URL: https://www.opennet.dev/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 118904
[ Назад ]
Исходное сообщение
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено opennews , 02-Ноя-19 10:43 
Mozilla, Cloudflare и Facebook  совместно анонсировали новое TLS-расширение Delegated Credentials (DC), решающее проблему c сертификатами при организации доступа к сайту через сети доставки контента. Выдаваемые удостоверяющими центрами сертификаты имеют длительный срок действия, что создаёт трудности при необходимости организации доступа к сайту через сторонний сервис, от лица которого должно устанавливаться защищённое соединение, так как передача сертификата сайта внешнему сервису создаёт дополнительные угрозы безопасности...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51797

Содержание
Сообщения в этом обсуждении
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 10:43 
Запомните этот твит: данная технология нигде не будет использоваться. Через полгода я зайду в опеннет в новость про мозиллу и запощу ссылку на этот коммент с вопросом: "Ну? И где ЭТО используется?"
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено AnonPlus , 02-Ноя-19 10:47 
>> Через полгода я зайду в опеннет в новость про мозиллу и запощу ссылку на этот коммент с вопросом: "Ну? И где ЭТО используется?"

Дурное дело не хитрое. Чтобы это использовалось, оно должно сперва быть имплементировано как на клиенте, так и на сервере. А пока это ещё только самый ранний черновик.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 08-Ноя-19 08:01 
так и в стандарте.
Нет стандарта никто не станет реализовывать.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 13:59 
Нытики с пoпeннeта вечно всем недовольны. А что хорошо - они и сами не знают!
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 09:18 
Как же не знают? Знают! Процессоры от амд, видеокарты от амд, отсутствие системд и их "единственный правильный" debian-based дистрибутив. Все остальное, по их мнению, заслуживает презрения и ненависти.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено mumu , 03-Ноя-19 11:12 
Да это местный клоун, всегда всегда несёт полную ахинею, разговаривает сам с собой: http://www.opennet.dev/~%E1%CE%CF%CE%...
Жалко заигнорить нельзя
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 08-Ноя-19 08:06 
>Через полгода

tls 1.3 - 10 лет разрабатывался
quic - около 8
Через пол года даже стандарт принять не успеют

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 01-Июн-21 01:07 
Прошло 1.5 года, поддержка DC появится в завтрашнем выпуске Firefox 89.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 11:05 
> Cloudflare

Кот бы сомневался.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 11:27 
Крупнейшая организация в мире, занимающаяся MitM, представила инструмент для осуществления MitM без доступа к закрытому ключу.
А кто не согласится "делегировать полномочия" (но при этом представляет интерес в плане MitM) — на того по удивительному стечению обстоятельств обрушится DDoS-атака, и ему придется волей-неволей согласиться.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 12:24 
> А кто не согласится "делегировать полномочия" - отключим газ

поправил

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено KonstantinB , 03-Ноя-19 05:02 
Так надо пользоваться этим правильно.

CDN актуален прежде всего для отдачи статических assets, ну вот и отдавать их с другого домена, в <script> добавлять атрибут integrity.

От ddos-а на API же CF не спасет - там при сколь-либо серьезном ddos-е единственное решение это капча, и кто ее на api-запросы будет вводить?

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 15:38 
> CDN актуален прежде всего для отдачи статических assets, ну вот и отдавать их с другого домена, в <script> добавлять атрибут integrity.

Так и делаем. Но это автоматом фингерпринтит наших клиентов перед дядей, от чего хотелось бы уйти.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Q2W , 03-Ноя-19 23:34 
Каким образом фингерпринтит?
Разве браузеры не должны одинаково скачать этот скрипт и посчитать его контрольную сумму?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 21-Ноя-19 15:49 
Примерно так же как через ETag: https://lucb1e.com/rp/cookielesscookies/
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено D , 07-Ноя-19 22:21 
> фингерпринтит наших клиентов перед дядей, от
> чего хотелось бы уйти.

Толсто прозвучало. И кто - вы? CF? Или как раз дядя, которому CF с его изобретениями мешает работать на благо...?

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аномномномнимус , 03-Ноя-19 11:30 
Покорми кота
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Грусть , 02-Ноя-19 11:22 
CDN не нужны.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 11:28 
Нужны. Так как они выполняют терминирование HTTPS-трафика, они значительно упрощают спецслужбам доступ к передаваемым данным. Это положительно сказывается на безопасности государства.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено xm , 02-Ноя-19 11:31 
Безопасность государство (и само государство) ценностью не являются. Ценность это безопасность граждан.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено AS , 02-Ноя-19 13:01 
Безопастность от бандитов или добрх дядей в чёрных очках - она разная бывает..
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено AS , 02-Ноя-19 13:05 
ко мне дяди ещё не приходили ни разу и не факт, что придут - а что бандючья стало поменьше после 90х - уже хорошо.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:01 
Меньше не стало, просто они теперь государство и за высокими заборами и тонированными мерсами их не видно
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:21 
За семью заборами, за семью запорами... Как в былые времена.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Дек-19 18:12 
они с неправильной стороны забора, еще и ключи от запоров хотят. может и безопасно, но не для вас..
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 15:32 
>  Меньше не стало, просто они теперь государство и за высокими заборами и тонированными мерсами их не видно

Вот он, долгожданный капитализм. Теперь у нас всё, как на благословенном Западе. Но вы почему-то этим недовольны. Хотите back to USSR, как те ребята с Болотной?

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Дек-19 18:15 
это на каком западе такое? в мексике?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:06 
Проверь за вот этим забором. ;)

http://dos-news.com/wp-content/uploads/2016/09/medvedev-094.jpg

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Demo , 03-Ноя-19 01:02 
> ко мне дяди ещё не приходили ни разу

Вам повезло.
В нашем подъезде ко всем приходили. Сначала "из милиции" (так представился) и спрашивал "Вы за кого голосовать будете?" А через пару дней снова, уже другой "дядя" пришёл с тем же вопросом, и, на мой заанноенный возглас: "Так ведь позавчера уже спрашивали!", дядя ответил, что он "из прокуратуры", и ему тоже "надо знать". Даже удостоверение предъявил.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 15:30 
Позвольте нескромный вопрос — про какую страну речь?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 11-Ноя-19 20:40 
Ganduras.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:52 
> Ценность это умение граждан распознавать тэг "сарказм".

Можешь не благодарить

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 15:35 
Фанатичность и чувство юмора, увы, несовместимы.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 15:29 
>  Безопасность государство (и само государство) ценностью не являются. Ценность это безопасность граждан.

Революции положительно сказываются на безопасности граждан.
Владимир Ильич и Иосиф Виссарионович не дадут соврать.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 12:06 
про казахский прокси пели совсем другое
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено dimqua , 02-Ноя-19 17:48 
Не зря же у клаудфлары есть ДЦ в РФ. О нашей безопасности заботится.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 21:05 
Об удобстве майора заботится.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Ba20t1 , 03-Ноя-19 07:50 
У Google тоже есть, но это не значит, что они доступ дают опричнине царька.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 15:28 
Смотря какого царька. Перед тем, который директор NSA — булки раздвигают охотно.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 03-Ноя-19 18:45 
они дают тому, кто заплатит.
Мордокнига уже попалась на "британских учоных". С чего вы взяли что гугель - швятой?

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено вейланд , 02-Ноя-19 22:57 
Любого государства, которое контролирует центры выдачи ключей, но не контролирует сервера в другой стране.

Кто бы это мог быть.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено D , 07-Ноя-19 22:22 
> Нужны. Так как они выполняют терминирование ...

CF умеет от себя до клиента второе плечо TLS держать, с проверкой сертификата.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Всем Анонимам Аноним , 02-Ноя-19 12:57 
Лучший пример диванной аналитики
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:01 
Ну так анaл рaзрaбатывать это его основная задача)
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 12:04 
Здравствуй ж*па новый зонд... Что там про казахский прокси бухтели? А вот если то же самое на Западе делают - то во имя добра и мира и всеобщей заботе о юзвере.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 12:38 
и заметьте - хрен заблокируешь и хрен вообще отличишь (не ломая себе веб, разумеется, совсем) от нормального шифрования - позаботились.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 15:44 
Ну, пока они только в начале пути глубокой интеграции с браузерами. С Мозиллой вроде договорились, а вот Гугль одеяло на себя тянет. Оно и понятно — если к твоей бигдате имеют доступ посторонние, вследствие неизбежных утечек она теряет в цене. "Знают двое — знает свинья"
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 08-Ноя-19 08:13 
гугл просто не будет выдавать сторонний ключ
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 12:05 
Гoвно. CDNы отдают статику. Это значит, что достаточно subresource integrity.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Всем Анонимам Аноним , 02-Ноя-19 13:01 
Статику можно отдавать с другого домена, тогда она даже быстрее будет раздаваться (cookie не тянет с собой).
Но Вы ошибаетесь, что CDN может только использоваться для статики. Для этого она используется на мелких и средних сайтах. Кроме статики есть еще услуги оптимизации (когда те, кто делает сайт, не умеют заниматься оптимизацией или не хотят). Типа pagespeed в онлайн режиме.
(Я пишу не по теории с дивана, а именно по факту)
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 14:02 
вот такие у нас оптимизаторы сайтов, да...

"с другого домена" у него будет - быстрее раздаваться.

Если таким оптимизаторам в самом деле удается что-то оптимизировать (а не поломать к чертям, с такими-то руками и представлениями о действительности) - представляю, какое ж г-но там изначально.

Поэтому cloudflare и победила. У них хотя бы грамотные. А сайтовладельцам глубоко пофиг на слежку за своими пользователями. Они еще и приплатят за нее, если чуток поделиться. (впопеннет не даст соврать)

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 16:14 
А что не так? http2 же держит соединения, если всё брать с cdn-домена, то соединения к cdn будут шариться между разными сайтам, не?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 16:31 
> А что не так? http2 же держит соединения, если всё брать с cdn-домена

_одного_и_того_же? Неее, так не пойдеть ;-) У тебя свой /content, у соседа - свой, как их отличать-то? Только вот по домену - в лучшем случае это какая-тохрень.cdn.com, а в худшем site.com, и пусть cdn разбирает (заодно отслеживая). А такого авангарда никакой http2 не потянет.
И дЭффехтивные почему-то не очень любят палиться что половина контента и трекинг пользователей подарены чужим дядям. Вон, наоборот, сколько наизобретали технологий скрытия этого факта - от sni до гуглевого предложения рисовать фэйковые домены в адресной строке.

и даже 0rtt tls он не для всех, а только для правильных пацанов (читай - гугля, гугля и мордокниги)

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 21:51 
>_одного_и_того_же

именно.

>У тебя свой /content, у соседа - свой, как их отличать-то?

очевидно, по путям. content.<cdn>.com/<owner>/<hash>.<extension> , реальное имя файла - в заголовках.

>И дЭффехтивные почему-то не очень любят палиться что половина контента и трекинг пользователей подарены чужим дядям.

А смысл? Всем пофиг же. Вон, МС явно написала, что телеметрия во все поля в винде. Но все же юзают винду (что 10, что 8, что 7, тотальная телеметрия везде). Как юзают Алексу, Алису, Сири, Кортану и прочих голосовых помошниц. Как юзают сайты с рекапчей. Как летают в КНР и США  с досмотром телефонов. В общем, всё очень плохо и маскировать это не имеет смысла - платежеспособное население решило, что всё это ОК. А на иное и ориентироваться нет смысла для бизнеса.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 23:38 
> очевидно, по путям

успехов в переделке всех сайтов всех клиентов на уникальные пути.
Напоминаю, что чтобы работала чудо-оптимизация, домен должен быть всегда один.

>> И дЭффехтивные почему-то не очень любят палиться что половина контента и трекинг пользователей
>> подарены чужим дядям.
> А смысл?

а не знаю.
Вот, очередной фиговый листок для прикрытия голой сраки изобрели, и мурзила уже внедрила, ждем гугля.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:03 
Нужен ли сдн - вот в чем вопрос. Мой сайт никакого сдна не имеет, и работает хорошо и быстро.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 14:28 
на обоих полутора васянов-посетителей? Ну да, ну да.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено suffix , 02-Ноя-19 20:30 
Да правда CDN не нужен обычному сайту (сайты отдающие мегатонны статики - ну никак не обычные).Да к тому же CDN замедляет сайт !
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 23:49 
если обычный - это на полтора васяна - то да, скорее всего - не нужен.
CDN а-ля cloudflare (когда нет отдельных затрат на сессию, поскольку эникастом/локальными dns/хз что там еще - раздается не кусок статики, а весь сайт целиком со своего основного домена) сайт не замедляет, а ускоряет - потому что позволяет добиться короткого rtt, где бы ни находился клиент. Опять же васянам этого не нужно, они оба в своей Твери.

Но вот какие сайты у нас "обычные", я бы поспорил. У меня на полсотни вкладок "обычного" в смысле что никакие cdn'ы ему не вперлись из-за нулевой нагрузки и нулевого числа посещений - один опеннет. Так что это он, пожалуй, необычный.

Ну и не забываем, конечно, что с теми, кто не хочет сдаваться и сдавать своих пользователей по хорошему - вполне может случиться неожиданный DDoS от неизвестных злобных хакеров.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 12:22 
"Выдаваемые удостоверяющими центрами сертификаты имеют длительный срок действия, что создаёт трудности..."
...блокировки неугодных после отключения HTTP.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:02 
Главное повсеместно отказываться от гугла и его электронного рабства.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено клаудфляра , 02-Ноя-19 15:03 
да, да - идите к нам, рабы, у нас рабство гораздо лучше - ошейник кожанный, а не из дерьмового пластика, кнут тоже, не как у этого гугля, экологичнейший!

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено dimqua , 02-Ноя-19 17:56 
Что там от гугла. Куда сложнее избегать cloudflare.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:06 
А что мешает выдать сертификат на домен специально для cdn и в случае проблем (внимание!) отозвать его?
Эту проблему решили при создании системы сертификатов и гораздо проще, понятнее и удобнее.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:10 
Так спроси их сам, а потом и нам расскажешь. В чем проблема?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:55 
То, что в этом случае любой может прийти в уц и сказать "я - cdn, дайте мне серт вон за того чувака".
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено хотел спросить , 02-Ноя-19 16:23 
если ты выдаешь на свой домен для CDN, то кто мешает кому-нибудь из CDN притвориться тобой?

просто нафиг не нужно отдавать из CDN по урлу домена...
ну был условно  cdn.google.com, пусть будет google.cdn.com
на него и куки можно просетить, если уж очень хочется

управление сертификатми на *.cdn.com возможно со стороны CDN
проблемы нет...

короче как отключить это говно? а то как обычно с очредным обновлением
enable_delegated_credentials станет true

я уже задолбался настраивать Firefox на каждом компе
хоть ты автоматизируй это всё...

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 16:34 
> короче как отключить это говно? а то как обычно с очредным обновлением

ну отключишь - останешься без css и скриптов и чудо-сайты, использующие эту чудо-технологию, у тебя просто перестанут открываться. То есть примерно все.

> я уже задолбался настраивать Firefox на каждом компе

Ваша борьба бесцельна и бесполезна. Вы умираете зря. Многие ваши товарищи уже на себе почувствовали наше гуманное обращение!

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено хотел спросить , 02-Ноя-19 23:41 
> ну отключишь - останешься без css и скриптов и чудо-сайты, использующие эту чудо-технологию, у тебя просто перестанут открываться. То есть примерно все.

ну сейчас все отключено и работает же да?!

даже в аспнет по умолчанию есть проверка и fallback на CDN
люди которые пишут с учетом CDN понимают, что есть браузеры где этого говна нету
а когда это не взлетит, то на это и рассчитывать не будут
да и похео мне на такие сайты, я 3rd party куки отрубил и рефер сечу = url
+ ублок и норм.. все работает!

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 23:55 
> ну сейчас все отключено и работает же да?!

ну так это ж не надолго - технологию только-только впендюрили, еще гугль не подхватил, еще клиенты не настроили серверы на отдачу "короткоживущих". Но, заметь - уже в мурзиле! Вечно стонущей что у нее нет ресурсов на эту вашу поддержку alsa или еще чего что пока не ломали- само работало.
А на это - нашлись, стоило уважаемым людям из пейсбука и клаудфляри попросить.

Так что - взлетит. И браузер у нас - один, хромой. Вот если гугль рогом упрется...но с чего бы ему?

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено хотел спросить , 03-Ноя-19 00:24 
хромого не юзаю - хуже браузера я не видел

лисичка хвостиком крутит конечно, но пока ей больше доверия НАМНОГО

ну и Waterfox набирает обороты, посмотрим что получится

--

не взлетит ))

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 01:04 
Это Ватерфокс-то взлетит? Не думаю. Ничего интересного в нем нет. Абсолютно.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 01:06 
В MotionMark набирает меньшее количество баллов. Луна и Василиск и те намного больше. Более 2-раз.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 03-Ноя-19 18:48 
тебе баллов в motionmark, или чтоб веб работал? Веб будет работать так, как этого захотят гугль, пейсбук, клаудфляра и иже с ними. Они (кроме гугля) уже явно определились. Теперь ждут, что скажет главный. Не думаю что он скажет что-то против, у него тоже есть cdn.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 19:49 
А вэб на них на всех работает одинаково. Т.е. хреновато. Даже на Ватерфоксе. Открывает не все сайты.
Особенно онлайн видео чаты. Так что Ватерфокс среди этих трёх никак не лучший, как могло показаться на первый взгляд.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 10-Ноя-19 23:07 
А при чем тут Ватерфокс. Работать нормально будут только блинкохромонутые.
Ватерфокс классик и сейчас не может все страницы открывать.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено педофил , 02-Ноя-19 20:58 
Наверное лучше, чтобы сайт мог выдавать субсертификаты, подписанные его ключём "Я доверяю этому каналу." И уже дело сайта дальше.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено педофил , 02-Ноя-19 21:46 
Что-то нужно делать с палевными особенностями в тексте. Мало то создаст предложение, которое оканчивается на "дальше", но это ещё не все странные особенности. Спалят и привет.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:26 
А что мешает отозвать сертификат?
Хоть каждую неделю отзывай и генерируй новый сертификат.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 14:48 
у них же цель прозрачно прослушивать канал, а не забота о каких-то ключах.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 15:21 
Я вообще делаю свой браузер, со своим шифрованием и без гуглозондов.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 15:46 
И движок собственной разработки?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 18:20 
Ну а чьей же еще. Я же сказал - без зондов.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 20:16 
Зонды зондами. Ядро какое? Блинк, Гекко, Вэбкит...?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 09:04 
Links и bash
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 20:12 
Какой движок? Какая основа? Когда будет готов? Что в нем будет еще кроме отутствия зондов?
Или обычный репликан?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 20:39 
Кидай ссылку на репозиторий
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 21:34 
Конечно, давай спамить всех CRL.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 23:57 
какие вам еще crl в 2k19? Поддержку их выпилили из всех браузеров еще десять лет назад.

Они, панимаешь, не позволяли попутно подглядывать, на какой именно сайт ты ходишь. В отличие от прекраснейшего моднявого ocsp.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 02:46 
https://scotthelme.co.uk/revocation-is-broken/
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 15:01 
Хы... Идея CDN в принципе не совместима с идеей https, и любые попытки эту несовместимость преодолеть либо заранее обречены на провал, либо (явно или неявно) исключают из ситуации настоящий https.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 15:08 
вполне совместима - если cdn прекратят прикидываться оригинальным сайтом, и станут представляться как... cdn, внезапно.

Никакой беды нет ни от akamai.some.domain.com, ни от some.domain.com.akamai.com - ты видишь с кем имеешь дело (и видишь что они тебя видят).
Более того, владелец оригинального domain.com может даже принять меры для защиты своих пользователей от недобросовестности владельца такого cdn. Но ему лень, и пользователей совершенно не жалко.

Тем более что о себе он уже все давным-давно раструбил мордокниге, гуглю, амазону и всем желающим.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 10:19 
Это даст разрабам броузеров давать разные доступы скриптам, загруженным с gate314159.cloudflare.somesite.com и с www.somesite.com, потому что телеметрия от разрабов и их спонсоров - это для развития и повышения качества, а зонды от CDN - это нарушение приватности.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 18:05 
CDN, контролируя IP на который показывает домен, может на этот домен получить 100500 Let's Encrypt сертификатов со сроком действия 3 месяца (или 6 месяцев на buypass.no).
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 02-Ноя-19 18:44 
> CDN, контролируя IP на который показывает домен, может на этот домен получить 100500 Let's
> Encrypt сертификатов

но это будет некоторым палевом - кто-нибудь сильно ушлый может ведь и сравнить сертификаты, и в transparency log ухитриться заглянуть.

Поэтому придумали хитрый ход, когда нет ни логов, ни поводов для беспокойства - да, сертификат каждый раз новый, все для вашей большей безопастносте.

P.S. а за buypass.no спасибо, кстати. Интересно только, скоро ли их заблокируют за какие-нибудь несовместимые со статусом благородного CA действия, как это уже произошло со многими другими, вздумавшими конкурировать с letshitcrypt.

Правда, сертификат у них - долбанутый. _пустой_ CN - это надо было настолько вверх ногами прочитать стандарт...

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Коньвпальто , 02-Ноя-19 21:54 
Не проверял, но: https://community.buypass.com/t/x1j8vt/create-a-certificate-...
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 03-Ноя-19 00:03 
круто - то есть это certbot (как я понимаю - стандартный) такой csr кривой генерит, а они типа просто не оверрайдят, бо так и надо (в чем смысл сией беспрактисы - хотел бы я знать).

забавно. dehydrated генерит csr с CN, и отдельно v3 altname, как и должно быть с точки зрения разума, специально сейчас глянул.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Коньвпальто , 03-Ноя-19 11:13 
Ну кто что оверрайдит или нет - вопрос исследования, т.к. на моей копне сертификатиков ещё месяц точно можно протянуть (а в пределах общей их продолжительность жизни в три это ещё куча времени), то мне лень :) а вот как время подойдёт вопрос будет серьезным образом изучен :) т.к. достало таки раз в три месяца суетиться, оно вроде почти все на проксики вынес, но три-четыре сервиса туда ну никак не должны попасть плюс лень природная обвязать все скриптом... Ну и вообще летскик летсэнкрипт под гузку, хотябы временно..
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено пох. , 03-Ноя-19 18:59 
> Ну кто что оверрайдит или нет - вопрос исследования

ну типа по ссылке так написано.
Не знаю, чем генерит opennet, но CN = opennet.ru там есть.

> вопрос будет серьезным образом изучен :) т.к. достало таки раз в три месяца суетиться

аналогично. Держу эту пакость исключительно ради гугляндекса, на тех полутора серверах, которым оно актуально. Остальные давно на self-signed, пока гугль не окончательно запретил http (то есть я-то своим сертификатам доверяю, куда больше чем чужим, но пользователям просто подсовываю линки на нешифрованный сайт - пусть страдают, судьба у них такая)

Еще и всякие мониторилки 1са начинают верещать что "сертификат щас-щас-щас прям протухнет" - угу, они бы прямо с даты его получения начинали, поскольку он сразу "щас протухнет".

> Ну и вообще летскик летсэнкрипт под гузку, хотябы временно..

в общем, да.
Жаль что норвеги не хотят бесплатных wildcard - мою жизнь немного бы упростило.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 18:38 
Как это отразится на пользователях?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено клаудфляра , 02-Ноя-19 18:44 
мы гарантируем что вы получите удовольствие!

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 21:45 
Кто это мы?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 03:44 
Mozilla, Cloudflare и Facebook
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено laticq , 02-Ноя-19 18:54 
Скоро для передачи сообщения "Привет, мир!" потребуется сотня-другая мегабайт сертификатов и две сотни "защищённых" протоколов
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 20:11 
...при это фейсбук продаст твоё сообщение в третьи страны вместе с контактными данными.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено misha_lp , 02-Ноя-19 22:03 
> ...при это фейсбук продаст твоё сообщение в третьи страны вместе с контактными
> данными.

Согласен, нет доверия к подобным новостям, все равно вопрос попадания третьим лицам - дело времени.

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 02-Ноя-19 21:35 
ЯННП. Это типа MitM встроили или нафига CDN'у какие-то особые преференции?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 01:44 
Митм существует и работает уже давно. Теперь они заботятся о том, как бы сделать так, чтобы митм совсем никак не палился. Т.е. сейчас допустим у кф митм с левым сертом только для россиян (для примера), а они хотят сделать так, чтобы ни у кого не было возможности выяснить, пихают ему левый серт или нет. Во всяком, случае я понимаю это так.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Аноним , 03-Ноя-19 20:33 
Это не преференции, а наоборот: вместо полноценного сертификата им будут давать ущербный. А оналитеги, как обычно, ничего не поняли.
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено КО , 06-Ноя-19 11:24 
В реальности это возможность имея свой сертификат на сайт сделать еще один, который ссылается на твой.

В стандартной модели нужно было бы получать свой сертификат с правом быть рутовым и дальше генерить что хошь. Теперь просто любой сайтовый можно превратить в рутовый. Возможно пез права замены имени. Если оставят замену будет весело. :)

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено 0309 , 03-Ноя-19 08:45 
Митм существует и работает уже давно.----Очень может быть.
На сайте роскомсвобода мой лис показывает зелёный DNSSEC а сервер роскомсвободы расширение DISCONNECT 5 19 показывает на клоудфларе, я не вижу подозрительного.  Приведите пример где Вы видели митм?
"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено Licha Morada , 04-Ноя-19 21:58 
> В Cloudflare для защиты ключей сертификатов могут (https://www.cloudflare.com/ssl/keyless-ssl/)
> применяться специальные серверы ключей, работающие на стороне владельца сайта...

Собствено, эту задачу они, судя по всему, и пытаются решить способом, приемлемым для масс. Сейчас, чтобы использовать свой правильный сертификат, клиенту требуется отдавать секретный ключ CDN'у, или поддерживать у себя нетривиальную инфраструктуру.
https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-tec.../

"Mozilla, Cloudflare и Facebook представили TLS-расширение дл..."
Отправлено КО , 06-Ноя-19 11:28 
Да тривиальную - им нежен сертификат с правом подписи других сертификатов.
Собственно раздавать такие кому не попадя - прощай всякое подобие идеи, ведь можно подписывать все что угодно.
Если же сделать сертификат, который может подписывать сертификаты только  с тем же именем сайта, то проблема решается на ура. И google.com серт не выпустишь и можешь cdn-у отдавать хоть почасовые.