The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Инициатива по привлечению пользователей к повышению качества поддержки HTTPS

21.04.2011 14:09

Некоммерческая правозащитная организация Electronic Frontier Foundation (EFF) анонсировала проведение акции по привлечению пользователей к оценке степени корректности и полноты использования HTTPS различными ресурсами в сети. По задумке создателей, благодаря вовлечению в процесс сбора информации пользователей, акция поможет сформировать реальную картину использования HTTPS в сети и указать создателям сайтов о возможных угрозах, с которыми могут столкнуться пользователи, когда поддержка HTTPS реализована не должным образом.

В рамках акции запущен сайт httpsnow.org, на котором началось формирование каталога поддерживающих HTTPS web-ресурсов с указанием таких особенностей, как длина SSL/TLS ключа, наличие смешанных областей на сайте (ссылки из шифрованной области в незашифрованную), поддержка механизма HSTS (форсирование использования HTTPS на сайте), степень охвата страниц доступных через HTTPS, использование официальных или самодельных сертификатов.

Ранее организация EFF уже опубликовала несколько связанных с HTTPS проектов, среди которых дополнение к Firefox HTTPS Everywhere, позволяющее там где это возможно использовать шифрование трафика при посещении сайтов в сети, сводя на нет эффективность сниффинга внутри локальной сети. Другим интересным проектом является SSL Observatory, обобщающий результаты исследования особенностей использования SSL-сертификатов в сети Интернет (Выявлено 16.2-миллиона IP-адресов, принимающих запросы по 443 порту. Из них к 10.8 млн. удалось инициировать SSL-соединение, при этом у 4.3 млн. были зафиксированы утвержденные сертификаты, из которых только у 1.3 млн. все поля сертификата были заполнены полностью корректно).

  1. Главная ссылка к новости (https://www.eff.org/press/arch...)
  2. OpenNews: Взлом аккаунта в удостоверяющем центре Comodo привёл к генерации 9 обманных SSL-сертификатов
  3. OpenNews: Увеличение числа смартфонов с неисправленными проблемами безопасности
  4. OpenNews: Верховный суд США рассмотрит упрощённую процедуру доказательства недействительности патентов
  5. OpenNews: Обновление дополнения для постоянного использования HTTPS в Firefox
  6. OpenNews: Исследование состояния SSL-сертификатов в сети
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/30316-eff
Ключевые слова: eff, https, ssl, security
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (24) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, pavlinux (ok), 15:49, 21/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Надо форсировать США ракетами Тополь-М, дабы отбить желание на ограничение длины ключа.
    Сейчас, разрешаемые 256 бит, в связи с появлением Fermi и CUDA это уже смешно.
    А тем более на своих кластерах, Roadrunner_ах, прямым бутфорсом подбирается за 6 минут.
      
     
     
  • 2.4, Аноним (-), 16:26, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы ничего не путаете? Подбор 256 битного ключа за разумное время? Что-то сомнительно.
     
     
  • 3.8, pavlinux (ok), 17:53, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Вы ничего не путаете? Подбор 256 битного ключа за разумное время? Что-то
    > сомнительно.

    Ну посчитай, 2^256/1.5 Петафлопа
      

     
     
  • 4.23, Onanymous (?), 19:58, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    2.45*10^54 лет
     
     
  • 5.25, Аноним (-), 21:58, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    pavlinux Иногда лучше жевать :))
     
  • 2.5, Аноним (-), 16:38, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Ты что-то путаешь. Длина ключа сертификата - 1024, 2048, ... бит, а для сессионного ключа - разве AES определён для большего чем 256 бит размера ключа?
     
     
  • 3.7, pavlinux (ok), 17:51, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты что-то путаешь. Длина ключа сертификата - 1024, 2048, ... бит,

    Это не ключ, это сам сертификат.
    > а для сессионного ключа - разве AES определён для большего чем 256
    > бит размера ключа?

    Вот именно.
    И вообще, AES закопать надо, это ихний стандарт, принятый АНБ, он такой "сильный"
    что даже они не могут расшифровывать за приемлемое время.

     
  • 2.6, x0r (??), 16:46, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Надо форсировать США ракетами Тополь-М.
     

  • 1.3, Marbleless (?), 15:49, 21/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Непонятно только, почему вся информация вносится вручную? Почему нельзя установить SSL-соединение с целевым веб-сайтом и запросить все данные? Тем более, что на их же сайте есть ссылка на сервис от Qualys SSL Labs, который ровно это и делает.
     
     
  • 2.21, Aleksey (??), 19:45, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Непонятно только, почему вся информация вносится вручную? Почему нельзя установить SSL-соединение
    > с целевым веб-сайтом и запросить все данные? Тем более, что на
    > их же сайте есть ссылка на сервис от Qualys SSL Labs,
    > который ровно это и делает.

    Там от силы 2 поля можно автоматом получить. Все остальное надо уже смотреть.


     
     
  • 3.24, Marbleless (?), 20:08, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >Там от силы 2 поля можно автоматом получить. Все остальное надо уже смотреть.

    Не думаю.

    Вот поля:
    0.Сайт существует - можно проверить автоматом. Важный признак, надо сказать.
    1.Uses HSTS - можно проверить автоматом.
    2.Uses HTTPS - можно проверить автоматом.
    3.No mixed content - да, вот здесь уже нельзя полностью автоматом проверить, поскольку нужно проверять все возможные страницы. С другой стороны, если хотя бы на главной есть Mixed Content, можно сразу сказать, что нет.
    4.All HTTPS - аналогично
    5.All Identifying - тут только вручную
    6.Uses secure cookies - тут окончательный вердикт только вручную, да.
    7.Valid SSL Certificate - проверяется автоматически.

    Да, не все поля можно заполнить автоматом, но облегчить жизнь и занести хотя бы формальные критерии можно.

     
     
  • 4.28, Aleksey (??), 13:59, 22/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Вот вам сайт, проверьте, что один из его разделов использует https. http://www.yandex.ru/
     

  • 1.9, anonymous (??), 18:14, 21/04/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    SSL? это та криво сделаная ерунда, которая тормозит, реализации которой в UI браузеров пугают пользователя непонятными окнами, а шаражки, выдающие корневые сертификаты сплошь коммерческие, никому не подконтрольные и умудряются при этом выдавать сертификаты кому не попадя?

    благодарим за такую нужную и чудесно централизованую вещь, но принять не можем: слишком уж царский подарок, оставьте себе.

     
     
  • 2.10, Marbleless (?), 18:17, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >благодарим за такую нужную и чудесно централизованую вещь, но принять не можем: слишком уж царский подарок, оставьте себе.

    А вместо SSL что использовать предлагается?

     
     
  • 3.11, anonymous (??), 18:31, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > А вместо SSL что использовать предлагается?

    а это смотря для чего. я вот вообще не понимаю, какая ниша у SSL, зачем оно надо? банковские системы? выдавать флешину с ключом и гоу-гоу-ту-впн. проверки подлинности? вообще не его ниша. зачем оно?

     
     
  • 4.12, Marbleless (?), 18:36, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >какая ниша у SSL, зачем оно надо?

    1.Шифрование данных, защита от снифферов.
    2.Подтверждение подлинности источника.

    >выдавать флешину с ключом и гоу-гоу-ту-впн.

    1.И как защитить флэшину с ключом от подделки?
    2.И что, "флэшина с ключом" - это намного лучше, чем стандартное решение, которое не лишено недостатков, но ведь работает?

    >И гоу-гоу-ту-впн

    Зачем здесь вообще VPN?

    >проверки подлинности? вообще не его ниша.

    Да ну?

     
     
  • 5.13, anonymous (??), 18:40, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >>какая ниша у SSL, зачем оно надо?
    > 1.Шифрование данных, защита от снифферов.

    VPN.

    > 2.Подтверждение подлинности источника.

    VPN.

    > 1.И как защитить флэшину с ключом от подделки?

    зачем? ключ вообще можно на сайт положить, просто юзеру обычно лень его скачивать, так что вручать флэшину.

    > 2.И что, "флэшина с ключом" - это намного лучше, чем стандартное решение,
    > которое не лишено недостатков, но ведь работает?

    конечно, лучше.

    >>И гоу-гоу-ту-впн
    > Зачем здесь вообще VPN?

    угадай.

    >>проверки подлинности? вообще не его ниша.
    > Да ну?

    ну да.

     
     
  • 6.14, Marbleless (?), 18:44, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    >зачем? ключ вообще можно на сайт положить, просто юзеру обычно лень его скачивать, так что вручать флэшину.

    Так, и что же мешает организовать атаку "человек посередине" следующим образом: отдавать вместо ключа с сайта свой собственный ключ, и после этого расшифровывать весь трафик от клиента и записывать перед отправкой на настоящий сервер?

     
     
  • 7.15, anonymous (??), 18:49, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Так, и что же мешает организовать атаку "человек посередине" следующим образом: отдавать
    > вместо ключа с сайта свой собственный ключ, и после этого расшифровывать
    > весь трафик от клиента и записывать перед отправкой на настоящий сервер?

    вот в частности для этого и дать флэшину.

    точно такую же хрень можно спокойно делать с SSL. разница в том, что здесь никто не зависит от дураков в корневых конторах. т.е. в цепочке как минимум на одного дурака меньше.

     
     
  • 8.16, Marbleless (?), 18:52, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Они дизассемблируются и подделываются, было бы желание Да ну, правда, что ли К... текст свёрнут, показать
     
     
  • 9.17, anonymous (??), 18:56, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    а ещё вставляются в USB-разьём и читаются точно так же дать левый сертификат и... текст свёрнут, показать
     
     
  • 10.18, Marbleless (?), 19:02, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    Флэшина-флэшина Я думал, ты про Adobe Flash Да, если дать ключ на носителе, а ... текст свёрнут, показать
     
     
  • 11.19, anonymous (??), 19:19, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • +/
    O_O я, конечно, псих, но ведь не настолько, чтобы доверять этим странным существ... текст свёрнут, показать
     
     
  • 12.20, Aleksey (??), 19:44, 21/04/2011 [^] [^^] [^^^] [ответить]  
  • –1 +/
    HTTPS - это тот же PGP, но прозрачный, специально адаптированный для HTTP... текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру