?

Log in

No account? Create an account
Не всякая чекистская шестёрка козырная - Пионер. — ЖЖ
Июнь 28, 2012
09:40 pm
[User Picture]

[Ссылка]

Previous Entry Поделиться Next Entry
Не всякая чекистская шестёрка козырная

(104 комментария | Оставить комментарий)

Comments
 
From:Yuri Bichkoff [bichkov.com]
Date:Июль 1, 2012 07:43 am
(Link)
У меня тоже не обновляется (все сервисы и стартапы отключены), но при попытке посмотреть, например, версию Хрома (About Google Chrome) и забывши об этом приколе, получаешь принудительное обновление.

> С помощью этого варианта можно отучить вебовцев от привычки шпионить за пользователями, например.

Ну, будет другой вариант, делов-то. Пока «шпиёнство» очень невинно выглядит за счёт несовершенства протокола HTTP. Следует опасаться как раз «стопроцентной авторизации», IP6, привязок оборудования к человеку и т. п. Иногда я думаю, что американцы специально тянут, не позволяя «режимам» закрутить гайки. Анонимность — это хорошо, на самом деле. И текущая конфигурация веба позволяет оставаться анонимным (до известной степени, конечно).

Этот пассаж относится и к последнему абзацу Вашего поста.

Кстати, описанный Вами механизм авторизации используется довольно часто, особенно, при XMLRPC запросах. Кое-кто (Wordpress, например) идёт по упрощённому варианту, изобретая некие «nonce» с ограниченным временем жизни. Использование мобильного телефона для получения аналога однократного пароля — из этого же разряда. И т. п.

А кто-то просто использует SSL/TLS (как твиттер). И не парится. Перехват трафика совершенно бесполезен в этом случае.
[User Picture]
From:egh0st
Date:Июль 1, 2012 02:10 pm
(Link)
ну SSL это наше всё, да. Гугол тоже форсирует.

Просто пока все сайты на SSL перейдут, много времени пройдет. Тем более что многим будет очень лень еще и сертификаты покупать, а без них пользователям сообщение выдаётся, пугает это их...

From:Yuri Bichkoff [bichkov.com]
Date:Июль 1, 2012 03:39 pm
(Link)
Кстати, сертификаты — это отдельная песня, почище «мистики» с куками. Кто вообще проверяет CA? Убеждается, что зашёл не на сайт, сертификат которого self-signed, а на тот, который хотел?

На стороне провайдера вполне можно установить копии гуглопочтовика (чего угодно) и ловить пароли «тёпленькими». Вместе с лулзами. Кажется, это фишинг (phishing) называется?
[User Picture]
From:egh0st
Date:Июль 2, 2012 02:11 am
(Link)
можно конечно. но состна сертификаты нужны :)

а если self-signed или доменное имя не совпадает с набранным, то бравзер об этом скажет.
From:Yuri Bichkoff [bichkov.com]
Date:Июль 2, 2012 06:44 am
(Link)
Вы честный человек, вижу, не работать Вам в Органах :)

Я говорил о гипотетической ситуации, когда юзер, связанный прямым проводком с провайдером, общается напрямую с его серверами, думая, что «разговаривает» с Интернетом. Со специальными записями DNS, переделанными сертификатами (в надежде, что юзер не проверит CA) и проч. Возможно, это невозможно, но если очень хочется и ресурсы позволяют, то...

Боюсь, мы исчерпали лимит терпения Пионера, далеко отклонившись от темы его поста. Спасибо за беседу, — было очень приятно пообщаться!
Пионер.RU Разработано LiveJournal.com