HTTPS — @дневники: асоциальная сеть

diary-development #ДайриРазвивайся

воскресенье, 05 ноября 2017

diary-development

под лежачий камень вода не течёт

21:18 HTTPS

Перевести сервис на защищенное соединение.

Комментарий модератора: secure.diary.ru

Вопрос: Насколько это нужно именно вам

1. Очень важно, нужно делать срочно — 324 (46.55%)

2. Важно, но можно подождать — 201 (28.88%)

3. Если и делать то не сейчас, а когда-то потом — 85 (12.21%)

4. Меня все устраивает, ничего не стоит менять — 81 (11.64%)

5. Оставьте все как есть или я ... — 5 (0.72%)

Всего: 696

@темы: уже есть, доступ к дневнику, можно улучшить, нужно исправить

все записи пользователя в сообществе URL

U-mail Дневник Профиль

fire-dragon

12.11.2017 в 04:18

Гугл встал в позу что не будет сертификаты раскрывать на своих кэширующих серверах.

URL

U-mail Дневник Профиль

Tenno Seremel

12.11.2017 в 04:21

fire-dragon, и?

URL

U-mail Дневник Профиль

Рез

12.11.2017 в 04:51

Если вы сидите с работы через прокси сервер или у вас провайдер из России, то ваш трафик минимум фильтруется, а максимум активно изменяется.

Приставочка https ничего не меняет от слова совсем.
Тут я уже не выдержу и скажу: утверждаешь — докажи.
Пока что напоминает глобальную теорию заговоров. И все технологии "стрипа" основываются на неграмотности юзера и подмене так или иначе или сертификата, или СА, или ещё чего. Приставка https что-то меняет всё-таки. И я очень хочу посмотреть, кто же мне поставит сертификат на звезду, ну-ка ну-ка?

URL

U-mail Дневник Профиль

fire-dragon

12.11.2017 в 05:00

Что И? Провайдеры поставили сервера. Все по прежнему кэшируется.
Я собственно к тому что это чувство ложной безопасности очень вредное по своей сути.
Ну увидит пользователь заветный замочек, расслабится. А админ дневников вставляя очередной баннер не только порушит дизайн, но и оставит дырку типа sql injection или там разрешит выполнять загружаемые файлы.

URL

U-mail Дневник Профиль

Tenno Seremel

12.11.2017 в 05:03

fire-dragon, я не очень понимаю что ты хочешь сказать. Что они там могут поставить? Могли бы делать что угодно, не спрашивали бы. А уж если кто-то там игнорирует предупреждение о кривом сертификате, то тут уже ничем не поможешь.

SQL инъекции и HTTPS вещи вообще никак друг с другом не связаны, при чём тут они?

URL

U-mail Дневник Профиль

fire-dragon

12.11.2017 в 05:06

Рез,

Ниже приведен рабочий кусок конфига. Добавь что то типа "режика" и получишь систему активной модификации на лету. Впрочем любой пользователь мобильного интернета знаком с баннерами опсоса при завершении денег на счете.

-----------------------------------------------------

#прозрачный порт указывается опцией intercept
# http_port 192.168.0.1:3128 intercept options=NO_SSLv3:NO_SSLv2

#также нужно указать непрозрачный порт, ибо если захотите вручную указать адрес
#прокси в браузере, указав прозрачный порт, вы получите ошибку доступа, поэтому нужно
#указывать непрозрачный порт в браузере, если конечно такое желание будет, к тому же в логах #сыпятся ошибки о том, что непрохрачный порт не указан=)
#http_port 192.168.0.1:3128 options=NO_SSLv3:NO_SSLv2
http_port 3128 ssl-bump cert=/etc/squid/ssl_cert/myCA.pem generate-host-certificates=on dynamic_cert_mem_cache_size=4MB

#и наконец, указываем HTTPS порт с нужными опциями
#https_port 192.168.0.1:3129 intercept ssl-bump options=ALL:NO_SSLv3:NO_SSLv2 connection-auth=off cert=/etc/squid/squidCA.pem

always_direct allow all
sslproxy_cert_error allow all
sslproxy_flags DONT_VERIFY_PEER

#укажем правило со списком блокируемых ресурсов (в файле домены вида .domain.com)
acl blocked ssl::server_name "/etc/squid/blocked_https.txt"
acl step1 at_step SslBump1
ssl_bump peek step1

#терминируем соединение, если клиент заходит на запрещенный ресурс
ssl_bump terminate blocked
# из руководства сквида
ssl_bump bump all
# как было
#ssl_bump splice all

sslcrtd_program /lib/squid/ssl_crtd -s /var/lib/ssl_db -M 4MB

URL

U-mail Дневник Профиль

fire-dragon

12.11.2017 в 05:09

HarukaTenoh, Пользователь уверен ну если тут замочек, то все нормально. А на сайте черте что творится. Вот что я имел в виду под ложной безопасностью.

URL

U-mail Дневник Профиль

Tenno Seremel

12.11.2017 в 05:10

fire-dragon, «чёрти что» твориться может где угодно. Это не повод не использовать HTTPS ни разу.

URL

U-mail Дневник Профиль

fire-dragon

12.11.2017 в 05:14

HarukaTenoh, Зачем ставить бронированную дверь если рядом с ней нацарапано "ключ под ковриком" ?

URL

U-mail Дневник Профиль

Рез

12.11.2017 в 11:11

fire-dragon, этот кусок конфига говорит как минимум: пользователь выходит в интернет, указав на клиенте (!) нечестный прокси с подменой сертификатов. Так? =) Ну чтобы e2e не работало.
Использовать прокси можно только тогда, когда ты доверяешь прокси. Это относится к пользовательской (без)грамотности.
Что же произойдёт, если я сижу без прокси, и устанавливаю защищённое соединение в Amazon EC2? В моём мире перехват невозможен. И да, я тоже читал Moxie, и тоже пробовал. Остался при мнении, что HSTS + HttpsEverywhere или схожий плагин спасают от таких вот прокси в реальном мире, что всем и советую. А мобильный оператор имеет точку входа, гейтвей, и ты через неё сидишь, потому... да, не ходите по сомнительным сайтам и не передавайте данные. Или используйте небезопасный канал только чтобы достучаться до безопасного.

URL

U-mail Дневник Профиль

fire-dragon

12.11.2017 в 12:25

Рез, При наличии любых посредников между Алисой и Бобом, содержание их переписки должно быть подвергнуто сомнению.

А так между вами и вашим сайтом штук 5-6 посредников, притом 2 ке из них по закону положено знать о содержимом вашей беседы. А парочка появилась потому что кто то не тестирует код перед продакшеном и после этого дизайн расползается.

Но да волшебный "Замочек" конечно решит все эти проблемы.

URL

U-mail Дневник Профиль

fire-dragon

12.11.2017 в 12:27