Полигон-2

Согласен с вами. Но есть ли уверенность в том, что форум останется работоспособным на том железе, которое обсуждают на данном форуме?

Я считаю, что можно ввести опциональный доступ по HTTPS - хочет человек, заходит по HTTPS. Если же не хочет или не может - использует обычный канал. Ощутимая часть аудитории форума заходит сюда с устройств, которые или в принципе не знают что такое HTTPS, или поддерживают только слабые алгоритмы шифрования (SSL 2.0 40-bit, TLS 1.0 128-bit), добавка которых пор сути брешь в безопасности (хотя я не слышал, чтобы были снифферы, понижающие уровень шифрования до ломаемого уровня). И что, сетевые карты положить на полку? Пусть лучше будет место, где их ещё можно применять.

Принудительный HTTPS - зло. Меня один раз вызывали починить интернет, оказалось, села таблетка, её хозяйка компа смогла поменять, но загуглить в Яндексе почему все сайты ругаются на дату выдачи сертификата уже не смогла. Ещё повезло, что я знакомый, так бы пришлось связываться с мастерами с объявлений. Раньше такого не было, хоть с датой 1.01.1970 всё работало. И это было правильно. Лучше бы все крупные сервисы инвестировали в отдел "К" МВД, дабы тот лучше искал и репрессировал злоумышленников, чем страдали ерундой.

Я захожу сюда с Оперы 12.18, поэтому с каким-нибудь крутым современным HTTPS точно будут проблемы. Я не против опционального HTTPS, но чтобы была возможность пользоваться и обычным HTTP.

[q]

Раз в год, или при тестировании железа, несколько форумчан не брезгуют заходить на форум со старых ПК, и даже оставлять подтверждения об этом. Кто-то даже с 386 заходил. Я с Pentium-75 по USB WiFi нормально заходил, все равно больше почти некуда.

[/q]

aleksvolgin, чтобы старое железо запустить, его, как минимум, нужно купить. И данный форум практически единственная площадка с нормально-реальной ценой ( в отличии от Молотков-Авито ). И намного больше гарантии получить на Почте именно купленное, а не кирпич в тряпочке...
Так что термины- "продаваны, барыги" и прочие- как бы не уместны в данном случае. И уж никак тема ПОКУПКА-ПРОДАЖА не мешает никому наслаждаться общением со старым железом в других разделах.

ATauenis написал:

[q]

Разве? Opera последних версий на Presto вроде ж отучилась от использования виндового schannel, или я ошибаюсь? И то, при наличии нужных обновлений винды даже IE6 открывает многие сайты.

[/q]

Точно не знаю причин, но многие сайты выдают "Не удаётся завершить защищённую транзакцию".

[q]

переживаете за личные данные - обменивайтесь ими в другом месте.

[/q]

Устоявшийся порядок проведения сделок в торговом разделе предполагает использование ЛС форума для обмена таковыми. Не в моих силах переломить многолетние обычаи. Как, впрочем, и неясно, почему нужно приносить удобство общения в жертву безопасности, когда можно просто поставить сертификат и ничего не потерять.

[q]

тем, кому надо, и так о вас все знают...
кому очень приспичит - тоже найдут способ

[/q]

Выше в теме я перечислил возможные сценарии, в которых вполне обоснованы опасения насчет перехвата нешифрованного трафика не АНБ и ФСБ, а простым васей-админом вайфай точки в кафешке. И вовсе не обязательно облегчать таким кулхацкерам жизнь, раз уж мы живем не в идеальном мире и все системы имеют уязвимости.

[q]

это не то место, где стоит разводить паранойю и прикручивать не нужные свистелки и перделки..

[/q]

Если вы владеете музеем советской электроники и вычтехники, как известно представляющей далеко не только историческую ценность, означает ли это, что для аутентичности следует запирать его на деревянную советскую дверь с замком от честных людей?
Выше предложили оставить оба протокола и дать пользователю возможность выбора. Исходя из этого, тем более не вижу смысла возводить наличие/отсутствие SSL на форуме в вопрос религии.

Посредственный пользователь

[q]

Вариантов множество.
Используйте емейлы и смс,как аварийный вариант.
Текст ,записанный в виде графического файла(gif,jpeg).
Не забывайте о методax ,коими пользовались шпионы много десятков лет назад. Уничтожение важной информации после прочтения. Ввели себе в телефон конфиденц информацию(номер карты,фио,номер телефона человека,итп.) .сразу yдаляйте сообщение с сайта. На серваке останутся лишь бэкапы.

[/q]

Ваше ёрничанье неуместно хотя бы потому, что те способы, которые вы тут изложили, никак не спасут от MitM-атаки.

[q]

Все просто. Если ОНО работает,так и не надо ЯЁ трогать.

[/q]

Не представляю, как можно сломать форум установкой сертификата. Думаю, не стоит делать такие предположения, если об этом не заявят технические админы ресурса.

[q]

А то потом начнется..давайте флешплеера прикрутим ,а то скучно. Давайте сделаем текст радужным,а то черно-белое изображение. Обвесят сайт ненужными приблудами,станет все тяжеловесным/не поворотливым.

[/q]

Необоснованные экстраполяции. Движок сайта и транспортный протокол - разные сущности. Можете поставить SSL хоть на апачевский стаб - это не повлияет никаким образом на функциональность или стилистику форума.

Для совместимости с чем-либо, что может не поддерживать HTTPS, предлагается оставить HTTP совместно с ним (так работает ru-board, например). Не нужно шифрование - не добавляй s к урлу и всё.

[q]

Как гласит старая китайская мудрость:"Любая защита - будет пробита".
Никто не от чего не застрахован в этом мире.

[/q]

Это не значит, что от защиты нужно и вовсе отказаться. Идеального щита нет, но взлом должен быть экономически невыгодным в большинстве случаев. Публичные прокси, публичные вайфаи - места, где весьма вероятен перехват нешифрованного трафика в поисках паролей, емейлов, номеров карт и других вкусностей, причём для установки сниффера хацкеру совсем не обязательно иметь какие-то выдающиеся хацкерские навыки или иметь суперприватную тулзу, эксплуатирующую суперсекретный 0-day из утекших архивов АНБ - есть куча готовых решений в гугле.

OSA написал:

[q]

DowJones написал:

[q]

Я не думаю

[/q]

в этом и проблема..

[/q]

ага, согласен, на всё сто.


strikulistov написал:

[q]

ATauenis написал:

[q]

Я считаю, что можно ввести опциональный доступ по HTTPS - хочет человек, заходит по HTTPS. Если же не хочет или не может - использует обычный канал.

[/q]

Согласен. Такое решение удовлетвори все тут присутствующих, мне так кажется.

[/q]

а я против.

Повторяю свою мысль: https нужен тем, кто активно торгует на этом форуме, превращая его из сообщества единомышленников по старому железу в помойку. Хотят мнимой безопастности - пусть выносят по факту сложившуюся торговую площадку с форума и подолжают там свою любимую деятельность. В прошлой теме по поводу создания белых списков уже звучала мысль о закрытии торговли на форуме, т.к. торговля поглощает форум. А чтобы конструктивно общаться, починяя старое железо и подсказывая друг другу какие-то секреты можно и по http.

aleksvolgin написал:

[q]

strikulistov написал:

[q]

ATauenis написал:

[q]

Я считаю, что можно ввести опциональный доступ по HTTPS - хочет человек, заходит по HTTPS. Если же не хочет или не может - использует обычный канал.

[/q]

Согласен. Такое решение удовлетвори все тут присутствующих, мне так кажется.

[/q]

а я против.

[/q]

В чём проблема? Если человеку нужна безопасность, он будет заходить по HTTPS. Если же ему больше по душе старая советская дверь с замком от честных людей (или если руки с иными дверьми не дружат), что он уберёт "s" из адреса, и зайдет как сейчас. Хоть из Win3.1 с нетшкафа по модему.

[q]

Проблема в том, что это дальнейшее обустройство торговой площадки.

[/q]

Проблема в людях, видящих различного рода интриги и заговоры там, где их нет - в обычном предложении по техническому усовершенствованию форума. На дворе не 2000 год, SSL давно применяется повсеместно на сайтах с юзерконтентом и учётками, а не только в е-коммерции.

[q]

Далее двухфакторная аутентификация + обязательное наличие аккаунта в модной, нонече, телеге, бело-"чорные" списки участников и теде и тепе.

[/q]

Сегодня он играет джаз...

Вчера ставил на виртульную машину бэта версию хп, пришлось перевести дату на 2003 год. Хром отказался открывать практически все https сайты, но нужно было зайти сюда на форум и зашло! )) В данном случае я лично вообще не вижу смысла в https, реальной пользы нет, а проблемы могут быть, случаи ведь бывают разные.

Коллеги, в настройках SSL сервера можно поставить набор допустимых кодеков. Можно хоть 3DES/RC4 разрешить для совместимости с MSIE 3. есть еще чудесный cipher NULL то есть SSL без шифрования канала вообще.

alecv написал:

[q]

Можно хоть 3DES/RC4 разрешить для совместимости с MSIE 3. есть еще чудесный cipher NULL то есть SSL без шифрования канала вообще.

[/q]

Одно время были снифферы, которые успешно проворачивали атаку на понижение стойкости шифра (вмешивались в процедуру рукопожатия и умоляли сервер общаться с клиентом с шифром, который по зубам снифферу - прим. для юзеров). Собственно, это причина почему серверы крупных компаний сейчас работают только по серьёзным алгоритмам защиты (TLS 1.2) с недетскими шифрами. Поэтому сейчас эта метода слива полезной информации у лохов не актуальна, и я не слышал, чтобы кто-то ещё использовал этот способ. Но включение старых версий SSL и слабых шифров - дыра в безопасности.

Другое дело,

rw6hrm написал:

[q]

А вообще париться по поводу "сниффания трафика", персональных данных и аналогичной фигни - ей-догу, не стоит. Ерунда всё это.

[/q]

Аудитория форума очень специфическая. Чтобы украденный трафик пригодился, надо написать софт, выковыривающий из ЛС домашние адреса и телефоны, а также e-mail из профиля. И это всё, что можно сделать (по крайней мере, именно на этом сайте). Ещё возможность угона аккаунта с целью рассылки спама возможна. Но движок очень редкий, чтобы кто-то писал под него софт.
Насколько я слышал, все угоны учётных записей здесь были из-за простых паролей.

тема почищена (см. http://www.phantom.sannata.ru/...#pp482020)

прошу воздержаться от неумеренного флуда

Предлагаю вернуться к вопросу включения https

1. так как не все могут/хотят использовать https включить его можно опционально - те не делать реврайта на https
2. сертификат можно взять бесплатный - Let's Encrypt включается легко и просто. сам использую и могу ответственно рекомендовать.
3. включать слабые шифры смысла нет, это наоборот может создать проблемы


Поясню необходимость иметь возможность работать через https: если ранее утечки паролей и прочей информации могли быть только через транзитные открытые прокси, общественные wi-fi сети и прочие изначально скомпрометированные точки, то сейчас ситуация для России серьезно усугубляются из-за закона яровой, а именно из-за развертывания у провайдеров DPI (Deep Packet Inspection) и системами хранения данных и трафика.
Сами по себе DPI нам не мешают, но вот то что трафик будет хранится у каждого провайдера и доступ к этим данным будет (точнее уже) иметь почти любой - это проблема.

Как пример использования трафика - мошенники делают грамотные фейковые письма используя данные из реальной переписки. И это уже реальность - первые такие письма были замечены мной уже летом 2018ого. Что будут делать с накопленной базой паролей и email я думаю объяснять не надо.

Соответственно, моя рекомендация, как руководителя ИБ, включить https. Да, это не панацея, но от глупых мошенников убережет. По технической части готов проконсультировать.

Когда трафик между клиентом и сервером не шифруется, стоит ли удивляться этому:
topic/30008

Не надо подбирать никаких паролей, взламывать хэши ит.п.
Надо просто перехватить трафик и смотреть, что после символов inpassword= . Там ваш пароль.

SuperMax написал:

[q]

Предлагаю вернуться к вопросу включения https
...
моя рекомендация, как руководителя ИБ, включить https. Да, это не панацея, но от глупых мошенников убережет.

[/q]

Поддержу.