Последнее время повсеместно, всех и вся, добровольно и с песней, под предлогом защиты данных пользователя переводят на шифрованные каналы. Применительно к web это означает переход с протокола http на протокол https.
С технической точки зрения это означает в первую очередь радикальное просаживание производительности сервера.
Тем интереснее посмотреть на эффективность (и условия применимости) навязываемого решения.
Должно быть общеизвестно, что главный «вирус» на рабочей станции под управлением самой распространённой ОС — это т.н. «антивирусное» ПО.
Здесь же отмечу, что в корпоративной среде, в качестве альтернативы ослу (который Infernet Exploder) обычно предпочитают Google Chrome. И ниже будет показано почему.
Стартовая точка:
Рабочая станция, под управлением самой распространённой ОС, «защищённая» антивирусом Касперского. Пользователь предпочитает браузер FireFox.
Лирическое отступление из личного опыта к вопросу о компоновке пакета: достаточно давно наблюдалась замечательная ситуация, когда FireFox на линуксе при обращении по протоколу https просто рисует страницу, его же сборка на самой распространённой ОС на той же ссылке рисует ошибку «неизвестный центр авторизации».
Нежданчик:
FireFox начинает рисовать ошибку «неизвестный центр сертификации» на всех обращениях по протоколу https. Причём ни в осле, ни в хроме таких безобразий не наблюдается.
Объяснение ситуации простое и очевидное: главный зловред запущен в режиме проверки http[s]-трафика (что где-то может быть оправданно, а где-то является наивностью за гранью идиотизма). По факту это означает, что в роли «клиента» для ресурса выступает «антивирус», который потом шифрует данные для настоящего клиента (браузера). Но, т.к. ключа сертификата сервера у него, естественно, нет, то вместо оригинального сертификата антивирус вынужден использовать поддельный сертификат сервера, заверенный таким же локально-самодельным сертификатом центра авторизации.
Особенно фееричный результат наблюдается на сайтах, проставляющих заголовок HSTS (что для клиента практически означает невозможность ручного добавления исключения безопасности).
С ослом финт проходит незамеченным, ну разве что кто-то может удивиться тормозам, потому что главный зловред умеет добавлять сертификаты (вышеупомянутый самодельный ЦА) в локальное хранилище (в качестве доверенного корневого ЦА). Виндовая сборка Google Chrome (и по косвенным признакам — все прочие браузеры на базе webkit'а) использует стандартное системное хранилище сертификатов и в рамках исследуемой задачи не отличается от осла.
В этом самом месте свидетели секты пророчества вирусов для Linux должны порадовать публику рассказом о том, что у FireFox недостаточная популярность для того, чтобы разработчики зловредов снизошли до реализации работы с его хранилищем сертификатов.
Особенно прекрасно совмещение знания описанной ситуации, широко распространённой практики жёсткой завязки клиент-банка на IE и несомненно «добровольно» принимаемыми условиями лицензионного «соглашения» на антивирусное ПО. В части материальной ответственности разработчика ПО.
Поддержка Mozilla закономерно и справедливо рекомендует выключение функции проверки https-трафика. Что не всегда возможно. Не говоря о рисках эксплуатации фичи вирусописателями.
На форуме разработчика зловреда естественно рекомендуют установить сертификат ЦА. Не слишком балуя аудиторию указанием имени файла и способа его промышления. Если кто-то вдруг не в курсе: это прозрачный намёк на практику сокрытия системных каталогов самой распространённой ОС от пользователя и интуитивно-понятность способа включения их отображения.
Популярный и полагаемый некоторыми камрадами авторитетным источником ресурс geektimes.ru радует публику праведным негодованием клерка, обнаружившего вышеописанную фичу.
Комментарии
С первыми-то всё понятно. Ассемблер тоже язык и это единственный язык для которого можно гарантированно убедиться, что записанный на CD бинарник точно соответствует исходнику.
Но вот пользователь купил новый компьютер. Как ему установить Линукс (или другое СПО)? У него всего два варианта.
Первый: доверять производителю дистрибутива, то есть взять у него бинарники, возможно что-то перекомпилировать компилятором из того же дистрибутива. Если производитель дистрибутива вложит троян, выявить его невозможно.
Второй: на другом компьютере из проверенных исходников на ассемблере собрать загрузчик, ядро и компилятор Си. Записать на компакт. Дизассемблированием убедиться, что бинарник соответствует исходнику. Загрузиться с этого компакта, собрать gcc и минимальную базовую систему из исходников, установить на компьютер.
Кроме того, в современных компьютерах ещё есть блобы в BIOS и если очень не повезёт, то может оказаться, что операционка запущена внутри гипервизора, установленного производителем компьютера. Поэтому кроме открытых исходников ещё и процессор нужен типа Эльбруса.
ВОН!
Давайте не будем мелочиться и обобщим модель до проблемы доверия профессионалу в системе разделения труда.
С отягчающим факторов в виде проявления Интереса Капитала, в направлении, прямо противоположном интересам конечного пользователя (условная работоспособность, активации и тотальный контроль — это всё совершенно бесплатно (особенно сервера лицензий) и крайне востребовано пользователем).
Перспективный чат детектед! Сим повелеваю - внести запись в реестр самых обсуждаемых за последние 4 часа.
Хттпс не кешируется. Это оснлвной косяк. И не лечится.
кем не кешируется?
Клиентское кеширование отлично работает на Https
А если про нищебродские извраты со squid'ом, то это стоит оставить в 200X годах. Сейчас такой необходимости нет. Трафик статики сайтов сейчас лишь малая часть от мультимедийного трафика (ютубы, торренты и тд)
Блин, не позорились бы такие статьи публиковать. Уже лет 5 как вообще никому не интересна проблема снижения скорости/производительности из-за SSL.
Блин, не позорились бы демонстрацией проблем с пониманием прочитанного.
Спасибо за ещё один аргумент на тему почему от хрома надо избавляться!
Решение недостаточно радикальное ☺
Камрад, а суть поста в чем, так и не уловил? Юзаю Firefox ESR, никаких проблем не было и нет с HTTPS и антивирь сканирует SSL. http://i1.imageban.ru/out/2017/07/02/665de5e2443c065e15ee30609e853c38.png
В виду последних тем на счет https://aftershock.news/?q=node/538202 поступил так, прикупил ssd на 60 гиг - установил на него виртуалку (будет виртуальный сетевой интерфейс, работающий через NAT, т.е. с IP вроде 192.168.x.x и левым MAC) -- закатал на виртуалку левую винду.
далее, чтобы скрыть свой IP от посещаемых сайтов, и скрыть свой трафик от своего провайдера/соседей/Tor exit node открыл доступ к VPN-сервису (не важно, на базе OpenVPN или SSH). это должен быть либо бесплатный VPN, либо оплачиваемый. ОС необходимо настроить так, чтобы весь трафик шёл только через VPN. чтобы скрыть свой IP от владельцев VPN-сервиса и их провайдера -- необходимо направить VPN-соединение через Tor.
ну, а чтобы гарантировать, что никакие сбои (или взлом с перенастройкой) внутри виртуальной машины не «засветят» твой реальный IP адрес необходимо настроить файрвол на основной (host) системе так, чтобы весь (т.е. не только TCP, а действительно весь!) трафик виртуальной машины пропускался исключительно в Tor и никуда больше.
и нет проблем
http://i4.imageban.ru/out/2017/07/02/bc2f3b446fe230b94c600312b5cc9f05.png
http://i6.imageban.ru/out/2017/07/02/41aef4e04bb944bceebeade9cd8be2dc.png
С учётом комментария суть в том, что разработчики твоего антивируса (ESET) не поленились запилить поддержку FF.
Для наглядности рекомендую посмотреть сертификат ЦА домена aftershock.news.
У меня, без антивирусов, это:
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
4c:aa:f9:ca:db:63:6f:e0:1f:f7:4e:d8:5b:03:86:9d
Signature Algorithm: sha384WithRSAEncryption
Issuer: C=GB, ST=Greater Manchester, L=Salford, O=COMODO CA Limited, CN=COMODO RSA Certification Authority
Validity
Not Before: Jan 19 00:00:00 2010 GMT
Not After : Jan 18 23:59:59 2038 GMT
гыгы
тут одно из двух
CN: *.aftershock.news
Serial: 00:86:EA:97:45:45:23:F7:17:AD:FF:D8:7E:64:C8:03:4A
SHA-256: 30:1C:17:BD:D8:F8:6E:0B:5F:F2:6C:C9:3C:7B:3C:E7:6B:0A:03:E9:5E:B1:5D:93:10:49:17:B8:77:08:1F:9D
SHA1: 35:2F:D5:C6:33:16:44:B7:BB:B8:04:43:B3:BD:57:45:7D:42:A3:25
В смысле?
Я цитировал поля сертификата ЦА. Вы — сертификат *сервера*.
Где здесь «гы»?
виноват
Ружьишко-то не просто так повесили. Оно таки выстрелило.
В смысле практического примера использования потенциальной угрозы не только продаванами вредоносного ПО.
Страницы