| 1.1, jOKer (ok), 21:52, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– |
 Ну, я бы сказал, что телега не должна быть впереди лошади, - интересы пользователей Сети важнее всего.
| | |
| |
| 2.8, qsdg (ok), 22:18, 23/07/2017 [^] [^^] [^^^] [ответить]
| –25 +/– |
 Интересы тех, кто платит -- важнее. Так было и будет всегда, и это правильно.
| | |
| |
| 3.9, Олег (??), 22:27, 23/07/2017 [^] [^^] [^^^] [ответить]
| +34 +/– |
Надеюсь в суде к вам всегда такое же правило будут применять, а не смотреть на конституцию..
| | |
| |
| 4.18, arrnorets (ok), 00:21, 24/07/2017 [^] [^^] [^^^] [ответить]
| –6 +/– |
 Странная аналогия. При чем тут суд, когда речь идет о новой версии стандарта TLS, а не о преступлении? Все логично: Интернет давно стал объектом коммерции, и не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится.
| | |
| |
| |
| 6.66, arrnorets (ok), 20:53, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
Засада в том, что для внутренних органов это процесс абнормальный, а для Интернет - естественный. В том, что структуры ВД в твоей стране стали объектом коммерции - ты сам частично виноват, страдай, что)
| | |
| |
| 7.91, Аноним (-), 17:51, 31/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Засада в том, что для внутренних органов это процесс абнормальный, а для
> Интернет - естественный. В том, что структуры ВД в твоей стране
> стали объектом коммерции - ты сам частично виноват, страдай, что)
идеализм - хорошо, но обслуживание интересов богатых в ущерб остальным развито не только у него, окупай уоллстрит - напоминание
| | |
|
|
| 5.55, X4asd (ok), 12:20, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится
почему?
почему это не получится? :-D
| | |
| |
| 6.67, arrnorets (ok), 20:58, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> не учитывать мнение тех, чьи финансовые вливания составляют значительный процент от общего оборота, просто не получится
> почему?
> почему это не получится? :-D
Потому :) Смирись. Либо донать.
| | |
|
|
|
| 3.68, Аноним (-), 21:29, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– | |
Ну а платит пользователь. так что, мимо.
ЗЫ: третий вариант. Запилите тесты с постоянным шифврованием и тестируйте себе...
| | |
|
| 2.49, all_glory_to_the_hypnotoad (ok), 10:42, 24/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 > Ну, я бы сказал, что телега не должна быть впереди лошади, - интересы пользователей Сети важнее всего.
т.е. это ты так пользователей причислил к классу кобыл? Ну в принципе оно так и есть, а операторы тихо едут на телеге. Потому пользователю повесят правильную морковку и он будет делать что хочет оператор.
| | |
|
| |
| 2.4, Аноним (-), 21:58, 23/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Нужен гибриный. Квантовое ломают на классическом, классическое на квантовом.
| | |
| |
| 3.11, bircoph (ok), 23:02, 23/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Недоработанное квантовое можно сломать на классическом. Нормально проработанное нельзя. Тот же Нью-Рено хендшейк уже вполне неплох.
| | |
| 3.92, Аноним (-), 17:55, 31/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> Нужен гибриный. Квантовое ломают на классическом, классическое на квантовом.
уже есть: гугл использует экспериментальный хэндшейк с 25519+rlwp, ключи - от обоих. первый не ломается на обычных компьютерах, второй на квантовых, сессионный ключ состоит из ключей обоих - ломать надо оба.
| | |
|
|
| 1.3, Аноним (-), 21:57, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +2 +/– |
Лобби бесполезно, трафик не должен быть проанализирован или расшифрован.
| | |
| |
| 2.58, Аноним (-), 14:16, 24/07/2017 [^] [^^] [^^^] [ответить]
| –7 +/– |
Попытка сокрытия информации - нарушение базового, основополагающего принципа свободы информации.
| | |
| |
| 3.93, Аноним (-), 18:27, 31/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> Попытка сокрытия информации - нарушение базового, основополагающего принципа свободы
> информации.
ты почему-то тоже написал что ты аноним, вместо того чтобы написать свой инн мабилу паспорт креду. как же твой принцип?
| | |
|
|
| 1.5, User (??), 22:00, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +3 +/– |
Совершенная секретность с упреждением!!! грамотеи, штоб вас!
| | |
| |
| |
| |
| 4.52, X4asd (ok), 11:47, 24/07/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> Текст в википедии не делает его «общепринятым»
да. всё наоборот -- общеприятная терминология описывается в Википедии
| | |
|
|
| 2.81, t28 (?), 09:43, 25/07/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
> Совершенная секретность с упреждением!!! грамотеи, штоб вас!
Ага. Читаешь такое: «совершенную прямую секретность», и глаза вытекают.
В ту же коробку к «из коробки» и «бесшовный».
| | |
| |
| 3.95, www2 (ok), 17:18, 02/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
 Приведите свои, правильные варианты перевода "из коробки" и "бесшовный".
У слов "из коробки" есть ещё аналогичная идиома - "с батарейками".
"Бесшовшный" - это "безынтерфейсный" или "синергетический", или "глубоко интегрированный".
Вообще, если какой-то отдельный человек не понимает идиом, то это его личная проблема.
| | |
|
| 2.82, Аноним (-), 12:48, 25/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Совершенная секретность с упреждением!!! грамотеи, штоб вас!
Простите, я с момента знакомства с этим термином знал только английское написание — как-то не приходилось с коллегами из России его обсуждать (во всяком случае, на родном языке). Так что, действительно, сходил в «Википедию». Вы правьте новости-то, если что не так. Это же Опеннет. :)
| | |
|
| |
| 2.32, tensor (?), 05:14, 24/07/2017 [^] [^^] [^^^] [ответить]
| +10 +/– |
В копроративной среде очень любят DLP, в провайдерской - DPI.
Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию или борьбы с утечками коммерческой тайны.
| | |
| |
| 3.53, X4asd (ok), 11:50, 24/07/2017 [^] [^^] [^^^] [ответить]
| +7 +/– |
> В копроративной среде очень любят DLP, в провайдерской - DPI.
> Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
> А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию
> или борьбы с утечками коммерческой тайны.
пусть сделают отдельный свой потокол Clown-TLS и свои отдельные clowntls-web-клиенты и сервера/сайты на нём -- и сидят себе радуются жизни внутри своего корпоративного сектора. вот там пусть и вставляют друг другу болты в зад или что они там любят делать..
зачем они хотят насcрать в наш НЕкорпоративный TLS?
| | |
| 3.69, Аноним (-), 21:31, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> В копроративной среде очень любят DLP, в провайдерской - DPI.
> Зачем? Чтобы иметь болт под каждую хитрую задницу с резьбой.
> А далее - уже знакомые отмазки вроде борьбы с террором, помощи следствию
> или борьбы с утечками коммерческой тайны.
Все, что зашифровано неправильно будут блочить, и нет проблем. Почта корпоративная, прокся со своим сертификатом.
Или я чего-то не понимаю?
| | |
|
|
| 1.13, th3m3 (ok), 23:21, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Безопасность важнее всего. Чем лучше шифрование, тем довольнее пользователи.
| | |
| |
| 2.35, Аноним (-), 07:33, 24/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> на заметку
Да запросто. Половина провайдеров страдает этим для блокировки неугодных интернет-ресурсов.
> и в расход
А вот с этим сложнее...
| | |
|
| 1.15, L29Ah (ok), 23:48, 23/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Как мне снифать мой браузер и прочий гoвнософт с PFS? В GNU/Linux ещё понятно, можно LD_PRELOADнуть костыль для конкретной TLS-библиотеки, а в каком-нибудь б-гомерзком задроиде или шиндовс вообще не ясно чо делать.
| | |
| |
| |
| 3.90, анон (?), 15:32, 28/07/2017 [^] [^^] [^^^] [ответить]
| +/– | |
в 99.9% случае приложухи которые используют nss и/или которым не покласть на эту переменную окружения - опенсорс и даже с документацией, и перехватывать от них трафик можно каким-нибудь бурпом или фидлером просто добавив свой серт.
В случае же с андроидами, виндовсами и различным самописным калом так или иначе приходиться выдумывать костыли. Даже не буду далеко ходить за примером:
$ SSLKEYLOGFILE=/tmp/nope curl -qs -o /dev/null 'https://google.de/'
$ stat /tmp/nope
stat: cannot stat '/tmp/nope': No such file or directory
| | |
|
| 2.19, Аноним (-), 00:48, 24/07/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>а в каком-нибудь б-гомерзком задроиде или шиндовс вообще не ясно чо делать.
Встраивать дллки в шиндошс запрещает только религия.
| | |
| 2.22, Elhana (ok), 01:11, 24/07/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
 Если в софт не вшит свой сертификат, то MITM не составит труда сделать и без LD_PRELOAD, как это PacketCapture делает - добавляет свой сертификат и устраивает MITM через VPNService даже без рута
| | |
|
| |
| 2.21, Аноним (-), 01:09, 24/07/2017 [^] [^^] [^^^] [ответить]
| –3 +/– |
Там в оригинальном тексте есть пояснения. Вкратце — речь идёт о системах автоматического мониторинга трафика до/после тех или иных узлов. Есть целый ряд систем (в том числе на модных нейронных сетях), которые таким образом отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это очень круто, на самом деле.
| | |
| |
| 3.24, Аноним (-), 02:43, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить". Операторы идут в пень.
| | |
| |
| 4.57, А (??), 12:55, 24/07/2017 [^] [^^] [^^^] [ответить]
| –3 +/– | |
> Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить".
Кому должны? Вы свои хотелки не путайте с хотелкам провайдеров.
| | |
| |
| 5.60, Аноним (-), 16:01, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Вы свои хотелки не путайте с хотелкам провайдеров.
А у провайдеров вообще не должно быть никаких хотелок. Они живут за счёт пользователей и должны работать в интересах пользователей.
| | |
|
| 4.62, Аноним (-), 16:49, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Метаданные должны идти по разрешению клиента при нажатии кнопочки "Разрешить". Операторы
> идут в пень.
Вот тут вы вообще не поняли, о чём речь, похоже.
| | |
|
| 3.27, Аноним (-), 02:44, 24/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше
Вы слишком много на себя берете, вам достаточно утилизировать порт клиента.
| | |
| |
| 4.63, Аноним (-), 16:54, 24/07/2017 [^] [^^] [^^^] [ответить]
| –4 +/– |
>> отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше
> Вы слишком много на себя берете, вам достаточно утилизировать порт клиента.
Вы все сговорились, что ли, что так массово тупите и невнимательно читаете?
Речь идёт о работе с трафиком внутри сети, в которой он так и так расшифровывается/шифруется. К приватности данных это не относится ВООБЩЕ. Если дядям/тётям в погонах будет надо, они и прямо с оконечного сервера будут данные получать (ценой увеличения нагрузки на сервер, но это сих товарищей не заботит).
| | |
| |
| 5.74, Аноним (-), 00:26, 25/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Если
> дядям/тётям в погонах будет надо, они и прямо с оконечного сервера
> будут данные получать (ценой увеличения нагрузки на сервер, но это сих
> товарищей не заботит).
Чтобы что-то оттуда получить, надо иметь соответствующую бумажку. А их мечта — получать всё без бумажки.
| | |
| |
| 6.83, Аноним (-), 12:50, 25/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
>> Если
>> дядям/тётям в погонах будет надо, они и прямо с оконечного сервера
>> будут данные получать (ценой увеличения нагрузки на сервер, но это сих
>> товарищей не заботит).
> Чтобы что-то оттуда получить, надо иметь соответствующую бумажку. А их мечта —
> получать всё без бумажки.
Так прочтите же, наконец, новость, и осознайте, что об этих дядях и тётях речи не идёт!
| | |
|
|
|
| 3.54, X4asd (ok), 12:01, 24/07/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
> (в том числе на модных нейронных сетях), которые таким образом отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это очень круто, на самом деле.
а когда gmail запретит передавать электронную почту в формате OpenPGP -- из-за того что их нейронные сети не могут выявлять внутри него спам -- тоже будешь говорить "Это очень круто, на самом деле"?
все эти bullshit-технологии связанные с нейронными сетями -- пусть себе в зад засовывают. если не могут сделать их в согласованном режиме. привязанное проволокой говоно -- не нужено, какое крутое-бы оно не было бы..
организовать ЯВНУЮ обратную связь на стороне web-сервера со стороной анализатора/фаервола -- ни кто не запрещает.
возьми ды и встрой в Apache-Http-Server отдельный модуль который будет осуществлять эту обратную связь -- в чём у кого проблема?
вся проблема этих "блокирующих" посредников -- в том что они пытаются что-то блокировать типа в автоматическом режиме без явной согласовонности с сервером осуществляющего сервис. как-будто-бы функция блокировщика и функция предоставления сервиса -- это якобы разные несвязанные вещи.
представь что на входе в здание стоит огромный-тупой-вышибала с бейсбольной-битой-в-руках и не пускает в здание подозлительных лиц (по его мнению), или просто тех кто ему не нравится.. вот только он не знает что именно за здание -- толи ночной клуб толи библиотека толи спортивный зал (и рации тоже у него нет).. но мнение кого именно не пускать он имеет (основанное на наблюдениях кто обычно входит). вот так это и работает сегодня..
| | |
| |
| 4.61, Аноним (-), 16:03, 24/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– | |
> а когда gmail запретит передавать электронную почту в формате OpenPGP
Чего-чего? Это что это за формат почты такой, можно полюбопытствовать?
| | |
| |
| |
| 6.75, Аноним (-), 00:27, 25/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Ты меня совсем за идиота держишь? Каким боком это "формат почты"?
| | |
|
|
|
| 3.94, Аноним (-), 18:36, 31/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
> отслеживают аномалии и просто проблемы, позволяя купировать проблемы в зародыше. Это
> очень круто, на самом деле.
оччнь!!! можно уволить эникеев и ссэкономить, разок вложившись. потом правда хитрые жёппы оказывается немного обманывают искусственного и тот вносит в баню все подряд вплоть до серверов виндозапдейта, о чем все узнают сразу после очередного эксперта по криптованию - пети.
| | |
|
|
| 1.25, mumu (ok), 02:44, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +8 +/– |
 Объясните идиоту с 15-ти летнем стажем в ИТ, каким образом расшифровка трафика помогает в отказоустойчивости?
Мы ведь имеем незашифрованные данные на обоих концах, можем их анализировать. И можем смотреть путь трафика. Зачем нам расшифровывать что-то посередине пути?
| | |
| |
| 2.28, Аноним (-), 02:45, 24/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Зачем нам расшифровывать что-то посередине пути
Для махинаций с трафиком и шпионажа. На самом деле не их дело что внутри канала.
| | |
| 2.29, Kuromi (?), 02:57, 24/07/2017 [^] [^^] [^^^] [ответить]
| +4 +/– |
Имелась в виду государственная отказоустройчивость. Ради нее всем что угодно пожертвуют.
| | |
| 2.36, яя (?), 07:49, 24/07/2017 [^] [^^] [^^^] [ответить]
| –2 +/– | |
Доспустим есть некий сервис, который купили в лохматые годы, который работает на древнем софте, который обновлять не на что, но который жестко интегрирован в бизнес процессы. Есть несколько тысяч сотрудников, которые что-то там меняют, что автоматически генерирует бухгалтерию, можно установить систему автоматического обнаружения атак где-то рядом с самим серваком, где трафик не зашифрован и не париться. Но если таких сервисов много, то покупка систем автоматического обнаружения атак для каждого сервиса влетает в копеечку, зеркалировать трафик можно, но если сервисы децентрализованы, то опять расходы. Ну и обновление/замена сервисов это - проект, это подрядчик, это упущенная выгода, это риски, что базы данных утекут, поэтому, работает и нефиг туда лезть.
Это обратная сторона централизации, вы же не хотите платить провайдеру за размещение серверов и инженеров в вашем городе, ну может лично вы и не против, но большинство все равно орет, что дорого. Хотя музыку заказывает государство, за яйцами в одной корзине проще следить вот и укрупнили среднего игрока на рынке.
| | |
| |
| 3.44, XoRe (ok), 10:07, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > есть некий сервис, который купили в лохматые годы, который работает на
> древнем софте, который обновлять не на что, но который жестко интегрирован
> в бизнес процессы.
> Есть несколько тысяч сотрудников, которые что-то там меняют,
> что автоматически генерирует бухгалтерию
Вот она, бомба замедленного действия.
| | |
|
| 2.79, Аноним (-), 08:33, 25/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Расшифровка трафика посередине позволяет получать сведения о том, какой именно трафик передаётся и принимать решения относительно выбора маршрутов, приоритизации и кеширования.
Чем больше данных можно получить из трафика, тем более правильные решения можно принять.
| | |
|
| 1.26, kvaps (ok), 02:44, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Я так понимаю речь идёт и о системах автоматического выявления и купирования ddos-атак
| | |
| |
| 2.31, Андрей (??), 03:45, 24/07/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
Пока самый полезный комментарий, т.к. в новости отсутствуют важные (именно для пользователей) примеры
> для обеспечения отказоустойчивости сетевых сервисов
которые не возможны без расшифровки.
А если вместо расшифровки улучшать кооперирование с жертвами атак, разве полученных IP адресов недостаточно?
| | |
| 2.33, Аноним (-), 05:37, 24/07/2017 [^] [^^] [^^^] [ответить]
| +2 +/– | |
Им походу напел об этом какой-то админ, а пресс-секретарь в этом не бельмеса, поэтому прозвучало какое-то невнятно "бу-бу-бу" вместо аргументов со стороны противников совершенной секретности.
Хотят, как всегда, везде свой зонд просунуть, выявление ddos для них просто предлог. Сами устроят показательный ддос: вот мол, смотрите, мы были правы.
| | |
| 2.34, Аноним (-), 05:51, 24/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
отличный комменарий, а теперь узнай что такое ddos и расскажи как поможет перехват трафика
| | |
| |
| 3.37, Аноним (-), 07:58, 24/07/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
Возможность посмотреть внутрь пакета как раз и даёт возможность выявить признаки, по которым можно отличить полезный трафик от его имитации.
| | |
| |
| 4.46, тоже Аноним (ok), 10:28, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 И что, много кто ддосит шифрованными пакетами?
Я, увы, не профи, и мне до сих пор казалось, что в таких целях больше балуются низкоуровневым мусором типа DNS Amplification - который уж никак не может быть зашифрован.
| | |
| 4.76, mumu (ok), 04:39, 25/07/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
Расшифровка всех пакетов с целью понять, какие из них ddos? Вы вообще понимаете как работает ddos? Это не с одного ип-шника куча пакетов шлётся. Это миллионы клиентов устанавливают вполне реальные соединения и запросы. Что вы там внутри пакетов увидеть хотите?
| | |
|
| 3.48, Онанимус (?), 10:41, 24/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> отличный комменарий, а теперь узнай что такое ddos и расскажи как поможет
> перехват трафика
Вы путаетесь в терминах. Для dos анализ транзитных пакетов, как правило, не нужен. Для ddos - необходим.
| | |
| |
| 4.77, mumu (ok), 04:42, 25/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Отлично. Вы пост-фактум расшифровали, что миллиард ип-шников со взломаных монгодокеров и прочих линксисов запросили по https картинку котика с сайта третьего лица. Что вам это дало? Расскажите на пальцах.
| | |
| |
| 5.80, Аноним (-), 08:39, 25/07/2017 [^] [^^] [^^^] [ответить] | +/– | Запросы к картинке с котиком будут сильно отличаться у реального пользователя и ... большой текст свёрнут, показать | | |
| |
| 6.97, J.L. (?), 14:51, 29/03/2018 [^] [^^] [^^^] [ответить]
| +/– |
 >[оверквотинг удален]
> DDoS-бота.
> Пользоавтель сначала заходит на конечный набор входных страниц, с некоторой вероятностью
> авторизуется, затем переходит на страницу, куда вставлена картинка с котиком. Браузер
> пользователя передаёт заголовки Referer, Cookie, исполняет javascript. Задержки между
> переходами обуславливаются необходимостью прочитать текст и подвигать мышью. Пользователи
> в большинстве своём используют рекурсивные DNS-запросы к серверам своего провайдера.
> У бота же будет что-нибудь вроде while true; do curl http://example.com/cat.jpg; sleep
> 0.1; done. На практике, конечно же, боты умнее, но всё равно
> их можно отличить от людей, особенно имея запись трафика до начала
> атаки.
организовывается (шифрованный) канал от юзеров в мониторинг трафика и на официальном сайте нужной системы пишется "это правильный и наш айпи (мониторинга трафика)"
а от мониторинга трафика любой канал до целевой системы
защитой от ддос без согласия защищаемой системы занимается роскомнадзор
| | |
|
|
|
|
|
| 1.38, zanswer CCNA RS and S (?), 08:11, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Если они будут использовать постоянные параметры Diffie-Hellman, то в таком случае достичь Perfect Forward Secrecy не удасться. Хотя с точки зрения стандарта это не такой уж и плохой вариант. В корпоративной среде, администраторы смогут указывать в рамках групповой политики, чтобы DH использовал постоянные параметры, а домашние пользователи будут использовать настройки DH по умолчанию, позволяющие менять ключевой материал с течением времени или каких-то событий, например установки нового соединения.
| | |
| 1.50, Онанимус (?), 10:49, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
Я вот чего подумал. Это будет хорошей проверкой на наличие приватных сплоитов. Если стандарт примут в строгом виде, то значит у большого брата есть сплоиты, если же продавят нестрогий вариант, то сплоита нет.
| | |
| 1.70, Аноним (-), 22:11, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>Однако это свойство создаёт проблемы при использовании в корпоративной среде: становится невозможным анализ проходящего трафика даже при наличии и потребности в таковом (например, для детектирования проблемных узлов).
ШИТО?
| | |
| 1.72, RnjNj (?), 23:49, 24/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– | |
> совершенной прямой секретности
Википедисты все-таки не верно это перевели ИМХО. Perfect Forward Secrecy - это когда у тебя есть лог зашифрованных пакетов между клиентом и сервером, потом ты достаешь приватный ключ сервера - а расшифровать все равно не возможно, потому что был использован кратковременный сессионный ключ, который вскоре после использования был уничтожен. К "прямоте" никакого отношения не имеет. Forward - как-то в смысле "будущее", секретность от возможного слива приватного ключа в будущем.
| | |
| |
| 2.78, mumu (ok), 04:44, 25/07/2017 [^] [^^] [^^^] [ответить]
| +1 +/– |
Именно. Речь именно о пост-фактум расшифровке. Она вообще нужна исключительно для слежения за частной жизнью. Никакого отношения к функционированию ИТ инфраструктуры она не имеет.
| | |
| |
| 3.84, Аноним (-), 12:54, 25/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Именно. Речь именно о пост-фактум расшифровке. Она вообще нужна исключительно для слежения
> за частной жизнью. Никакого отношения к функционированию ИТ инфраструктуры она не
> имеет.
То есть вы предлагаете сессионные ключи для всех пользователей постоянно загружать на все наблюдатели трафика в режиме реального времени? Ну OK...
| | |
| |
| 4.85, mumu (ok), 14:29, 25/07/2017 [^] [^^] [^^^] [ответить]
| +/– |
 > наблюдатели трафика
Наблюдатели трафика наблюдают трафик. Он весь есть в заголовках пакетов. А в новости обсуждаются наблюдатели содержимого трафика, который прошел когда-то давно. В пагонах такие наблюдатели.
| | |
| |
| 5.87, Аноним (-), 17:41, 25/07/2017 [^] [^^] [^^^] [ответить]
| –2 +/– |
В заголовках пакетов есть данные вплоть до L4. HTTP-заголовки, например, как смотреть прикажете?
| | |
|
|
|
|
| 1.88, Ilya Indigo (ok), 19:25, 25/07/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > Интернет — для пользователей, а не для сетевых операторов!
Тут и добавить нечего и незачем.
| | |
|
