Pull to refresh
37
0
Nikita P. @nagibat0r

Системный инженер

Send message

Вы, кстати, не доказали, что https безопасен. Абсолютно. Никак. Потому как есть такие вещи, как sni и splice. И я как провайдер легко даже без подмены сертификатов увижу, куда Вы заходили, и даже терминирую туннель, если нужно. Это абсолютно неоспоримо. Так что спор Вы проиграли. Можете идти в другую ветку и упорно доказывать всем всё, что угодно

Ещё раз. В моём сообщении указано то, о чем спрашивали. Нужны подробности? Вот спецификация https://github.com/Yawning/obfs4/blob/master/doc/obfs4-spec.txt. Читайте.

Я ещё раз повторяю, я Вам рассказал, как оно работает, и я прекрасно знаю, но так как Вы неспособны усвоить ничего, идите в Гугл, пожалуйста. Я не намерен отвечать на вопросы, которые ставятся в такой форме. Во первых, я не на экзамене, а Вы далеко не учитель. Во вторых, Вы все равно не согласитесь ни с чем в силу своего жирного троллинга

без конкретики

Я что, бесплатная Википедия? Я рассказал все довольно подробно, что еще требуется? Потратьте своё личное время и перечитайте 100 раз, может и поймете.

Обмен ключами с кем? Как убедиться, что обмен произошёл с кем надо, а не с кем-то подконтрольным условному Китаю?

Извините. но я спрошу. Вы в себе?

подконтрольным условному Китаю

Выше спросил.

Это я вас спросить хотел, это вы зачем-то вспомнили Китай.

А почитать в Гугле не судьба, как связан OBFS и Китай? Мне снова тратить личное время на ответ на глупый вопрос?
Речь о Великом Китайском Файрволе, который славится тем, что кастрировал все, что можно, но Tor работает через OBFS.

правильность которых вы решили верить

Кормитесь в другой ветке
вполне технически возможно

Я не сказал, что это НЕВОЗМОЖНО! Я сказал, что этого никто не сделает! По понятным причинам!

вы так и не рассказали

Если Вам сложно открыть Гугл, ок, специально для Вас, коли Вы такой лентяй.
Obfs4 использует протокол, который маскирует свой трафик, чтобы он выглядел как случайные данные. Obfs4 основывается на ScrambleSuit — транспортном протоколе, который затрудняет, для DPI, идентификацию и блокировку трафика. ScrambleSuit обеспечивает защиту от атак зондированием, используемым Великим китайским файрволом. При использовании obfs4, рукопожатие всегда делает полный обмен ключами. Рукопожатие использует метод согласования ключей NTor, который запутывает открытые ключи при помощи алгоритма Elligator 2; Шифрования канального уровня использует библиотеку (NaCl) с имитовставками (Poly1305 и XSalsa20). Считается лучшим в том, что он быстрее, чем другие транспорты. Для реализации обфускации obfs4 используется obfsproxy. Obfsproxy работает по принципу клиент-сервер, на стороне клиента Tor трафик обфусцируется (маскируется) в obfsproxy и уже потом отправляется в направлении т.з. моста, где также стоит obfsproxy который снимает с трафика маскировку и шлёт его уже в Tor сеть. Таким образом скрывается факт использования Tor сети и повышается безопасность TLS/SSL трафика за счет его дополнительной модификации (обфускации). Надеюсь, внятно?
а Китаю доверяете

А при чем здесь Китай? Какая разница, доверяю я ему или нет? О чем Вы? Так, чтобы спросить и поболтать ни о чем?
HTTPS безопасен

Да ради Бога, думайте так дальше, я Вам не мама, чтобы воспитывать.
Другой провайдер может не делать MitM

И не факт, что Вы это узнаете ;-)
Я вам больше скажу — весь интернет рубится

Я понял уже давно, что для Вас безопасность — не пользоваться вообще ничем. Но мы говорим не об этом.
например по белому списку

Какие белые списки? Вы о чем? OBFS маскирует трафик, делает нечитабельным. Отрубить неизвестный трафик — это убийство, на это даже Китай не пошел, от чего там успешно работает OBFS.
Я в самом начале обсуждения сказал, что HTTPS небезопасен, и нужно использовать другие средства защиты, а Вы мне сейчас Америку открыли!!??
осилить DNSSEC

Это нужно было осилить уже давно.

сменить провайдера

Смысл?

подключить какой-нибудь такой VPN или SOCKS-прокси

VPN рубится и факт его использования на стороне провайдера очень даже отлично определяется теми же Цисками. Да куда там, даже Kerio умеет. Как и SOCKS — рубится с полпинка практически. Так что единственное, что поможет в корне — это obfs+tor. О чем я, черт возьми, в начале и сказал, но Вы развели демагогию, дназывая https безопасным и доказывая это чуть ли не со свистом, но при этом предлагая удалять доверительные отношения с рутами (на чем и в принципе основан https). И при этом в конце сказав, что Вы боретесь с MITM… Уважаемый, у меня нет слов :)
А пока я MitM моего провайдера успешно обхожу

Скоро по-другому будет)
Вы неверно трактуете понятия и описания — Ваше дело. Вы не понимаете отличий end-to-end от https? Очень жаль, хотя это уже Вам не раз говорилось. Я устал с Вами спорить, потому что Вам ничего не докажешь. И Вы прекрасно знаете, что end-to-end это далеко не https, даже если выпилить третью сторону, это разные вещи, и хватит заниматься троллингом, уже очень жирно, на самом деле.
Это напоминает крылатую фразу современности: «Лучше так, зато войны нет»
А сейчас без HTTPS высовываться нельзя даже не находясь в макдональдсе

Если Вы такой специалист в плане ИБ, как пытаетесь показать в других ветках, то какого черта Вы сидите в общественных местах задницей наружу с голым HTTPS? Если Вас так заботит Ваша приватность, как минимум нужен tor+obfs, или на худой конец ,VPN (неважно, поднятый вручную где-то там, или доверенный провайдер).
Вот о том и речь.
Этот товарищ сам себе противоречит, не обращайте внимания. Он не понимает, что HTTPS в том виде, в котором он есть, является лишь иллюзией безопасности, о чем я неоднократно сказал… Но видимо, раз он решил, что удалив (!) все сертификаты и все центры из доверенных, он получает end-to-end, то спорить бесполезно
Если Вы не сможете доверять сертификату, как Вы попадете на ресурс!? Ведь MITM будет в любом случае, хотите Вы этого или нет, добавите вы в «доверенные» сертификаты или нет. Я Вам уже задавал этот вопрос, но Вы не ответили. В этом и заключается Ваша безопасность — не использовать Интернет?
Нет, и еще раз нет. Вы в корне неверно рассуждаете.
А при чем здесь TLS-PSK, когда речь идет о TLS (HTTPS)?
Товарищ Андрей (Вас ведь так зовут?), а теперь перечитайте ветку. При осуществлении SSL Bump происходишь дешифровка. Полная. Далее идет обратный процесс, только своим сертификатом. Он должен быть либо в списке доверенных, либо подписан корневым центром, но лишь для того, чтобы показывался «зеленый значок». Не более! И так для всех https ресурсов.
На небезопасный — не надо.

Ресурс — безопасный. Небезопасный протокол! Вы откажетесь от всего Интернета?
Если браузер не выдаст ошибку безопасности

Я не сказал, что он не выдаст ее! Вы либо добавляете в список доверенных мой сертификат, либо я его подписываю в корневом центре. Иначе-ошибка. Но на ресурс вы зайти сможете.
И ещё раз. Как провайдер проведёт mitm без доверия купленному сертификату?

SSL Bump будет произведен в любом случае, как только Вы откроете ресурс, независимо от того, есть ли у Вас сертификат в списке доверенных или нет. Просто, если сертификат провайдером не куплен, а самоподписан, у вас «значок не зелененький» будет, пока не добавите провайдеровский сертификат в доверенные.
Браузер прервёт соединение, потому что не доверяет сертификату провайдера

Ну а Вам-то надо попасть на ресурс!? В чем заключается безопасность? Нет соединения-нет проблем? Прикольная у Вас логика.
автоматически признает ваш сертификат безопасным

Вы читаете, что я пишу? Мне кажется нет. При чем здесь автоматическое признание? Я что, Ваш провайдер? Уже сказал, что провайдер может купить сертификат, может дать Вам для внесения в список доверенных, и Вы можете отказаться. Но Вам нужно попасть на ресурс, не так ли? И как Вы туда попадете с помощью Вашего суперзащищенного HTTPS? Я уже устал повторять, я говорю о том, что HTTPS небезопасен, так как его можно расшифровать с помощью SSL Bump. Где здесь безопасность? А плюс к этому, третья сторона в протоколе. Это не безопасность вовсе.

И ещё раз. Даже если Вы уберёте корневые центры из доверенных, да хоть что сделаете, это не мешает ни разу производить mitm. Покупка сертификата провайдером — это лишь для создания иллюзии Вашей безопасности. Провайдер может этого не делать, а дать Вам сертификат для импорта в браузер. Вы можете отказаться. Но при открытии ресурса Вы все равно не обеспечите безопасность с помощью https, так как bump будет произведён в любом случае, так как 443 порт завернут на прокси. Достаточный довод? Или мне нужно процитировать пример из той же squid wiki?

В чем же я уклонялся? Мне что, присылать ответы вида «давай я поищу в гугле вместо тебя»? Может быть, будем уважать друг друга и дурацкие вопросы будем задавать Гуглу?
Ведь если посмотреть на то, каким образом работают end to end и HTTPS, то очевидны недостатки последнего. Если есть третья сторона — это не безопасность по причинам, которые я указал выше. Удалять руты? Да ни один здравомыслящий человек это не сделает, потому что он на половину сайтов никогда не зайдет из-за HSTS.
Я вам повторяю, что TLS и end-to-end — это очень похожие вещи в корне!

Эх. Ну что ж, раз Вы не знаете матчасть, мне очень жаль. Любите факты? Да пожалуйста.
end-to-end:
Шифрование происходит на конечных устройствах, данные остаются зашифрованными, пока не будут доставлены к месту назначения. Ключи шифрования известны только двум сторонам. Всё. Никому более. Никогда. Кроме того, обе стороны сравнивают свои отпечатки открытых ключей.
tls: нет никаких «своих отпечатков открытых ключей» здесь нет. Вся безопасность сводится лишь к проверке валидности сертификата у root'a. Вы предлагаете отказаться от корневых центров? Вы ломаете эту Вашу безопасность. Без корневых центров вообще никак не проверить подлинность сертификатов. Брать у админа ресурса? Вы шутите? Конечно же шутите. Ведь никто Вам не даст сертификат. Кому это надо? Только Вам, и никому более, никто о Вас и думать не будет. А если добавляете корневые центры, то это ничего не добавит, кроме иллюзии безопасности. Никто не отменял ssl_bump и sslstrip. В end-to-end в принципе невозможна такая атака. Никак.

Озвучьте тогда точную стоимость

А Вы сами спросите у центра сертификации. С чего мне рассказывать Вам подробности получения сертификата?

Может, вы ещё и сами выпуском поддельных сертификатов занимаетесь

Вы меня раскрыли. Какой ужас.

То же самое в SSH и PGP вас почему-то не смешит.

Потому что принцип действия SSH совсем отличается от HTTPS. В корне. Поэтому меня это нисколько не смущает.

Information

Rating
Does not participate
Location
Россия
Registered
Activity