= Сообщение: 4620 из 10763 ===================================== RU.UNIX.BSD = От : Alex Korchmar 2:5020/400 11 Oct 16 12:39:35 Кому : Victor Sudakov 11 Oct 16 12:39:35 Тема : Re: Доверенные сертификаты в Firefox FGHI : area://RU.UNIX.BSD?msgid=<1187506244@ddt.demos.su>+181995be На : area://RU.UNIX.BSD?msgid=2:5005/49+57fc5d60 = Кодировка сообщения определена как: CP866 ================================== ============================================================================== From: Alex Korchmar <noreply@linux.e-moe.ru>
Victor Sudakov <Victor.Sudakov@f49.n5005.z2.fidonet.org> wrote:
VS> Да, стили все поехали безобразно, хотя текст еще читаем. Хороший пример, ты еще не заметил, что картинки со стора тоже туда ?
VS> Интересно будет посерфить с отключенными сертификатами на VS> предмет, какие сайты сохранят хотя бы минимальную работоспособность. stone age - не использующие cdn'ы, внешнюю хранилку картинок, "облачные" скрипты, типа jquery, плейеры и т д. Еще, кстати, с flash должны быть интересные глюки, разные в разных браузерах и системах.
Короче, нет такой буквы, не работает современный веб без доверенных сертификатов.
VS> Hа этот счет разные мнения существуют, например ну вот и результат этого подхода налицо. Те, кто еще не просрал все мозги, не могут ни вовремя заметить проблему, ни обойти то, что шибкоумный софт считает проблемой, хотя оно ей не является.
Правильный подход к сертификатам очевиден - база жестких (игнорирующих все что написано в CN и extentions) сопоставлений сайт/сертификат, причем - сертификат, а не "fingerprint" или еще какая-то ересь. Управляемая вручную. Помощь пользователю (в том числе в виде надписи "такой-то ручался за то что этот сертификат настоящий") полезна, но необязательна. Ровно как это было сделано в ssh (cейчас альтернативно одаренные тянут и туда "подписи") При появлении чего-то ВМЕСТО - выводим мильен мигающих красных окошек с надписью "тебя слушают прямо сейчас". Во всех остальных случаях - продолжаем работать, аккуратно обозначив факт "тут что-то шифруем, но непонятно, для или от кого". Включая не только неизвестные сертификаты, но и разновсякие weak keys, несовпадающий pinning и прочие проблемы , пока их вообще возможно решить в рамках стандартных библиотек.
AK>> А "trusted certificates" - банальное вымогательство, тикет про AK>> Честного Ахмада копченые мудаки старательно закрывают раз за разом (у AK>> кого есть логин - переоткройте, плиз, давно пора), VS> Это ты про что? Ман что? https://bugzilla.mozilla.org/show_bug.cgi?id=647959
