On Sat, Aug 03, 2019 at 05:27:07PM +0300, artiom wrote:
На этом фоне Казахстан со своим государственным MitM смотрится примерно
так же как его бомбардировочная авиация на фоне американской.
А что там снова властные дегенераты требуют?
Я упустил опять.
Требуют поставить в каждый браузер свой корневой сертификат.
Чтобы иметь возмость генерить на лету и подписывать его ключом
сертификаты для любых сайтов. Включая банковские, да.
Всё это исключительно для безопасности юзеров, разумеется. :)
А, вона как. Так это давно уже. А прошивки тут причём?
Интересно это прежде всего как неожиданный поворот для модели
безопасности, основанной на 509х сертификатах.
Поскольку API всех популярных браузеров на сегодняшний день
не позволяют получить в javascript'e информацию о сертификате,
то владельцу сайта непросто защитить всех своих посетителей от
опасности местечкового MitM.
Это естественная проблема всякого централизованного доверительного центра.
И никакая "информация в JS" эту проблему не решит.
Если браузеры выполнят требования о добавлении сертификата, значит
имеется рычаг давления, позволяющий сделать что-угодно, в том числе не
возвращать информацию о "левом" корневом сертификате в JS вызове.
> Я пока не вижу иного выхода для
> владельца сайта, кроме как выдавать пользователям клиентские
> сертификаты и требовать их для доступа к ценным данным.
Так уже есть токены.
> Кто-нибудь знает более простое решение?
>
Ну так известный же вам и всем остальным факт: всякая система
основывается на доверии, и не имея доверенного канала (хотя бы
защищённого от MitM) невозможно гарантированно надёжно обменяться ключами.
Увы, вопрос политики, а заниматься люди ей не хотят, потому что их хата
с краю, либо они достаточно узколобы и потому умны лишь в своей сфере
(ну либо не имеют достаточно знаний в других).
А давно известно, что если не заниматься ей, она займётся вами.
Решить же социально-политические болезни и проблемы техническими
методами не получится.
В лучшем случае, любое ваше решение будет напоминать лечение гриппа
парацетамолом и аспирином: голова болеть не будет и не будет
температуры, но болезнь и осложнения не уйдут.
Так что, увы, дальше будет только хуже, если иммунитет не заработает.
