Избыточная безопасность или почему я ненавижу HTTPS

[KonstantinMakarich]

Собственно, нынче куда ни плюнь, попадешь в сайт, поддерживающий безопасное HTTPS соединение.
Между тем, никакой пользы в этом нет, а вреда - сколько хочешь. Трафик шифруется, соответственно, на это тратятся вычислительные ресурсы (как клиента, так и сервера), плюс зашифрованные пакеты, естественно, больше, чем обычные, соотвественно все это дерьмо постоянно носится по сети.

Вот недавно было дело, вашему покорному слуге надо было написать простейшую утилиту, выполняющую HTTPS-запросы через прокси с basic-авторизацией по логину-паролю. Казалось бы, проще могут быть только два пальца, однако выяснилось, что, т.к. запрос шифруется, его заголовки (в том числе proxy-authorization) для прокси недоступны. Это даже очевидно и даже примерно понятно, как решить этот вопрос, но переписывать для этого половину библиотеки для работы с HTTP/S я явно не готов. В итоге решением стало использование соксов, но это было возможно исключительно потому что провайдер прокси предоставлял и SOCKS5.

И это все только из-за того, что овнеры какой-то местечковой помойки, адресом которой я не осмелюсь оскорблять наше коммьюнити, решили, что доступ к их сайту должен осуществляться по HTTPS! Там нет никакой оплаты услуг, не передаются паспортные данные, не спрашивают даже кличку моего пса, которого у меня отродясь не было. Просто держатель ресурса - обезьяна, которая смотрит, что вокруг нее HTTPS, это безопасно, модно и стильно и тоже включает его. А потом его вонючий сервер не выдерживает и отваливается!

Это я молчу о постоянных проблемах проверок подлинности сертификатов, которые возникают всегда. Вообще всегда, вообще везде! Я в своей жизни сталкивался с ними более тысячи раз.

Я всегда презирал рассуждения о MITM-атаках. Если, не дай боги, где-то есть возможность отключить проверку сертов, то рядом обязательно будет простынь о том, каким уязвимым от этого становится (код/приложение). Вы когда-нибудь слышали, чтобы с помощью такой атаки у Зины Козловой увели ее акк ВК? Зато куча историй о том, как Зина получила письмо, зашла по ссылке, ввела свой пароль, ей на телефон что-то пришло, она нажала, ее выкинуло и больше уже не пускало. Или, может, у кого-то с карты украли 15 рублей, подменив сертификат? Нет, кто-то просто совал свою карту не в тот банкомат или, перезвонив по мобильному номеру мегофона, пришедшему в СМС о яко бы заблокированной карте Сбербанка (которой у него никогда не было) сообщил все данные всех своих счетов и банковских карт.
Все эти разговоры - это как говорить, что MD5 не достаточно надежен, т.к. какой-то китаец что-то там намутил (при этом что именно - не важно и то, что никакого практического применения этому нет мало кто понимает). В жизни не бывает никаких MITM-атак, это вымысел. Никто вообще не проверяет, что там написано в браузере, есть ли HTTPS, подлинный ли серт и от того ли сайта. Даже я едва ли когда смотрю на адрес, чтобы понять, что ввожу свои драгоценные данные не на фейке школьника, а уж от обычных пользователей я бы и этого не ожидал.

Я всегда и везде отключаю SSL, проверки сертификатов и прочую мерзость, даже когда мне это не мешает. Делаю я это из принципа и призываю всех к тому же.

[Belixxedian]

Согласен отчасти. Зачем сайту со смешными картинками и котиками шифрование? Нет личных данных - не нужен https. Никакому майору котики и прочий информационный шум не интересен - население генерит терабайты трафа в минуту на средний город, кто будет разгребать эти авгиевы конюшни? Для того СОРМ и есть - смотрят выборочно за теми, кто нужен, и там уже роли не играет, шифровался или нет, сам сайт сдаст юзера по первой просьбе властей. Маркетинг с т.н. "платных DPI" у крупнейших провайдеров получает лишь статистику, а не данные реальных людей, тоже нет поводов для беспокойства.
А пересаживают всех на https по причине того, что это дает прибыль конторам по выдаче сертификатов и это вводит денежный ценз на право владения сайтом - хочешь-не-хочешь, а $100+ в год выложи за каждый сайт. Есть бесплатные сертификаты, но они то месяц действуют, то их корневые отзывают в браузерах, короче это не вариант даже для никому не известной помойки или визитки с 3.5 посетителями.

[timik81]

Так нахрен в принципе нужен HTTPS? 99.9% не знают, что это такое, 11 из 10 человек на улице харкнут в рожу тому, кто вздумает привязаться к ним с вопросом, что они знают о SSL и шифровании. Это чисто инициатива оунеров сайтов, эти ослы зачем-то включают HTTPS и сами платят за это 100$ в год. Лучше бы мне эту сотку отдали, чем каким-то... Да я даже не знаю и знать не хочу, кому именно, кто выдает эти сраные серты и из-за кого моя и без того нелегкая жизнь делается еще труднее. Пусть они сгниют все к х**м.

[M_script]

по сути центры выдачи сертификатов это торговцы воздухом, сертификат генерируется без проблем в любом месте в любое время, они(цс) лишь являются авторитетным лицом которые говорят "этот серт валиден, мы его выпустили"/"этот серт не валиден, мы его не знаем", по сути и всё
собственно вот китайский центр зафакапился https://geektimes.ru/post/281188/ и мозила сказала что их воздух им больше не нужен
не хочу накалять обстановку, эм, да и пожалуй не буду) вопрос спорный

[pingpanther]

Атака МИТМ одна из моих излюбленных. Правильно, отрубайте SSL, нахрен его!

[zemsky]

Может овнеры сайтов заморачиваются с HTTPS из за того, что поисковики отдают предпочтение таким сайтам? А насчёт MITM, как там в целом дела обстоят я не в курсе, но вот у охотников за соседским вайфаем, это увекательное развлечение. Особенно если за стеной приятной внешности соседка).

[Veil]

Стало быть простому смертному юзеру, который не знает зачем нужен сертификат и что лучше без него, лучше сразу застрелица.

Владельцу сайта, помима ранжирования, просто стыдно не иметь сертификата, ибо нищедрот не могущий дать 20$ в год недостоин клика.
Да и просто круто, когда твоя фирма в зелёном свиттиться, сразу видно - чёткий пацан, а не не школьник какой

[MrWhite]

Ага, а ещё нафиг капчи, нафиг U2F, нафиг авторизацию по токенам и прочую не нужную муру, нафиг хеширование паролей -даёшь plaintext, всё это же так сложно внедрять и настраивать. Конечно же лучше сервера святой водой окропить, тогда никакие какеры не страшны.

[ms1488]

Зачем тебе порно и котики, которых качает средний юзер? Это можешь спутник поставить, там подобного сотнями гигабайт в сутки само падает. Или ты через прокси связки подсовываешь?
Никто же не говорил, чтобы отключали ssl банки и прочие ответственные места, баттхерт именно от того, что этот ssl пихают везде, где надо и где не надо.

[timik81]

А где хоть раз потроянили прова и сняли чью-то базу через MITM? Не слышал о таком ни разу. Всегда отламывают сам сайт для этого, и ssl тут не поможет.
Траф слишком велик у среднего или крупного прова, чтобы его смотреть детально - это банально очень дорого по железу. Единственное, где можно ловить данные - это спутник, wifi или мелкий офис, но, опять же, Неуловимый Джо неуловим потому, что никому не нужен. Для тех же, у кого есть нечто ценное в акках, существует VPN. SSL нужен именно для защиты важных данных типа банковских карт от перехвата, но никак не для того, чтобы закрывать им всё подряд, включая порно и смешные картинки. На крайний случай можно завернуть форму логина в SSL на отдельном поддомене, но не весь сайт.
Еще один камень в огород SSL - это РКН и аналогичные ему структуры по миру. Одна страница содержит что-то, что не нравится властям или торгашам - банят весь сайт. В Италии, например, так забанен весь ВК, у нас так кратковременно банили гитхаб и википедию, и примеров можно набрать довольно много по миру. Власть позиций не сдаст, и от регулирования сети не откажется никогда уже, так что заворачивать сайты целиком в SSL очень, очень плохая идея.