Новости хайтеха, белок-истеричек и бытовой наркомании.
> Американский IT-бизнесмен Майкл Талан сообщил, что США отозвали SSL-сертификат у официального сайта ФСБ России. Ситуацию прокомментировал глава Фонда защиты национальных ценностей и член ОП РФ Александр Малькевич.
> По информации общественника, американские власти якобы "устали" от политики России, поэтому приняли решение об аннулировании сертификатов 35 официальных российских организаций. Соединенные Штаты также планируют отобрать сертификат у IT-гигантов Яндекс и "Mail.Ru".
Мы натыкались на эту "новость" раз эндцать, но, честно говоря, не предполагали, что её начнут раскручивать.
Вот оригинал новости, которую комментирует российский общественник Александр Малькевич: https://gordonua.com/news/politics/it-biznesmen-iz-ss..
Это, как заметно, интервью формата "встретились два одиночества, капая слюной на тему рашки-какашки". В тексте там много всякого, но начнём с ключевого.
Весь тезис про "аннулировали сертификаты 35 официальных российских организаций, в том числе сайтов fsb.ru и kremlin.ru" - выдуман. Вы можете воспользоваться сервисом Google для проверки истории сертификатов ( transparencyreport.google.com/https/certificates ), чтобы убедиться, что сайты fsb.ru и kremlin.ru не имели https-варианта. Если бы сертификаты были, и их отозвали - они попали бы в данный список.
Это подтверждается и другими зарубежными сервисами - как видно по WOT (см. www.mywot.com/scorecard/fsb.ru/ ), комментарии про отсутствие https-варианта, из-за чего современные браузеры помечают сайт как небезопасный, т.к. информация передаётся в открытом виде, есть и за предыдущие годы.
Это исключает тезис "США вот ща отозвали сертификаты".
"Американский IT-бизнесмен Майкл Талан" же - это бывший сотрудник российского филиала фирмы Oracle, где его позиция была presale. Это продажник, чуток разбирающийся в номенклатуре продукции Oracle - даже минимальные знания PKI и связанных технологий в его компетенцию не входили. Поэтому неудивительно, что не обнаружив сертификат у fsb.ru, он выдумал, что сертификат отозвали. То, что его там и не было в принципе, слишком сложно и необычно.
Число перлов по части матчасти у IT-бизнесмена, вообще, внушает. Это и "синхронное и асинхронное шифрование" (см. https://www.youtube.com/watch?v=Ge-YKsvul58&featu.. ), намекающее на звукоподражание у старших приматов, это и офигительнейшие истории (одна офигительнее другой) из интервью (см. https://gordonua.com/publications/it-biznesmen-iz-ssh.. ), к примеру:
> Мы с моим одноклассником стали обсуждать, какие возможности открываются для государства, использующего подменные SSL-сертификаты. Он засмеялся и сказал: если ваш трафик можно читать, значит, его можно подменять.
(плакали всей концепцией цифровой подписи и базовым пониманием "чем конфиденциальность отличается от authenticity")
> Чтобы удостовериться в этом, пришлось провести эксперимент. Я родом из Карелии, у меня там остались друзья детства. В Карелии в приграничных зонах, если у вас есть телефон, зарегистрированный в Финляндии с местной сим-картой, вы можете поймать финскую сеть. Я попросил своего друга в Карелии поучаствовать в эксперименте, а именно: он поехал в приграничную зону с ноутбуком, пересек границу, купил финскую сим-карту, вставил ее в телефон и вернулся в Россию. Дальше он взял ноутбук, подключился к интернету через российскую сим-карту, зашел в Facebook, сделал скриншот ленты. После он перегрузил компьютер, сбросил кеш в браузере и зашел в Facebook, используя интернет финской сим-карты. Опять сделал скриншот. И это оказались две абсолютно разные по содержанию ленты, хотя пользователь один и тот же.
> – И это означает: фильтруют то, что я смотрю в интернете? Причем в режиме онлайн фильтруют?
> – Они скрывают в Facebook контент, который не хотят, чтобы вы видели. Они его пересортировывают.
(т.е. понимаете, разная лента ФБ в зависимости от геолокации однозначно указывает, что ФСБ проникает в сессию, и выкусывает/модифицирует там контент, а вовсе не то, что сам ФБ её, ленту, так генерит).
... Что показательно - этот человек, основным достижением которого является "на волне эмоций после неудавшейся Болотной уехал в США, потому что а вдруг начнут копать то, как именно я, подмигивая различным чиновникам, помогал продукции Oracle попадать в российские госучреждения", считается в оппозиционной среде мегаэкспертом: https://www.forumfreerussia.org/en/biographies/talan/ . Т.е. прикиньте, эта сверхгнилая тема "Оппозиционный айти-хаб в Прибалтике", которой лет этак 12, породившая Медузу и в принципе закончившаяся пшиком, до сих пор варится в себе, а в качестве компонентов бульона - такие вот икспёрдты.
Будьте внимательны, изучайте PKI и проверяйте источники.
Комментарии
редкие... специалисты. о существовании сайтов дающих локальный скриншот кажется они не знают.
надо обязательно чела в финляндию гонять.
Бешеной собаке семь вёрст не крюк!
В общем-то, сейчас все крупные порталы выдают локализированно-персонализированный контент. Подстраиваются под конкретного пользователя и его местоположение.
Мне кажется, это знают даже люди, сильно далекие от ИТ, и ни в какую Финляндию гонять не надо. Зайди на букинг через vpn из Германии и удивись, как меняется выдача по запросу, а заодно и ценник на те же отели.
Ему бы TORом FB попробовать через разные локации......
Вы статью прочитайте. И не позорьтесь.
Прочитал, автор пургу гонит.
В статье говориться, что эти сайты всегда такими были. У них этих сертификатов отродясь небыло.
Источник неточный. Правильно: Лавров DB.
https://vk.com/wall-197487820_25350
Хай-поносцы, одно слово )))
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
фсб ладно, хотя и у них есть страничка для обращений пользователей. а вот почему госуслуги пользуются сертификатами какой-то комоды?
Вообще то нифига не секурно доносы открытым текстом слать. Их могут исказить на лету до неузнаваемости. Тема с сертификатами не такая простая как кажется.
Спасибо за разбор.)
Не мне, это со страницы руслана Карманова
Ну где бы мне этого Карманова искать, а разбор тут.)
вот хорошая статья на эту тему
https://meduza.io/feature/2020/02/10/ideya-prosta-ne-uprashivat-microsoft
Тут не суть начального хайпа. Главное чтобы наши УЦ засунули в браузеры и ос по итогу. Желательно ещё и с ГОСТ.
А это помешает владельцам ОС и браузеров вносить конкретные сайты в черный список? В т.ч. недоступный юзеру для редактирования?
Ведь нет? Ну, так из этого и стоит исходить. ИМХО.
Интересный вариант. А криптуху гостовую потребуют использовать онли? А то в минцифре уже задумали запретить лишнее
https://habr.com/ru/news/t/520062/
Не проблема как бы. Я с ГОСТ 2012 работаю, пока не доходит дело до подписей все норм
"(т.е. понимаете, разная лента ФБ в зависимости от геолокации однозначно указывает, что ФСБ проникает в сессию, и выкусывает/модифицирует там контент, а вовсе не то, что сам ФБ её, ленту, так генерит)."
Это еще что. Вбейте в поиске Гугла и Яндекса "Россия весна" и порадуйтесь картинкам)
так все зависит от алгоритма.
яндекс подстраивается под ожидание пользователем красивой качественной картинки:
В пресс-службе «Яндекса» различие объяснили разным подходом поисковиков к ранжированию картинок. «По нашим исследованиям, пользователям в поиске „Яндекса“ по картинкам важна релевантность картинки, ее размер и качество», — прокомментировали в компании.
а гугл дает сырую актуальную информацию.
сравни картинки по запросу "новичок". яндекс дает хрень какую-то, а гугл - меметичные картинки про токсин, включая химическую формулу. каждому свое - кому-то фотообои интересны, кому- то смысловое наполнение.
Можно вбить в гугл "украина весна". Отчего-то алгоритм начинает искать "подснежники", а не канавы.
Тут возникает вопрос,,,фиг с ним отозвали или не отозвали,,кто танцует ваабще сертификаты?
Скоро всех перестанут волновать такие мелочи как сертификаты. Развитие ИТ совершило виток и много пришло к мейнфреймам. Не надо будет ничего скопировать для органов, все и так станет доступно. Включая нашу персональную бигдату.
http://russian.people.com.cn/n3/2020/0921/c31517-9762536.html
Доеду до большого компа посещу сайт ФСБ, про шпиенов почитаю долгими осенними вечерами!
Стремно доверять "информации" от Руслана Карманова, известного мошенника и лжеца.
кому известного, а главное, чем ?
Стрёмно - это убивать своих собственных граждан, в товарных кол-ах за то, что они посмели копаться в грязном белье правящих элит, всяких кланов Бушей, Клинтонов и тд и тп - Американские покойники. И после этого нам рассказывают об «отравлении» Навального…
Ну с "можно подменять если можно читать" в случае https - можно согласится (если нет hsts - браузерам же плевать что в сертификате - важно что он от доверенного центра - вот только в России насколько помню НЕТ доверенных (в том смысле что им доверяют по умолчанию основные браузеры) корневых центров сертификации) именно потому что 'а вдруг ФСБ будет читать/подменять в том числе и для граждан России!!?', ).
Но это единственно что какой хоть как то осмысленно
Про ленту ФБ делать выводы что - в финляндии наверно злое ФСБ еще и язык переключило на финский у того же пользователя? -:). Страна для ФБ - важна.
А отзыв сертификатов не за нарушение внятно прописанных требований а по политическим причинам - это надо совсем идиотом быть. Именно потому что это будет ОЧЕНЬ хорошая реклама в Яндекс.Браузер(и что там у МейлРу?) добавить свежесозданные CA и предложить все желающим перевыпуск сертификатов. И сделают. А то что после этого Яндекс могут (подозреваю - даже совершенно законным образом) 'попросить' выпустить промежуточный CA для ФСБ в смысле для перехвата... ну Яндекс конечно посопротивляется но может и согласится.
И получаем что если одна из целей https - в России теперь не достигается, усилиями защитников демократии же. Ну и Россией эта история - не ограничится.