Избыточная безопасность или почему я ненавижу HTTPS
-
World788
- Контактная информация:
- deposit: 100$
Сообщение
Re: Избыточная безопасность или почему я ненавижу HTTPS
Сидел я один раз в кафешке, пил кофе, кушал пироженку и от нечего делать снифал с телефона трафик окружающих. А в это время, за соседнем столиком сидела одинокая гражданка - администратор одного довольно крупного научно- популярного издания. Благодаря отсутствию https на сайте журнала были перехвачены печеньки и у меня появился доступ ко всей БД этого журнаола (сайт кстати на 1С битрикс был запилен). В результате можно было опубликовать статьи , слить БД зарегистрированных пользователей и администрации этого научного журнала. Получить конфиденциальную информацию (телефоны и email/ password) о товарищах членах РАН и прочих академиках. которые публиковались в этом журнале и были в нем зарегистрированы. А можно было и просто задифейсить сайт. Благо всё это мне было не очень надо - я просто посмеялся над безопасностью серьезного ресурса и всё. А какой отсюда вывод можно сделать - решать вам.
-
Handsome1
- Контактная информация:
Сообщение
Re: Избыточная безопасность или почему я ненавижу HTTPS
Суммируя аргументы автора:
На https тратятся вычислительные ресурсы и пропускная способность сети
MITM несущественен по сравнению с другими способами атак
Личные технические затруднения автора
Аргумент о трате ресурсов голословен, не приведены цифры подтверждающие это. Посмотрите трезво на текущие процессоры и пропускные способности. Вклад https незаметен. В некоторых сценариях https быстрее: https://www.troyhunt.com/i-wanna-go-fas ... advantage/
MITM не всегда заключается в "воровстве" данных, иногда вам могут насильно вставлять рекламу, или же тихо мониторить ваши запросы, для каких либо целей, вы никогда об этом можете и не узнать. В то же время https позволяет без особых затруднений решить эту проблему. Серверные сертификаты можно получать бесплатно в проекте Let's Encrypt или с помощью Cloudflare.
Тут также упоминался md5. Пожалуйста, используйте bcrypt вместо md5. HTTPS и bcrypt — низкоуровневые инструменты, которые используются ВЕЗДЕ, здесь не работают суждения типа "вокруг меня это не актуально". Речь про стандарты индустрии и для них нужно выбирать максимально надёжные решения.
Понимаю технические затруднения автора. Такие затруднения вызывают сильные эмоции. Однако пожалуйста, если вы читаете это и у вас нет знаний деталей https, вспомните, что всё остальное человечество, включая компании с лидирующими экспертами индустрии идёт к https, а лишь у Васи с форума античат припекает.
PS Понимаю, что скорее всего OP троллил и у меня триггернуло от некомпетентности модераторов форума в удалении таких постов или пометке их как несерьёзные.
Серьёзно, если вас заботит компьютерная безопасность и технологии вообще, найдите себе место для обучения лучше, чем этот форум.
На https тратятся вычислительные ресурсы и пропускная способность сети
MITM несущественен по сравнению с другими способами атак
Личные технические затруднения автора
Аргумент о трате ресурсов голословен, не приведены цифры подтверждающие это. Посмотрите трезво на текущие процессоры и пропускные способности. Вклад https незаметен. В некоторых сценариях https быстрее: https://www.troyhunt.com/i-wanna-go-fas ... advantage/
MITM не всегда заключается в "воровстве" данных, иногда вам могут насильно вставлять рекламу, или же тихо мониторить ваши запросы, для каких либо целей, вы никогда об этом можете и не узнать. В то же время https позволяет без особых затруднений решить эту проблему. Серверные сертификаты можно получать бесплатно в проекте Let's Encrypt или с помощью Cloudflare.
Тут также упоминался md5. Пожалуйста, используйте bcrypt вместо md5. HTTPS и bcrypt — низкоуровневые инструменты, которые используются ВЕЗДЕ, здесь не работают суждения типа "вокруг меня это не актуально". Речь про стандарты индустрии и для них нужно выбирать максимально надёжные решения.
Понимаю технические затруднения автора. Такие затруднения вызывают сильные эмоции. Однако пожалуйста, если вы читаете это и у вас нет знаний деталей https, вспомните, что всё остальное человечество, включая компании с лидирующими экспертами индустрии идёт к https, а лишь у Васи с форума античат припекает.
PS Понимаю, что скорее всего OP троллил и у меня триггернуло от некомпетентности модераторов форума в удалении таких постов или пометке их как несерьёзные.
Серьёзно, если вас заботит компьютерная безопасность и технологии вообще, найдите себе место для обучения лучше, чем этот форум.
- Svesy
- Контактная информация:
Сообщение
Re: Избыточная безопасность или почему я ненавижу HTTPS
Все почему-то сразу про перехват http через Wi-Fi сети вспоминают.
А ведь трафик то идет от ПК пользователя, через сеть провайдера, далее по магистралям через множество сетевых девайсов и приходит на сервак, на котором сайт висит.
И при простом http - инфа через всё это идет в открытом виде.
Видать позабылись уже бэкдоры в сетевом оборудовании всяких там Cisco и Juniper Networks ? Через все эти девайсы так же реально получить доступ к паролям / логинам при отсутствии https -авторизации на сайте.
Да и зачем дополнительный вектор для атаки оставлять, если можно один раз https нормально настроить?
А ТС возмущается засильем https - потому как не умеет нормально авторизацию прикручивать при шифровании трафа...
Или вместо него сюда уже бот отстукивает с его-то Win XP и 16-й версией Firefox.
А ведь трафик то идет от ПК пользователя, через сеть провайдера, далее по магистралям через множество сетевых девайсов и приходит на сервак, на котором сайт висит.
И при простом http - инфа через всё это идет в открытом виде.
Видать позабылись уже бэкдоры в сетевом оборудовании всяких там Cisco и Juniper Networks ? Через все эти девайсы так же реально получить доступ к паролям / логинам при отсутствии https -авторизации на сайте.
Да и зачем дополнительный вектор для атаки оставлять, если можно один раз https нормально настроить?
А ТС возмущается засильем https - потому как не умеет нормально авторизацию прикручивать при шифровании трафа...
Или вместо него сюда уже бот отстукивает с его-то Win XP и 16-й версией Firefox.