный. Например, если получатель и отправитель информации находятся в лесах > на разных континентах. А в этом случае вообще есть определенный набор проблем. В том плане что надежно понять что вы имеете дело не с MITM'ом а именно с правильным собеседником - вообще отдельная наука.