beldmit: (Любовь к ближним)
Dmitry Belyavskiy ([personal profile] beldmit) wrote2019-07-19 01:30 am
  • Add Memory
  • Share This Entry
Entry tags:

Государство побеждает интернет

Казахстан запустил тотальный MITM.

Я думал, первым это сделает кто-то другой.

Понятно, что золотой век интернета позади. Но это, кажется, заканчивается железный.
Flat | Top-Level Comments Only
phd_ru: (Default)

[personal profile] phd_ru 2019-07-19 12:47 am (UTC)(link)
Китай этого ещё не сделал? Даже как-то странно.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2019-07-19 04:09 am (UTC)(link)
Вроде этой "новости" уже полгода.
beldmit: (Default)

[personal profile] beldmit 2019-07-19 06:46 am (UTC)(link)
Это свежая новость. В смысле, это анонсировали несколько лет назад, но внедрили сейчас.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2019-07-19 07:56 am (UTC)(link)
Ну и ничего там в этом обсуждении интересного нет.

Высказано несколько очевидных вещей

1. Встраивать в браузер распространемый вне пределов юрисдикции Казахстана сертификат, который может быть использован для MiTM нехорошо.
2. В текущих версиях ручная установка сертификата позволяет преодолеть pinning и это в общем правильно.
3. блоклистить сертификат бессмысленно, потому что это просто приведет к тому, что продукты Mozilla станет невозможным использовать в казахстане.
4. Предположим, что все браузеры последуют примеру Мозилла и запретят использовать этот сертификат. Что мешает правительству Казахстана взять исходники того же файрфокса и оторвать проверку? При этом скорее всего этот модифицированный браузер, который станет единственно возможным для применения, вряд ли будет оперативно затыкать другие дыры в безопасности.

Вообще я еще в Криптокоме работал, то есть не меньше 10 лет назад было, меня как то Игус отправил на курсы по Astaro Linux, это такая система для корпоративных гейтвеев. Так вот там такой MiTM для корпоративной среды с установвкой сертификата через групповые политики винды был штатной фичей.

Кстати, в этом треде о существоании корпоративной практики MiTM тоже упоминается.
mtve: (Default)

[personal profile] mtve 2019-07-19 08:39 pm (UTC)(link)
> 4. Предположим, все браузеры последуют примеру Мозилла и запретят использовать этот сертификат

очень жалко что вообще другие варианты рассматриваются.

но про браузеры не интересно, интересно прогнётся ли гугл (андроиды) и эпл (айфоны).
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2019-07-20 07:24 am (UTC)(link)
Я, честно говоря, не понимаю, почему вы считаете диктат произвоидтелей браузеров предпочтительнее диктата государства.
В конце концов государств банально больше и конкуренция между ними выше.
Кроме того, у вас есть больше возможностей повлиять на государство - какие-никакие но выборы, вы ему платите налоги, а гуглю вы даже денег напрямую не платите.

На мой взгляд, любое вменяемое государство (включая американское) должно вышибать с госслужбы с волчьим билетом за использование продукции Apple. Потому что тот, кто использует продукцию Apple нифига не ценит свою информационную безопаснсть.

Я окончательн разочаровался в президенте Медведеве, когда он не испольхзовал приезд Джобса в Россию для того, чтобы на всю страну в прямом эфире не поучить чиновников.

Я бы на его месте, когда Джобс дарил ему айфон, сказал бы

"Извините, Стивен, я не могут принять ваш подарок. Ваши телеоны не работают с российскими опеараторами, ваши iTunes не имеют серверов на территории России. Мне ФСО не разрешит пользоваться этой машинкой и будет право" (кстати, Обаме ведь не разрешали)
После чего повернулся бы к микрофону, и сказал "А вы запомните - у кого увижу, пойдет под суд за разглашение гостайны, если секретоноситель".

phd_ru: (Default)

Я понимаю, почему диктат произвоидтелей браузеров пре

[personal profile] phd_ru 2019-07-20 09:47 am (UTC)(link)
Потому что фирма «Яблоко» не посадит меня в тюрьму, если я нарушу условия использования их продуктов.

А государство, на которое я никак не могу повлиять, ибо выборы оно фальсифицирует, альтернативных кандидатов не допускает, в т.ч. путём посадок по ложным обвинениям, может меня наказать за лишнее слово.

Государства слишком большие и сильные, чтобы можно было терпеть их диктат. Любое государство должно быть разрушено или ослаблено до состояния, когда оно уже не сможет осуществлять диктат.
vitus_wagner: My photo 2005 (Default)

Re: Я понимаю, почему диктат произвоидтелей браузеров п

[personal profile] vitus_wagner 2019-07-20 10:58 am (UTC)(link)
Почему не посадит? Посадит. Фирма может прекрасно подать на тебя в суд и государство вынуждено будет выполнить решение суда.

Государства уже давно маленькие и слабые. С тем же гуглем может потягаться ну США, ну Китай, ну может быть Объединенная Европа. А тот же Казахстан против гугля никто и звать его никак. Потерю такой части рынка гугль и не заметит, а вот Казахстан отсутствие гугловских сервисов у себя на территори заметит еще как.


И вообще я бы сказал, что важно не то что тебя могут посадить или убить. Вероятность такого события не слишком велика в любом случае. Важно какое количество мелких пакостей тебе могут устроить. Потому что мелкие паксости и то и другое тебе будет устраивать с вероятностью 100%. А вот тут возможности производителя операционной системы или браузера вполне соизмеримы с возможностями государства.



phd_ru: (Default)

[personal profile] phd_ru 2019-07-20 11:20 am (UTC)(link)
Мелкие пакости — мелкие! Их можно пережить или обойти. За счёт конкуренции фирм можно найти альтернативные решения.

А где найти другое государство для своей страны?
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2019-07-20 11:25 am (UTC)(link)
Ну в 1991 году мы же нащли целых 15 других государств для своей страны.
И жители Восточной Украины в 2014 нашли целых два.
(в обоих случаях, правда, оказалось что может быть и не стоило менять шило на мыло).
А использование альтернативных решений сейчас по количеству возникающих сложностей при коммуникации с использующими мейнстримовскими решениями сейчас как бы не хуже, чем переезд в другую страну.


phd_ru: (Default)

[personal profile] phd_ru 2019-07-20 11:55 am (UTC)(link)
Поставщиков товаров и услуг я могу менять раз в месяц, да хоть раз в неделю. А государства меняются раз в сто лет кровавой революцией.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2019-07-20 12:48 pm (UTC)(link)
Поставщиков операционной системы для телефона ты не можешь менять раз вмесяц, если ты конечно не хочешь их менять туда и обратно. Потому что их всего два.

Поставщиков операционных систем для десктопа или поисковых машин тебе может быть на полгода хватит.

Это не считая того, что таки потребуется переучиваться. И занимает переучивание больше чем месяц, если, конечно, хотеть работать эффективно.
phd_ru: (Default)

[personal profile] phd_ru 2019-07-20 02:41 pm (UTC)(link)
Два поставщика операционных систем — это вдвое больше, чем одно государство.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2019-07-20 04:52 pm (UTC)(link)
Государство-то далеко не одно. У тебя, насколько я твою биографию помню, есть свободный выбор между пером и веревкой между Россией, Казахстаном и Израилем. А при некотором приложении усилий можно еще и в Украниу с Белоруссией попытаться податься.
vitus_wagner: My photo 2005 (Default)

[personal profile] vitus_wagner 2019-07-19 04:14 am (UTC)(link)
Вообще это, конечно, естественный ответ на HTTPS everywhere. Учитывая, что доменная система имен у нас нифига не доменная, и использовать Name Constraint-ы для того,чтобы государственные УЦ не могли выдать сертификат на сайт другого государства, не получится, да и вообще система корневых УЦ кривая, это не могли не попробовать.
Flat | Top-Level Comments Only