= Сообщение: 1929 из 10763 ===================================== RU.UNIX.BSD = От : Alex Korchmar 2:5020/400 09 Sep 14 12:53:22 Кому : Dmitry Miloserdov 09 Sep 14 12:53:22 Тема : Re: Squid, новые браузеры... FGHI : area://RU.UNIX.BSD?msgid=<1187493955@ddt.demos.su>+a061698a На : area://RU.UNIX.BSD?msgid=<1187493952@aspen.stu.neva.ru>+fa2eccfb = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: Alex Korchmar <noreply@linux.e-moe.ru>
Dmitry Miloserdov <dmitry@bis.ru> wrote:
>> если он взломан - мы вже прийихав, и сертификат не поможет. Вероятность что >> в моем уютном мире кто-то всерьез занялся mitm attack и тут же не спалился >> - небольшая. DM> Hу имелось ввиду не непосредственный взлом сайта а контроль за трафиком DM> на стороне сервера, хотя и непосредственно взлом может не означать я и говорю - приехали, если кто-то залез на сервер, он может уже не париться даже ключом - сервер сам ему все расшифрует и на блюдечке выложит.
DM> И да вероятность небольшая. Я лишь утверждаю что взлом двух независимых DM> точек менее вероятен чем взлом одной. для https mitm не надо ничего взламывать.
>> не согласен. Потому что взломов конкретно "моих" банков и пэйплэла в истории >> не значится, а добровольное-с-песнями, не говоря уж о корпоративных файрволах - >> неоднократно. DM> пейпел ломали неоднократно - последний раз месяца 3 назад. я что-то не слышал о реальных взломах, а не об утечках непойми чего.
DM> Хорошая история ничего не значит - за неделю до краха большинство могли DM> похвастаться отличной историей. В "твоих" банках завтра поменяют всех DM> сотрудников и тебе ничего не скажут. И о спертом ключе тоже не скажут. обычно палевом пахнет задолго до того, как меняют сотрудников. И говорить ничего не надо. Вот если ключ сперли - это да, печально - потому что ни одна сука не признается. Hо я не вижу, чем тут поможет любая реализация ssl.
DM> Hо все же сравниваем вероятности: в тот момент когда твой трафик DM> перехвачен более вероятно что злоумышленник еще и смог взломать DM> УЦ чукчателекомъаднака или то что ты в этот момент входишь впервые DM> на этот сайт? первое. потому что даже взламывать ему необязательно.
>> примерно. Еще возможность в первый раз - таки проверить подпись CA и >> что именно ей подписано - "зеленым" есть основания доверять больше. DM> Hу путь-то тебе покажут и ссылки на УЦ дадут и интересующую инфу DM> всю увидишь вручную. Хотя никто не мешал сделать нормально.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)