Про доверие в Интернете
Mar. 24th, 2017 10:23 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitВдогонку к предыдущему посту. Это давно задуманная попытка посчитать всех, кто может вмешаться между автором контента и его потребителем в процессе доставки. Дополнения и поправки принимаются. Случаи банальной кражи пароля и завирусовывания по площадям в расчёт не берутся.
1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.
2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.
3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.
4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).
5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.
6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.
7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.
Наверняка что-то ещё я забыл.
С вами была пятничная рубрика «Как страшно жить».
1. К сайту доступаемся, получая его адрес через DNS. Чаще всего через провайдерский. Который может дать модифицированный ответ на пользовательский DNS-запрос. Страховкой может оказаться DNSSec, но иногда злонамеренные резолверы DNSSec-валидацию отрубали.
2. Контент лежит на хостинге. Это значит, что его могут изменить сотрудники хостинговой компании. Случаев мне неизвестно, но должны время от времени происходить.
3. Если сайт не защищён с помощью TLS-сертификата, то передаваемый контент можно заменить где угодно, и вставка баннеров в код страниц точками Wifi-доступа в кафешках носит характер невинной игры в крысу.
4. Если сайт защищён по https, то надо понимать, что в типичном браузере прошито примерно 200 доверенных УЦ, и каждый может (технически) выпустить сертификат для вашего домена. Страховки от этого есть, Certificate Transparency (поддерживается только в Google Chrome, Mozilla только собирается), Certificate Pinning (Chrome и Mozilla), DANE (требует DNSSec, поддержка только в плагине к Mozilla).
5. Верификацию сертификата вы доверяете браузеру. Местами операционной системе, куда могут быть установлены сертификаты от разного рода TLS Proxies, DLP-систем и т.п. То есть доверяете авторам браузера, которым пользуетесь.
6. Плагины, которые в браузер установлены, тоже могут менять контент web-страницы.
7. Большинство сайтов использует JavaScript-овый код для подключения баннерных сетей. Он тоже будет управлять тем, что вы увидите. Пока что были прецеденты подсовывания ссылок на malware, но думаю, что и таргетированные атаки ещё последуют.
Наверняка что-то ещё я забыл.
С вами была пятничная рубрика «Как страшно жить».
no subject
Date: 2017-03-24 08:07 pm (UTC)Создатели и владельцы сайтов доверяют (и с момента выбора элемента архиектуры НЕ МОГУТ от него отказаться!!!):
- операционной системе и её авторам
- всей пачке языков программровоания и библиотек
- авторам движка сата
- авторам тем и плагинов к двидку
- авторам генераторов тем и плагинов к движку
- авторам плагинов, служащих для связи сайта с в том числе другими сайтами
- ВСЕМ этим "другим сайтам", в конечном итоге...
Я параноик? Закладки в коде тем я уже давно почитаю за обыденность.
Все, кто публикуют картинки, доверяют авторам:
- оборудования и пргораммного обеспечения фото/видеотехники
- авторам программного обеспечения для обработки фотографий и картинок вообще.
Я параноик? Распознавания изображения купюр Фотошопом вам мало, да???
Все владельцы сайтов, у кого имеется глупость ставить гугль аналитику, флеш плеер, яндекс-метрику, ява апплеты и прочую такую хню на страницы платёжные, личные кабинеты и прочая, И ВСЕ ИХ ПОСЕТИТЕЛИ ВЫНУЖДЕННО доверяют авторам этих яваскриптов, css файлов, картинок, шрифтов, флешового кода и ява апплетов.
Я параноик? См. историю про МАССОВОЕ прочтение СМСок, доступное в поисковиках "как у себя дома".
Все пользователи почтовых систем, форумов ДОВЕРЯЮТ приватную информацию, которая хорошим владельцем сайта периодически бекапится. И тем самым - доверят БЕЗОПАСНОСТИ хранилищ резеервных копий.
no subject
Date: 2017-03-24 10:40 pm (UTC)Мля... как много я о себе узнал :-)
Хорошо что я принципиально ничего такого в сети не пищу. ни читаю, не использую и уж тем более не храню....