| |
| 2.6, a (??), 16:36, 05/11/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Доброго времени!
Kernel.org
7358708B1BB672D6B0C02B0A1F2CB81105700A99
$ dig +short 7358708B1BB672D6B0C02B0A1F2CB81105700A99.notary.icsi.berkeley.edu
возвращает 127.0.0.2, «валидный»
| | |
|
| |
| |
| 3.7, Аноним (-), 16:45, 05/11/2012 [^] [^^] [^^^] [ответить]
| +3 +/– |
Сгенерировать левый сертификат, взломать берклийцев, заставить их днс рапортовать о валидности хэша левого сертификата?
| | |
|
|
| 1.4, sirGrey (?), 15:59, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
 Единая точка отказа!
Нужно что то вроде Spoof Proof DHT.
Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.
Есть у EFF толковые математики?
| | |
| |
| 2.9, Anonymous1 (?), 16:51, 05/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
Любой единый (нераспределенный) центр проверки валидности является единой точкой отказа. Вопрос: какое время Вы можете обходиться без проверки валидности сертификатов, если Вы кешируете результаты (предыдущих) проверок?
| | |
| 2.12, Акакий Зильбиршейн_ (?), 17:26, 05/11/2012 [^] [^^] [^^^] [ответить]
| –3 +/– |
> Единая точка отказа!
> Нужно что то вроде Spoof Proof DHT.
> Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.
> Есть у EFF толковые математики?
а у тебя есть мозги? ты че думаешь никому в голову идея о одно т.о. в голову не пришла? и как будешь колбасить распределённом вариант? распределённым досом же? а пиписька не сломается?
| | |
| 2.26, Аноним (-), 23:15, 05/11/2012 [^] [^^] [^^^] [ответить]
| +4 +/– | |
> Интересная проблема - даже в распределённом варианте или бесполезна, или подвержена DOS.
Что-то в торрентах и осле копирасы так и не осилили завалить DHT. Хотя пытались хорошо, но пересилить несолько миллионов юзвергов у них ни разу не вышло. Эффекта было около нуля. Хотя фэйковых нодов плодили оптом.
| | |
|
| |
| |
| 3.23, Аноним (-), 22:53, 05/11/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Вот была охота отчитываться каким-то будакам из беркелея о всех посещенных SSL сайтах.
| | |
|
| 2.20, Аноним (-), 21:42, 05/11/2012 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> defective by design
отчего же, можно отправить на орбиту "Оплот чести -1", с начинкой от группы "Честь как аномалия", залить зоны и хэши, выкинуть модули удаленного управления в потоки солнечной радиации, обеспечить каждому неверующему возможность слетать и проверить на месте сопровождаемому телевизионной группой канала "Правда" в составе андроидов с открытой прошивкой, на земле принимать схемами, набранными только советскими микросхемами. только не говорите, что это нереально, не расстраивайте..
| | |
| 2.22, XoRe (ok), 22:01, 05/11/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >> централизованная база
> дальше не читал: defective by design.
А вы попробуйте сломать этот design.
| | |
| |
| 3.24, Аноним (-), 22:55, 05/11/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> А вы попробуйте сломать этот design.
Его и ломать не надо: для начала меня совершенно не устраивает что какие-то левые перцы в курсе когда и куда я ходил. Чего ради какой-то левый беркелей будет вообще знать о том когда я заходил в онлайн банкинг??? Уху ели?!
| | |
| |
| 4.34, XoRe (ok), 11:22, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
>> А вы попробуйте сломать этот design.
> Его и ломать не надо: для начала меня совершенно не устраивает что
> какие-то левые перцы в курсе когда и куда я ходил.
А где написано, что ваши данные сливаются?
| | |
| |
| 5.35, Аноним (-), 11:46, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> А где написано, что ваши данные сливаются?
Простите, чтобы посмотреть базу мне надо сделать запрос в этот днсник. По оному запросу какие-то совершенно посторонние граждане как минимум видят факт посещения SSLного сайта в энный период времени. По факту я это классифицирую как built-in спайваре.
| | |
| |
| 6.39, Антоним (?), 13:14, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
Спокуха — тот кто может подсунуть тебе фейковый сертификат так же сможет положить в кеш локального сервера DNS и фейковую запись об его валидности, так что никто ничего не узнает — запрос далеко не уйдёт. ;-)
| | |
| |
| 7.44, Аноним (-), 17:51, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> валидности, так что никто ничего не узнает — запрос далеко не уйдёт. ;-)
Картонный щит + спайваре в комплекте...
| | |
|
|
|
| 4.42, nagual (ok), 14:17, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
 >> А вы попробуйте сломать этот design.
> Его и ломать не надо: для начала меня совершенно не устраивает что
> какие-то левые перцы в курсе когда и куда я ходил. Чего
> ради какой-то левый беркелей будет вообще знать о том когда я
> заходил в онлайн банкинг??? Уху ели?!
А ведь и правда ...
Скорее всего ребята хотят срубить бабла ...
| | |
| 4.46, qux (ok), 20:13, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
 А, например, OCSP, который Online Certificate Status Protocol и в фоксе по дефолту включен, вас не смущает?
| | |
|
| 3.27, arisu (ok), 02:43, 06/11/2012 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >>> централизованная база
>> дальше не читал: defective by design.
> А вы попробуйте сломать этот design.
ты не понимаешь, почему централизованые вещи в данном случае таки сломаны уже сразу? зачем доламывать то, что изначально косое? O_O
| | |
| |
| 4.31, thelamon (ok), 09:48, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
 >>>> централизованная база
>>> дальше не читал: defective by design.
>> А вы попробуйте сломать этот design.
> ты не понимаешь, почему централизованые вещи в данном случае таки сломаны уже
> сразу? зачем доламывать то, что изначально косое? O_O
DNS defective by design и сломан уже сразу?О_О
| | |
| |
| 5.36, Аноним (-), 11:49, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> DNS defective by design и сломан уже сразу?О_О
Насквозь грабельный протокол с кучей проблем. Мало того что его просто хакали кучу раз, так еще и США уже отличились несколько раз, вывесив "Seized" на нескольких доменах без суда и следствия, просто отхапав домены по принципу "у кого в стране ICANN, тот и прав". Да и рунетчики помнится рутрекер разделегировали по желанию левой пятки.
В общем такая надежная и неубиваемая система, совсем не defective.
| | |
|
|
|
| 2.40, Аноним (-), 13:17, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.
| | |
| |
| 3.43, arisu (ok), 17:21, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
> Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо
> блоху подковать.
да, судя по новости — конкретно эту вещь делали конкретные дураки. а со своими комплексами «там они все умные, а я дурак» попробуй к врачу сходить, что ли. хотя, может, ты просто правду о себе думаешь…
| | |
| 3.45, Аноним (-), 17:59, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– | |
> Да конечно, в Беркли дураки сидят. Только русский левша знает, как надо блоху подковать.
В беркли могут затупить не меньше чем где либо еще.
| | |
|
|
| 1.15, robux (ok), 18:35, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Согласен с ораторами:
если бы заголовок был "Представлена децентрализованная база сертификатов",
то это была бы новость Опёнка.
А так еще один пафосный зонд от ЦРУ:
в Час Хэ этот "центр" будет отвечать фейлом нужным странам/зонам и парализует их деятельность.
| | |
| |
| 2.16, YetAnotherOnanym (?), 19:46, 05/11/2012 [^] [^^] [^^^] [ответить]
| +1 +/– |
Если у властей есть голова на плечах, они могут запилить свой такой же центр, с нардами и гуриямми, который будет синхронизироваится с Берклеевским, в той части, которую оперирующая им организация сочтёт нужным. И просто тупо обязать производителей софта, продаваемого в стране, прописывать дефолтом местный центр (то же для прошивок).
Впрочем, последние события в Персии показали, что мозгов на это у властей не всегда хватает.
| | |
| |
| 3.25, Аноним (-), 22:56, 05/11/2012 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Ну ладно, от ЦРУ не защитит - зато от КомодоХакеров - вполне.
Если заменить одних му...ков на других му...ков, это не защита а имитация бурной деятельности.
| | |
|
| 2.30, thelamon (ok), 09:48, 06/11/2012 [^] [^^] [^^^] [ответить]
| –1 +/– | |
Желтоватый коммент. По-моему, сама суть этого сервиса, чтобы сообщать о том, валидный ли с _его_ точки зрения сертификат или нет. + время когда он был инвалидирован. А вот решать, что делать дальше - дело пользователя. Мне кажется, пока что будет уместно показывать сообщение, аналогичное тому, какое показывают браузеры, если DNS в сертификате и в непосредственно в запросе отличаются. В таком варианте - сервис мне нравится и не вижу проблем с ним. Если он не работает - от него не будет никакой инфы == будет как сейчас.
А вот когда к этому сервису будет около 100% доверие и надёжность 99.99% (а лучше 99.9999%) - тогда для браузеров будет иметь смысл автоматически блокировать доступ.
Кстати про Single point of failure это слегка спорно. Это же DNS по сути - значит оно не слишком-то Single - можно кучу серверов поставить, ну да и так всем понятно. Инфа там автоматом реплицируется, не вижу проблемы :)
PS. И да, сторонникам теории всемирного заговора конечно будет чудиться след агентов ЦРУ везде где только можно.
| | |
| |
| 3.33, filosofem (ok), 10:37, 06/11/2012 [^] [^^] [^^^] [ответить]
| +/– |
 >Это же DNS по сути - значит оно не слишком-то Single - можно кучу серверов поставить, ну да и так всем понятно.
Верно, только наоборот. Хаксору не нужна даже централизованная база. Можно любой из серверов поломать/отравить. А для MITM спуфить DNS ответы вообще как два пальца.
| | |
|
|
| 1.21, Аноним (21), 21:58, 05/11/2012 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 уже сейчас использую Perspectives для фаерфокс, дополнительный аналогичный сервис это плюс.
| | |
| 1.41, Аноним (-), 13:41, 06/11/2012 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Планету спасти не осилит, но одиозное раздолбайство удостоверяющих центров будет обнаруживать более оперативно. Осталось понять какая от этого получается польза, после краха голландцев с любым удостоверяющим центром, кроме личного, все равно работаешь на авось, на свой страх и риск.
Имхо но системы основанные на доверии при своем расширении неустойчивы и малопригодны принципе, они могут существовать только в малых группах при наличии возможностей перепроверки. Возможно ICSI может выступить в роли такой перепроверки. Но это сильно ограниченно ибо там, в самом низу, есть раздел называется Disclaimer и в нем, что называется, все существо дела и отражено :) .
| | |
|
