Обсуждение:Депутат хочет запретить Википедию из-за «аннексии Крыма»

Материал из Викиновостей, свободного источника новостей
Перейти к: навигация, поиск

Невозможность выборочной блокировки в связи с HTTPS[править]

Это не совсем так, а вернее, практически совсем не так — многие провайдеры подменяют сертификат, à la атака посредника. См. http://tjournal.ru/paper/group-ib-court#comment626096 (где-то в Википедии было обсуждение, но у меня сейчас нет времени его искать). Ain92 (обсуждение) 16:42, 19 октября 2014 (UTC)

  • Для начала, про «многие». Мне неизвестны провайдеры, которые в настоящее время подменяют сертификаты. Так как это вообще крах всей безопасности. Во-вторых, хакерская атака с подменой сертификата — преступление (и дальше поясню почему), возможна лишь для всего сайта целиком, в том числе и безобидных страниц, начиная с главной. В третьих, по дефолту тот же хром не будет открывать страницу с подменяемым сертификатом, а будет выводить грозное сообщение о том, что всё пропало с весьма непрозрачной логикой разрешения, и тот, кто поймёт куда ставить галочки в этих запросах и какую кнопку тискать, пользоваться подобным очевидно не будет, перейдя на какой-нибудь TOR, так как подмена сертификата равносильна передаче ключей от места, где деньги лежат любому желающему. Обыватель же в этом если и разберётся, то с большим трудом и по инструкции. Но тот, кто эту инструкцию напишет, должен пояснить, что любой желающий при использовании каналов с подменямыми сертификатами сможет снимать деньги с банковского счёта обучаемого лоха и потешаться над его приватными селфи без всякого труда. --cаша (krassotkin) 08:22, 20 октября 2014 (UTC)
    • Вот нашёл место, где эта информация, видимо, впервые всплыла в Википедии: «Один из крупнейших российских провайдеров - Ростелеком прекрасно блокирует URLы в HTTPS с помощью MITM и поддельного сертификата. --drTr0jan 11:41, 12 апреля 2013 (UTC)» в w:Википедия:Опросы/Ответные действия на блокировку страниц Википедии государством#Введение шифрования. ЕМНИМС, было и обсуждение побольше, но найти я его не смог. Ain92 (обсуждение) 16:05, 20 октября 2014 (UTC)
      • Я не слышал о подобном. То что теоретически можно подменять сертификаты — конечно, но, чтобы это где-то практически реализовывали, либо собирались делать — нет. Насколько мне известно, даже в Китае подобного нет, там предпочитают полный блок. --cаша (krassotkin) 16:56, 20 октября 2014 (UTC)
        • Я пригласил Бориса в это обсуждение, может быть, он приведёт свои источники. Ain92 (обсуждение) 18:13, 20 октября 2014 (UTC)
    • Это крах безопасности, только если предполагать возможность наличия злого умысла у провайдера, (если я правильно понимаю, помимо отправителя и получателя лишь посредник может читать зашифрованные данные). Во-вторых, несмотря на то, что мы живём не в правовом государстве, мне хотелось бы видеть, какую статью УК нарушает провайдер, подменяющий сертификат. Не надо рассказывать, что посредник может сделать — обладание ключами от чужой квартиры само по себе не является преступлением. По поводу сложности разрешения я с вами спорить не буду, у разных браузеров эта сложность наверняка разная. Ain92 (обсуждение) 16:05, 20 октября 2014 (UTC)
      • Всё же опишу. В случае подмены сертификатов в определённом месте будут, во-первых, существувать все данные в открытом виде (пароли, номера и подтверждающие элементы кредитных карточек и т. д.), во-вторых, возможна подмена данных на собственные, как в сторону удалённого хоста, так и в сторону потребителя (например, можно списать со счёта веб-банк-клиента не тыс., а млн. рублей; или заменить содержимое писем, для обычных юзеров). Наличие подобной точки с бездонным потенциальным профитом, предполагает такое же безграничное желание добраться туда злоумышленникам, и такие же неограниченные риски для организации, которая с этим свяжется, потому, что даже просто раскрытие тайны переписки это ст. 138 УК РФ, не говоря уже о любых финансовых проколах. --cаша (krassotkin) 16:56, 20 октября 2014 (UTC)
        • Где они будут существовать? На серверах провайдера? Во-вторых, про возможность я выше уже провёл аналогию с ключами. Пока подмена не проведена, никакого преступления не совершается. Про безграничное желание добраться туда злоумышленниками — сильный аргумент, но всё равно не правовой, другое дело — гарантированная конституцией тайна переписки. Вот правоприменительная практика по ст. 138, если найдёте там людей, аффилированных с государством, приведите случай, пожалуйста (это прозрачный намёк на отсутствие верховенства права, которое может защитить Ростелеком от осуждения по этой статье). Ain92 (обсуждение) 18:13, 20 октября 2014 (UTC)
          • Задал этот вопрос юристам и тем, кто у нас с госорганами работают. Напишу когда и если будут ответы. В любом случае, важный вопрос поставлен, думаем и учитываем. Если будет какая-то дополнительная информация, сообщайте. Спасибо! --cаша (krassotkin) 07:44, 22 октября 2014 (UTC)
          • Пока так (из доступного публично). --cаша (krassotkin) 12:06, 22 ноября 2014 (UTC)