Comments 19
Чуть уточнения про тильду. у ADM-3A терминала, клавиши Home и ~ были размещены на одной и той же кнопке, по этому переход в домашний каталог сделали через тильду. Отсюда и пошли ссылки и для остальных host:~username.
Юзеру предлагается вручную сравнить отпечаток ключа при первом коннекте, и ничего плохого в этом нет.
Точно плохого ничего нет? А с чем он будет сравнивать то отпечаток? От куда он его получит? Само получение отпечатка также может быть подменено вместе с сертификатом.
UPD: но в общем статья получилась хорошая )
докажите мне что без CA жить никак нельзя.
Ну, не именно без CA, но попробую
позаходить на сайт с разных мест
Только в случае MitM перед сервером (перед хостингом или у вашего домашнего провайдера в случае домашнего сервера) это не поможет
посмотреть в списке сертификатов
git-аккаунт от списка сертификатов можно увести и подделать ключи.
встретиться с админом и сравнить отпечаток ключа, лично или через какой-нибудь защищенный канал.
Лично встречаться/переписываться по сторонним каналам с каждым админом массово никто не будет.
Спасибо за статью
Рекламу можно заказать на телевидении, чтобы значит на всю страну, по центральным каналам быстро показывали списки отпечатков. Для нескольких тысяч популярных BBS - сойдет.
"Сойдёт" - это вообще не аргумент, расширяемости нет.
Наткнулся на интересный пост с описанием проблем gemini от разработчика cURL, там в том числе про сертификаты есть
https://daniel.haxx.se/blog/2023/05/28/the-gemini-protocol-seen-by-this-http-client-person/
И вот здесь некоторые пояснения
gemini://nytpu.com/gemlog/2023-06-04.gmi
Да, идея лёгкого протокола без лишнего мусора хороша. Например к разряду такового относятся telnet-BBS. Тоже лёгкие и доступны даже из под доса. В интернете есть группы людей которые восстанавливают старый интернет, этот самый Web 1.0. В принципе правильно делают. Современные сайты весят как фильмы в хорошем качестве, а контента там на 10 Мбайт. И HTTPS пихают ваще где можно, даже туда где он нахрен не нужен))))
В современном мире он нужен везде, таковы реалии.
Web 1.0 конечно хорош, но абсолютно не функционален на сегодняшнее время. Текстовая форма подачи может и хороша в определённых случаях, но это лишь 1% полезного контента, который к тому же очень трудно создавать, слишком большие накладные расходы. Поэтому он и умер. Жаль конечно.
HTTPS может быть нужен там где юзер указывает конфиденциальную информацию (карточки банковские, номера телефонов и так далее), но зачем лепить это на сайты где нет этого? Например один из белорусских сайтов с прогнозом погоды, там нет ни системы аккаунтов для юзеров(канеш, зачем это в прогнозе погоды), ни функции где нужна банковская карта, но там самый новый Https и невероятно топорный сервер, и даже на новом смартфоне сайт грузится секунд 20-40. Не говоря уже про старые(и не очень) компьютеры. Выглядит это как полнейший бред.
Web 1.0 может в принципе содержать и другой контент, в виде отдельных файлов на сервере. Сейчас даже специально есть каталоги сайтов, работающих по http и сделанных очень просто, большинство из которых регулярно обновляются. Например old-web.com, появившийся в ноябре этого года, или old-dos.ru, работающий уже 15 лет. Не всем людям нужно сверхмодное оформление и невероятно дружественный интерфейс. Некоторым достаточно простого дизайна, толкового содержания и конкретной пользы от каждого элемента, будь то сайт или программа.
https не нужен, если ваш провайдер не лезет грязными ручонками в трафик. Хотя лично я с таким ни разу в жизни не сталкивался.
А ещё можно смотреть, что вы посещаете, и продавать рекламодателям. Имхо, гугл в своё время именно поэтому топил за https и добавлял всякие warning-и в браузер: чтобы конкурентов убрать.
А я сталкивался. И именно в погодные и новостные сайты. Хочешь посмотреть погоду? А тебе всякая фигня сыплется, включаешь мобильный интернет - сайты открываются нормально. Причем сайты https но браузер ругается на "неправильные" и всеми силами старается их не открыть, потому что подменённые работают по http либо с неправильным/недействительным сертификатом(польза встроенных в браузер сертификатов, кстати).
Вектор угроз уже шире, и по-другому не будет - ящик пандоры открыт. Самое очевидное - анализ трафика провайдером и ЕГО МОДИФИКАЦИЯ. И не только провайдером, а например трояном в домашнем/корпоративном роутере(есть и такие!).
Несколько лет назад, после прочтения одной из статей про gemini, завёл свои gopher и gemini сервера, где публикую свои заметки.
Ограниченное форматирование - и плюс и минус, хотелось бы немного больших возможностей и возможность вставлять рисунки.
Также заметил, что в разных gemini-браузерах по-разному форматируется текст.
На счет рисунков, можно встроить картинку прямо в url, и она загрузится вместе со страницей. Потом еще есть великий и ужасный ASCII-art. Для меня было сюрпризом, что оказывается в gemini поддерживаются цветовые команды терминала, то есть, цветной ascii art, и Lagrange его показывает.
Можете рассказать поподробнее?
В файлах примеров ничего подобного не видел.
https://ru.m.wikipedia.org/wiki/Data:_URL - это про то как вставить данные прямо в текст ссылки, чтобы не грузить картинку отдельно. Иногда встречается в обычном интернете.
https://ru.m.wikipedia.org/wiki/Управляющие_последовательности_ANSI#Цвета - вот здесь про цветной вывод текста. Но это нужно чтобы терминал был.
upd: вот еще принес пример: gemini://rellwood.space/maze.gmi - пример страницы которая пытается выводить цветной текст
Злоумышленник не может похитить идентичность, потому что она всегда хранится на устройстве юзера.
Ну т.е. первый же троян свистнет их все с устройства юзера.
Попробовал зайти на один из сайтов gemini попутно смотря трафик через wireshark. Домен сайта передается в открытом виде как и в классическом https. Т.е можно спокойно отслеживать какие сайты посещает пользователь либо блокировать средствами DPI. Почему этот момент не починили?
Хочется странного — шифрование и протокол Gemini