| |
| 2.4, нах (?), 15:28, 09/04/2019 [^] [^^] [^^^] [ответить]
| +8 +/– | |
и что характерно - всем и на самом деле пофиг - потому что tls на этих сайтах появился только из-за шантажа гугля и большинству из них (как и остальным 90 тысячам) - нафиг не вперся.
| | |
| |
| 3.13, Аноним (13), 10:31, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
Кроме маленького нюанса: так называемые операторы взялись за старое и инжектят свой код в страницы, что оч. не красиво. Но https - это так, косвенное решение проблемы.
| | |
| |
| 4.14, нах (?), 10:36, 10/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
> Кроме маленького нюанса: так называемые операторы взялись за старое и инжектят свой код в
> страницы
стесняюсь спросить - где они еще такие страницы находят, и где вы находите таких операторов? У меня главная проблема с совсем поносными операторами - найти как раз какой-нибудь непалевный сайт, чтобы его открыть для срабатывания captive portal - а не получить в рыло "тут какеры, мы тебе сайт не покажем для твоей безопастносте!"
| | |
| |
| |
| 6.18, нах (?), 10:52, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Открой опеннет
беспалевный же ж просил!
где не сохраняются куки или они хотя бы со мной не связаны
| | |
| |
| |
| 8.30, нах (?), 16:21, 11/04/2019 [^] [^^] [^^^] [ответить] | +/– | newerssl правильней спасибо за наводку - и запомнить, и набирать, и гарантиров... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.7, zzz (??), 18:02, 09/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– |
Вы правы, массе компаний вся эта tls-истерия до одного места, равно как и пользователям. TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков. Всем остальным TLS нафиг не упал. Единственная причина, по которой его сейчас массово навязывают владельцам сайтов - желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.
| | |
| |
| 3.8, пох (?), 20:48, 09/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
как это им может быть до одного места, когда вылазит БОЛЬШОЕ окно полное неведомой фигни "тут небезопастно!" ?!
> желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.
как будто оно нам было надо. Не говоря уже о том, что хранилки на гуглобайт размером - несколько несвойственный оператору технологический сегмент, он их строить вряд ли умеет, деньги на это все с неба тоже не сыплются, а платят оператору - за траффик.
А гуглю платят именно за воровство вашей информации, почувствуйте разницу.
| | |
| 3.10, Аноним (10), 01:01, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков.
А теперь покажи нам, на какой позиции в топе находится первый сайт, не являющийся соцсетью, финансовым сайтом или почтовиком и при этом не включающий в свои страницы всякую хрень с соцсетей, финансовых сайтов и почтовиков.
| | |
| |
| 4.19, нах (?), 10:54, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
>> TLS объясним, например, для соцсетей, финансовых сайтов, почтовиков.
> А теперь покажи нам, на какой позиции в топе находится первый сайт,
> не являющийся соцсетью, финансовым сайтом или почтовиком и при этом не
> включающий в свои страницы всякую хрень с соцсетей, финансовых сайтов и
> почтовиков.
ну так ты ж не хочешь warning про mixed content? Поэтому этот сайт тоже использует tls - ненужно, но "объяснимо".
| | |
|
| 3.11, Аноним (11), 08:14, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Не соглашусь. HTTPS нужно хотя бы потому, что без него кто угодно, контроллирующий канал, включая всяких шпионов, но не исключая остальных, кто на это способен, может внедрить любую малварь. При наличии на сайте JS считайте, что APT имеют root-доступ к вашему компьютеру, если вы посещаете сайты, где есть JS и нужны им. А вы им нужны - по данным одной лабы APT используют ботнеты в своих атаках. Включая IoT ботнеты.
То есть отказ от HTTPS - это упорное нежелание защитить своих пользователей от киберпреступников из APT. Этому нет оправдания.
| | |
| |
| 4.15, нах (?), 10:40, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
любую малварь можно просто внедрить непосредственно на сайт, который ты открываешь. Сертификат заодно прихватив на память. Даже ломать ничего не надо, кроме пары пальцев его админу.
Более того, именно этот сценарий абсолютно вероятен и регулярно случается, а изложенные тобой - практически невероятны, и никто кроме неведомой "одной лабы" в жизни их не видит.
Ну и отдельно смешно про рут доступ, ага. Шапочку из фольги поправь, она у тебя съехала на затылок, и от твого имени с нами сейчас говорит рептилоид.
| | |
| |
| 5.25, Аноним (11), 23:54, 10/04/2019 [^] [^^] [^^^] [ответить]
| –1 +/– | |
>Даже ломать ничего не надо, кроме пары пальцев его админу.
Засылать в чужое государство шпионов и ломать пальцы админам дороже, чем вмешаться в траффик. Если дошло до ломки пальцев админам в чужом государстве, значит вся группа провалила операцию, потому что они по-крупному наследили, ими уже плотно занимается контрразведка, и возможно что они даже ноги унести не успеют. А когда контрразведка дело раскрутит, будет дипломатический скандал.
>Более того, именно этот сценарий абсолютно вероятен и регулярно случается
Сразу видно эксперта. Это не вас, случаем, Шотландское Подворье разыскивает?
| | |
| |
| 6.29, нах (?), 16:20, 11/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> Засылать в чужое государство шпионов и ломать пальцы админам дороже, чем вмешаться
шпионы, чужое государство...
я ошибался, у вас шапочка из фольги не то что сползла, вам вместо фольги крашенную металликом бумагу подсунули. Бегите. Она волны не отражает а усиливает!
| | |
|
|
|
| 3.23, Ordu (ok), 16:42, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
 > Единственная причина, по которой его сейчас массово навязывают владельцам сайтов - желание гугла единолично сидеть на бигдате, отрезав от оной магистральных операторов.
Ну-да, ну-да. Давайте нагадим гуглу, и дадим доступ к бигдате магистральным провайдерам. Вот уж гуглу обидно будет. А ещё, давайте вообще все поотключаем все uMatrix'ы, и блокировки всяких трекеров, чтобы любой маленький игрок на рынке имел бы шансы хоть чего-нибудь собрать. А ещё лучше, давайте поставим себе руткиты и откроем свои системы наружу, испортим гуглу малину, сделаем его бигдату бесплатной и доступной любому. Ай-да пацаны, с завтрашнего дня открываем свои системы любому мимопроходилу, и пускай гугл разоряется.
| | |
|
|
| 1.2, Аноним (2), 14:39, 09/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
>Около 5.5% сайтов используют уязвимые реализации TLS
Манагеры: "бабло же капает, что еще надо?"
Труюниходмины: "диды говорили - работает, не трогай!"
Хомяки: "ачоита?"
Результат: всем пофиг.
| | |
| 1.3, Аноним (3), 14:57, 09/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +4 +/– |
исполнение скриптов не со своих серверов -- само по себе уязвимость.
| | |
| |
| 2.6, Аноним (2), 16:37, 09/04/2019 [^] [^^] [^^^] [ответить]
| +6 +/– |
Ну чо ты такой наполовину беременный?
Включил комп - уже потенциально уязвимость. Начиная с инициализации проца. Даже "продвинутый" какцкер, не говоря уж за хомяков, не контролирует "свою" технику примерно никак. Ты еще браузер не успел открыть, а тебя уж десяток раз отымели. Но ты да, прикрывая порватую ж0пу можешь гордо воротить рожу с криком "за щеку не дам! достоинство не позволяить!"
| | |
| |
| 3.9, пох (?), 20:50, 09/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Даже "продвинутый" какцкер, не говоря уж за хомяков, не контролирует "свою" технику примерно
> никак.
не, ну вон тут в параллельной новости очень продвинутый объясняет, где какие кварцы перепаять (потому что даже частоты необходимые для запуска - и то могут, оказывается, задаваться программно)
дальше, понятно, главное это не подключать к сети - даже электрической (а то еще сгорит, после этих упражнений ;-)
| | |
|
|
| 1.12, А (??), 08:38, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– | |
А как свой сайт на такое проверить?
Поболтать о том, какие все уроды - это для опеннета святое, но давайте быть конструктивными: свои сайты не хочется считать криворуко настроенными, хорошо бы делать проверку регулярно - так вот как такой комплексный анализ сделать?
| | |
| |
| 2.17, нах (?), 10:50, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
дык,
grep -qi ssl /etc/nginx/* /etc/nginx/*/* || \
echo good site, no ssl-related security problems detected
нет ножек - нет варенья. И можешь не считать свой сцайт криворуконастроенным.
А мнение неведомых дятлов - ну так оно у каждого дятла разное. Одни дятлы считают опастным теоретическую возможность что ты сам себе (или своим пользователям) напихаешь уязвимых шифров или разрешишь понижать версию протокола, а они, конечно же, тоже уже попатчили свои браузеры, чтобы эта фича у них сработала (а то даже с ie6 ждет облом). Другие просто считают что tls <1.4 ужастно опастно, а <1.3 просто недопустимо. Тебе дятлов-то с какой стаи хочется к себе пригласить?
А недятлы смотрят в тот же список свежих уязвимостей того же апача, и спокойно пробегают по списку - ненужно-http2 - ок, в моем даже кода такого нет. Ненужно-"protocol upgrade" не поддерживается, ок. Ненужно-tls 1.3 - ок, у меня немодная openssl, не грозит. Заплатки от всяких heartbleed стоят? Сертификат получен от кого-то еще не зобаненного гуглем и его шакалами и мониторинг экспайра есть? Значит, нормально настроен сайт, и плевать, что про него думают дятлы, у них мозг, если ты не в курсе, с горошинку.
| | |
| |
| 3.26, А (??), 05:00, 11/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
Так в ИТ вообще все так: если не бежишь все время - значит, уже отстал. Это хоть про версии http (апач умеет http/2, а openssl tls 1.3, но нужно обновлять же, т.е. не стоять на месте), хоть про версии php (видел людей, которые до сих пор на 5.3 сайты гоняют, мол, куда мне больше; плевать им, что не поддерживается он уже годы), хоть к версии ОС (причем, на Windows 2000 сегодня можно неплохо работать, если поддержка свежего железа не волнует, в тч работа стоит USB).
Но если делать ты не динозавр, приходится бежать. Ставить новое. Обновлять старое. И без проверок не обойтись.
| | |
| |
| 4.28, нах (?), 16:15, 11/04/2019 [^] [^^] [^^^] [ответить]
| +/– |
> Так в ИТ вообще все так: если не бежишь все время -
> значит, уже отстал.
или наоборот - улетел с обрыва вместе с остальными 3000000000 lemmings - they can't go wrong!
> Это хоть про версии http (апач умеет http/2,
умеет. А я умею выключить. И еще пачку сомнительных фич следом. Или вообще не использовать ТОТ апач.
> а openssl tls 1.3, но нужно обновлять же, т.е. не стоять
а можно не обновлять. Но это сложнее, да, авторы дистрибутивов тоже любят иногда свеженькое, а иногда их к этому вынуждают "новые стандарты" и отказ разрабочтиков исправлять ошибки в версии, выпущенной час назад - вот же две прекрасные поддерживаемые, выпущенные две и пять минут тому!
> на месте), хоть про версии php (видел людей, которые до сих
> пор на 5.3 сайты гоняют, мол, куда мне больше; плевать им,
ну у меня к примеру был сайт на 5.5 - не вижу проблемы, поскольку это мой сайт, и уязвимостей _изнутри_ я не боюсь вот совсем.
зато теперь у меня есть сайт на прекрасном 7.3.3 - так вот, поздравляю шариков-балбесов с насмерть поломанным aggregator в xdebug. Зато свежайшим обмазались - а как они отлаживаться теперь будут - не моя проблема, чинить за них я не собираюсь.
> на Windows 2000 сегодня можно неплохо работать, если поддержка свежего железа
на 2000 - довольно противно, элементарных привычных вещей не хватает - типа cmd из file explorer не открыть в текущем каталоге без левого софта, еще и не факт что вообще совместимого - я его только для XP помню.
И уязвимая smbfs, да, правда, кто ж ее на улицу выпустит.
Ну и других remote уязвимостей есть - то есть это ретро уже реально вызывает проблемы.
А какие проблемы у тебя возникнут от неподдержки моднявого http/2 и tls1.3 (да хоть и с 1.2 на пару) - я с интересом послушаю. Если ты не фейсбук - их проблемы мне малоинтересны.
| | |
|
|
| 2.24, Ordu (ok), 21:17, 10/04/2019 [^] [^^] [^^^] [ответить]
| +/– | |
> А как свой сайт на такое проверить?
Я не занимался этими вещами, поэтому не могу дать конкретного ответа, но лет десять-пятнадцать назад этих вещей было много в моём информационном бабле, и память оттуда подсказывает мне ключевые слова для гугла, с которых я бы начал на твоём месте. Это, во-первых, "penetration testing" или "pentest" сокращённо. Во-вторых, это "metasploit framework", который можно рассматривать как пример инструмента для пентеста.
Тебе надо найти актуальный инструмент, который постоянно обновляется, куда вносят всё новые и новые тесты, с учётом всех распоследних уязвимостей, и чья область интересов покрывает те технологии, которые тебе надо тестировать.
| | |
|
| 1.22, Аноним (22), 15:19, 10/04/2019 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Это должно быть просто. А по факту - законаешся: в тестах, на дев, станции, в проде - всё сделать "красиво".... А потом ещё браузер отвергнет. И после этого на остальное уже желания и мотивации нет.
| | |
|
